Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
▼
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
▼
julio
(Total:
24
)
- Gmail quiere acabar con el Phishing: cuentas verif...
- Demandan a T-Mobile por permitir el robo de 8.7 mi...
- Vulnerabilidad crítica en GRUB2 llamada BootHole
- El FBI alerta de nuevos vectores de ataques DDoS
- Exigen 10 millones de dólares a Garmin por el secu...
- Actualizada distro REMnux Linux 7 para el análisis...
- Fileless malware: ataques malware sin archivos
- La Guardia Civil quiere usar el reconocimiento fac...
- Ataque de ransomware a la empresa ADIF: 800GB dato...
- Orange y Telecom víctimas de un ataque de Ransomware
- Crecen los ataques a routers domésticos para forma...
- Microsoft presenta Process Monitor para Linux de c...
- Empleado de Twitter ayudó a secuestrar las cuentas...
- Grave fallo en SAP NetWeaver permite secuestrar y ...
- Vulnerabilidad crítica en el servidor DNS de Windo...
- El móvil del presidente del Parlament de Catalunya...
- El FBI detiene al "príncipe nigeriano" por estafar...
- Vulnerabilidad crítica de ejecución remota de códi...
- Intel anuncia oficialmente Thunderbolt 4
- Hashcat 6.0.0 llega con 51 nuevos algoritmos y mej...
- Cae red de comunicaciones privada EncroChat utiliz...
- Alertan múltiples problemas de privacidad en TikTok
- Ransomware Maze anuncia que LG habría perdido códi...
- Universidad de California paga 1,14 millones a los...
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Actualizada distro REMnux Linux 7 para el análisis de Malware
REMnux está basado en Ubuntu, Ubuntu 18.04 “Bionic Beaver” y escritorio GNOME. Creado y mantenido principalmente por Lenny Zeltser, miembro de la facultad de SANS y autor del curso, la distribución viene con utilidades configuradas de fábrica para ayudar a los amantes de la ingeniería inversa para ahorrar tiempo y analizar el malware más rápido.
Se puede instalar como un:
- Dispositivo virtual (OVA (Open Virtualization Format). Utilizando algún software de virtualización como VirtualBox o Vmware player)
- Configurarlo como un sistema operativo independiente
- Añadirlo a Ubuntu
- Ejecutarlo como un contenedor Docker
REMnux 7
La nueva versión REMnux ha sido completamente reconstruida y se basa en SaltStack para automatizar la instalación y configuración del software, lo que permite a los miembros de la comunidad contribuir con herramientas y revisiones.
Se ha actualizado una colección curada de cientos de herramientas para incluir las últimas revisiones.
Las utilidades permiten las siguientes tareas:
- Examinar ejecutables sospechosos, documentos y otros artefactos.
- Ingeniería inversa dinámica de código malicioso
- Ejecutar análisis forenses de memoria en un host infectado
- Explore las interacciones de red y sistema para el análisis de comportamiento
- Analizar documentos maliciosos
- Comprobar propiedades estáticas
- Recopilar y analizar datos.
- Análisis de código estático
Herramientas REMnux 7
Un resumen de las herramientas incluidas en REMnux y el propósito al que sirven ofrece una visión más clara del amplio alcance del proyecto, mientras que la nueva documentación proporciona una mirada en profundidad al equipo de software presente en la distribución.
La distribución incluye una selección bastante completa de herramientas para analizar malware, utilidades para código de ingeniería inversa, programas para estudiar PDF y documentos de oficina modificados por hackers y herramientas para monitorear la actividad del sistema.
De las herramientas con las que cuenta esta distribución, podremos encontrar las siguientes:
Análisis del sitio web
En esta sección se incluyen las siguientes herramientas: Thug, mitmproxy, Network Miner Free Edition, curl, Wget, Burp Proxy Free Edition, Automater, pdnstool, Tor, tcpextract, tcpflow, passive.py, CapTipper, yaraPcap.py.
Análisis de películas Flash
En esta sección se incluyen las siguientes herramientas: xxxswf, SWF Tools, RABCDAsm, extract_swf, Flare.
