Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Servicios automatizados de análisis de Malware online


Los atacantes maliciosos están constantemente en la búsqueda de nuevas y avanzados ataques, que utilizan para propagar malware por todo el mundo. Debido a la gran cantidad de muestras maliciosas que se distribuye por los ataques, las técnicas de análisis de malware automatizadas son hoy en día una necesidad.






Hay un gran número de muestras de malware se extienden en torno a Internet mediante el uso de diferentes vectores de ataques: Malware puede propagarse como archivos adjuntos de correo electrónico, ataques drive-by download, etc.

En este pequeños artículo, vamos a echar un vistazo a las diferentes herramientas de análisis de malware automatizado on-line (basado en la nube) y evaluar si el malware puede ser utilizado para detectar si está siendo ejecutado o no en un entorno de este tipo.

La mayoría de las muestras de malware son simples variantes de muestras de malware conocidas, que ya han sido analizadas. Por lo tanto, casi siempre se pueden analizar a fondo mediante el uso de una de las plataformas de análisis de malware en la nube automatizado - podemos elegir entre muchos de estos servicios, que se presentarán más adelante en el artículo y en su mayoría son gratis para su uso.

El problema con nuevas muestras de malware es que pueden ser demasiado complejas para los servicios de malware en la nube automatizado para analizarlos, ya que pueden utilizar diferentes técnicas para detectar un entorno de análisis de malware automatizado y ejecutar un programa válido en su lugar.

Las muestras de malware pueden utilizar las siguientes técnicas para detectar si están siendo ejecutados en un entorno análisis de malware automatizado:

  • Detección de una sandbox: Una caja de arena proporciona un entorno virtual en el que una muestra de malware puede ser ejecutado para determinar si la muestra es malicioso o no.
  • Detección de un depurador: Cuando se analiza el malware en un depurador, puede utilizar diferentes funciones y técnicas para detectar si se está analizando. El depurador se utiliza generalmente en el análisis de muestras de malware manualmente y no por los servicios de análisis de malware nube automaticos, pero todavía puede proporcionar diferentes barreras analista de malware debe superar para poder analizar muestras maliciosos.
  • Detección de un entorno virtual: Casi la totalidad de los servicios de la nube de malware automatizadas están analizando muestras de malware en un entorno virtualizado. Esto es debido a que proporcionan muchas ventajas que son muy útiles cuando se hace el análisis de malware. Una característica especialmente útil es usar instantáneas, que se pueden utilizar para revertir la máquina virtual antes de la infección malware. Así que podemos configurar una máquina virtual, por lo general se ejecuta el sistema operativo de Windows, instalar todas las herramientas necesarias que necesitamos para el análisis de malware, y crear una instantánea de la máquina virtual. Después podemos ejecutar el malware dentro de esa máquina virtual, obteniendo todas las interesantes piezas de información que podemos obtener con el fin de determinar si la muestra es malicioso y lo que hace. Después de terminado el análisis, podemos volver a la instantánea que habíamos creado anteriormente y empezamos con un sistema limpio listo para analizar otra muestra de malware.

La determinación de si una muestra es binario malicioso Antes de utilizar cualquiera de los servicios antes mencionados, lo que se quiere analizar una muestra binario en VirusTotal, lo que nos da una indicación de si la muestra es malicioso o no. Si la muestra binaria es bastante nuevo, hay una buena probabilidad de que el binario no será detectado como malicioso, ya que las compañías antivirus aún no tenían tiempo para actualizar sus firmas.

Dado que las soluciones antivirus no comprueban sólo las firmas, la muestra debe ser lo suficientemente avanzada como para subvertir cualesquiera mecanismos de detección de soluciones anti-virus están utilizando para detectar muestras maliciosos.

El MD5/SHA1/SHA256 se utiliza normalmente para la identificación de muestras de malware. Básicamente para saber si esa muestra exacta de malware ya ha sido analizada.

Queremos obtener los conocimientos necesarios para determinar si la muestra de malware escribe algunos archivos en el sistema de archivos, si se conecta al servidor C&C si busca y ejecuta comandos, si modifica ciertas claves del registro para lograr la persistencia en la máquina infectada, etc. En la pestaña "Detalle de archivos", la marca de tiempo de compilación se puede ver, que proporciona la información sobre cuándo la muestra de malware ha sido compilada. El archivo ejecutable de Windows PE contiene 5 diferentes secciones PE: .text, .rdata, .data, .rsrs, .reloc, que se pueden ver.

