Detux: Sandbox Desenvolvida para Análise de Tráfego em Sistemas Linux

Detux é uma sandbox, que foi desenvolvida para fazer uma análise de tráfego em relação aos tipos de malware para o sistema Linux e para capturar as IOCs ao fazer tal procedimento. O hypervisor QEMU é usado para emular o Linux (Debian) para várias arquiteturas de CPU. E assim, os seguintes CPUs são suportados atualmente: x86, x86-64, ARM, MIPS e mipsel. Para melhor experiência com a ferramenta, é recomendável utilizar a versão live: http://detux.org. O que há de novidades na última versão lançada? Esta versão do Detux contém o script para executar um binário/script Linux em um arch CPU específico. Dessa forma, o usuário não precisa de preocupar caso não conheça a fundo a plataforma em questão, pois o Magic packet ajuda na integração com o arch CPU de forma automatizada. A arquitetura x86 é a versão CPU padrão, e isso pode ser ajustado de forma diferente em seu arquivo de configuração.
Vale lembrar que este lançamento disponibiliza um relatório de análise em um formato de DICT, que pode ser facilmente personalizado para inserção no NoSQL. Há ainda um exemplo de script fornecido, que demonstra o uso da biblioteca da sandbox. Para executar Detux, há uma série de requisições que são: pacotes de sistema, usar Python 2.7, qemu, pcaputils, sudo, libcap2-bin, bridge-utils, bibliotecas em Python (preferível usar ambiente virtual), pexpect, paramiko e python-magic. Muito importante certificar-se de que os requisitos acima sejam atendidos antes de utilizar Detux. Algumas dependências podem variar de um sistema operacional para o outro.


Saiba Mais:

[1] The Hacker's Tools http://www.kitploit.com/2016/06/detu...x-sandbox.html