1. About
iScanner는 웹페이지에서 악의적인 코드들을 탐지하고 지우는데 사용되는 오픈 소스 툴이다. 이 툴은 로컬 파일부터 원격 웹까지 스캔 할 수 있다. iSecur1ty에서 루비 언어로 만들었으며, GNU affero General Public License 3.0의 조건에 따라 릴리즈를 발표하고 있다.
2. Ability
- Suspicious iframes
- obfuscated javascript
- dangerous eval and escape
- etc..
3. Installation
- 환경 : Ubuntu 12.04 LTS amd64
sudo apt-get install ruby
wget http://iscanner.isecur1ty.org/download/iscanner.tar.gz/
tar xfz iscanner.tar.gz
cd iscanner
4. Usage
./iscanner -h
Starting iScanner 0.7 on [localhost] at (Wed Jan 16 14:01:09 2013)
Copyright (C) 2010 iSecur1ty
Usage: ./iscanner [options]
Specific options:
-R, --remote [URL] Scan remote web page / website
-F, --file [FILE] Scan a specific file
-f, --folder [DIRECTORY] Scan a specific folder
-e, --extensions [ext:ext:ext] The extensions you want to scan
-d, --database [DATABASE] Select database file
-M, --malware [FILE] Scan for a specific malware code
-o, --output [LOG-FILE] Output log file
-m, --email [EMAIL-ADDRESS] Send report to email address
-c, --clean [LOG-FILE] Clean infected files
-b, --backup Backup infected files
-r, --restore [BACKUP-FOLDER] Restore the infected files
-a, --auto-clean Enable auto clean mode
-D, --debug Enable debugging mode
-q, --quiet Enable quiet mode
-s, --send [MALICIOUS-FILE] Send malicious file for analyses
-U, --update Update iScanner to latest version
-u, --update-db Update signatures database only
-v, --version Print version number
-h, --help Show this message
Example: ./iscanner -f /home -m email@example.com -o infected.log
./iscanner -b -c infected.log
5. Signatures file
- signatures-0.2.0.db
iScanner는 정규표현식으로 표현된 시그니처 파일을 베이스로 검사를 한다. 이 파일은 규칙을 추가하여 수정 할 수 있다. 현재까지는 2010/09/22일 version 0.2.0 이후 업데이트는 이루어지지 않고 있다.
---
- version: 0.2.0
- date: 22/Sep/2010
- copyright: iSecur1ty
- - 6.0
- ()
- Known obfuscated Javascript malware.
- MU:RE
- - 6.1
- ()
- Known obfuscated Javascript malware.
- MU:RE
- - 6.2
- ()
- Known obfuscated Javascript malware.
- MU:RE
- - 6.3
- ()
- Known obfuscated Javascript malware.
- MU:RE
- - 2.1
- ()
- Javascript 'eval' and 'unescape' functions detected, possible obfuscated malicious code.
- MU:RE
...
6. Strength
- 원격 파일 뿐만 아니라 로컬 파일을 검색 할 수 있는 능력
- 웹 페이지에서 악성 코드를 탐지하고 출력 할 수 있는 능력
- 오픈소스, 무료, 데이터베이스 유지 등
7. Weakness
정규표현식 기반 패턴탐지의 한계.
- 정규표현식으로 정의하지 않은 부분은 탐지하지 못함.(난독화, 코드값 변환 등)
반응형
'Information Security > OpenSource' 카테고리의 다른 글
Yara Project 1.7 Release (0) | 2013.03.31 |
---|---|
Python low-interaction honeyclient Thug Update (0) | 2013.03.12 |
Pygoogle.py (1) | 2013.01.10 |
GeoIP + Matploitlib (1) | 2013.01.03 |
thug (1) | 2013.01.02 |