Hoy el CERT polaco ha liberado el código de su framework destinado al análisis de malware, Karton.

En caso de que queramos cacharrear con el, ya lo tenemos disponible en GitHub.

Framework-malware

¿Qué es Karton?

Karton es un framework para backends de análisis. No se trata de un framework único, sino que es una colección de microservicios creados para dar servicios a distintas necesidades.

Fue creado con la finalidad de automatizar la gestión de los ciberincidentes, ya que en esas circunstacias se genera información que debe ser almacenada, procesada, enviada a otros sistemas o compartida con otras organizaciones.

Proyectos dentro de Karton.

Dentro del proyecto principal podemos encontrar más servicios:

  • Karton – Contiene el servicio karton.system – el servicio principal, responsable del envío de tareas dentro del sistema. También contiene el módulo karton.core, que es utilizado como biblioteca por otros sistemas.
  • karton-dashboard – Un pequeño tablero de mandos Flask para la gestión y supervisión de tareas y colas.
  • karton-classifier – El «router». Reconoce muestras/archivos y produce varios tipos de tareas dependiendo del formato del archivo. Gracias a esto, otros sistemas sólo pueden escuchar tareas con un formato específico (por ejemplo, sólo archivos zip).
  • karton-archivador-extractor – Desempaquetador genérico de archivos. Los archivos cargados en el sistema serán extraídos, y cada archivo será procesado individualmente.
  • karton-config-extractor – Extractor de malware. Utiliza las reglas de Yara y los módulos de Python para extraer la configuración estática de las muestras y análisis de malware.
  • karton-mwdb-reporter – El reportero envía todos los archivos, etiquetas, comentarios y otra información producida durante el análisis al MWDB. Si aún no usas MWDB o prefieres otros backends, es fácil escribir tu propio reportero.
  • karton-yaramatcher – Ejecuta automáticamente las reglas de Yara en todos los archivos en curso, y etiqueta las muestras apropiadamente. No incluye las reglas Yara.
  • karton-asciimagic – Sistema de karton que decodifica archivos codificados con métodos comunes, como hex, base64, etc. (No creerías lo común que es).
  • karton-autoit-ripper – Extrae los scripts y recursos de AutoIt embebidos de los ejecutables de AutoIt compilados.

___________________________________

Recordaros que podéis seguirnos en nuestro Twitter, Instagram y Telegram.

AUTOR