jueves, 20 de octubre de 2016

Integrando las detecciones de Koodous en tu flujo de negocio

Hace unos días explicamos en otra entrada de este blog cómo crear reglas Yara para detectar malware en Koodous. Ese post fue una introducción a las reglas Yara para posteriormente explicar cómo integrarlas en el modelo de negocio de una empresa. Es lo que vamos a realizar a continuación.

Queremos dar ideas sobre cómo automatizar la detección de reglas Yara, es decir, utilizar la API que provee Koodous para extraer todas las aplicaciones detectadas por una regla. Básicamente hemos realizado un script para tal fin que ha sido publicado en GitHub (https://github.com/Koodous/Scripts/blob/master/new_detections.py), pero nos gustaría explicar su funcionamiento para cualquier usuario pueda adaptarlo a sus propias necesidades y flujo de información.

Dicho script se basa en las notificaciones de usuario, por lo tanto lo primero que haremos será crear una regla Yara en Koodous:


En este caso se ha creado una regla para detectar unas muestras concretas de un SMSFraud. El título indicado en la parte superior "SMSFraud" es importante, pues nos indicará la regla que ha detectado el APK cuando usemos el script. Debes elegir un nombre identificativo para tu sistema.

Después es importante tener en cuenta que las notificaciones deben estar activadas. En la parte derecha de la edición de reglas debe aparecer así:


Al menos el botón de "Notify me" debe estar activado. Las notificaciones que genere esta regla serán las que usemos para integrar nuestro sistema.

A continuación descargamos el script de:

Es un script en Python bastante simple. Lo único que tenemos que configurar a priori son estos campos dentro del script:


"RULENAMES" es una lista con los nombres de las reglas que queremos automatizar. En este caso utilizamos "SMSFraud".

"TOKEN" debe ser nuestro token de usuario. Podemos verlo en la siguiente URL una vez logueados en Koodous: https://koodous.com/settings/profile

"WAITING_TIME" corresponde al tiempo de espera entre un ciclo y otro expresado en segundos. El tiempo por defecto son 5 minutos, suficientes para no saturar el sistema y que todos podamos vivir en armonía :)

Después de esto sólo hace falta lanzar el script y ver resultados:


Por supuesto, dentro del script hay una función llamada "send_to_another_system". En ella se debe incluir el código que envíe al sistema de tratamiento de muestras.


Antonio Sánchez


 

No hay comentarios:

Publicar un comentario en la entrada