Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
▼
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
junio
(Total:
73
)
- ¿Java dejará de funcionar en Google Chrome?
- La IEEE y la IET realizan con éxito Tests de Priva...
- El ministro de justicia japonés apaga su ordenador...
- Apple bloquea las versiones de Adobe Flash antigua...
- Microsoft añade silenciosamente 17 nuevos certific...
- El FBI advirtió a las compañías de USA para evitar...
- Secure Sockets Layer versión 3.0 (SSLv3) no es lo ...
- El proyecto de cifrado gratuito Let's Encrypt entr...
- Gmail ya permite deshacer el envío de un e-mail
- Java deja atrás la barra de Ask al ser considerada...
- Experimento Robin: Envía a 97.931 personas sus con...
- TrendMicro: un simple keylogger puede costar millo...
- La Europol detiene a una banda acusada de propagar...
- Disponible distribución PFSense 2.2.3 especializad...
- La NSA establece su presencia en GitHub para compa...
- La botnet Andromeda infecta con malware financiero...
- Msfvenom Payload Creator (MPC) para Metasploit
- HackerOne recibe una inversión de 25 millones de d...
- Facebook elimina el malware de 2 millones de orden...
- Investigador de Google encuentra una vulnerabilida...
- HardenFlash, Adobe Flash Player a prueba de exploi...
- Segunda actualización de seguridad en un mes para ...
- Las compañias de Antivirus también son objetivo de...
- Tutorial de CMake
- España, el segundo país Europeo con más infectados...
- DD4BC extorsiona pidiendo dinero en Bitcoins a cam...
- La Casa Blanca quiere que todos los organismos ofi...
- Bug en favicon.ico permite colgar Firefox, Chrome ...
- Múltiples vulnerabilidades incluyendo una crítica ...
- Tipos de Ataques DDoS con la botnet AthenaHTTP
- El buscador Shodan también disponible para Android
- Skype basado en Web (Beta) disponible en todo el m...
- Los creadores del malware Duqu 2.0 usaron certific...
- Lanzar un ataque DDoS sale barato: sólo 38 dólares...
- Google anuncia su programa de recompensas por enco...
- El ordenador de Angela Merkel infectado con un tro...
- La página web de peticiones de Uber atacada
- La noche temática de La 2 - Términos y condiciones...
- Canal + ha sido hackeado, y los datos comprometido...
- El ransomware Tox estaba dirigido a los pedófilos
- La Wikipedia usará HTTPS por defecto
- Un año de prisión por realizar ataques DDoS con la...
- Facebook Infer, herramienta de código libre para d...
- Un joven americano de 17 años se declara culpable ...
- Malware Poweliks se esconde en el registro de Wind...
- Detenidas 10 personas en España por fraude cibérne...
- Mozilla Firefox incrementa las recompensas por rep...
- Bélgica detiene a terroristas espiando sus mensaje...
- Duqu 2.0: la herramienta más sofisticada del ciber...
- Adobe Flash Player 18.x soluciona 13 vulnerabilida...
- Tesla Motors ofrece 1.000$ a quién sea capaz de ha...
- Medusa: herramienta para realizar ataques por fuer...
- microSD de 512GB presentado en el Computex 2015
- Página web del Ejército de EE.UU. hackeada por el ...
- REMnux: Distribución de Linux especializada en en ...
- IX Congreso OWASP sobre ciberseguridad en Barcelona
- La Policía detiene a uno de los uploaders más acti...
- Drupal también pagará recompensas a los que encuen...
- Dropbox prohibe usar 85.000 palabras como contrase...
- El creador del ransmoware Tox decide vender su neg...
- Hector Xavier Monsegur aka Sabu vuelve a Twitter t...
- Open Sesame, un nuevo gadget para abrir puertas de...
- El creador del malware RomberTik es un nigeriano d...
- Pentest Box: pentesting en línea de comandos para ...
- Intel presenta en Computex el Thunderbolt 3 con co...
- Servicios automatizados de análisis de Malware online
- El servicio de Pensiones de Japón ha sido hackeado
- Un simple mensaje de texto puede colgar Skype
- Sourceforge secuestra la cuenta de Nmap
- ASUS resucita los netbooks con un nuevo modelo
- El fundador de Silk Road sentenciado a cadena perp...
- Vuelve el Virus de la Polícia para Android
- El creador del ransomware Locker publica las llave...
