Se ha demostrado que la ofuscación de la línea de comando es un factor no despreciable en el malware sin archivos o en los actores maliciosos que “viven de la tierra”. Para eludir la detección basada en firmas, se muestra que las técnicas de ofuscacióndedicadas son utilizadas por las penetraciones del equipo rojo e incluso por las actividades APT. Mientras tanto, numerosos ofuscadores (a saber, las herramientas que realizan la transformación de sintaxis) son de código abierto, lo que hace que la confusión de comandos dados sea cada vez más fácil.Sin embargo, el número de defensas adecuadas sigue siendo poco. Para la ofuscación de la línea de comandos de Linux , apenas podemos encontrar herramientas de detección. En lo que respecta a las defensas contra la ofuscación de comandos de Windows, los esquemas existentes se convierten en falta de herramientas, o solo resuelven parcialmente todo el problema, a veces incluso de manera inexacta.Para facilitar la detección de la ofuscación, hemos propuesto Flerken, una plataforma de herramientas que se puede usar para detectar los comandos de Windows (CMD y Powershell) y Linux (Bash) . El nombre de Flerken está inspirado en una criatura similar a un gato pero extremadamente poderosa del mundo Marvel. Flerken se basa en una recopilación cuidadosa de muestras en blanco y negro, y se puede dividir en dos sub-esquemas, a saber, Kindle (detector de ofuscación de Windows) y Octopus (detector de ofuscación de Linux). Para ayudar a optimizar el rendimiento de la clasificación de Flerken, adoptamos técnicas como el aprendizaje automático, el anillo de filtro de funciones bidireccionales y el sandboxing de scripts.

Documentación
Para obtener una descripción detallada de Flerken, consulte nuestro documento de especificaciones aquí . 

Inicio rápido

  •  

    Paso 1 de la instalación : Asegúrese de haber instalado Python 3.x en su servidor; puede usar el siguiente comando para verificarlo. 
    [[email protected]:~$] python -V

    Paso 2: Instale los componentes requeridos, todos los componentes de requisitos previos se han declarado en requisito.txt. 
    [[email protected]:~$] pip install -r requirement.txt

    Paso 3: Personaliza la configuración de la aplicación Flerken como quieras. 
    Path: flerken/config/global_config.py

    Paso 4: ¡Ahora puedes ejecutarlo! 
    [[email protected]:~$] python runApp.py

    Paso 5 (Opcional): puede crear sus propias listas blancas para reducir la tasa de falsos positivos.
    Path: flerken/config/whitelists/