Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1020
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
▼
2016
(Total:
266
)
-
▼
octubre
(Total:
16
)
- Joomla 3.6.4 soluciona dos vulnerabilidades críticas
- iOS anterior a 10.1 puede ser hackeado con tan sól...
- El fabricante de muchos de los dispositivos usados...
- Torneo de desarrollo seguro de software y Hackatho...
- Signal: la aplicación de mensajería más segura
- Una consulta mal intencionada puede causar la caíd...
- Enviar contraseñas a través del cuerpo
- Se estrena en España: Snowden, la película de Oliv...
- Análisis de malware con Malheur y DAMM
- OverSight detecta si se está utilizando webcam o m...
- 1 de cada 16 móviles son vulnerables a BadKernel e...
- La banca española presenta Bizum, un sistema para ...
- Spotify Free mostró anuncios maliciosos que podría...
- Vulnerabilidad grave RCE en formato de fichero JPE...
- Herramientas de análisis de malware automatizado e...
- Disponibles Nmap 7.30 y el kernel Linux 4.8
- ► septiembre (Total: 38 )
-
▼
octubre
(Total:
16
)
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
395
)
privacidad
(
363
)
google
(
354
)
ransomware
(
338
)
vulnerabilidad
(
301
)
Malware
(
263
)
Windows
(
243
)
android
(
243
)
cve
(
235
)
tutorial
(
235
)
manual
(
220
)
software
(
201
)
hardware
(
193
)
linux
(
124
)
twitter
(
115
)
ddos
(
94
)
WhatsApp
(
90
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
67
)
app
(
65
)
Networking
(
56
)
nvidia
(
52
)
ssd
(
51
)
youtube
(
50
)
adobe
(
43
)
firmware
(
42
)
office
(
41
)
hack
(
40
)
firefox
(
35
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
MAC
(
25
)
apache
(
25
)
programación
(
25
)
exploit
(
23
)
javascript
(
22
)
multimedia
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
La seguridad en dispositivos móviles es cada vez más crucial, especialmente ante el crecimiento de aplicaciones maliciosas diseñadas para v...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
Herramientas de análisis de malware automatizado en Android
miércoles, 5 de octubre de 2016
|
Publicado por
el-brujo
|
Editar entrada
Mobile Security Framework (MobSF) es una aplicación todo-en-uno de código abierto para móviles (Android / iOS) capaz de realizar el análisis estático y dinámico automatizado. CuckooDroid es una extensión de Cuckoo Sandbox framework de análisis de software de código abierto para la automatización de análisis de
archivos sospechosos de malware. Por su parte AppMon es un framework automatizado basado en Frida para el seguimiento y la manipulación de llamadas a la API del sistema de aplicaciones nativas en MacOS, iOS y Android.
Análisis estático de código, se trata de la auditoría de aplicaciones en Android. Una aplicación en Android está programada en JAVA por lo que se podría pensar (equivocadamente) que en esencia el análisis de código es un análisis tradicional de JAVA. Esto no es así ya que han de tenerse en cuenta tanto la arquitectura de Android (Intents, Broadcast, Estados, etc) como la API SDK de interacción con los dispositivos (funciones de GPS, SMS, 3G, Escritura en SD, etc). Es decir, cambian dos aspectos fundamentales respecto al análisis tradicional de JAVA: los sinks y el dataflow.
Muy pocas aplicaciones en el Market oficial son OpenSource, por lo que el código no está disponible. Sin embargo si que podemos acceder a los ficheros apk, ya que son copiados a los dispositivos en la ruta “/data/apk“.
APKtool, es una herramienta para la ingeniería inversa de binarios de aplicaciones Android. Puede decodificar los recursos de forma casi original y reconstruirlos, después de hacer algunas modificaciones, que hace posible depurar código smali paso a paso. También hace más fácil trabajar con la aplicación debido a la estructura de archivos en proyectos y con la automatización de algunas tareas repetitivas como la construcción de apk.
Características principales de Apktool:
Tenemos por tanto acceso a la aplicación apk, ¿de qué nos sirve? la extensión apk es una variante de jar, por lo que podemos extraerla con la genial herramienta apktool. Para ello seguiremos los siguientes pasos:
Hay que destacar que al hacer la decompilación se pierde mucha información, como nombre de variables, lo que dificulta el análisis manual del código. Normalmente se suele empezar por identificar ciertas funciones susceptibles de mal uso (funciones sink) y seguir el dataflow manualmente a través de entornos de desarrollo (Eclipse, NetBeans, etc).