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Servicios automatizados de análisis de Malware online
miércoles, 3 de junio de 2015
|
Publicado por
el-brujo
|
Editar entrada
Los atacantes maliciosos están constantemente en la búsqueda de nuevas y
avanzados ataques, que utilizan para propagar malware por todo el
mundo. Debido a la gran cantidad de muestras maliciosas que se distribuye por los ataques, las técnicas de análisis de malware automatizadas son hoy en día una necesidad.
Hay un gran número de muestras de malware se extienden en torno a Internet mediante el uso de diferentes vectores de ataques: Malware puede propagarse como archivos adjuntos de correo electrónico, ataques drive-by download, etc.
En este pequeños artículo, vamos a echar un vistazo a las diferentes herramientas de análisis de malware automatizado on-line (basado en la nube) y evaluar si el malware puede ser utilizado para detectar si está siendo ejecutado o no en un entorno de este tipo.
La mayoría de las muestras de malware son simples variantes de muestras de malware conocidas, que ya han sido analizadas. Por lo tanto, casi siempre se pueden analizar a fondo mediante el uso de una de las plataformas de análisis de malware en la nube automatizado - podemos elegir entre muchos de estos servicios, que se presentarán más adelante en el artículo y en su mayoría son gratis para su uso.
El problema con nuevas muestras de malware es que pueden ser demasiado complejas para los servicios de malware en la nube automatizado para analizarlos, ya que pueden utilizar diferentes técnicas para detectar un entorno de análisis de malware automatizado y ejecutar un programa válido en su lugar.
Las muestras de malware pueden utilizar las siguientes técnicas para detectar si están siendo ejecutados en un entorno análisis de malware automatizado:
La determinación de si una muestra es binario malicioso Antes de utilizar cualquiera de los servicios antes mencionados, lo que se quiere analizar una muestra binario en VirusTotal, lo que nos da una indicación de si la muestra es malicioso o no. Si la muestra binaria es bastante nuevo, hay una buena probabilidad de que el binario no será detectado como malicioso, ya que las compañías antivirus aún no tenían tiempo para actualizar sus firmas.
Dado que las soluciones antivirus no comprueban sólo las firmas, la muestra debe ser lo suficientemente avanzada como para subvertir cualesquiera mecanismos de detección de soluciones anti-virus están utilizando para detectar muestras maliciosos.
El MD5/SHA1/SHA256 se utiliza normalmente para la identificación de muestras de malware. Básicamente para saber si esa muestra exacta de malware ya ha sido analizada.
Queremos obtener los conocimientos necesarios para determinar si la muestra de malware escribe algunos archivos en el sistema de archivos, si se conecta al servidor C&C si busca y ejecuta comandos, si modifica ciertas claves del registro para lograr la persistencia en la máquina infectada, etc. En la pestaña "Detalle de archivos", la marca de tiempo de compilación se puede ver, que proporciona la información sobre cuándo la muestra de malware ha sido compilada. El archivo ejecutable de Windows PE contiene 5 diferentes secciones PE: .text, .rdata, .data, .rsrs, .reloc, que se pueden ver.
Para cada una de las secciones, su dirección virtual dentro del archivo, así como su tamaño virtual se dan junto con el MD5 de todo el contenido de la sección. Esta información puede ayudar a determinar si ciertas muestras maliciosos tienen las mismas secciones, porque es a menudo el caso de que los autores de malware no va a cambiar la sección que contiene los recursos de malware (la sección .rsrs), pero sólo va a cambiar el código real que será ejecutado en el sistema (la sección .text)
En la misma pestaña también podemos ver todos los archivos DLL utilizados por la muestra de malware, lo que nos puede dar una idea de lo que está haciendo. Cada uno de los archivos DLL importados también se puede ampliar para mostrar las funciones que pertenecen a esta DLL y utilizados por la muestra de malware. Si el malware está tratando de detectar si se está depurando, que más a menudo se utiliza la función IsDebuggerPresent, que forma parte de la DLL kernel32.dll. Si ampliamos el módulo KERNEL32.DLL, podemos ver que esta muestra realmente utiliza esta función, la cual nos da una clara indicación de los ejemplares de malware no quiere ser depurado.
