malcontent

 _ _    _.  .    _   _    _  .  ___   _.   _  .  ___
( | )  (_|  |_  (_  (_)  ( _)   |   (/_  ( _)   |

            subtle malware discovery tool

Malcontent는 맥락, 차등 분석 및 14,000+ 야라 규칙의 마법을 통해 공급망이 손상을 발견합니다.

 ________      ________      ________      ________
|        |    |        |    |        |    |        |
| v1.0.0 | => | v1.0.1 | => | v1.0.2 | => | v1.0.3 |
|________|    |________|    |________|    |________|

               unchanged     HIGH-RISK     decreased
               risk          increase      risk

Malcontent에는 3 가지 작동 모드가 있습니다.

• diff : 두 프로그램 간의 위험 가중 차별 분석
• ‍♀️ analyze : 프로그램 기능에 대한 깊은 분석
• ? scan : 악성 콘텐츠의 기본 스캔

Malcontent는 Linux에서 실행되는 최고의 분석 프로그램입니다. 그럼에도 불구하고, 그것은 또한 MacOS와 같은 다른 UNIX 플랫폼을 위해 설계된 프로그램과 Windows를 적게 사용할 수 있습니다.

• 14,500+ 야라 탐지 규칙
  • Avast, Elastic, Fireeye, Mandiant, Nextron, Reversinglabs 등과 같은 회사의 타사 규칙 포함!
• 이진 파일을 가장 일반적인 형식으로 분석합니다 (Elf, Mach-O, A.out, PE)
• 가장 일반적인 언어에서 코드를 분석합니다 (AppleScript, C, Go, JavaScript, PHP, Perl, Ruby, Shell, TypeScript)
• 아카이브 (APK, 타르, 지퍼 등) 및 컨테이너 이미지에 대한 투명한 지원
• 다중 출력 형식 (JSON, YAML, Markdown, 터미널)
• CI/CD 파이프 라인의 일부로 작동하도록 설계되었습니다
• 에어 갭 네트워크를 지원합니다

맬웨어를 발견하는 Malcontent의 가장 강력한 방법은 CI/CD 인공물에 대한 차별 분석을 통한 것입니다. 빌드 시스템 내에서 사용될 때 Malcontent는 기존 맬웨어 스캐너에 비해 두 가지 중요한 맥락의 이점이 있습니다.

• 예상 행동의 기준 (이전 릴리스)
• 예상 할 변화가 얼마나 큰지를 설명하는 시맨틱 버전

3cx 타협을 예로 들어, Malcontent는 예기치 않게 Libffmpeg에 대한 예기치 않게 높은 변화를 표면으로 표면 :

"++"로 시작하는 각 라인은 새로 추가 된 기능을 나타냅니다. 각 기능에는 맬웨어가 얼마나 고유한지에 따라 위험 점수가 있습니다.

Diff (1) 명령과 마찬가지로, Malcontent는 두 바이너리 또는 디렉토리 사이에 차이가있을 수 있습니다. 또한 두 개의 아카이브 파일 또는 두 개의 OCI 이미지도 차별화 할 수 있습니다. 유용한 깃발은 다음과 같습니다.

• --format=markdown : Github 동작에 사용하기위한 Markdown의 출력
• --min-file-risk=critical : 임계 수준 변경에 대한 차이 만 표시합니다
• --quantity-increases-risk=false : 결과 주파수로 인해 파일 중요도를 증가시키는 휴리스틱을 비활성화합니다.
• --file-risk-change : 소스와 대상 파일이 위험이 다른 경우 수정 된 파일에 대한 차이 만 표시됩니다.
• --file-risk-increase : 대상 파일이 소스 파일보다 위험이 높은 경우 수정 된 파일에 대한 diff 만 표시합니다.

Malcontent의 가장 기본적인 기능은 가능한 맬웨어에 대한 디렉토리를 스캔합니다. Malcontent는이 모드에서 꽤 편집증이므로 몇 가지 잘못된 긍정을 기대합니다.

컨테이너 이미지를 스캔 할 수도 있습니다 : mal scan -i cgr.dev/chainguard/nginx:latest

유용한 깃발 :

• --include-data-files : 프로그램으로 보이지 않는 파일 포함
• --processes : 스캔 활성 프로세스 바이너리 (실험)

프로그램의 기능을 열거하려면 mal analyze 사용하십시오. 예를 들어:

분석 모드는 위험 수준으로 분류되는 맬웨어에서 종종 볼 수있는 기능 목록을 방출합니다. 다양한 파일 형식 및 스크립팅 언어로 프로그램과 함께 작동합니다.

CRITICAL 결과는 악의적 인 것으로 간주되어야합니다. 유용한 플래그에는 다음이 포함됩니다.

• --format=json : 데이터 구문 분석을 위해 JSON 으로의 출력
• --min-risk=high : 높은 또는 치명적인 위험 결과 만 보여줍니다

docker pull cgr.dev/chainguard/malcontent:latest

요구 사항 :

• 이동 - 프로그래밍 언어
• 야라 - 규칙 언어
• PKGCONF- 많은 UNIX 분포에 포함 된 C 의존성을 찾으려면 필요

Linux 또는 MacOS 사용자는 다음 명령을 실행하여 GO가 아닌 필요한 종속성을 설치할 수 있습니다.

brew install yara || sudo apt install libyara-dev 
 || sudo dnf install yara-devel || sudo pacman -S yara 
 || sudo zypper install yara

MalContent 설치 :

go install github.com/chainguard-dev/malcontent/cmd/mal@latest

Malcontent는 오픈 소스입니다! 기여에 관심이 있으시면 개발 안내서를 확인하십시오. 풀 요청을 보내 주시면 나머지를 도와 드리겠습니다!