Las aplicaciones de Android utilizan código y recursos que se encuentran en el propio sistema operativo Android. Estos son conocidos como recursos Framework y Apktool se basa en estos para decodificar correctamente y construir apks. Cada versión de Apktool contiene internamente el framework más actualizado de AOSP. Esto le permite decodificar y construir la mayoría de los archivos apk sin ningún problema. Sin embargo, los fabricantes agregan sus propios archivos de Framework además de los AOSP regulares. Para utilizar Apktool contra estos fabricantes de aplicaciones primero debe instalar los archivos framework del fabricante.
Fuente:
https://buguroo.com/es/como-ejecutar-analisis-estatico-de-aplicaciones-apk-en-android
Puede ser utilizado para el análisis de seguridad eficaz y rápida de Android y iOS Aplicaciones y es compatible con los binarios (APK y IPA) y el código fuente comprimido. MobSF también puede realizar la Web API Pruebas de seguridad con su Fuzzer API que puede hacer de recopilación de información, análisis de cabeceras de seguridad, identificar vulnerabilidades específicas de la API móvil como la XXE, FRSS, de traspaso de rutas, IDOR, y otras cuestiones lógicas relacionadas con la Sesión y la API de limitación de velocidad.
Mobile Security Framework, es una herramienta de código abierto para realizar test de penetración automatizado en aplicaciones Android y iOS, capaz de realizar análisis estático y dinámico. Esta herramienta pretende minimizar el tiempo, que con un conjunto de herramientas llevaría realizar: la decodificación, la depuración, revisión de código y el test de penetración. Mobile Security Framework se puede utilizar para el análisis de seguridad rápido y eficaz, siendo compatible con los binarios (APK y IPA) y el código fuente comprimido.
Mobile Security Framework realiza dos tipos de análisis:
Mobile Security Framework es altamente escalable, permite agregar reglas personalizadas con facilidad. Permite generar al final del test de penetración informes de una forma rápida y concisa.
Más información y descarga de Mobile Security Framework:
https://github.com/MobSF/Mobile-Security-Framework-MobSF
Documentación
AndroL4b es una máquina virtual orientada a los aspectos de seguridad en Android basado en ubuntu-mate, que incluye la colección de los últimos framework, tutoriales y laboratorios, de seguridad, para la ingeniería inversa y análisis de malware en aplicaciones Android.
Herramientas de AndroL4b
Después de utilizar por un rato la aplicación podemos ver los resultados
en el navegador, entre los que encontramos el detalle completo de los
paquetes de red que han sido enviados con el protocolo HTTP.
CuckooDroid es una extensión de Cuckoo Sandbox marco de análisis de
software de código abierto para la automatización de análisis de
archivos sospechosos de malware. Es un sistema automatizado,
multiplataforma, para la emulación y análisis basado en la popular zona
de pruebas Cuckoo y varios otros proyectos de código abierto.
Proporcionando la inspección APK tanto estática como dinámica, así como
evadir ciertas técnicas como: detección de entorno virtual, extracción
de clave de cifrado, inspección SSL, huella de llamada de API, firmas
básicas de comportamiento y muchas otras características. El marco es
altamente personalizable y extensible aprovechando el poder de la gran
comunidad de Cuckoo existente.
Cuckoo Sandbox es un sistema de análisis de malware de código abierto. Esta aplicación permite analizar cualquier archivo sospechoso y en cuestión de segundos, Cuckoo proporcionará resultados detallados que describen lo que resultaría cuando se ejecuta dentro de un entorno aislado.
El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la detección y eliminación de malware no es suficiente: es de vital importancia entender: cómo funcionan, lo que harían en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el análisis de una violación interna, recolectar datos procesables y analizar posibles amenazas.
Cuckoo genera un puñado de diferentes datos brutos, que incluyen:
A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podrían incluir:
Lo más interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentación de informes. Cuckoo proporciona todos los requisitos para integrar fácilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee.