El primer problema de ofuscación que requiere una solución es la eliminación de las instrucciones basura y el "código de espagueti", que es una técnica que pretende confundir los programas de deanmblado.. El código de espagueti hace que el programa fluya de forma difícil de leer al agregar saltos continuos de código, de ahí el nombre.
Este problema no es nuevo, y en situaciones comunes se conocen complementos de reversing que pueden ayudar en esta tarea. Sin embargo, a veces no podemos encontrar un buen complemento de desensamblador interactivo (IDA) que pueda normalizar el flujo de código.
VM detection
Debugger detection
Anubis está desarrollado por el Internacional Secure Systems Lab y analiza los archivos y URLs. Es compatible con archivos ejecutables de Windows y archivos APK de Android. Aunque la interfaz no es tan elegante como algunos de sus pares, que le da acceso a todo lo que necesita saber. Los informes se pueden descargar como HTML, XML, PDF o texto. Puede descargar la red captura en formato pcap, pero usted no puede descargar las muestras. Anubis informes también dirá si el malware se comunicó con rutas de dispositivo específicos.
La caja de arena de Malwr es un servicio de análisis de malware gratuito y compuesta por profesionales que hacen de voluntarios de la seguridad por la comunidad. Sólo se analizan los archivos y no URLs. Está basado en Cuckoo Sandbox y soporta ejecutables de Windows.
Puedes descargar las muestras y elegir si son compartidas Una captura de red para descargar no está disponible, pero te dan, por ejemplo, la petición HTTP completa en el informe en línea.
Una adición útil a Malwr es una visualización proporcionada por MalwareViz. Primero hay que analizar el archivo con Malwr y luego usar la URL de referencia vuelto a alimentar el visualizador.
Puede cargar diferentes tipos de archivos, como un ejecutable de Windows, archivos APK para Android, archivos PDF, imágenes y código JavaScript de hasta 128MB
Los informes en línea no son individualmente descargables, pero son muy detallados. Te dan todo lo que necesitas saber sobre qué archivos malware accede, lo que cambió en el registro y cómo se comporta. No es posible descargar las muestras analizadas u obtener una captura de red de lo que sucede. El informe en línea te da una visión general de las solicitudes de red detalladas.
Puede descargar los informes, las capturas de la red y las muestras. Los informes indican firma YARA a juego y le dan información sobre los posibles controles de emulación anti-Virtualización - una técnica frecuentemente utilizada por el malware para evitar que los analistas para ejecutar el ejemplo en un entorno virtualizado. Los informes y la interfaz de análisis son muy atractivo, con un acceso intuitivo a los detalles necesarios. Base de datos con más de 15 millones de detecciones.
Otros:
Fuentes:
http://darkmatters.norsecorp.com/2015/02/09/automated-malware-analysis-tools-in-the-cloud/
http://securityintelligence.com/comparing-free-online-malware-analysis-sandboxes/
https://github.com/rshipp/awesome-malware-analysis/blob/master/README.md
Hay un gran número de muestras de malware se extienden en torno a Internet mediante el uso de diferentes vectores de ataques: Malware puede propagarse como archivos adjuntos de correo electrónico, ataques drive-by download, etc.
En este pequeños artículo, vamos a echar un vistazo a las diferentes herramientas de análisis de malware automatizado on-line (basado en la nube) y evaluar si el malware puede ser utilizado para detectar si está siendo ejecutado o no en un entorno de este tipo.
La mayoría de las muestras de malware son simples variantes de muestras de malware conocidas, que ya han sido analizadas. Por lo tanto, casi siempre se pueden analizar a fondo mediante el uso de una de las plataformas de análisis de malware en la nube automatizado - podemos elegir entre muchos de estos servicios, que se presentarán más adelante en el artículo y en su mayoría son gratis para su uso.
El problema con nuevas muestras de malware es que pueden ser demasiado complejas para los servicios de malware en la nube automatizado para analizarlos, ya que pueden utilizar diferentes técnicas para detectar un entorno de análisis de malware automatizado y ejecutar un programa válido en su lugar.
Las muestras de malware pueden utilizar las siguientes técnicas para detectar si están siendo ejecutados en un entorno análisis de malware automatizado:
- Detección de una sandbox: Una caja de arena proporciona un entorno virtual en el que una muestra de malware puede ser ejecutado para determinar si la muestra es malicioso o no.
