Herramienta de detección y clasificación de malware Dr.Semu basada en comportamiento dinámico
Dr.Semu ejecuta ejecutables en un entorno aislado que monitorea el comportamiento de un proceso y, según las reglas de Dr.Semu creadas por usted o la comunidad, detecta si el proceso es malicioso o no.
Con Dr.Semu puede crear reglas para detectar malware en función del comportamiento dinámico de un proceso.
Aislamiento por redireccionamiento
Todo sucede desde el modo de usuario. Sistema de archivos proyectado de Windows (ProjFS)se usa para proporcionar un sistema de archivos virtual . Para la redirección del Registro, clona todas las colmenas del Registro a una nueva ubicación y redirige todos los accesos del Registro.
Consulte el código fuente para obtener más información sobre otras redirecciones (aislamiento de procesos / objetos, etc.).
Supervisión
Dr.Semu usa DynamoRIO(Dynamic Instrumentation Tool Platform) para interceptar un hilo cuando está a punto de cruzar la línea del núcleo del usuario. Tiene el mismo efecto que enganchar SSDT pero desde el modo de usuario y sin enganchar nada.
En esta fase, Dr.Semu produce un archivo JSON, que contiene información de la intercepción.
Detección
Después de finalizar el proceso, según las reglas de Dr.Semu , recibimos si el ejecutable se detecta como malware o no.
Dr.Semu reglas
Están escritos en Python o LUA (ubicados bajo dr_rules ) y usan información dinámica de la intercepción e información estática sobre la muestra. Es trivial agregar soporte a otros idiomas.
Uso
- Use PowerShell para habilitar ProjFS en una ventana elevada de PowerShell :
Enable-WindowsOptionalFeature -Online -FeatureName Client-ProjFS -NoRestart
- Descargue y extraiga un archivo zip de la página de lanzamientos
- Descargue DynamoRIO y extráigalo en la carpeta DrSemu y cambie el nombre a
dynamorio - Instalar Python 3 x64
DrSemu.exe –target file_pathDrSemu.exe –directorio de archivos de destino
MANIFESTACIÓN
Copyright (C) 2019 secrary Telegram: https://t.me/hackingteamelrinconoscuro
Comentarios
Publicar un comentario
Todos sus comentarios seran bienvenidos, no se admiten insultos todo con el debido respeto que se merece cada persona, o de lo contrario seran eliminado cada comentario inrespetuoso hacia los demas. y autores del blog tambien puedes seguirnos en:
Facebook: https://www.facebook.com/groups/HackingTeamCyber/
Grupo de Telegram: https://t.me/TheHackForceOfficial
Canal de Youtube: https://www.youtube.com/channel/UCXy8Lg28OuGuI5Z-2EWJaNA?view_as=subscriber
Canal Vimeo: https://vimeo.com/403136547?activityReferer=1
Red Social Twitter: https://twitter.com/TheHackForce