malcontent

 _ _    _.  .    _   _    _  .  ___   _.   _  .  ___
( | )  (_|  |_  (_  (_)  ( _)   |   (/_  ( _)   |

            subtle malware discovery tool

Malcontentは、コンテキスト、差別的分析、14,000以上のYaraルールの魔法を通じて、サプライチェーンの妥協を発見します。

 ________      ________      ________      ________
|        |    |        |    |        |    |        |
| v1.0.0 | => | v1.0.1 | => | v1.0.2 | => | v1.0.3 |
|________|    |________|    |________|    |________|

               unchanged     HIGH-RISK     decreased
               risk          increase      risk

Malcontentには3つの操作モードがあります。

• diff ：2つのプログラム間のリスク加重微分分析
• ‍♀️ analyze ：プログラムの機能の深い分析
• ？ scan ：悪意のあるコンテンツの基本スキャン

Malcontentは、Linuxで実行されるプログラムを最適に分析しています。それでも、MacOSなどの他のUNIXプラットフォーム向けに設計されたプログラムや、程度は低い程度では、Windowsも見事に機能します。

• 14,500以上のヤラ検出ルール
  • Avast、Elastic、Fireeye、Mandiant、Nextron、Reversinglabsなどの企業からのサードパーティルールを含みます！
• 最も一般的な形式でバイナリファイルを分析します（ELF、MACH-O、A.OUT、PE）
• ほとんどの一般的な言語（applescript、c、go、javascript、php、perl、ruby、shell、typescript）のコードを分析します。
• アーカイブ（APK、TAR、ZIPなど）およびコンテナ画像の透明なサポート
• 複数の出力形式（JSON、YAML、マークダウン、端末）
• CI/CDパイプラインの一部として機能するように設計されています
• エアギャップされたネットワークをサポートします

マルウェアを発見するためのMalcontentの最も強力な方法は、CI/CDアーティファクトに対する差別的な分析を通じてです。ビルドシステム内で使用する場合、Malcontentには、従来のマルウェアスキャナーよりも2つの重要なコンテキストの利点があります。

• 予想される動作のベースライン（以前のリリース）
• 予想される変更の大きさを説明するセマンティックバージョン化

3CX妥協点を例として使用すると、libffmpegのリスクの高い変更を予想外に些細なことに表面的に表面化します。

「++」で始まる各行は、新しく追加された機能を表します。各機能には、マルウェアにとってどれだけユニークであるかに基づいてリスクスコアがあります。

diff（1）コマンドに基づいているように、Malcontentは2つのバイナリまたはディレクトリの間で違いがあります。また、2つのアーカイブファイルまたは2つのOCI画像を差分することもできます。ここにいくつかの有用なフラグがあります：

• --format=markdown ：githubアクションで使用するためのマークダウンの出力
• --min-file-risk=critical ：クリティカルレベルの変更の違いのみを表示します
• --quantity-increases-risk=false ：結果頻度によるファイルの臨界性を高めるヒューリスティックを無効にする
• --file-risk-change ：ソースファイルと宛先ファイルがリスクが異なる場合、変更されたファイルの違いを表示する
• --file-risk-increase ：宛先ファイルがソースファイルよりもリスクが高い場合、変更されたファイルの違いを表示する

Malcontentの最も基本的な機能は、可能なマルウェアのディレクトリをスキャンします。このモードでは、誤って妄想的であるため、誤った肯定的なものを期待してください。

コンテナ画像をスキャンすることもできます： mal scan -i cgr.dev/chainguard/nginx:latest

便利なフラグ：

• --include-data-files ：プログラムのように見えないファイルを含める
• --processes ：アクティブプロセスバイナリをスキャン（実験）

プログラムの機能を列挙するには、 mal analyzeを使用します。例えば：

分析モードは、リスクレベルで分類されるマルウェアでよく見られる機能のリストを発します。さまざまなファイル形式とスクリプト言語のプログラムで動作します。

CRITICAL結果は悪意があると見なされるべきです。有用なフラグには次のものがあります。

• --format=json ：データ解析のためのJSONへの出力
• --min-risk=high ：高いまたは重大なリスクの調査結果のみを示します

docker pull cgr.dev/chainguard/malcontent:latest

要件：

• Go-プログラミング言語
• ヤラ - ルール言語
• PKGCONF-多くのUNIXディストリビューションに含まれるC依存関係を見つけるために行くことで要求されます

LinuxまたはMacOSユーザーは、次のコマンドを実行して、go以外の必要な依存関係をインストールできます。

brew install yara || sudo apt install libyara-dev 
 || sudo dnf install yara-devel || sudo pacman -S yara 
 || sudo zypper install yara

malcontentをインストールします：

go install github.com/chainguard-dev/malcontent/cmd/mal@latest

Malcontentはオープンソースです！貢献に興味がある場合は、開発ガイドをご覧ください。プルリクエストを送ってください、そして私たちは残りを助けてくれます！