ThomBreugelmans/korai
GitHub: ThomBreugelmans/korai
Korai 利用系统发育树和静态检测方法,追踪 Mirai 恶意软件样本的进化谱系以识别其变种。
Stars: 0 | Forks: 0
# Korai
Korai 是我在硕士论文中用于调查是否可以使用静态检测方法检测恶意软件变种的成果和工作。为此,我们重点关注并假设这些恶意软件变种在系统发育树中会清晰可见,其中某个子树相对于来自父节点/根节点的入边以及子树其余节点,会显示出较弱的连接。
本仓库包含为实现这一目标而使用和创建的所有代码及子项目。
在论文中,我们主要关注一个充斥着大量变种和样本的恶意软件家族:Mirai。这款恶意软件的源代码被公开,许多僵尸网络所有者使用这些源代码来运行他们的机器人程序,通常只需进行少量修改就能产生大量的变种。这非常适合我们的用例。
Korai 得名于恶意软件家族 Mirai,具体来说是作为它的对立面。这个名字是日语中“(遥远的)过去”或“古老”的罗马音,被选为“Mirai”即“(遥远的)未来”的完全相反的定义。这项拟议工作的目的是获取观察到的恶意软件样本,对其进行处理,并利用它们的进化来检测这一恶意软件株系的变种。这意味着我们同时着眼于过去——以旧样本为代表——和未来——体现在“Mirai”的名字及其演变中。
最终的论文文档可以在 TU Delft 仓库中找到:[](https://resolver.tudelft.nl/uuid:1ef648f0-18aa-4409-9370-181b524f6641)
## 目录
为了在本项目中使用,产生了五个独立的子项目。
首先,需要从 MalwareBazaar 获取样本。为此创建了 [khajiit](./khajiit/)。
为了进行某些恶意软件分析,例如检查 Mirai 中通常存在的“加密”`table`(如果不存在,则表明是非 Mirai),我们创建了 [shourai](./shourai/)。
在收集了所有样本并对恶意软件进行了一些检查和分析之后,我们需要开始解析和摄取这些样本,以便最终能够创建一个谱系。负责此工作的项目位于 [processor](./processor/) 中。
这个 [processor](./processor/) 有一个 API 作为摄取样本的 endpoint,为了发送要摄取的样本,我们创建了 [sample-submitter](./sample-submitter/)。这不是一个独立的项目,而是包含了一个示例脚本,用于处理样本并将其摄取到 processor 中。
随着样本最终被摄取,我们终于可以创建系统发育树(或谱系)并尝试检测变种了。这是在 [lineage-inference](./lineage-inference/) 子项目中完成的。
最后,我们创建了一个 [frontend](./frontend/) 来检查该谱系和变种检测的输出。我们的想法是最终在这个前端中至少将 processor 和谱系/变种检测链接在一起,但这暂时被留作未来的工作。
除了这些子项目之外,还有 [utilities](./utilities/) 和 [data](./data/) 子目录。它们包含项目中使用的一些实用脚本以及大部分(甚至全部)使用的数据。
标签:DAST, 云安全监控, 变种检测, 恶意软件分析, 系统发生树, 自动化攻击, 逆向工具, 静态分析