Análisis de malware

Arsenal de análisis de malware: las 15 mejores herramientas

15 de diciembre de por Pedro Tavares

Vivimos en una era donde la transformación digital es parte de nuestras vidas. Con esto, el malware se ha convertido en una enorme y crítica amenaza para las organizaciones y personas de todo el mundo que se enfrentan todos los días a los esquemas maliciosos más recientes y sofisticados difundidos por bandas cibernéticas bien organizadas. Según el Informe de amenazas del tercer trimestre de Portugal , muchas familias de malware se difundieron en Portugal durante el tercer trimestre de, como se presenta a continuación.

1: Diferentes familias de malware difundidas durante el tercer trimestre de en Portugal ( fuente ).

El vehículo utilizado por los delincuentes para atacar a las víctimas suele ser el correo electrónico o un simple SMS que puede costarle a una empresa millones de dólares si no existen los controles adecuados.

Herramientas populares para revertir el malware

Depuradores/desensambladores

IDA Pro

IDA es un desensamblador multiplataforma y multiprocesador que interpreta el código ejecutable por máquina en código ensamblador, lo que permite la depuración y el proceso de ingeniería inversa. IDA PRO es un software comercial y el más utilizado en todo el mundo hasta el lanzamiento de Ghidra en por parte de la NSA. IDA tiene una variedad de complementos desarrollados por la comunidad, y algunas piezas populares son VT-IDA Plugin , BinDiff y Bincat .

URL : https://hex-rays.com/ida-pro/

GHIDRA

GHIDRA es un marco de ingeniería inversa de software (SRE) creado por la NSA. Este marco proporciona un conjunto de herramientas que permiten a los expertos analizar código compilado en varias plataformas, incluidas Windows, macOS y Linux. Es una herramienta de código abierto mantenida por la NSA y la comunidad en GitHub y muchos complementos, incluidos VTGrep , Binwalk y Golang Renamer .

URL : https://github.com/NationalSecurityAgency/ghidra

Radare2

Este es un depurador de línea de comandos que se puede utilizar en Windows y Linux. Radare2 es de código abierto y se puede utilizar a través de una interfaz GUI conocida como iaito .

URL : https://rada.re/n/

x64dbg

x64dbg es un depurador de código abierto para Windows con fines de ingeniería inversa. Hay muchas funciones disponibles y viene con un completo sistema de complementos. Se pueden encontrar más complementos en la página wiki aquí .

URL : https://github.com/x64dbg/x64dbg

Descompiladores

puntopeek

DotPeek es una herramienta independiente basada en el descompilador incluido de ReSharper. Puede descompilar cualquier ensamblado .NET en código C# o IL equivalente. El descompilador admite múltiples formatos, incluidas bibliotecas (.dll), archivos ejecutables (.exe) y archivos de metadatos de Windows (.winmd).

URL : https://www.jetbrains.com/decompiler/

Reconstructor interactivo Delphi (IDR)

IDR es un descompilador popular escrito en Delphi y ejecutado en un entorno Windows32 capaz de descompilar código Delphi. Es de uso gratuito y se utiliza principalmente para analizar malware bancario.

URL : https://github.com/crypto/IDR

Análisis PE

PEstudio

PEstudio es una herramienta utilizada para realizar una evaluación inicial de malware. Es muy útil para realizar un análisis inicial y recopilar detalles e IoC de un archivo binario.

URL : https://www.winitor.com/

Detectarlo fácil

«DIE» es una aplicación multiplataforma. Además de la versión para Windows, también hay versiones disponibles para Linux y Mac OS. Se utiliza para analizar archivos ejecutables, cambiar las protecciones binarias, buscar por cadenas, calcular la entropía binaria, etc. Es una herramienta útil para analizar componentes internos binarios.

URL : https://github.com/horsicq/Detect-It-Easy

PE-oso

PE-bear es una herramienta gratuita de inversión para archivos PE. Su objetivo era ofrecer una herramienta de “primera vista” rápida y flexible para analistas de malware, estable y capaz de manejar archivos PE con formato incorrecto.

URL : https://github.com/hasherezade/pe-bear-releases/

Desofuscación

SEDA FLOJA

El solucionador de cadenas ofuscadas de FireEye Labs utiliza técnicas avanzadas de análisis estático para desofuscar automáticamente cadenas de archivos binarios de malware.

URL : https://github.com/mandiant/flare-floss

ciberchef

CyberChef es una aplicación web sencilla e intuitiva para realizar una variedad de operaciones «cibernéticas» dentro de un navegador web. Se la conoce como la navaja cibernética suiza.

URL : https://gchq.github.io/CyberChef/

Monitor

Monitor de proceso

Es una herramienta de monitoreo avanzada para programas de Windows desarrollada por Microsoft. Muestra el sistema de archivos en tiempo real, el Registro y la actividad del proceso/hilo.

URL : https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Explorador de procesos

Este es un administrador de tareas avanzado para Windows y enumera los procesos actualmente activos, incluidos los nombres de sus cuentas propietarias. Esta herramienta fue desarrollada y mantenida por Microsoft.

URL : https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Tamiz de PE

PE-Sieve escanea un proceso determinado, reconoce y descarta una variedad de implantes potencialmente maliciosos, como PE reemplazados/inyectados, códigos shell, ganchos y parches en memoria.

URL : https://github.com/hasherezade/pe-sieve

Red falsa

Esta herramienta simula una red para que se ejecute el malware que interactúa con un host remoto, lo que permite al analista observar la actividad de la red del malware dentro de un entorno seguro. Esta es mi herramienta favorita para falsificar respuestas DNS.

URL : https://github.com/mandiant/flare-fakenet-ng

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Consulte aquí para obtener más detalles sobre estas herramientas y una lista completa de las herramientas utilizadas durante el análisis de malware.

Fuentes