Así de clara es la nota de prensa emitida por mwcollect, en la que se anuncia oficialmente que se fusionan con el proyecto nepenthes.
Posiblemente estos dos proyectos sean los más representativos en cuanto a sistemas de recolección de muestras de malware. Su fusión, al menos para mí, es síntoma de que van por caminos paralelos y que juntos harán algo mejor que lo que hacían por separado, que ya era de por sí digno de reseña.
Por lo que se puede leer en la nota, la idea es liberar la última versión de mwcollect, numerada como 3.0.4, liberación que se prevee sea próxima en el tiempo, y a partir de ahí, abandonar el desarrollo para continuarlo en nepenthes, que se convertirá en el sucesor oficial de mwcollect, eso sí, con la participación de los desarrolladores y de la comunidad de mwcollect, lógicamente. El proyecto nepenthes mantendrá la licencia GPL, tal y como había ocurrido hasta el día de hoy.
Repito, para mí, una gran noticia.
Para los que no sepáis de qué van estas dos herramientas, comentar que nepenthes es un honeypot de baja interacción, al igual que honed o el cuasi extinto mwcollect, que emula vulnerabilidades conocidas para la recolección de información de ataques potenciales. Está pensado para la captura de gusanos, los cuales se difunden por diversos medios, con lo que el diseño es modular para afrontar cada uno de los métodos de propagación usados. Cada módulo emula una determinada vulnerabilidad, o conjunto de vulnerabilidades, en un puerto de escucha determinado, capturando el malware que pretenda explotar dicha vulnerabilidad. Por ejemplo, el puerto 2745 se emplea para capturar muestras del bagle y el 3127, especímenes mydoom.
En el argot, es habitual llamar sinkholes a este tipo de trampas. Sumideros, si queremos emplear términos castellanos. Son una fuente muy interesante para los análisis de malware y vulnerabilidades, ya que capturan lo que cualquier desalmado/desafortunado vulnerable, con un sistema sin actualizar y/o proteger, se tragaría en un uso normal de la Internet. En otras palabras, emula lo que habitualmente, y por desgracia, representa a un usuario prototipo.
Una pequeña errata,
No reparé en que mwcollect 3.0.4 ya está disponible para descargar ;)
La versión corrige un par de problemas de fuga de memoria y actualiza las firmas de detección. Está lista para que la uséis ;)
Saludos,