- Detección de un depurador: Cuando se analiza el malware en un depurador, puede utilizar diferentes funciones y técnicas para detectar si se está analizando. El depurador se utiliza generalmente en el análisis de muestras de malware manualmente y no por los servicios de análisis de malware nube automaticos, pero todavía puede proporcionar diferentes barreras analista de malware debe superar para poder analizar muestras maliciosos.
- Detección de un entorno virtual: Casi la totalidad de los servicios de la nube de malware automatizadas están analizando muestras de malware en un entorno virtualizado. Esto es debido a que proporcionan muchas ventajas que son muy útiles cuando se hace el análisis de malware. Una característica especialmente útil es usar instantáneas, que se pueden utilizar para revertir la máquina virtual antes de la infección malware. Así que podemos configurar una máquina virtual, por lo general se ejecuta el sistema operativo de Windows, instalar todas las herramientas necesarias que necesitamos para el análisis de malware, y crear una instantánea de la máquina virtual. Después podemos ejecutar el malware dentro de esa máquina virtual, obteniendo todas las interesantes piezas de información que podemos obtener con el fin de determinar si la muestra es malicioso y lo que hace. Después de terminado el análisis, podemos volver a la instantánea que habíamos creado anteriormente y empezamos con un sistema limpio listo para analizar otra muestra de malware.
La determinación de si una muestra es binario malicioso Antes de utilizar cualquiera de los servicios antes mencionados, lo que se quiere analizar una muestra binario en VirusTotal, lo que nos da una indicación de si la muestra es malicioso o no. Si la muestra binaria es bastante nuevo, hay una buena probabilidad de que el binario no será detectado como malicioso, ya que las compañías antivirus aún no tenían tiempo para actualizar sus firmas.
Dado que las soluciones antivirus no comprueban sólo las firmas, la muestra debe ser lo suficientemente avanzada como para subvertir cualesquiera mecanismos de detección de soluciones anti-virus están utilizando para detectar muestras maliciosos.
El MD5/SHA1/SHA256 se utiliza normalmente para la identificación de muestras de malware. Básicamente para saber si esa muestra exacta de malware ya ha sido analizada.
Queremos obtener los conocimientos necesarios para determinar si la muestra de malware escribe algunos archivos en el sistema de archivos, si se conecta al servidor C&C si busca y ejecuta comandos, si modifica ciertas claves del registro para lograr la persistencia en la máquina infectada, etc. En la pestaña "Detalle de archivos", la marca de tiempo de compilación se puede ver, que proporciona la información sobre cuándo la muestra de malware ha sido compilada. El archivo ejecutable de Windows PE contiene 5 diferentes secciones PE: .text, .rdata, .data, .rsrs, .reloc, que se pueden ver.
Para cada una de las secciones, su dirección virtual dentro del archivo, así como su tamaño virtual se dan junto con el MD5 de todo el contenido de la sección. Esta información puede ayudar a determinar si ciertas muestras maliciosos tienen las mismas secciones, porque es a menudo el caso de que los autores de malware no va a cambiar la sección que contiene los recursos de malware (la sección .rsrs), pero sólo va a cambiar el código real que será ejecutado en el sistema (la sección .text)
En la misma pestaña también podemos ver todos los archivos DLL utilizados por la muestra de malware, lo que nos puede dar una idea de lo que está haciendo. Cada uno de los archivos DLL importados también se puede ampliar para mostrar las funciones que pertenecen a esta DLL y utilizados por la muestra de malware. Si el malware está tratando de detectar si se está depurando, que más a menudo se utiliza la función IsDebuggerPresent, que forma parte de la DLL kernel32.dll. Si ampliamos el módulo KERNEL32.DLL, podemos ver que esta muestra realmente utiliza esta función, la cual nos da una clara indicación de los ejemplares de malware no quiere ser depurado.
- Los códigos de espagueti y basura hacen que las herramientas de análisis comunes sean ineficaces
El primer problema de ofuscación que requiere una solución es la eliminación de las instrucciones basura y el "código de espagueti", que es una técnica que pretende confundir los programas de deanmblado.. El código de espagueti hace que el programa fluya de forma difícil de leer al agregar saltos continuos de código, de ahí el nombre.
Este problema no es nuevo, y en situaciones comunes se conocen complementos de reversing que pueden ayudar en esta tarea. Sin embargo, a veces no podemos encontrar un buen complemento de desensamblador interactivo (IDA) que pueda normalizar el flujo de código.
