Herramienta gratuita de análisis de malware

Ayúdenos a descubrir varias herramientas gratuitas de análisis de malware estáticas y dinámicas.

Cubrimos la diferencia entre el análisis de malware dinámico y estático e introdujimos algunas herramientas gratuitas que puede utilizar para realizar estas tareas. Al final del artículo, compartimos algunos enlaces a otros contenidos y recursos útiles relacionados con el análisis de malware.

Análisis estático y dinámico de malware.

Primero, el análisis estático se basa en el proceso de analizar un archivo sospechoso sin iniciarlo. El objetivo de este método es realizar un análisis inicial para extraer información útil de binarios sospechosos con el fin de tomar una decisión informada sobre cómo clasificarlos o analizarlos y en qué centrarse en el análisis posterior.

El segundo es el análisis dinámico, también conocido como análisis de comportamiento. Este tipo de análisis es responsable de ejecutar muestras en un entorno aislado para rastrear sus acciones, interacciones y efectos.

Figura 1 - Comparación de análisis estático y dinámico

Herramienta de análisis de malware estático

Pesdio

El software permite a los analistas de malware examinar y analizar archivos .exe y sus DLL.

La herramienta nos muestra varios archivos que podemos examinar para comprender qué hace al inicio. De esta forma, podemos determinar si se trata de malware y, si es necesario, observar qué acción puede realizar la amenaza.

Figura 2 - Investigación con muestras de RanomEXX

Pestudio es una herramienta poderosa. Cuando la máquina virtual está conectada a Internet, puede escanear los archivos contenidos en el ejecutable y subirlos a VirusTotal. Además, Pestudio puede detectar las API que se utilizan en posibles programas maliciosos. Algunos ejemplos de API que suelen utilizar los códigos maliciosos son: GetProcAddress, LoadLibraryA, GetModuleHandleA, ExitProcess, VirtualAlloc, WriteFile, V.

Figura 3 - Área de investigación

Algunas de las partes más importantes de nuestro Pest Studio:

  • índice: Esta sección nos brinda información sobre las causas sospechosas de los binarios y las categoriza según su gravedad.
  • Biblioteca: Identifica la DLL cargada por el archivo binario para su análisis. Obtenga bibliotecas y funciones mencionadas en archivos sospechosos. Pestudio viene con una lista predefinida de bibliotecas y funciones que son comúnmente utilizadas por código malicioso.
  • Importar: Define el .dll cargado desde el archivo binario y las opciones a utilizar.
  • recurso: Bríndenos información sobre cómo descargar archivos de estilo Paylaod.
  • Un hilo: A través de una lista preconfigurada Para comparar el archivo binario analizado, debe determinar si el archivo es una cadena sospechosa.

Oso de cuero

PE-bear es un software gratuito de ingeniería inversa para archivos PE diseñado para tomar una instantánea rápida del comportamiento del archivo.

Figura 4 Muestra de oso PE con RansomEXX

Una de las ventajas de usar PE-Bear al comienzo del análisis es la capacidad de verificar estas partes ya que los binarios a menudo están empaquetados, por ejemplo, con UPX.

Si está interesado, puede profundizar en el uso de empacadores y osos PE en ESET # 44.

Explorador de CFF

Utilice CFF Explorer para ver programas como PE (Archivo ejecutable portátil), así como Pestudio y PE bear. Una de las principales ventajas de esta herramienta es que puede realizar cambios en el PE.

CFF Explorer también brinda la capacidad de comprender la composición básica extrayendo información sobre la fecha de compilación, el tipo de arquitectura o la importación de la biblioteca.

En este caso, la DLL llamada por el binario analizado usa cuatro bibliotecas:

  • Archivo principal
  • User32.dll
  • ADVAPI32.dll
  • SHELL32.dll

Aunque estos archivos DLL no son maliciosos, a veces los ciberdelincuentes los modifican para realizar otras tareas en la computadora de la víctima.

Captura de pantalla de 5-CFF Explorer con muestra de ransomware RansomEXX

Otra función en el CFF Explorer: visualización de procesos, opciones para extraer cadenas, editor hexadecimal, etc.

Hackers de recursos

Otra herramienta más utilizada para interpretar archivos ejecutables PE es Resource Hacker. Puede utilizar esta herramienta para extraer información de archivos binarios de Windows. Por ejemplo, si analiza un archivo binario que es un cuentagotas, puede usar Resource Hacker para encontrar PE adicionales en el recurso.

En la siguiente figura, el RAT de Bankdook utilizado en las actividades de Bandidos se utiliza como un ejemplo de cómo utilizar esta herramienta.

Piratería de recursos de Imagen 6

Herramientas de análisis dinámico de malware

Hackear el proceso

Es una herramienta que le permite realizar un seguimiento de los recursos del sistema y los procesos que se ejecutan en ellos.

Process Hacker también le permite examinar las propiedades de los procesos que se generan al ejecutar archivos binarios maliciosos, ya sea examinando servicios, conexiones de red, etc.

Hackear Imagen con 7 procesos

Navegador de procesos

Process Explorer es una herramienta de SysInternals Toolbox que monitorea los procesos y servicios de Windows.

Durante el análisis dinámico de malware, Process Explorer se utiliza para identificar procesos creados al infectar archivos binarios, lo que facilita a los analistas identificar los procesos maliciosos en ejecución para separarlos y realizar análisis más detallados.

Figura 8 - Ejemplo de Explorador de procesos con RansomEXX

Registrarse para disparar

Regshot es una herramienta que permite a los analistas tomar "instantáneas" del sistema antes y después de ejecutar muestras de malware para su análisis. Es una herramienta simple que le permite identificar rápidamente las entradas creadas por binarios maliciosos y puede exportar análisis de un archivo HTML a un archivo .txt.

Figura 9. Ejemplo de Regshot con RansomEXX

Figura 10-Modificación del registro Regshoot RANSOMEXX

movimiento automático

Autoruns es una herramienta desarrollada por Sysinternals que, similar a Process Explorer, puede escanear rápidamente el sistema de Windows para encontrar programas que estén configurados para iniciarse automáticamente cuando se inicia el sistema operativo. También enumera las extensiones que se cargan en los procesos de Windows, como: B. Internet Explorer.

Fig. 11. Iniciar automáticamente

Línea de tiburón

Finalmente, mencione Wireshark, una herramienta de análisis de tráfico de red que se puede utilizar de muchas formas diferentes. Hace algún tiempo hablamos del uso de filtros y las posibilidades de crear gráficos en Wireshark.

Al ejecutar malware, que forma parte del análisis dinámico que queremos hacer, podemos utilizar Wireshark para comprobar qué canales de comunicación está utilizando el malware, es decir, interceptando paquetes de red, podemos comprobar cómo se está comunicando el atacante con la víctima.

finalmente

Vimos varias herramientas en este artículo y debe tenerse en cuenta que, si bien el análisis dinámico proporciona más información sobre el comportamiento, debe combinarse con el análisis estático para acelerar el análisis de muestras maliciosas.

A continuación, se muestran algunos enlaces útiles para comenzar con el análisis de malware:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir
error: Content is protected !!