Malheur 0.5.0: análisis automático de comportamiento de malware

Malheur es una herramienta para el análisis automático de comportamiento de malware. Se basa en el concepto de análisis dinámico: se obtienen los binarios y se ejecutan en un sandbox, donde su comportamiento es monitorizado en tiempo de ejecución y presentado en informes para su análisis.

Además, esta monitorización del comportamiento puede presentarse en varios formatos:



- Extracción de prototipos: a partir de un determinado conjunto de informes, Malheur identifica a un subgrupo de los prototipos representativos dentro del conjunto de datos obtenido. Los prototipos ofrecen una visión general del comportamiento registrado y se pueden utilizar para guiarnos en la inspección manual.

- Clustering del comportamiento: Malheur identifica automáticamente los grupos (clusters) de los informes que contienen un comportamiento similar. El clustering permite descubrir nuevas clases de malware y proporciona la base para la elaboración de la detección específica y la elaboración de mecanismos de defensa, tales como las firmas de antivirus.

- Clasificación del comportamiento: sobre la base de un conjunto de informes previamente agrupados, Malheur es capaz de asignar comportamientos desconocidos a grupos conocidos de malware. Esta clasificación permite la identificación de nuevas variantes de malware y puede ser utilizada para filtrar el comportamiento del programa antes de la inspección manual.

- Análisis incremental: Malheur se puede aplicar de forma incremental para el análisis de grandes conjuntos de datos. Mediante el procesamiento de informes divididos en trozos, los requisitos de memoria y el tiempo de ejecución se reducen significativamente. Esto hace factible los análisis a lo largo del tiempo, por ejemplo para el análisis diario de malware.

Comentarios