Hablemos sobre la caza de malware. A veces puedes encontrar una muestra de malware interesante, y después de invertirla te das cuenta de que el binario tiene características que lo hacen único, como el tamaño, algunos bytes en una posición determinada o un encabezado o recurso específico.
Si estás familiarizado con VirusTotal Hunting y Yara, tal vez ya hayas jugado con retro-hunt. Básicamente, puedes ejecutar un escaneo Yara sobre los archivos recibidos por VT durante los últimos 3 meses y esto es increíble. De hecho, VT mejoró su plataforma recientemente e introdujeron THREAT HUNTER PRO, lo que permitirá consultas sobre los archivos recibidos durante el último año, estamos hablando de 5 petabytes.
¿Qué pasa si tenemos una gran colección de malware y queremos hacer algo de retro-hunting? Podemos hacerlo gracias a Kaspersky GReAT. Han construido una tecnología muy interesante que permite escanear 10TB de archivos en 30 minutos. ¡Brillante!
Si deseas desplegar tu propia instancia de Klara, puedes seguir las instrucciones en su repositorio de GitHub o si prefieres, puedes comenzar a experimentar con mi versión de docker compose antes, continúa leyendo.
Necesitarás instalar docker, docker-compose y una gran colección de malware. Puedes descargar colecciones de muestras de malware de:
Obtén el código de mi repositorio:
git clone https://github.com/jpalanco/klara-docker-compose.gitModifica las variables según lo necesites, las encontrarás en .env.
Copia tu malware a klara-repository/repository/virus_repository/
Construir los contenedores:
docker-compose buildEjecutar los contenedores:
docker-compose upVerás información sobre los servicios en ejecución, después de un par de minutos podrás iniciar sesión a través de http://localhost/ (a menos que hayas cambiado la variable en el archivo .env)
Las credenciales de administrador son:
- usuario: admin
- contraseña: super_s3cure_password
Las credenciales de usuario regular son:
- usuario: john
- contraseña: super_s3cure_password
Después de iniciar sesión, verás la siguiente interfaz:
En el perfil, es posible que necesites configurar tu dirección de correo electrónico antes de crear trabajos, sin embargo, las notificaciones pueden no funcionar porque mi implementación de Klara carece de notificaciones en este momento.
Una vez que hayas configurado tu dirección de correo electrónico, puedes crear un trabajo:
Si no sabes cómo escribir reglas Yara, puedes elegir algunas de https://github.com/Yara-Rules/rules
En la sección del repositorio puedes revisar los repositorios, en este momento solo tenemos un repositorio configurado: virus_repository.
Ahora puedes lanzar el trabajo y disfrutar de tus resultados:
¡Feliz caza!