Hoy hace ya unos días desde que los integrantes de SecurityArtWork finalizaran su aventura en el Hackathon de INCIBE, una aventura que se puede resumir en:
- Mucho esfuerzo.
- Litros de café y demás bebidas cafeinadas.
- Récord de 38 horas seguidas sin dormir.
- 6 horas dormidas durante el transcurso Hackathon.
- Mucha diversion.
Estos datos resumen con una gran precisión la participación en el evento.
Desde estas líneas queremos felicitarles, ya que ese esfuerzo les valió un segundo puesto, prueba de ello una imagen del equipo recogiendo el premio entregado por “Trancas” y “Barrancas”, padrinos del evento y por la incansable y entrañable mascota de nuestros compañeros del INCIBE, “Botillo”, que nos quedamos con la ganas de saber quién es.
Y como extra una imagen de los integrantes del equipo, Jaume Martín, José González y Marcos Sánchez, junto a “Botillo” en la “foto de rigor”
Pero vamos a lo que estáis esperando: en qué ha consistido el proyecto presentado, que esperamos que disfruten leyéndolo tanto como nosotros creándolo.
El proyecto
La idea de este proyecto surge principalmente de la necesidad de dar una rápida respuesta a los incidentes de seguridad relacionados con malware; conocer con qué bicho estás tratando durante (y antes incluso) de un análisis de malware ayuda, y mucho. La idea feliz que tuvimos es lograr identificar y catalogar malware por familias, aunque esta muestra sea desconocida y no dé positivo en ninguna plataforma existente actualmente, como pueden ser “Virus total” o “malwr.com”.
Para ello nos propusimos como reto crear MEMT –Massive Early Malware Triage–, y como valor añadido proporcionárselo a la comunidad de software libre, para que quien quiera pueda colaborar en el proyecto proporcionando su granito de arena proponiendo y añadiendo funcionalidades que crea que serían de interés o utilidad a la hora de reconocer y catalogar muestras de malware.
Las técnicas utilizadas para este catalogado pasan por el uso del algoritmo “fuzzy hashing”, (sistema disponible en el repositorio actual), algoritmos de cálculo de similitud estadística y algunas técnicas de “Computer Vision” (no disponibles de momento en el repositorio). Para conocer las tripas un detalle más profundo de la plataforma no duden en bucear en el código y proponer las mejoras que consideren.
Además de poner a disposición el código de la plataforma, hemos preparado un servicio al que tendrá acceso cualquiera que quiera utilizarlo bajo el nombre de MalhiveIO. Con esta plataforma pretendemos facilitar a los analistas el uso de esta herramienta evitando tener que montar la infraestructura necesaria y proporcionar el set inicial de malware.
El lanzamiento de esta plataforma está pensado para el próximo lunes 14 de diciembre de 2015. En la web podéis ver un bonito contador con la cuenta atrás indicando lo que falta para su lanzamiento :)
Esperamos que este servicio les sea de tanta utilidad como lo está siendo para nosotros y que con el tiempo esta iniciativa crezca, ofreciendo cada día más funcionalidad y un catalogado más certero. Más adelante daremos más detalles sobre el funcionamiento.
Buen trabajo chicos!