VM detection
- hardware IDs are VmBus in case of HyperV
- VEN_15AD in case of VMware
Debugger detection
- ThreadHideFromDebugger
- ProcessDebugPort
- ProcessDebugObjectHandle
Servicios de Análisis de Malware basados en la Nube
Herramientas online para analizar archivos sospechosos en busca de virus y malware
(Cloud Malware Analysis Services)
Anubis : http://anubis.iseclab.org
Anubis está desarrollado por el Internacional Secure Systems Lab y analiza los archivos y URLs. Es compatible con archivos ejecutables de Windows y archivos APK de Android. Aunque la interfaz no es tan elegante como algunos de sus pares, que le da acceso a todo lo que necesita saber. Los informes se pueden descargar como HTML, XML, PDF o texto. Puede descargar la red captura en formato pcap, pero usted no puede descargar las muestras. Anubis informes también dirá si el malware se comunicó con rutas de dispositivo específicos.
- Any Run : https://any.run
Herramienta interactiva de análisis de malware
La herramienta interactiva de análisis de programas maliciosos Any.Run y emplear su cuenta para analizar interactivamente y sin coste, en un entorno aislado y seguro para su equipo, diferentes tipos de malware.
Lo que hace especial a esta utilidad de análisis es que su funcionamiento es completamente interactivo. Esto permite la carga de un fichero potencialmente malicioso y la manipulación del mismo en tiempo real mientras la herramienta lleva a cabo su examen. En otros entornos aislados de pruebas hay que cargar el archivo y esperar a que el servicio proporcione el análisis, sin permitirse ningún tipo de interacción.
Malwr : Basado en Cuckoo Sandbox https://malwr.com/submission
La caja de arena de Malwr es un servicio de análisis de malware gratuito y compuesta por profesionales que hacen de voluntarios de la seguridad por la comunidad. Sólo se analizan los archivos y no URLs. Está basado en Cuckoo Sandbox y soporta ejecutables de Windows.
Puedes descargar las muestras y elegir si son compartidas Una captura de red para descargar no está disponible, pero te dan, por ejemplo, la petición HTTP completa en el informe en línea.
Una adición útil a Malwr es una visualización proporcionada por MalwareViz. Primero hay que analizar el archivo con Malwr y luego usar la URL de referencia vuelto a alimentar el visualizador.
Threat Expert : http://www.threatexpert.com/submit.aspx
Camas Comodo: http://camas.comodo.com/
Vicheck : https://www.vicheck.ca
VirusTotal: https://www.virustotal.com/
Puede cargar diferentes tipos de archivos, como un ejecutable de Windows, archivos APK para Android, archivos PDF, imágenes y código JavaScript de hasta 128MB
Los informes en línea no son individualmente descargables, pero son muy detallados. Te dan todo lo que necesitas saber sobre qué archivos malware accede, lo que cambió en el registro y cómo se comporta. No es posible descargar las muestras analizadas u obtener una captura de red de lo que sucede. El informe en línea te da una visión general de las solicitudes de red detalladas.
VxStream: https://www.hybrid-analysis.com/
Puede descargar los informes, las capturas de la red y las muestras. Los informes indican firma YARA a juego y le dan información sobre los posibles controles de emulación anti-Virtualización - una técnica frecuentemente utilizada por el malware para evitar que los analistas para ejecutar el ejemplo en un entorno virtualizado. Los informes y la interfaz de análisis son muy atractivo, con un acceso intuitivo a los detalles necesarios. Base de datos con más de 15 millones de detecciones.
Otros:
- Akana (Android files)
- Avira
- BitBlaze Malware Analysis Service
- Ceasar
- Comodo Automated Analysis System y Valkyrie
- Ether
- EUREKA Malware Analysis Internet Service
- F-Secure Online Analysis
- Joe Sandbox Document Analyzer (PDF, RTF y Office)
- Jotti
- MalwareViz
- MASTIFF Onlin
- Microsoft Malware Protection Center
- ThreatTrack ThreatAnalyzer
- VirScan
- VisualThreat (Android files)
- Xandora
- XecScan de Xecure Lab (Ficheros PDF y Microsoft Office)
Análisis basado en múltiples Antivirus (malware sandboxes y análisis automatizados):
- AndroTotal - free online analysis of APKs against multiple mobile antivirus apps.