Para cada una de las secciones, su dirección virtual dentro del archivo, así como su tamaño virtual se dan junto con el MD5 de todo el contenido de la sección. Esta información puede ayudar a determinar si ciertas muestras maliciosos tienen las mismas secciones, porque es a menudo el caso de que los autores de malware no va a cambiar la sección que contiene los recursos de malware (la sección .rsrs), pero sólo va a cambiar el código real que será ejecutado en el sistema (la sección .text)

En la misma pestaña también podemos ver todos los archivos DLL utilizados por la muestra de malware, lo que nos puede dar una idea de lo que está haciendo. Cada uno de los archivos DLL importados también se puede ampliar para mostrar las funciones que pertenecen a esta DLL y utilizados por la muestra de malware. Si el malware está tratando de detectar si se está depurando, que más a menudo se utiliza la función IsDebuggerPresent, que forma parte de la DLL kernel32.dll. Si ampliamos el módulo KERNEL32.DLL, podemos ver que esta muestra realmente utiliza esta función, la cual nos da una clara indicación de los ejemplares de malware no quiere ser depurado.


  • Los códigos de espagueti y basura hacen que las herramientas de análisis comunes sean ineficaces


El primer problema de ofuscación que requiere una solución es la eliminación de las instrucciones basura y el "código de espagueti", que es una técnica que pretende confundir los programas de deanmblado.. El código de espagueti hace que el programa fluya de forma difícil de leer al agregar saltos continuos de código, de ahí el nombre.

Este problema no es nuevo, y en situaciones comunes se conocen complementos de reversing que pueden ayudar en esta tarea. Sin embargo, a veces no podemos encontrar un buen complemento de desensamblador interactivo (IDA) que pueda normalizar el flujo de código.

VM detection


  • hardware IDs are VmBus in case of HyperV
  • VEN_15AD in case of VMware


Debugger detection 

  • ThreadHideFromDebugger
  • ProcessDebugPort
  • ProcessDebugObjectHandle





Servicios de Análisis de Malware basados en la Nube

Herramientas online para analizar archivos sospechosos en busca de virus y malware

(Cloud Malware Analysis Services)



Anubis está desarrollado por el Internacional Secure Systems Lab y analiza los archivos y URLs. Es compatible con archivos ejecutables de Windows y archivos APK de Android. Aunque la interfaz no es tan elegante como algunos de sus pares, que le da acceso a todo lo que necesita saber. Los informes se pueden descargar como HTML, XML, PDF o texto. Puede descargar la red captura en formato pcap, pero usted no puede descargar las muestras. Anubis informes también dirá si el malware se comunicó con rutas de dispositivo específicos.


 Herramienta interactiva de análisis de malware

La herramienta interactiva de análisis de programas maliciosos Any.Run y emplear su cuenta para analizar interactivamente y sin coste, en un entorno aislado y seguro para su equipo, diferentes tipos de malware.

Lo que hace especial a esta utilidad de análisis es que su funcionamiento es completamente interactivo. Esto permite la carga de un fichero potencialmente malicioso y la manipulación del mismo en tiempo real mientras la herramienta lleva a cabo su examen. En otros entornos aislados de pruebas hay que cargar el archivo y esperar a que el servicio proporcione el análisis, sin permitirse ningún tipo de interacción.


 

 La caja de arena de Malwr es un servicio de análisis de malware gratuito y compuesta por profesionales que hacen de voluntarios de la seguridad por la comunidad. Sólo se analizan los archivos y no URLs. Está basado en Cuckoo Sandbox y soporta ejecutables de Windows.

Puedes descargar las muestras y elegir si son compartidas  Una captura de red para descargar no está disponible, pero te dan, por ejemplo, la petición HTTP completa en el informe en línea.

Una adición útil a Malwr es una visualización proporcionada por MalwareViz. Primero hay que analizar el archivo con Malwr y luego usar la URL de referencia vuelto a alimentar el visualizador.










 

VirusTotal subsidiaria de Google analiza los archivos y URLs. Además de la interfaz web, VirusTotal también tiene una API privada y pública. Los resultados de VirusTotal incluyen los resultados de detección de malware por los antivirus compatibles. Aunque estos motores no son exactamente los mismos que los utilizados por los usuarios finales, si que dan información que le indica si ya se detecta el malware cargado.  VirusTotal emplea 70 motores antivirus y listas negras de enlaces y sitios web. Según sus creadores, puede usarse para detectar falsos positivos y para analizar archivos antes de descargarlos a tu dispositivo.

Puede cargar diferentes tipos de archivos, como un ejecutable de Windows, archivos APK para Android, archivos PDF, imágenes y código JavaScript de hasta 128MB

Los informes en línea no son individualmente descargables, pero son muy detallados. Te dan todo lo que necesitas saber sobre qué archivos malware accede, lo que cambió en el registro y cómo se comporta. No es posible descargar las muestras analizadas u obtener una captura de red de lo que sucede. El informe en línea te da una visión general de las solicitudes de red detalladas.

