본문으로 바로가기

HKWT-2013-0004 / iScanner

category Defensive Security/Linux 2013.01.16 14:51

1. About

iScanner는 웹페이지에서 악의적인 코드들을 탐지하고 지우는데 사용되는 오픈 소스 툴이다. 이 툴은 로컬 파일부터 원격 웹까지 스캔 할 수 있다. iSecur1ty에서 루비 언어로 만들었으며, GNU affero General Public License 3.0의 조건에 따라 릴리즈를 발표하고 있다.

2. Ability

  • Suspicious iframes
  • obfuscated javascript
  • dangerous eval and escape
  • etc..

3. Installation

- 환경 : Ubuntu 12.04 LTS amd64


sudo apt-get install ruby
wget http://iscanner.isecur1ty.org/download/iscanner.tar.gz/
tar xfz iscanner.tar.gz
cd iscanner

4. Usage


./iscanner -h
Starting iScanner 0.7 on [localhost] at (Wed Jan 16 14:01:09 2013)
Copyright (C) 2010 iSecur1ty 

Usage: ./iscanner [options]

Specific options:
    -R, --remote [URL]               Scan remote web page / website
    -F, --file [FILE]                Scan a specific file
    -f, --folder [DIRECTORY]         Scan a specific folder
    -e, --extensions [ext:ext:ext]   The extensions you want to scan
    -d, --database [DATABASE]        Select database file
    -M, --malware [FILE]             Scan for a specific malware code
    -o, --output [LOG-FILE]          Output log file
    -m, --email [EMAIL-ADDRESS]      Send report to email address
    -c, --clean [LOG-FILE]           Clean infected files
    -b, --backup                     Backup infected files
    -r, --restore [BACKUP-FOLDER]    Restore the infected files
    -a, --auto-clean                 Enable auto clean mode
    -D, --debug                      Enable debugging mode
    -q, --quiet                      Enable quiet mode
    -s, --send [MALICIOUS-FILE]      Send malicious file for analyses
    -U, --update                     Update iScanner to latest version
    -u, --update-db                  Update signatures database only
    -v, --version                    Print version number
    -h, --help                       Show this message

Example: ./iscanner -f /home -m email@example.com -o infected.log
         ./iscanner -b -c infected.log

5. Signatures file

- signatures-0.2.0.db

iScanner는 정규표현식으로 표현된 시그니처 파일을 베이스로 검사를 한다. 이 파일은 규칙을 추가하여 수정 할 수 있다. 현재까지는 2010/09/22일 version 0.2.0 이후 업데이트는 이루어지지 않고 있다.


---
- version: 0.2.0
- date: 22/Sep/2010
- copyright: iSecur1ty 
- - 6.0
  - ()
  - Known obfuscated Javascript malware.
  - MU:RE
- - 6.1
  - ()
  - Known obfuscated Javascript malware.
  - MU:RE
- - 6.2
  - ()
  - Known obfuscated Javascript malware.
  - MU:RE
- - 6.3
  - ()
  - Known obfuscated Javascript malware.
  - MU:RE
- - 2.1
  - ()
  - Javascript 'eval' and 'unescape' functions detected, possible obfuscated malicious code.
  - MU:RE
...

6. Strength

  • 원격 파일 뿐만 아니라 로컬 파일을 검색 할 수 있는 능력
  • 웹 페이지에서 악성 코드를 탐지하고 출력 할 수 있는 능력
  • 오픈소스, 무료, 데이터베이스 유지 등

7. Weakness

정규표현식 기반 패턴탐지의 한계.

- 정규표현식으로 정의하지 않은 부분은 탐지하지 못함.(난독화, 코드값 변환 등)

저작자 표시 비영리 동일 조건 변경 허락
신고

'Defensive Security > Linux' 카테고리의 다른 글

BackTrack5 Reborn Kali Linux 간략정리  (0) 2013.03.14
Making Generate Yara rules  (1) 2013.01.18
HKWT-2013-0004 / iScanner  (1) 2013.01.16
HKWT-2013-0003 / Pygoogle.py  (1) 2013.01.10
HKWT-2013-0002 / GeoIP + Matploitlib  (1) 2013.01.03
HKWT-2013-0001 / thug  (1) 2013.01.02

댓글을 달아 주세요

  1. 나그네 신고">2013.01.17 08:42 신고

    좋은 정보 감사합니다.
    그럼 단순히 정규표현식으로 된 시그니처 탐지 툴인가요?

티스토리 툴바