- Anubis - Malware Analysis for Unknown Binaries and Site Check.
- AVCaesar - Malware.lu online scanner and malware repository.
- Cryptam - Analyze suspicious office documents.
- Cuckoo Sandbox - Open source, self hosted sandbox and automated analysis system.
- cuckoo-modified - Modified version of Cuckoo Sandbox released under the GPL. Not merged upstream due to legal concerns by the author.
- DeepViz - Multi-format file analyzer with machine-learning classification.
- DRAKVUF - Dynamic malware analysis system.
- Hybrid Analysis - Online malware analysis tool, powered by VxSandbox.
- IRMA - An asynchronous and customizable analysis platform for suspicious files.
- Jotti - Free online multi-AV scanner.
- Malheur - Automatic sandboxed analysis of malware behavior.
- Malwr - Free analysis with an online Cuckoo Sandbox instance.
- MASTIFF Online - Online static analysis of malware.
- Metadefender.com - Scan a file, hash or IP address for malware (free)
- Noriben - Uses Sysinternals Procmon to collect information about malware in a sandboxed environment.
- PDF Examiner - Analyse suspicious PDF files.
- Recomposer - A helper script for safely uploading binaries to sandbox sites.
- SEE - Sandboxed Execution Environment (SEE) is a framework for building test automation in secured Environments.
- VirusTotal - Free online analysis of malware samples and URLs
- Zeltser's List - Free automated sandboxes and services, compiled by Lenny Zeltser.
Comparativa rápida
VirusTotal | Anubis | VxStream | Malwr | |
---|---|---|---|---|
Windows executable | X | X | X | X |
Office files | X | - | X | X |
PDF files | X | - | X | X |
Java files | X | - | X | X |
Android APK | X | X | - | - |
URLs | X | X | - | - |
File details | X | X | X | X |
Display hashes | X | X | X | X |
DLL usage | X | X | X | X |
Mutexes/Mutants | X | X | X | X |
Registry changes | X | X | X | X |
File interaction | X | X | X | X |
Started processes or services | X | X | X | X |
Network activity | X | X | X | X |
Device monitoring | - | X | - | - |
YARA support | - | - | - | X |
Download sample | - | - | X | X |
Download PCAP | - | - | X | X |
Deteción y clasificación
Antivirus and other malware identification tools- AnalyzePE - Wrapper for a variety of tools for reporting on Windows PE files.
- chkrootkit - Local Linux rootkit detection.
- ClamAV - Open source antivirus engine.
- ExifTool - Read, write and edit file metadata.
- hashdeep - Compute digest hashes with a variety of algorithms.
- Loki - Host based scanner for IOCs.
- Malfunction - Catalog and compare malware at a function level.
- MASTIFF - Static analysis framework.
- MultiScanner - Modular file scanning/analysis framework
- nsrllookup - A tool for looking up hashes in NIST's National Software Reference Library database.
- packerid - A cross-platform Python alternative to PEiD.
- PEiD - Packer identifier for Windows binaries.
- PEV - A multiplatform toolkit to work with PE files, providing feature-rich tools for proper analysis of suspicious binaries.
- Rootkit Hunter - Detect Linux rootkits.
- ssdeep - Compute fuzzy hashes.
- totalhash.py - Python script for easy searching of the TotalHash.cymru.com database.
- TrID - File identifier.
- YARA - Pattern matching tool for analysts.
- Yara rules generator - Generate yara rules based on a set of malware samples. Also contains a good strings DB to avoid false positives.
Análisis de Dominios
Inspección de dominios y direcciones IP- Desenmascara.me - One click tool to retrieve as much metadata as possible for a website and to assess its good standing.
- Dig - Free online dig and other network tools.
- dnstwist - Domain name permutation engine for detecting typo squatting, phishing and corporate espionage.
- IPinfo - Gather information about an IP or domain by searching online resources.
- Machinae - OSINT tool for gathering information about URLs, IPs, or hashes. Similar to Automator.
- mailchecker - Cross-language temporary email detection library.
- MaltegoVT - Maltego transform for the VirusTotal API. Allows domain/IP research, and searching for file hashes and scan reports.
- SenderBase - Search for IP, domain or network owner.
- SpamCop - IP based spam block list.
- SpamHaus - Block list based on domains and IPs.
- Sucuri SiteCheck - Free Website Malware and Security Scanner.
