前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >Saferwall:下一代开源恶意软件分析平台

Saferwall:下一代开源恶意软件分析平台

作者头像
FB客服
发布2020-09-04 14:45:53
1.2K0
发布2020-09-04 14:45:53
举报
文章被收录于专栏:FreeBufFreeBuf

Saferwall

Saferwall是一款开源的恶意软件分析平台,该工具旨在给安全社区提供以下内容:

  • 为恶意软件研究人员提供共享样本的协作平台。
  • 帮助研究人员自动化生成恶意软件分析报告。
  • 寻找新的恶意软件的搜索平台。
  • 放行前对恶意软件质量和有效性提供保证。

功能介绍

静态分析

  • 加密哈希,封装器识别;
  • 字符串提取;
  • 可执行文件分析器

支持主流反病毒厂商的AV扫描工具:

工具安装

Saferwall利用了Kubernetes来实现其高可用性、可扩展性以及背后巨大的生态系统。你可以选择将Saferwall部署到云端并在Kubernetes中运行,你也可以将其部署到自己的服务器中进行托管。

为了方便广大用户部署、启动和运行生产级的Kubernetes集群,我们还使用了kops。该工具能够自动提供一个托管在AWS、GCE、DigitalOcean或OpenStack上的Kubernetes集群,或者也可以直接在裸机上运行。目前,AWS是Saferwall官方支持的平台。

工具架构/组件

  • Golang
  • 后端: Echo
  • 前端: VueJS + Bulma
  • 消息: NSQ
  • 数据库: Couchbase
  • 日志: FileBeat + ElasticSearch + Kibanna
  • Minio: 对象存储
  • 部署: Helm+ Kubernetes

当前架构/工作流

下面给出的是文件扫描期间发生的基本工作流:

  • 前端通过restapi与后端通信。
  • 后端将样本上传到对象存储。
  • 后端将消息推入扫描队列。
  • 用户获取文件并将其复制到nfs共享,避免在每个容器上提取样本。
  • 通过gRPC调用异步扫描服务(如反病毒扫描器)并等待结果。

工具构建及部署

首先,使用下列命令将该项目的源码克隆至本地:

代码语言:javascript
复制
git clone https://github.com/saferwall/saferwall

使用一个Debian Linux系统,建议Ubuntu 18.04。并确保已正确安装了build-essential:

代码语言:javascript
复制
sudo apt-get install build-essential curl

将example.env改为.env,这个文件将存储项目的配置信息。

构建AV镜像

编辑.env文件,并根据AV产品填写敏感凭据。

Eset:将许可证拷贝到./build/data/ERA-Endpoint.lic和.env中:

代码语言:javascript
复制
export ESET_USER = EAV-KEYHERE

export ESET_PWD = passwordhere

Avast:将许可证拷贝到./build/data/license.avastlic中;

Kaspersky:将许可证拷贝到./build/data/kaspersky.license.key中;

运行下列命令,构建并将Ducker Hub推送至所有AV:

代码语言:javascript
复制
make multiav-build
代码语言:javascript
复制
运行下列命令创建镜像,并构建一个gRPC守护进程来监听扫描任务:
代码语言:javascript
复制
make multiav-build-go
代码语言:javascript
复制
日志记录可以在Elasticsearch上看到:

项目地址

Saferwall:【https://github.com/saferwall/saferwall

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-08-29,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 功能介绍
    • 静态分析
      • 支持主流反病毒厂商的AV扫描工具:
      • 工具安装
      • 工具架构/组件
      • 当前架构/工作流
      • 工具构建及部署
      • 构建AV镜像
      • 项目地址
      相关产品与服务
      容器服务
      腾讯云容器服务(Tencent Kubernetes Engine, TKE)基于原生 kubernetes 提供以容器为核心的、高度可扩展的高性能容器管理服务,覆盖 Serverless、边缘计算、分布式云等多种业务部署场景,业内首创单个集群兼容多种计算节点的容器资源管理模式。同时产品作为云原生 Finops 领先布道者,主导开源项目Crane,全面助力客户实现资源优化、成本控制。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档