Sólo se analizan los archivos y no URLs. Es compatible con archivos ejecutables de Windows, archivos de Office, archivos PDF y archivos JAR ejecutables. Este servicio online emplea tecnología sandbox, bases de datos y motores varios.



Puede descargar los informes, las capturas de la red y las muestras. Los informes indican firma YARA a juego y le dan información sobre los posibles controles de emulación anti-Virtualización - una técnica frecuentemente utilizada por el malware para evitar que los analistas para ejecutar el ejemplo en un entorno virtualizado. Los informes y la interfaz de análisis son muy atractivo, con un acceso intuitivo a los detalles necesarios. Base de datos con más de 15 millones de detecciones.

Otros:

Análisis basado en múltiples Antivirus (malware sandboxes y análisis automatizados):

  • AndroTotal - free online analysis of APKs against multiple mobile antivirus apps.
  • Anubis - Malware Analysis for Unknown Binaries and Site Check.
  • AVCaesar - Malware.lu online scanner and malware repository.
  • Cryptam - Analyze suspicious office documents.
  • Cuckoo Sandbox - Open source, self hosted sandbox and automated analysis system.
  • cuckoo-modified - Modified version of Cuckoo Sandbox released under the GPL. Not merged upstream due to legal concerns by the author.
  • DeepViz - Multi-format file analyzer with machine-learning classification.
  • DRAKVUF - Dynamic malware analysis system.
  • Hybrid Analysis - Online malware analysis tool, powered by VxSandbox.
  • IRMA - An asynchronous and customizable analysis platform for suspicious files.
  • Jotti - Free online multi-AV scanner.
  • Malheur - Automatic sandboxed analysis of malware behavior.
  • Malwr - Free analysis with an online Cuckoo Sandbox instance.
  • MASTIFF Online - Online static analysis of malware.
  • Metadefender.com - Scan a file, hash or IP address for malware (free)
  • Noriben - Uses Sysinternals Procmon to collect information about malware in a sandboxed environment.
  • PDF Examiner - Analyse suspicious PDF files.
  • Recomposer - A helper script for safely uploading binaries to sandbox sites.
  • SEE - Sandboxed Execution Environment (SEE) is a framework for building test automation in secured Environments.
  • VirusTotal - Free online analysis of malware samples and URLs
  • Zeltser's List - Free automated sandboxes and services, compiled by Lenny Zeltser.

Comparativa rápida



VirusTotal Anubis VxStream Malwr
Windows executable X X X X
Office files X - X X
PDF files X - X X
Java files X - X X
Android APK X X - -
URLs X X - -
File details X X X X
Display hashes X X X X
DLL usage X X X X
Mutexes/Mutants X X X X
Registry changes X X X X
File interaction X X X X
Started processes or services X X X X
Network activity X X X X
Device monitoring - X - -
YARA support - - - X
Download sample - - X X
Download PCAP - - X X



Deteción y clasificación

Antivirus and other malware identification tools
  • AnalyzePE - Wrapper for a variety of tools for reporting on Windows PE files.
  • chkrootkit - Local Linux rootkit detection.
  • ClamAV - Open source antivirus engine.
  • ExifTool - Read, write and edit file metadata.
  • hashdeep - Compute digest hashes with a variety of algorithms.
  • Loki - Host based scanner for IOCs.
  • Malfunction - Catalog and compare malware at a function level.
  • MASTIFF - Static analysis framework.
  • MultiScanner - Modular file scanning/analysis framework
  • nsrllookup - A tool for looking up hashes in NIST's National Software Reference Library database.
  • packerid - A cross-platform Python alternative to PEiD.
  • PEiD - Packer identifier for Windows binaries.
  • PEV - A multiplatform toolkit to work with PE files, providing feature-rich tools for proper analysis of suspicious binaries.
  • Rootkit Hunter - Detect Linux rootkits.
  • ssdeep - Compute fuzzy hashes.
  • totalhash.py - Python script for easy searching of the TotalHash.cymru.com database.
  • TrID - File identifier.
  • YARA - Pattern matching tool for analysts.
  • Yara rules generator - Generate yara rules based on a set of malware samples. Also contains a good strings DB to avoid false positives.