Análisis Java
En esta sección se incluyen las siguientes herramientas: Java Cache IDX Parser, JD-GUI Java Decompiler, JAD Java Decompiler, Javassist, CFR.
Análisis de JavaScript
En esta sección se incluyen las siguientes herramientas:Rhino Debugger, ExtractScripts, SpiderMonkey, V8, JS Beautifier.
Análisis PDF
En esta sección se incluyen las siguientes herramientas: AnalyzePDF, Pdfobjflow, pdfid, pdf-parser, peepdf, Origami, PDF X-RAY Lite, PDFtk, swf_mastah, qpdf, pdfresurrect.
Análisis de documentos de Microsoft Office
officeparser, pyOLEScanner.py, oletools, libolecf, oledump, emldump, MSGConvert, base64dump.py, unicode.
Análisis de documentos de Office maliciosos con OLEDUMP
Oledump: ayuda y uso
oledump.py -h
Encontrar macros
Ahora estamos listos para analizar un documento malicioso; usaré esta muestra si quieres seguir adelante. El primer paso suele ser determinar si el documento contiene macros. Ejecutar oledump y proporcionar la ruta al maldoc como único argumento producirá lo que considero una tabla de contenido. Los documentos de Office utilizan el formato OLE para almacenar y organizar el contenido dentro de un documento de Office (MSDN). Cuando ve el contenido de un maldoc, está mirando los flujos y almacenamientos de ese documento. Oledump ayuda a identificar los flujos que contienen macros agregando una M mayúscula o minúscula junto al índice. Ejecute el siguiente comando para ver la estructura de nuestro documento malicioso.
oledump.py demo.doc
Descarga de flujos de macro
Cuando esté listo para ver el contenido de una secuencia de macros, debe proporcionar información adicional a oledump a través de los argumentos de la línea de comandos, es decir, el índice que desea ver y decirle a oledump que descomprima la secuencia. Los flujos de macros se comprimen dentro del documento, si no le indica a oledump que los descomprima, no podrá ver su contenido. Los dos argumentos que necesitamos ahora son "-s" y "-v". El primer argumento define la secuencia que queremos investigar, mientras que el segundo argumento indica a oledump que descomprima esa secuencia. El argumento de descompresión solo funciona con los flujos de macros comprimidos.
Veamos el código dentro de la secuencia 12, escriba el siguiente comando:
oledump.py -s 12 -v demo.doc
Análisis de Shellcode
sctest, unicode2hex-escaped, unicode2raw, dism-this, shellcode2exe.
Código ofuscado
unXOR, XORStrings, ex_pe_xor, XORSearch, brxor.py, xortool, NoMoreXOR, XORBruteForcer, Balbuzard, FLOSS.
Extracción de datos de cadena
strdeobj, pestr, strings.
Recuperación de archivos
Foremost, Scalpel, bulk_extractor, Hachoir.
Monitoreo de la actividad de la red
Wireshark, ngrep, TCPDump, tcpick.
Análisis de volcados de memoria
Volatility Framework, findaes, AESKeyFinder, RSAKeyFinder, VolDiff , Rekall , linux_mem_diff_tool.
Análisis de archivos PE ejecutables
UPX, Bytehist, Density Scout, PackerID, objdump, Udis86, Vivisect, Signsrch, pescanner, ExeScan, pev, Peframe, pedump, Bokken, RATDecoders, Py, readpe.py, PyInstaller Extractor, DC3-MWCP.
Servicios de red
FakeDNS, Nginx, fakeMail, Honeyd, INetSim, Inspire IRCd, OpenSSH, accept-all-ips.
Utilidades de red
prettyping.sh, set-static-ip, renew-dhcp, Netcat, EPIC IRC Client, stunnel, Just-Metadata.
De las demás herramientas que se incluyen
- Trabajando con una colección de ejemplos de malware: Maltrieve, Ragpicker, Viper, MASTIFF, Density Scout.
- Definición de firmas: YaraGenerator, IOCextractor, Autorule, Rule Editor, ioc-parser.
- Escaneo: Yara, ClamAV, TrID, ExifTool, virustotal-submit, Disitool.
- Trabajando con hashes: nsrllookup, Automater, Hash Identifier, totalhash, ssdeep, virustotal-search, VirusTotalApi.