Más información y descarga de CuckooDroid:
https://github.com/idanr1986/cuckoo-droid
Más información y descarga de Cuckoo Sandbox:
http://www.cuckoosandbox.org/
Documentación de Cuckoo Sandbox:
http://docs.cuckoosandbox.org/en/latest/
Fuente:
http://www.gurudelainformatica.es/2016/09/herramienta-de-analisis-de-malware.html
Servicios online análisis APK
- Pithus
- AndroTotal
- Appknox
- AVC UnDroid
- Virustotal
- Fraunhofer App-ray
- NowSecure Lab Automated
- App Detonator
Análisis estático de código, se trata de la auditoría de aplicaciones en Android. Una aplicación en Android está programada en JAVA por lo que se podría pensar (equivocadamente) que en esencia el análisis de código es un análisis tradicional de JAVA. Esto no es así ya que han de tenerse en cuenta tanto la arquitectura de Android (Intents, Broadcast, Estados, etc) como la API SDK de interacción con los dispositivos (funciones de GPS, SMS, 3G, Escritura en SD, etc). Es decir, cambian dos aspectos fundamentales respecto al análisis tradicional de JAVA: los sinks y el dataflow.
Muy pocas aplicaciones en el Market oficial son OpenSource, por lo que el código no está disponible. Sin embargo si que podemos acceder a los ficheros apk, ya que son copiados a los dispositivos en la ruta “/data/apk“.
Apktool
APKtool, es una herramienta para la ingeniería inversa de binarios de aplicaciones Android. Puede decodificar los recursos de forma casi original y reconstruirlos, después de hacer algunas modificaciones, que hace posible depurar código smali paso a paso. También hace más fácil trabajar con la aplicación debido a la estructura de archivos en proyectos y con la automatización de algunas tareas repetitivas como la construcción de apk.
Características principales de Apktool:
- Desmontaje de recursos de forma casi original (incluidos resources.arsc , classes.dex , 9.png. y XMLs ).
- Reconstrucción de recursos decodificados de nuevo a APK binario/JAR.
- Organización y manejo de APKs que dependen de los recursos del Framework.
- Smali Debugging (Eliminado en 2.1.0 a favor de IdeaSmali).
- Ayuda con tareas repetitivas con componentes de automatización de tareas.
Tenemos por tanto acceso a la aplicación apk, ¿de qué nos sirve? la extensión apk es una variante de jar, por lo que podemos extraerla con la genial herramienta apktool. Para ello seguiremos los siguientes pasos:
- 1. Obtención del fichero AndroidManifest.xml
Para obtener este fichero a través del apk utilizamos la herramienta apktool con la opción b.
Este fichero contiene información esencial acerca de la aplicación. Para nuestra tarea la parte que nos interesa es la referente a los permisos que requiere, contenidos en el apartado uses-permission. Para una completa comprensión recomiendo leer la amplia documentación oficial al respecto. - 2. Adquirir el fichero jar
Para ello nos servimos de la herramienta dex2jar. El funcionamiento de esta herramienta es el siguiente: traduce el fichero .dex (ejecutable de dalvik byetcode) a un fichero jar corriente. - 3. Extraer el fichero jar
Es tan sencillo como utilizar un descompresor normal y corriente. - 4. Acceso al código fuente
Hay que destacar que al hacer la decompilación se pierde mucha información, como nombre de variables, lo que dificulta el análisis manual del código. Normalmente se suele empezar por identificar ciertas funciones susceptibles de mal uso (funciones sink) y seguir el dataflow manualmente a través de entornos de desarrollo (Eclipse, NetBeans, etc).
Las aplicaciones de Android utilizan código y recursos que se encuentran en el propio sistema operativo Android. Estos son conocidos como recursos Framework y Apktool se basa en estos para decodificar correctamente y construir apks. Cada versión de Apktool contiene internamente el framework más actualizado de AOSP. Esto le permite decodificar y construir la mayoría de los archivos apk sin ningún problema. Sin embargo, los fabricantes agregan sus propios archivos de Framework además de los AOSP regulares. Para utilizar Apktool contra estos fabricantes de aplicaciones primero debe instalar los archivos framework del fabricante.
