Introducción a las herramientas de análisis de malware
Las ventajas de usar computadoras para fines oficiales y personales son muchas, pero también existen amenazas por los fraudes que operan en línea. Tales fraudes se llaman cibercriminales. Roban nuestra identidad y otra información creando programas maliciosos llamados malware. El proceso de analizar y determinar el propósito y la funcionalidad del malware se llama análisis de malware. El malware consiste en códigos maliciosos que deben detectarse utilizando métodos efectivos y el análisis de malware se utiliza para desarrollar estos métodos de detección. El análisis de malware también es esencial para desarrollar herramientas de eliminación de malware una vez que se han detectado los códigos maliciosos.
Herramientas de análisis de malware
Algunas de las herramientas y técnicas de análisis de malware se enumeran a continuación:
1. PEiD
Los ciberdelincuentes intentan empacar su malware para que sea difícil de determinar y analizar. Una aplicación que se utiliza para detectar este tipo de malware empaquetado o cifrado es PEiD. User dB es un archivo de texto desde el que se cargan los archivos PE y PEiD puede detectar 470 formas de diferentes firmas en los archivos PE.
2. Dependencia Walker
Los módulos de las ventanas de 32 y 64 bits se pueden escanear utilizando una aplicación llamada Dependency walker. Las funciones del módulo que se importan y exportan se pueden enumerar utilizando el caminante de dependencias. Las dependencias de archivos también se pueden mostrar utilizando un caminante de dependencias y esto reduce al mínimo el conjunto de archivos requerido. La información contenida en estos archivos, como la ruta de acceso del archivo, el número de versión, etc., también se puede mostrar utilizando el caminante de dependencia. Esta es una aplicación gratuita.
3. Hacker de recursos
Los recursos de los binarios de Windows se pueden extraer mediante una aplicación llamada Resource Hacker. La extracción, adición, modificación de recursos como cadenas, imágenes, etc. se puede hacer utilizando el hacker de recursos. Esta es una aplicación gratuita.
4. PEview
Los encabezados de los archivos ejecutables portátiles consisten en información junto con las otras secciones del archivo y se puede acceder a esta información utilizando una aplicación llamada PEview. Esta es una aplicación gratuita.
5. FileAlyzer
FileAlyzer también es una herramienta para acceder a la información en los encabezados de los archivos ejecutables portátiles junto con las otras secciones del archivo, pero FileAlyzer proporciona más características y funciones en comparación con PEview. Algunas de las características son VirusTotal para el análisis acepta el malware de la pestaña VirusTotal y las funciones están desempacando UPX y otros archivos que están empaquetados.
6. SysAnalyzer Github Repo
Los diferentes aspectos de los estados del sistema y los estados del proceso se controlan mediante el uso de una aplicación llamada SysAnalyzer. Esta aplicación se utiliza para análisis de tiempo de ejecución. Los analistas informan sobre las acciones tomadas por el binario en el sistema utilizando SysAnalyzer.
7. Regshot 1.9.0
Regshot es una utilidad que compara el registro después de que los cambios del sistema se realizan con el registro antes de que el sistema cambie.
8. Wireshark
El análisis de los paquetes de red se realiza a través de Wireshark. Se capturan los paquetes de red y se muestran los datos contenidos en los paquetes.
9. Servicio en línea Robtex
El análisis de los proveedores de Internet, dominios, estructura de la red se realiza utilizando la herramienta de servicio en línea Robtex.
10. VirusTotal
El análisis de archivos, URL para la detección de virus, gusanos, etc. se realiza utilizando el servicio VirusTotal.
11. Mobile-Sandbox
El análisis de malware de los teléfonos inteligentes con sistema operativo Android se realiza utilizando mobile-sandbox.
12. Malzilla
Las páginas maliciosas son exploradas por un programa llamado Malzilla. Usando malzilla, podemos elegir nuestro agente de usuario y referencia y malzilla puede usar proxies. Malzilla muestra la fuente de la que se derivan las páginas web y los encabezados HTTP.
13. Volatilidad
Los artefactos en la memoria volátil, también llamada RAM, que son digitales, se extraen utilizando el marco Volatility y es una colección de herramientas.
14. APKTool
Las aplicaciones de Android pueden ser modificadas mediante APKTool. Los recursos se pueden decodificar a su forma original y se pueden reconstruir con los cambios necesarios.
15. Dex2Jar
El formato ejecutable de Android Dalvik se puede leer con Dex2Jar. Las instrucciones dex se leen en formato dex-ir y se pueden cambiar a formato ASM.
16. Smali
La implementación de la máquina virtual de Dalvik y Android usa el formato dex y se puede ensamblar o desarmar usando Smali.
17. PeePDF
Los archivos PDF dañinos se pueden identificar utilizando la herramienta PeePDF escrita en lenguaje python.
18. Sandbox de cuco
El análisis de archivos sospechosos se puede automatizar utilizando el sandbox de cuco.
19. Droidbox
Las aplicaciones de Android se pueden analizar con droidbox.
20. Malwasm
La base de datos que consta de todas las actividades de malware, los pasos de análisis se pueden mantener utilizando la herramienta malwasm y esta herramienta se basa en el sandbox de cuco.
21. Reglas de Yara
La clasificación de malware que se basa en texto o binario después de ser analizados por la herramienta Cuckoo se realiza mediante la herramienta llamada Yara. Las descripciones de malware basadas en patrones se escriben con Yara. La herramienta se llama Reglas de Yara porque estas descripciones se llaman reglas. La abreviatura de Yara es otro acrónimo recursivo.
22. Respuesta rápida de Google (GRR)
El marco de Google Rapid Response analiza las huellas dejadas por el malware en estaciones de trabajo específicas. Los investigadores que pertenecen a seguridad comieron google ha desarrollado este marco. El sistema de destino consta de un agente de Google Rapid Response y el agente interactúa con el servidor. Después de que el servidor y el agente se implementan, se convierten en clientes de GRR y facilitan las investigaciones en cada sistema.
23. REMnux
Esta herramienta está diseñada para realizar ingeniería inversa de malware. Combina varias herramientas en una para determinar fácilmente el malware basado en Windows y Linux. Se utiliza para investigar el malware que se basa en un navegador, realizar análisis forenses en la memoria, analizar variedades de malware, etc. Los elementos sospechosos también se pueden extraer y decodificar mediante REMnux.
25. Bro
El marco de trabajo de bro es poderoso y se basa en una red. El tráfico en la red se convierte en eventos y eso a su vez puede activar los scripts. Bro es como un sistema de detección de intrusos (IDS) pero sus funcionalidades son mejores que las IDS. Se utiliza para realizar investigaciones forenses, monitoreo de redes, etc.
Conclusión
El análisis de malware juega un papel importante para evitar y determinar los ciberataques. Los expertos en ciberseguridad solían realizar el análisis de malware manualmente antes de quince años y era un proceso que requería mucho tiempo, pero ahora los expertos en ciberseguridad pueden analizar el ciclo de vida del malware utilizando herramientas de análisis de malware, lo que aumenta la inteligencia sobre amenazas.
Artículo recomendado
Esta es una guía de las herramientas de análisis de malware. Aquí discutimos algunas de las herramientas más utilizadas como PEiD, Dependency Walker, Resource Hacker, etc. También puede consultar nuestros otros artículos sugeridos para obtener más información:
- ¿Qué necesitamos para las pruebas beta?
- Introducción a las herramientas de cobertura de código
- Las 10 mejores herramientas de prueba exitosas en la nube
- 7 diferentes herramientas IPS para la prevención del sistema