Para los futuros alumnos del curso " Administrador Linux. Profesional " y todos los interesados, preparamos un artículo de Alexander Kolesnikov.
El propósito de este artículo es mostrar qué proyectos existen en la actualidad para el análisis automático de archivos ejecutables para Linux. La información proporcionada se puede utilizar para implementar un banco de pruebas para analizar código malicioso. El tema puede ser relevante para administradores e investigadores de malware.
Funciones de sandboxing de Linux
El principal problema de los entornos sandbox de Linux para analizar aplicaciones es el soporte limitado para los procesadores en los que se ejecuta el sistema operativo. Dado que es muy caro utilizar su propia máquina física para cada arquitectura. Cómo se utilizan las soluciones virtualizadas como Hyper-V, VMWare o VBox como compromiso. Estas soluciones hacen su trabajo lo suficientemente bien, pero solo permiten la virtualización en la arquitectura en la que se ejecuta el host principal. Para ejecutar código para ARM, MIPS y otras arquitecturas, tendrá que recurrir a otros productos que puedan emular las instrucciones del procesador requeridas. Intentemos recopilar tantos proyectos como sea posible y veamos qué arquitecturas de procesador son compatibles.
Caja de arena de cuco
Cuckoo. . , . , . :
Windows. , Linux. , Windows, Linux. .
LiSA Sandbox
x86_64
i386
arm
mips
aarch64
- Qemu. . radare2, , : , , . , . , IoT . , , .
— Docker. . :
Limon Sandbox
Yara
ssdeep
ldd
strace
Inetsim
tcpdump
volatility
sysdig
, . :
drakvuf Sandbox
. , . . , . , . , - . , . , json.
Detux
86
86_64
ARM
MIPS
MIPSEL
Qemu. . . , json.
, - . , :
radare2
Volatility
Yara
.
, , .
"Administrator Linux. Professional".
« Ansible ». , ansible . , , .. , . !