Инструмент для определения поверхности атаки Natch

Инструмент для определения поверхности атаки Natch

Документация и поддержка | В реестре российского ПО | Оформить лицензию

Natch − это инструмент для определения поверхности атаки, основанный на полносистемном эмуляторе Qemu. Использует технологии анализа помеченных данных, интроспекции виртуальных машин и детерминированного воспроизведения.

Основная функция Natch — получение поверхности атаки, то есть поиск исполняемых файлов, динамических библиотек, а также функций, отвечающих за обработку входных данных (файлов, сетевых пакетов) во время выполнения задачи. Собранные данные визуализируются в графическом интерфейсе Snatch, входящем в поставку инструмента.

Natch построен на базе полносистемного эмулятора QEMU, что позволяет анализировать все компоненты системы, включая ядро ОС и драйверы. Важное преимущество Natch – объединение ключевых возможностей аналогов в одном инструменте.

Построение поверхности атаки может быть встроено в CI/CD для интеграционного и системного тестирования. Уточненная поверхность атаки позволяет поднять эффективность технологий функционального тестирования и фаззинга в жизненном цикле безопасного ПО.

Схема применения Natch:

• Natch записывает сценарий работы аналитика в виртуальной машине;
• аналитик помечает входящий сетевой трафик или обращения к определённым файлам;
• Natch воспроизводит записанный сценарий работы и отслеживает распространение помеченных данных;
• полученные отчёты аналитик просматривает в графическом интерфейсе SNatch.

Данные, собираемые Natch:

• поверхность атаки: набор процессов, модулей и функций, которые обрабатывали помеченные данные во время выполнения тестового сценария;
• граф потоков помеченных данных через процессы и модули по всей системе;
• покрытие бинарного кода;
• трасса обращений к помеченным данным;
• трасса вызовов функций с диапазонами адресов помеченных данных;
• лог сетевых пакетов в формате pcap.

Возможности графического интерфейса SNatch:

• Интерактивный граф взаимодействия процессов, работавших с помеченными данными. Можно отслеживать потоки данных во времени и упорядочивать элементы схемы удобным для аналитика образом.
• Временная диаграмма процессов, работавших в системе. Отдельно выделяются процессы, взаимодействующие с помеченными данными или имеющие повышенные привилегии (например, запущенные с правами root).
• Стек вызовов помеченных функций с разделением по процессам.
• Интерактивная Flame-диаграмма процессов с цветовым дифференцированием помеченных и непомеченных функций.

Для кого предназначен Natch?

• Отечественные компании-разработчики безопасного программного обеспечения.
• Испытательные лаборатории и органы по сертификации.

Поддерживаемые платформы и архитектуры

• Системные требования инструмента Natch: ОС Linux x86-64, ОЗУ не менее 16 Гбайт, рекомендуется не менее 200 Гбайт дискового пространства.
• Целевые процессорные архитектуры: x86-64.
• Целевые ОС: семейство Linux (любые версии ядер), FreeBSD последних версий.

Опыт внедрения

Инструмент поверхности атаки Natch распространяется в сообществе для пробного использования и тестирования, а также применяется для целевого обучения и повышения квалификации.

Схема работы

Документация

Краткое руководство пользователя

Справочный центр «Инструмент определения поверхности атаки «Natch»

Багтрекер (по вопросам создания учетной записи напишите по адресу natch@ispras.ru)

По вопросам использования обращайтесь по адресу: natch@ispras.ru или в Telegram-чат https://t.me/ispras_natch.

Разработчик/участник

Компиляторные технологии