ZeroWine – Open Source Malware Analysis Framework

Neste post vamos conhecer o Zero Wine, uma plataforma open source para análise de malwares. Com o Zero Wine você consegue analisar o comportamento de um malware de forma segura. Basta iniciar a sandbox, acessar a interface web e fazer o upload do artefato que você deseja analisar.

O projeto consiste de uma suíte de scripts e serviços emulados através de um wine configurado para simular um ambiente real. Você pode efetuar a análise utilizando diferentes versões de sistema operacional: Windows Xp Sp2, Sp3, etc…

Devido ao longo período sem atualização do ZeroWine (a ultima atualização foi em 2009) surgiu um fork chamado “ZeroWine Tryouts”. Basicamente consiste do mesmo projeto, porém com atualizações e melhorias.

Você pode baixar uma imagem ja preparada do QEMU, ou se preferir pode baixar os fontes.

Para nosso lab, vamos utilizar a imagem do QEMU, para tanto estou levando em consideração que você ja tem o QEMU instalado e funcionando em seu Linux/Windows.

Caso você queira executar o QEMU no Windows, existe um port que pode ser baixado aqui: http://www.h7.dion.ne.jp/%7Eqemu-win/

Depois disto baixe o ZeroWine Tryouts Alpha-4.1: http://downloads.sourceforge.net/zerowine-tryout/zerowine-tryout-alpha4.1-image.7z

Após, é so descompactar e inicializar a imagem:

qemu -hda zerowine.img -boot c -m 1024 -redir tcp:8000::8000 -redir tcp:2022::22

Caso você queira acessar a shell da sandbox Linux você pode utilizar o usuário “malware” senha “malware1”

Uma vez que a máquina carregou, basta você acessar utilizando seu Browser o endereço http://127.0.0.1:8000

Neste box basta selecionar o OS que deseja emular para a análise e fazer o upload do malware. Depois disto é so esperar, e devo admitir que talves demore um pouquinho até que a análise fique completa.

Após finalizada, basta você ir na pagina “View” e fazer uma busca, você pode colocar o hash md5 do arquivo que você fez upload, o nome do arquivo, ou simplesmente “*” e a interface irá lhe mostrar os resultados disponíveis para aquela sessão:


Abaixo um exemplo de um report gerado pelo Zero Wine:

A primeira sessão mostra a análise do comportamento do malware, e este deveria ser o principal componente a respeito do framework ZeroWine. Entretanto como a propria documentação no site do ZeroWine diz, os resultados são “muito longos, e sendo assim, dificeis de se entender”. Outro aspecto dificil de verificar é a diferença entre as system calls feitas  pelo malware e as feitas pelo framework de análise.  Como resultado definitivo, eu pessoalmente acho o resultado do report do ZeroWine bem menos útil do que poderia ser.

Existem muitos frameworks que podem ser utilizados gratuitamente, como por exemplo, o ThreatExpert e o Anubis. Porém existem alguns casos onde você não pode distribuir o artefato coletado para análise em plataformas de terceiros. O ZeroWine é uma excelente ferramenta para ajudar a análisar diversos fatores, porém não dispensa em hipotese alguma a análise estática do artefato.

Site do Projeto:  http://zerowine-tryout.sourceforge.net/

Sandbox: ThreatExpert – Automated Threat Analysis

Advertisements

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s