- TekDefense Automator - OSINT tool for gathering information about URLs, IPs, or hashes.
- URLQuery - Free URL Scanner.
- Whois - DomainTools free online whois search.
- Zeltser's List - Free online tools for researching malicious websites, compiled by Lenny Zeltser.
- ZScalar Zulu - Zulu URL Risk Analyzer.
Browser Malware
Analizar URL's maliciosas- Firebug - Firefox extension for web development.
- Java Decompiler - Decompile and inspect Java apps.
- Java IDX Parser - Parses Java IDX cache files.
- JSDetox - JavaScript malware analysis tool.
- jsunpack-n - A javascript unpacker that emulates browser functionality.
- Krakatau - Java decompiler, assembler, and disassembler.
- Malzilla - Analyze malicious web pages.
- RABCDAsm - A "Robust ActionScript Bytecode Disassembler."
- swftools - Tools for working with Adobe Flash files.
- xxxswf - A Python script for analyzing Flash files.
Documentos y Shellcode
Analizar ficheros maliciosos JS, PDF y documentos de Office.- AnalyzePDF - A tool for analyzing PDFs and attempting to determine whether they are malicious.
- diStorm - Disassembler for analyzing malicious shellcode.
- JS Beautifier - JavaScript unpacking and deobfuscation.
- JS Deobfuscator - Deobfuscate simple Javascript that use eval or document.write to conceal its code.
- libemu - Library and tools for x86 shellcode emulation.
- malpdfobj - Deconstruct malicious PDFs into a JSON representation.
- OfficeMalScanner - Scan for malicious traces in MS Office documents.
- olevba - A script for parsing OLE and OpenXML documents and extracting useful information.
- Origami PDF - A tool for analyzing malicious PDFs, and more.
- PDF Tools - pdfid, pdf-parser, and more from Didier Stevens.
- PDF X-Ray Lite - A PDF analysis tool, the backend-free version of PDF X-RAY.
- peepdf - Python tool for exploring possibly malicious PDFs.
- Spidermonkey - Mozilla's JavaScript engine, for debugging malicious JS.
File Carving
For extracting files from inside disk and memory images.- bulk_extractor - Fast file carving tool.
- EVTXtract - Carve Windows Event Log files from raw binary data.
- Foremost - File carving tool designed by the US Air Force.
- Hachoir - A collection of Python libraries for dealing with binary files.
- Scalpel - Another data carving tool.
Deobfuscation
Reverse XOR and other code obfuscation methods.- Balbuzard - A malware analysis tool for reversing obfuscation (XOR, ROL, etc) and more.
- de4dot - .NET deobfuscator and unpacker.
- ex_pe_xor & iheartxor - Two tools from Alexander Hanel for working with single-byte XOR encoded files.
- NoMoreXOR - Guess a 256 byte XOR key using frequency analysis.
- PackerAttacker - A generic hidden code extractor for Windows malware.
- unxor - Guess XOR keys using known-plaintext attacks.
- VirtualDeobfuscator - Reverse engineering tool for virtualization wrappers.
- XORBruteForcer - A Python script for brute forcing single-byte XOR keys.
- XORSearch & XORStrings - A couple programs from Didier Stevens for finding XORed data.
- xortool - Guess XOR key length, as well as the key itself.
Herramientas Sandbox para el análisis de malware
Introducción al Análisis forense de Malware
- Cuckoo Sandbox
- Viper
- FakeNet
- Zero Wine
- Volatility Framework
- Buster Sandbox Analyzer
- PeFrame
- Dependency Walker
- PeStudio
- Yara
- OllyDbg
- Radare
- Immunity Debugger
- Ida Pro
- GNU Debugger (GDB)
Introducción y Herramientas de Ingeniería Inversa
- BinText
- UPX
- RDG Packer Detector
- PEID
- Resource Hacker
- ProtectionID
- PE Explorer Dependency Scanner
Fuentes:
http://darkmatters.norsecorp.com/2015/02/09/automated-malware-analysis-tools-in-the-cloud/
http://securityintelligence.com/comparing-free-online-malware-analysis-sandboxes/
https://github.com/rshipp/awesome-malware-analysis/blob/master/README.md
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
Etiquetas:
análisis
,
antivirus
,
anubis
,
Debugger
,
Malware
,
sandbox
,
Virtualización
,
virus
,
virustotal
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.