Análisis de Dominios

Inspección de dominios y direcciones IP
  • Desenmascara.me - One click tool to retrieve as much metadata as possible for a website and to assess its good standing.
  • Dig - Free online dig and other network tools.
  • dnstwist - Domain name permutation engine for detecting typo squatting, phishing and corporate espionage.
  • IPinfo - Gather information about an IP or domain by searching online resources.
  • Machinae - OSINT tool for gathering information about URLs, IPs, or hashes. Similar to Automator.
  • mailchecker - Cross-language temporary email detection library.
  • MaltegoVT - Maltego transform for the VirusTotal API. Allows domain/IP research, and searching for file hashes and scan reports.
  • SenderBase - Search for IP, domain or network owner.
  • SpamCop - IP based spam block list.
  • SpamHaus - Block list based on domains and IPs.
  • Sucuri SiteCheck - Free Website Malware and Security Scanner.
  • TekDefense Automator - OSINT tool for gathering information about URLs, IPs, or hashes.
  • URLQuery - Free URL Scanner.
  • Whois - DomainTools free online whois search.
  • Zeltser's List - Free online tools for researching malicious websites, compiled by Lenny Zeltser.
  • ZScalar Zulu - Zulu URL Risk Analyzer.

Browser Malware

Analizar URL's maliciosas
  • Firebug - Firefox extension for web development.
  • Java Decompiler - Decompile and inspect Java apps.
  • Java IDX Parser - Parses Java IDX cache files.
  • JSDetox - JavaScript malware analysis tool.
  • jsunpack-n - A javascript unpacker that emulates browser functionality.
  • Krakatau - Java decompiler, assembler, and disassembler.
  • Malzilla - Analyze malicious web pages.
  • RABCDAsm - A "Robust ActionScript Bytecode Disassembler."
  • swftools - Tools for working with Adobe Flash files.
  • xxxswf - A Python script for analyzing Flash files.

Documentos y Shellcode

Analizar ficheros maliciosos JS, PDF y documentos de Office.
  • AnalyzePDF - A tool for analyzing PDFs and attempting to determine whether they are malicious.
  • diStorm - Disassembler for analyzing malicious shellcode.
  • JS Beautifier - JavaScript unpacking and deobfuscation.
  • JS Deobfuscator - Deobfuscate simple Javascript that use eval or document.write to conceal its code.
  • libemu - Library and tools for x86 shellcode emulation.
  • malpdfobj - Deconstruct malicious PDFs into a JSON representation.
  • OfficeMalScanner - Scan for malicious traces in MS Office documents.
  • olevba - A script for parsing OLE and OpenXML documents and extracting useful information.
  • Origami PDF - A tool for analyzing malicious PDFs, and more.
  • PDF Tools - pdfid, pdf-parser, and more from Didier Stevens.
  • PDF X-Ray Lite - A PDF analysis tool, the backend-free version of PDF X-RAY.
  • peepdf - Python tool for exploring possibly malicious PDFs.
  • Spidermonkey - Mozilla's JavaScript engine, for debugging malicious JS.

File Carving

For extracting files from inside disk and memory images.
  • bulk_extractor - Fast file carving tool.
  • EVTXtract - Carve Windows Event Log files from raw binary data.
  • Foremost - File carving tool designed by the US Air Force.
  • Hachoir - A collection of Python libraries for dealing with binary files.
  • Scalpel - Another data carving tool.

Deobfuscation

Reverse XOR and other code obfuscation methods.
  • Balbuzard - A malware analysis tool for reversing obfuscation (XOR, ROL, etc) and more.
  • de4dot - .NET deobfuscator and unpacker.
  • ex_pe_xor & iheartxor - Two tools from Alexander Hanel for working with single-byte XOR encoded files.
  • NoMoreXOR - Guess a 256 byte XOR key using frequency analysis.
  • PackerAttacker - A generic hidden code extractor for Windows malware.
  • unxor - Guess XOR keys using known-plaintext attacks.
  • VirtualDeobfuscator - Reverse engineering tool for virtualization wrappers.
  • XORBruteForcer - A Python script for brute forcing single-byte XOR keys.
  • XORSearch & XORStrings - A couple programs from Didier Stevens for finding XORed data.
  • xortool - Guess XOR key length, as well as the key itself.

Herramientas Sandbox para el análisis de malware 

PostHeaderIcon Introducción al Análisis forense de Malware

  • Cuckoo Sandbox 
  • Viper 
  • FakeNet
  • Zero Wine
  • Volatility Framework
  • Buster Sandbox Analyzer
  • PeFrame
  • Dependency Walker
  • PeStudio
  • Yara
  • OllyDbg
  • Radare
  • Immunity Debugger
  • Ida Pro
  • GNU Debugger (GDB)

PostHeaderIcon Introducción y Herramientas de Ingeniería Inversa

  • BinText
  • UPX
  • RDG Packer Detector
  • PEID
  • Resource Hacker
  • ProtectionID
  • PE Explorer Dependency Scanner


Fuentes:
http://darkmatters.norsecorp.com/2015/02/09/automated-malware-analysis-tools-in-the-cloud/
http://securityintelligence.com/comparing-free-online-malware-analysis-sandboxes/
https://github.com/rshipp/awesome-malware-analysis/blob/master/README.md

0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.