Fuente:
https://buguroo.com/es/como-ejecutar-analisis-estatico-de-aplicaciones-apk-en-android
Mobile-Security-Framework (MobSF)
Puede ser utilizado para el análisis de seguridad eficaz y rápida de Android y iOS Aplicaciones y es compatible con los binarios (APK y IPA) y el código fuente comprimido. MobSF también puede realizar la Web API Pruebas de seguridad con su Fuzzer API que puede hacer de recopilación de información, análisis de cabeceras de seguridad, identificar vulnerabilidades específicas de la API móvil como la XXE, FRSS, de traspaso de rutas, IDOR, y otras cuestiones lógicas relacionadas con la Sesión y la API de limitación de velocidad.
Mobile Security Framework, es una herramienta de código abierto para realizar test de penetración automatizado en aplicaciones Android y iOS, capaz de realizar análisis estático y dinámico. Esta herramienta pretende minimizar el tiempo, que con un conjunto de herramientas llevaría realizar: la decodificación, la depuración, revisión de código y el test de penetración. Mobile Security Framework se puede utilizar para el análisis de seguridad rápido y eficaz, siendo compatible con los binarios (APK y IPA) y el código fuente comprimido.
Mobile Security Framework realiza dos tipos de análisis:
- El analizador estático es capaz de realizar: la revisión de código automático, detección de permisos y configuraciones inseguras, detectar código inseguro SSL, derivación SSL, cifrado débil, códigos ofuscados, permisos incorrectos, secretos codificados, el uso indebido de APIs peligrosas, fugas de información sensible y el almacenamiento de archivos inseguros.
- El analizador dinámico ejecuta la aplicación en una máquina virtual o en un dispositivo configurado y detecta los problemas en tiempo de ejecución. Se realiza un análisis más detallado en los paquetes de red capturados descifrando: el tráfico HTTPS, los informes de registros, informes de error, la información de depuración y seguimiento de la pila. Sobre los activos de aplicaciones como: archivos de configuración, las preferencias y bases de datos. https://mobsf.github.io/docs/#/dynamic_analyzer
Mobile Security Framework es altamente escalable, permite agregar reglas personalizadas con facilidad. Permite generar al final del test de penetración informes de una forma rápida y concisa.
Más información y descarga de Mobile Security Framework:
https://github.com/MobSF/Mobile-Security-Framework-MobSF
Documentación
Dependencias
sudo apt install python3-dev python3-venv python3-pip build-essential libffi-dev libssl-dev libxml2-dev libxslt1-dev libjpeg8-dev zlib1g-dev wkhtmltopdf
Instalación
git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.gitcd Mobile-Security-Framework-MobSF./setup.sh
Instalar todas las dependencias del fichero requirements.txt
pip3 install -r requirements.txt
Arrancar el servicio en el puerto 8000
./run.sh 127.0.0.1:8000
También podemos usar contenedor Docker
docker pull opensecurity/mobile-security-framework-mobsf
La imagen docker ocupa bastante:
docker images |grep mobsf
Iniciar el contenedor:
docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest
AndroL4b
AndroL4b es una máquina virtual orientada a los aspectos de seguridad en Android basado en ubuntu-mate, que incluye la colección de los últimos framework, tutoriales y laboratorios, de seguridad, para la ingeniería inversa y análisis de malware en aplicaciones Android.
Herramientas de AndroL4b
- APKStudio Cross-platform Qt5 based IDE for reverse-engineering android applications
- ByteCodeViewer Android APK Reverse Engineering Suite (Decompiler, Editor, Debugger)
- Mobile Security Framework (MobSF) (Android/iOS) Automated Pentesting Framework (Just Static Analysis in this VM)
- Drozer Security Assessment Framework for Android Applications
- APKtool Reverse Engineering Android Apks
- AndroidStudio IDE For Android Application Development
- ClassyShark Android executable browser
- BurpSuite Assessing Application Security
- Wireshark Network Protocol Analyzer
- MARA Mobile Application Reverse engineering and Analysis Framework
- FindBugs-IDEA Static byte code analysis to look for bugs in Java code
- AndroBugs Framework Android vulnerability scanner that helps developers or hackers find potential security vulnerabilities in Android applications
Análisis de APK con AppMon
Esta aplicación hace uso de potente entorno de instrumentación dinámica multiplataforma del cual ya hemos hablado en pasadas ocasiones: Frida. Con base en esta plataforma, AppMon incluye una serie de scripts que permitirán a los analistas espiar los eventos
que la aplicación estudiada va generando en el sistema, cuyos
resultados podrán luego ser visualizados a través de una interfaz web
con filtros de búsqueda y ordenamiento.