- Análisis de malware de Linux: Sysdig y Unhide.
- Desensambladores: Vivisect, Udis86, objdump.
- Sistemas de rastreo: strace y ltrace.
- Investigar: Radare 2, Pyew, Bokken, m2elf, ELF Parser.
- Trabajando con datos de texto: SciTE, Geany yVim.
- Trabajando con imágenes: feh y ImageMagick.
- Trabajando con archivos binarios: wxHexEditor y VBinDiff.
- Análisis de malware para dispositivos móviles: Androwarn y AndroGuard.
Examine Static Properties
General
- bulk_extractor
- signsrch
- ExifTool
- TrID
- Disitool
- Hash ID
- ssdeep
- 7-Zip
- DroidLysis
- wxHexEditor
- pyew
- Hachoir
- zipdump.py
- StringSifter
PE Files
- PEframe
- pedump
- ClamAV
- pev
- bearparser
- Manalyze
- PortEx
- pefile
ELF Files
- pyelftools
Deobfuscation
- CyberChef
- XORSearch
- Balbuzard
- base64dump
- unXOR
- XORStrings
- ex_pe_xor
- brxor.py
- xortool
- NoMoreXOR
- XORBruteForcer
- unicode
- FLOSS
- strdeob.pl
- xor-kpa.py
- RATDecoders
- DC3-MWCP
- translate.py
Statically Analyze Code
General
- Vivisect
- objdump
- Ghidra
- Cutter
- BinNavi
- pyew
Unpacking
- Bytehist
- UPX
- TrID
- ClamAV
- de4dot
PE Files
- binee
- capa
Java
- jd-gui
- JAD
- Java Cache IDX Parser
- Javassist
- CFR
- Procyon
Android
- AndroGuard
- dex2jar
- apktool
- baksmali
- DroidLysis
Python
- Decompyle++
- Pyinstaller Extractor
Flash
- Flare
- Flasm
- xxxswf
SWF Tools
- extract_swf
- swf_mastah
Dynamically Reverse-Engineer
General
- radare2
- Wine
Shellcode
- shellcode2exe.py
- shellcode2exe.bat
- libemu, sctest
- scdbg
- cut-bytes.py
- XORSearch
- InlineEgg-ng
Scripts
- SpiderMonkey
- SpiderMonkey (Patched)
- Rhino Debugger
- objects.js
- JS Beautifier
- box-js
- PowerShell Core
- ExtractScripts
- STPyV8
ELF Files
- strace
- ltrace
- gdb
- edb
Explore Network Interactions
Monitoring
- Burp Suite Community Edition
- Network Miner Free Edition
- tcpick
- tcpdump
- Wireshark
- tshark
- ngrep
- tcpxtract
- mitmproxy
- tcpflow
- PolarProxy
Services
- INetSim
- fakedns
- Nginx
- fakemail
- FakeNet-NG
- netcat
- inspire IRCd 3
- accept-all-ips
Connecting
- netcat
- cURL
- wget
- thug
- Tor
- EPIC IRC Client
Perform Memory Forensics
- bulk_extractor
- Volatility Framework 2.x
- Volatility 3.x
- linux_mem_diff_tool
- bulk_extractor
- RSAKeyFinder
- AESKeyFinder
Investigate System Interactions
- Unhide
- Sysdig
- ProcDOT
Analyze Documents
General
- base64dump
- Tesseract OCR
- Microsoft Office
- officeparser
- XLMMacroDeobfuscator
- oletools
- libolecf
- oledump
- ViperMonkey
- SSView
- pcodedmp
- msoffice-crypt
- rtfdump
- zipdump.py
- pdftk-java
- pdfobjflow
- pdfid
- pdf-parser
- peepdf
- Origami
- PDF X-Ray Lite
- swf_mastah
- qpdf
- pdfresurrect
- Email Messages
- emldump
- MSGConvert
Gather and Analyze Data
Automater
- virustotal-search
- virustotal-submit
- pdnstool
- ioc-parser
- ioc_writer
- Yara
- VirusTotalApi
- Viper
- ipwhois
- time-decode
- malwoverview
- DeXRAY
- Scalpel
- PyPDNS
- shodan
- nsrllookup
View or Edit Files
- SciTE
- feh
- ImageMagick
- wxHexEditor
- VBinDiff
- Xpdf
- dos2unix
- Visual Studio Code
General Utilities
- IBus
- Docker
- Wine
- Nautilus
- OpenSSH
- 7-Zip
