El objetivo de
Viper
es proporcionar una solución para organizar fácilmente una colección
de malware y explotar las muestras, para facilitar su investigación
diaria. Es similar a un Metasploit para los investigadores de
malware,
proporciona una interfaz de terminal que se puede utilizar para:
almacenar, buscar y analizar archivos, con un entorno para crear
plugins fácilmente de cualquier tipo.
Viper permite crear y operar en una colección de archivos de muestras de
malware. Una colección representa un proyecto. Se puede crear tantos
proyectos como se desee y cambiar fácilmente de uno a otro. Cada
proyecto tiene sus propios repositorios locales de los archivos
binarios, una base de datos SQLite que contiene los metadatos y un
archivo histórico que contiene todos los comandos que se proporcionan a
través de la Shell de Viper. De esta manera se pueden crear diferentes
entornos de trabajo para cada campaña de malware, familia de
malware o
el entorno que se está investigando. También puede empaquetar
fácilmente y compartir la carpeta del proyecto.
Las operaciones que se pueden ejecutar dentro Viper son fundamentalmente: comandos y módulos:
- Los comandos son funciones proporcionadas por el núcleo de
Viper que permiten interactuar con: el repositorio de archivos (mediante
la adición, la búsqueda, el etiquetado y la eliminación de archivos),
con proyectos y con las sesiones. Son estáticos y no deben modificarse.
- Los módulos son plugins que se cargan dinámicamente por Viper
en el arranque. Existen módulos para implementar funciones de análisis
adicionales que se pueden ejecutar en un archivo abierto o en todo el
repositorio, por ejemplo: el análisis de los ejecutables PE32,
procesadores de documentos PDF, el análisis de los documentos de Office,
archivos de agrupamiento por hash o ImpHash... Los módulos son la parte más desarrollada activamente de Viper gracias a las contribuciones de la comunidad.
Viper está escrito en Python y requiere Python 2.7 para funcionar
correctamente. Funciona a la perfección en distribuciones basadas en
Debian, como Ubuntu de plataforma de referencia. Es posible trabajar con
ella en otras distribuciones Linux y en Mac OS X, pero no ha sido
debidamente probado.
Fuente:
Gurú de Informática
