APT攻击问题在近几年尤为严重,国外安全研究者Tyler Hudak近日发布了一款针对检测APT攻击中发现的样本进行自动化静态分析的框架,名为MASTIFF,该工具将自动化分析样本,并将得到的信息存储到数据库中。
一般静态分析的工艺如下:
1:获取样本的HASH值 2:分析文件类型 3:逆向文件
如果子这些步骤都是由人工分析的话,样本一多,工作量也随之增加,也许你有自己的自动化脚本可以替代人工去做分析,但是如果没有的话,建议可以尝试试用下MASTIFF这款静态分析框架。
运行方法如下:
sudo mas.py filename
上述命令针对单个样本,MASTIFF V0.5目前的版本不支持同时运行多个样本分析,官方推荐创建一个python文件,分析一个特定目录中的所有文件, 如下:
#!/usr/bin/python
import os
# MASTIFF Autorun
# @TekDefense
# www.TekDefense.com
# Quick script to autorun samples from maltrieve to MASTIFF
malwarePath = '/opt/malware/'
for r, d, f in os.walk(malwarePath):
for files in f:
malware = malwarePath + files
print malware
os.system ('mas.py' + ' ' + malware)
测试281个样本大约在5分钟左右分析完。