- cabextract
- PowerShell Core
- myip
- PostgreSQL
- GNOME Calculator
- Firefox
- REMnux Installer
- cURL
- GNU Wget
- unrar-free
- Info-ZIP
- SQLite
Tener tantas utilidades disponibles podría ser engorroso, pero una hoja de trucos REMnux v7 (PDF, Word editable) del creador del proyecto debería ayudar a los usuarios a encontrar rápidamente los instrumentos que necesitan. Una variante más extendida está disponible
Analyze Windows Executables
- Static Properties: manalyze, peframe, pefile, pyew, exiftool, clamscan, pescan, portex, bearcommander
- Strings and Deobfuscation: pestr, bbcrack, brxor.py, base64dump, xorsearch, flarestrings, floss, cyberchef
- Code Emulation: binee, capa, vivbin
- Disassemble/Decompile: ghidra, cutter, objdump, r2
- Unpacking: bytehist, de4dot, upx, ILSpy (.NET)
Reverse-Engineer Linux Binaries
- Static Properties: trid, exiftool, pyew, readelf.py
- Disassemble/Decompile: ghidra, cutter, objdump, r2
- Debugging: edb, gdb
- Behavior Analysis: ltrace, strace, frida, sysdig, unhide
Investigate Other Forms of Malicious Code
- Android: apktool, droidlysis3.py, androgui.py, baksmali, dex2jar
- Java: cfr, procyon, jad, jd-gui, idx_parser.py
- Python: pyinstxtractor.py, pycdc
- JavaScript: js, js-file, objects.js, box-js
- Shellcode: shellcode2exe.bat, scdbg, xorsearch
- PowerShell: pwsh, base64dump
- Flash: swfdump, flare, flasm, swf_mastah.py, xxxswf.
Examine Suspicious Documents
- Microsoft Office Files: vmonkey, pcodedmp, olevba, xlmdeobfuscator, oledump.py, msoffice-crypt, ssview
- RTF Files: rtfobj, rtfdump
- Email Messages: emldump, msgconvert
- PDF Files: pdfid, pdfparser, pdfextract, pdfdecrypt, peepdf, pdftk, pdfresurrect, qpdf, pdfobjflow
- General: base64dump, tesseract, exiftool
Explore Network Interactions
- Monitoring: burpsuite, networkminer, polarproxy, mitmproxy, wireshark, tshark, ngrep, tcpxtract, tcpick
- Connecting: thug, nc, tor, wget, curl, irc, ssh
- Services: fakedns, fakemail, accept-all-ips, nc, httpd, inetsim, fakenet, sshd, myip
Gather and Analyze Data
- Network: Automater.py, shodan, ipwhois_cli.py, pdnstool
- Hashes: malwoverview.py, nsrllookup, Automater.py, vt, virustotal-search.py
- Files: yara, scalpel, bulk_extractor, ioc_writer
- Other: dexray, viper, time-decode.py
Other Analysis Tasks
- Memory Forensics: vol.py, vol3, linux_mem_diff.py, aeskeyfind, rsakeyfind, bulk_extractor
- File Editing: wxHexEditor, scite, code, xpdf, convert
- File Extraction: 7z, unzip, unrar, cabextract
Use Docker Containers for Analysis
- Thug Honeyclient: remnux/thug
- JSDetox JavaScript Analysis: remnux/jsdetox
- Rekall Memory Forensics: remnux/recall
- RetDec Decompiler: remnux/retdec
- Radare2 Reversing Framework: remnux/radare2
- REMnux distro in a Container: remnux/remnux-distro
Los usuarios que deseen más detalles y una descripción general de los cambios "nuevos y emocionantes" en REMnux junto con los beneficios adicionales, pueden unirse a una transmisión por Internet gratuita el martes 28 de julio (10:30 EDT), para aprender todo de Lenny Zeltser.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.