Malware Tracker :: Redesign und GitHub.com

Des Öfteren stosse ich bei Analysen auf neue C&C-Server von Malware. Meist sind diese nicht neu und bereits mehrfach in öffentlichen Trackern festgehalten. Doch Ausnahmen bestätigen die Regel und so zum Beispiel bei Nymaim, habe ich gar keinen öffentlichen Tracker gefunden, der auch nur ein paar der Hosts gelistet hatte, die ich gefunden habe. Schade, da jeder Analyst weiss, dass öffentliche Tracker das die Arbeit ungemein vereinfachen, weil man unkompliziert von Informationen aus fremden Analysen profitieren kann. Und da ich meine Findings nicht für mich behalten wollte, machte ich mich auf die Suche nach einem Tracker, welchen ich nutzen konnte. Mein Weg führte mich auf die bekannten Portale wie GitHub, Sourceforge und Konsorten, doch scheinbar ist noch niemand auf die Idee gekommen, ein Tempalte oder ähnliches für einen Malware Tracker zu veröffentlichen! Eigentlich etwas bedenklich, wenn man an die Fülle an unterschiedlichen Trackern im Netz denkt…

Also habe ich kurzerhand vor ein paar Wochen selbst einen sehr einfachen Tracker „from scratch“ gebaut. Doch viel mehr als Informationen anzeigen konnte dieser nicht…
Auch wenn so ein Tracker für den User eigentlich nur Informationen darstellt, so steckt doch vieles an Automatisierung dahinter, da man die Hosts auch regelmässig prüfen und mit weiteren relevanten Informationen wie Status, SBL oder ASN automatisch ergänzen will, ohne jedesmal eine ganze Liste von IPs händisch durchzuarbeiten. Da ich leider nicht ganz so viel Zeit investieren konnte, habe ich auf viele dieser Features verzichtet und auf eine schnelle Lösung gesetzt:

printscreen001

Doch irgendwie hat die Lösung an meinem Stolz genagt und es hat mich gestört, dass ich jemandem so ein unfertiges und unsauberes Projekt antun muss. Und so kam es, dass ich meinen Tracker für Nymaim die Tage komplett überarbeitet habe. Dabei entstand nicht nur eine logische Trennung von Sammeln und Anzeigen, sondern es kamen auch ein Layout und weitere Infos wie SBL- und ASN-Einträge, sowie Filter dazu.

Screenshot from 2015-09-10 14:28:54

Die Logik besteht nun aus einem Informationsprozessor (worker.php), der z.B. als Cronjob die Infos sammelt und als XML ablegt und einem Frontend (index.php), welches dann wiederrum bei Anzeige die Daten aus dem XML ausliest und darstellt.

Und da ich mich ja ein paar Zeilen weiter oben erst gerade darüber beschwehrt hatte, dass noch kein Entwickler eines Trackers seinen Code veröffentlicht hat, will ich mich von dem ganzen Mal ausnehmen und haben das Template in GitHub veröffentlicht, damit auch andere bei Gelegenheit mal darauf zugreifen können:

Persönlich finde ich dies ein super Weg, da ich so die Entstehung von neuen Trackern fördern kann, aus welchen ich dann als Security Professional wieder wertvolle Informationen für meine zukünftigen Analysen gewinnen kann!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.