Además, AppMon incluye scripts que permiten realizar una intrusión
dentro de la aplicación modificando su normal curso de acción, como se
muestra en el siguiente video. Claro que cada analista podrá también
incluir sus propios scripts en la herramienta.
Además, permite instrumentar aplicaciones tanto en Android como iOS y, heredando la flexibilidad de Frida, puede ejecutarse en diferentes plataformas (Linux, Mac OS, y Windows con algunos cambios al código).
El Android Manifest de la aplicación nos indica que el nombre del
paquete es com.baseapp. Necesitaremos este dato para poder indicar a
AppMon qué proceso interceptar.
Los prerrequisitos para correr AppMon son
obviamente instalar Frida y además algunos módulos de python, lo que
puede hacerse con el siguiente comando:
sudo -H pip install argparse frida flask termcolor
Luego podemos copiar el proyecto desde el repositorio en Github
o descargar el correspondiente archivo comprimido. Si se está
trabajando en un equipo Windows, además se deberá modificar la ruta
absoluta definida en la variable
merge_script_path
del archivo appmon.py
para apuntar a la carpeta temporal en el sistema de archivos de Windows
o bien otra carpeta que el usuario desee. Por ejemplo, podría quedar de
la siguiente manera:merge_script_path = ‘C:/Users/
/AppData/Local/Temp/merged.js’
Deberemos crear nuestro emulador con una versión de Android 4.4.x
ya que Frida solo ha sido demostrado estable para estas versiones, para
luego transferir los archivos de Frida e iniciar el servidor, como lo
hemos hecho con anterioridad en el tutorial para instrumentar apps.
Ahora debemos instalar la aplicación que deseamos analizar. Lo mejor es hacerlo vía adb ya que algunos emuladores inicializan la aplicación cuando se instala vía drag and drop y si no estamos listos para correr el comando de AppMon puede que nos perdamos de registrar funcionalidad crítica.
AppMon crea un servidor sencillo con python que
por defecto se inicializa en el puerto 5000, donde podremos luego
acceder a la interfaz web de filtrado, pero solo después de que vemos la
indicación por consola que algo ha sido dumpeado.
Se abrirá un registro de eventos en el cual podremos ver algunas
operaciones que tuvieron lugar en el sistema en el corto tiempo de
ejecución.
Fuente:
CuckooDroid
Cuckoo Sandbox es un sistema de análisis de malware de código abierto. Esta aplicación permite analizar cualquier archivo sospechoso y en cuestión de segundos, Cuckoo proporcionará resultados detallados que describen lo que resultaría cuando se ejecuta dentro de un entorno aislado.
El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la detección y eliminación de malware no es suficiente: es de vital importancia entender: cómo funcionan, lo que harían en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el análisis de una violación interna, recolectar datos procesables y analizar posibles amenazas.
Cuckoo genera un puñado de diferentes datos brutos, que incluyen:
- Las funciones nativas y API de Windows llamadas huellas.
- Las copias de los archivos creados y eliminados del sistema de ficheros.
- Volcado de la memoria del proceso seleccionado.
- Volcado completo de memoria de la máquina de análisis.
- Capturas de pantalla del escritorio durante la ejecución del análisis de malware.
- Volcado de red generado por la máquina que se utiliza para el análisis.
A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podrían incluir:
- Informe JSON.
- Informe HTML.
- Informe MAEC.
- Interfaz de MongoDB.
- Interfaz HPFeeds.
Lo más interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentación de informes. Cuckoo proporciona todos los requisitos para integrar fácilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee.
Más información y descarga de CuckooDroid:
https://github.com/idanr1986/cuckoo-droid
Más información y descarga de Cuckoo Sandbox:
http://www.cuckoosandbox.org/
Documentación de Cuckoo Sandbox:
http://docs.cuckoosandbox.org/en/latest/
Fuente:
http://www.gurudelainformatica.es/2016/09/herramienta-de-analisis-de-malware.html
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.