Hace
unos días explicamos
en otra entrada de este blog cómo crear reglas Yara para detectar malware en
Koodous. Ese post fue una introducción a las reglas Yara para posteriormente
explicar cómo integrarlas en el modelo de negocio de una empresa. Es lo que
vamos a realizar a continuación.
Queremos dar ideas sobre cómo
automatizar la detección de reglas Yara, es decir, utilizar la API que provee
Koodous para extraer todas las aplicaciones detectadas por una regla. Básicamente
hemos realizado un script para tal fin que ha sido publicado en GitHub (https://github.com/Koodous/Scripts/blob/master/new_detections.py),
pero nos gustaría explicar su funcionamiento para cualquier usuario pueda
adaptarlo a sus propias necesidades y flujo de información.
Dicho script se basa en las
notificaciones de usuario, por lo tanto lo primero que haremos será crear una
regla Yara en Koodous:
En este caso se ha creado una
regla para detectar unas muestras concretas de un SMSFraud. El título indicado
en la parte superior "SMSFraud"
es importante, pues nos indicará la regla que ha detectado el APK cuando usemos
el script. Debes elegir un nombre identificativo para tu sistema.
Después es importante tener en
cuenta que las notificaciones deben estar activadas. En la parte derecha de la
edición de reglas debe aparecer así:
Al menos el botón de "Notify me" debe estar activado. Las
notificaciones que genere esta regla serán las que usemos para integrar nuestro
sistema.
A continuación descargamos el
script de:
Es un script en Python bastante
simple. Lo único que tenemos que configurar a priori son estos campos dentro
del script:
"RULENAMES" es
una lista con los nombres de las reglas que queremos automatizar. En este caso
utilizamos "SMSFraud".
"TOKEN" debe
ser nuestro token de usuario. Podemos verlo en la siguiente URL una vez
logueados en Koodous: https://koodous.com/settings/profile
"WAITING_TIME" corresponde
al tiempo de espera entre un ciclo y otro expresado en segundos. El tiempo por
defecto son 5 minutos, suficientes para no saturar el sistema y que todos
podamos vivir en armonía :)
Después de esto sólo hace falta
lanzar el script y ver resultados:
Por supuesto, dentro del script
hay una función llamada "send_to_another_system".
En ella se debe incluir el código que envíe al sistema de tratamiento de
muestras.
Antonio Sánchez
I appreciate how you helped others get information. Your work is outstanding, and I value your consideration. I had a great time reading your essay. I want to express my gratitude for all of your work creating this stuff.
ResponderEliminarTraffic Lawyer Fairfax VA
Abogado De Trafico En Virginia