The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Компания Cisco открыла код PyREBox, окружения для изучения в..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от opennews (??) on 24-Июл-17, 13:04 
Разработчики из компании Cisco представили (http://blog.talosintelligence.com/2017/07/pyrebox.html) проект PyREBox (https://talosintelligence.com/pyrebox), в рамках которого подготовлено окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО. PyREBox представляет собой надстройку над QEMU, снабжённую дополнительными средствами для инспектирования содержимого памяти, отладки и динамического анализа работы системы и  приложений.  Код распространяется (https://github.com/Cisco-Talos/pyrebox) под лицензией GPLv2.

В отличие от традиционных отладчиков, работающих в одном системном окружении  с проверяемым приложением, PyREBox полностью отделён от изучаемого окружения и позволяет наблюдать с ним со стороны, при необходимости вмешиваясь в его работу. PyREBox создаёт эмулируемое окружение для всей системы, предлагая простой интерфейс для наблюдения за этим окружением, не требуя установки особых драйверов или агентов, а работая непосредственно на уровне эмулятора и предоставляемого им API VMI (Virtual Machine Introspection). В настоящее время возможно создание окружений i386 и x86_64, но в планах намечена поддержка ARM, MIPS, PowerPC и других архитектур.


Интерфейс для управления и отладкой построен на базе интерактивной оболочки IPython.  Исследователю предоставляется полный набор команд для инспектирования и модификации состояния работающей виртуальной машины. В том числе можно на лету изменять содержимое областей памяти и регистров CPU. Имеются гибкие средства автоматизации, основанные на подключении сценариев на языке Python. При этом компоненты PyREBox выполнены как надстройка над QEMU, но не пересекаются с QEMU, что даёт  возможность быстро адаптировать продукт к новым выпускам QEMU, не утруждая себя ведением собственного форка.

Поддерживается интеграция с пакетом криминалистического анализа Volatility (http://www.volatilityfoundation.org/) и подключения плагинов от него. Также можно подключать собственные плагины с дополнительными обработчиками или привязывать Python-скрипты (https://github.com/Cisco-Talos/pyrebox/tree/master/scripts) к определённым событиям, например, скрипт может быть вызван перед выполнением определённой процессорной инструкции, при обращении приложения к заданной области памяти,  создании/завершении процессов, переключении контекста, промахах TLB, событиях от сетевого интерфейса и клавиатуры. Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.

      


URL: http://blog.talosintelligence.com/2017/07/pyrebox.html
Новость: http://www.opennet.me/opennews/art.shtml?num=46906

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +6 +/
Сообщение от Аноним (??) on 24-Июл-17, 13:04 
Зачем им изучать собственное ПО?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +4 +/
Сообщение от A.Stahl (ok) on 24-Июл-17, 13:10 
Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой код :)
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +5 +/
Сообщение от Andrey Mitrofanov on 24-Июл-17, 13:20 
#>> Зачем им изучать собственное ПО?
> Даже программисты на ЯваСкрипте не только пишут, но иногда и читают свой
> код :)

#>>>окружение для обратного инжиниринга и наблюдения за поведением вредоносного ПО.

Как вы двое углубились в тему. #зависть

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Zoolander on 24-Июл-17, 16:42 
Вброс засчитан )

Взрослым дядям надо кушать - вот и пишут на JS

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Led (ok) on 24-Июл-17, 21:24 
> Взрослым дядям надо кушать

Поэтому они так много какают?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от opennotru on 25-Июл-17, 01:00 
Потому что водка подешевела.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

7. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Аноним (??) on 24-Июл-17, 18:02 
> Зачем им изучать собственное ПО?

Вы знаете хоть один нормально работающий программный продукт от циски? Не железку, а именно программный продукт? Вот и они, вероятно, не знают.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

5. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Аноним (??) on 24-Июл-17, 16:52 
На самом деле поразительно, как в России любят данную компанию.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Аноним (??) on 24-Июл-17, 18:00 
Это уже лечится. К сожалению чиновников, эта компания (с самым дорогим оборудованием и величной откатов // мелким шрифтом) в санкционных списках по обе стороны океана. Как со стороны гостдепа - запрет на поставки в гос органы, так и с нашей стороны.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

14. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Pofigist on 25-Июл-17, 07:41 
Да ладно! Оборудование - недорогое, посмотри для сравнения на цены конкурентов, откаты - минимальное, посмотри для сравнения на мюнхенский попил...
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Аноним (??) on 25-Июл-17, 09:09 
Сравним эквивалентное магистральное оборудование с Huawei?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  –1 +/
Сообщение от Аноним (??) on 25-Июл-17, 11:17 
Или Mikrotik :)
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +1 +/
Сообщение от PnDx (ok) on 25-Июл-17, 12:06 
Магистральное.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

8. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  –2 +/
Сообщение от яя on 24-Июл-17, 18:16 
> Для снижения задержек из-за вызова Python-кода предлагается использовать систему триггеров на C/С++, которые решают задачу первичной фильтрации и передают управление Python-скриптам только при необходимости.

Чувак пишет фильтр, а в ответ нот-фаунд, он что-то поправляет, а в ответ через 15 мин когда своп исчерпан, оом-киллеp убивает qemu, и только 5000 копий скрипта рапортующих о событии в памяти.

ЗЫ. киллеp это ппц как не нормативно

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Crazy Alex (ok) on 24-Июл-17, 22:05 
А что за безумие в комментах? Отличная же штука на вид...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Andrey Mitrofanov on 24-Июл-17, 23:17 
> А что за безумие в комментах? Отличная же штука на вид...

Реактивное комментирование. Первых двух слов ^W токенов темы -- достаточно.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Аноним84701 (ok) on 25-Июл-17, 00:52 
> А что за безумие в комментах? Отличная же штука на вид...

Cмотря для чего. У малварщиков проверка на виртуалку или песочницу уже лет десять как "стандарт".
Типа:
http://webcache.googleusercontent.com/search?q=cache:7qv1dak...
> STL Packer Premium .
> Most Advanced Crypter/Packer
>  Anti Parallels
> Anti QEMU
> Anti Sandboxie -LRB- not rly a vm , but its used locally , so anti can be enabled/disabled -RRB-
> Anti Virtual Box
> Anti Virtual PC -LRB- VPC -RRB-
> Anti VMware
> + Generic Anti VM

(это первый подходящий, "общедоступный" результат, но как я уже упоминал, для "крипторов" (обфускаторов) малвари оно уже давным давно "в моде") благо, гуглится на раз, https://github.com/AlicanAkyol/sems
> Virtualbox, VirtualMachine, Cuckoo, Anubis, ThreatExpert, Sandboxie, QEMU, Analysis Tools Detection Tools

да и сам код проверок даже когда-то на шестом вижулабейсике был.
Так что просто запускать и наблюдать за поведением бинаря даст весьма сомнительный результат.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

17. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +/
Сообщение от Crazy Alex (ok) on 25-Июл-17, 11:26 
Я в курсе, сам когда-то песочницу дрвеба определял, ещё в ДОС... Но безумие комментов это никак на объясняет.

P.S. Сейчас я от малвари и борьбы с ней далековато, но не вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и потом будем гонять в виртуалке" неприменимо.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

20. "Компания Cisco открыла код PyREBox, окружения для изучения в..."  +1 +/
Сообщение от Аноним84701 (ok) on 25-Июл-17, 14:24 
> P.S. Сейчас я от малвари и борьбы с ней далековато, но не
> вижу, почему прежнее "сдампим память после запуска малвари, выкусим защиту и  потом будем гонять в виртуалке" неприменимо.

Уже лет пять как серьезно не ковырял, но по нескольку обфускаторов"матрешкой" (с интегрированными "анти" плюс еще собственные велосипеды малвари) - не такое уж и редкое явление. Особо одаренные умудрялись поверх неплохих  "обфускаторов" еще и "Drop"-еры (т.е. примитив, распакующий тупо в файл) нацеплять. Поэтому дампить и выкусывать защиту придется несколько раз.
Но я вообще-то к  тому, что одним таким "non-intrusive"-дебагером все равно не обойтись (тем более, не катят мечты любителей варезов"я запускал в виртуалке и там не было ничего подозрительного!"), хотя сама по себе штука интересная (причем, не только для разбора малвари).

> Но безумие комментов это никак на объясняет.

*cмотрит непонимающе* неспокойная магнитосфера http://www.tesis.lebedev.ru/magnetic_storms.html и недавнее новолуние же!

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру