Tag herramientas

Un recorrido por distintas herramientas gratuitas que nos ayudará con el análisis estático y dinámico de malware.

Repasamos cuáles son las diferencias entre el análisis dinámico y estático de malware y compartimos algunas de las tantas herramientas gratuitas disponibles para llevar a cabo estas tareas. Al final del artículo, compartimos algunos enlaces a otros contenidos y recursos útiles relacionados con el análisis de malware.

Análisis de malware estático VS dinámico.

En primer lugar, el análisis estático se basa en el proceso de analizar un archivo sospechoso sin ejecutarlo. El objetivo de este método es realizar un análisis inicial con el fin de extraer información útil del binario sospechoso para tomar una decisión informada sobre cómo clasificarlo o analizarlo y dónde enfocar los esfuerzos de análisis posteriores.

En segundo lugar se encuentra el análisis dinámico, también conocido como análisis de comportamiento. Este tipo de análisis se encarga de ejecutar una muestra en un entorno aislado para monitorear sus actividades, interacción y su efecto.

Imagen 1 – Comparación entre análisis estático VS dinámico

Herramientas para el análisis estático de malware

Pestudio

Este software permite a los analistas de malware examinar y analizar ficheros .exe y sus librerías dinámicas .dll.

La herramienta nos muestra varios ficheros que podemos investigar para saber qué acciones realiza cuando lo ejecutamos. De este modo, podremos saber si se trata de un malware, y en caso de que así sea, observar qué acciones es capaz de llevar a cabo la amenaza.

Imagen 2 – Pestudio con una muestra de RansomEXX

Pestudio es una potente herramienta que en caso de que la máquina virtual tenga salida a Internet podrá realizar un escaneo de los ficheros que contenga el ejecutable y subirlos a VirusTotal. Además, Pestudio es capaz de detectar las API utilizadas dentro del potencial malware. Algunos ejemplos de API comúnmente utilizadas por códigos maliciosos son GetProcAddress, LoadLibraryA, GetModuleHandleA, ExitProcess, VirtualAlloc, WriteFile, entre otras.

Imagen 3 – Secciones de Pestudio

Algunas de las secciones más importantes que tenemos en Pestudio son:

• Indicators: esta sección nos ofrece información de por qué el binario es sospechoso y lo clasifica según el nivel de severidad.
• Libraries: identifica las .dll que carga el binario a analizar. Recupera las bibliotecas y las funciones a las que se hace referencia en el archivo sospechoso. Pestudio viene con una lista predefinida de bibliotecas y funciones comúnmente utilizadas por los códigos maliciosos.
• Imports: identifica las .dll que carga el binario junto con los parámetros utilizados.
• Resources: nos da información de la carga de un archivo del estilo paylaod.
• Strings: a través de la lista preconfigurada <strings.xml> compara las strings que posee el binario a analizar para definir si el archivo es sospechoso.

PEBear

PE-bear es un freeware para realizar ingeniería inversa sobre archivos PE que tiene como finalidad ofrecer un pantallazo rápido sobre el comportamiento del archivo.

Imagen 4 – PE-bear con muestra de ransomEXX

Una de las ventajas de utilizar PE-bear al inicio del análisis es poder verificar las secciones, ya que muchas veces los binarios están empaquetados, por ejemplo con UPX.

Si te interesa puedes profundizar sobre empaquetadores y el uso de PE-bear en la solución al desafío ESET #44

CFF Explorer

Con CFF Explorer es posible inspeccionar programas del tipo PE (Portable Executable), al igual que con Pestudio y PE-bear. Una de las principales ventajas de utilizar esta herramienta es que permite realizar modificaciones dentro del PE.

CFF Explorer brinda la posibilidad también de entender la composición básica extrayendo información sobre la fecha de compilación, el tipo de arquitectura o importaciones de librerías.

En este caso, las .dll que llama el binario analizado utilizan cuatro librerías:

• KERNEL.dll
• USER32.dll
• ADVAPI32.dll
• SHELL32.dll

Si bien estas .dll no son maliciosos, algunas veces los cibercriminales las modifican para realizar otro tipo de tareas en el equipo de la víctima.

Imagen 5 – CFF Explorer con una muestra del ransomware RansomEXX

Otra de las funcionalidades que se pueden encontrar dentro de CFF Explorer son: el visor de procesos, opción para extraer strings, un editor hexadecimal, entre otras.

Resource Hacker

Otra de las herramientas más utilizadas para la interpretación de los archivos ejecutables PE es Resource Hacker. Esta herramienta permite extraer información de los archivos binarios de Windows. Por ejemplo, en el caso de que se esté analizando un binario que resulta ser un dropper, con Resource Hacker se podrá detectar el PE adicional dentro de los recursos.

En la imagen siguiente se tomó como ejemplo para utilizar la herramienta el RAT de Bankdook que fue utilizado en la campaña de Bandidos.

Imagen 6 – Resource Hacker

Herramientas para análisis dinámico de malware

Process Hacker

Es una herramienta que permite monitorear los recursos del sistema y los procesos que se ejecutan en el mismo.

Además, Process Hacker permite inspeccionar los atributos de los procesos que se generan a partir de ejecutar el binario malicioso, ya sea desde explorar los servicios, conexiones de red, etc.

Imagen 7 – Process Hacker

Process Explorer

Process Explorer es una herramienta que pertenece al paquete de herramientas de SysInternals que tiene la funcionalidad de monitorear procesos y servicios en Windows.

Durante el análisis de malware dinámico, Process Explorer es utilizado para identificar los procesos que se crean a partir de la infección del binario, lo cual facilita a los analistas distinguir qué procesos maliciosos se están ejecutando para poder separarlos y realizar un análisis más detallado.

Imagen 8 – Process Explorer con muestra de RansomEXX

RegShot

Regshot es una herramienta que permite a los analistas realizar “snapshots” del sistema antes y luego de ejecutar la muestra de malware a analizar. Es una herramienta sencilla que permite identificar rápidamente los registros que haya creado el binario malicioso. El análisis se puede exportar, ya sea desde un archivo HTML hasta incluso un archivo .txt

Imagen 9. Regshot con muestra de RansomEXX

Imagen 10 – Regshoot – modificaciones en registro por RANSOMEXX

Autoruns

Autoruns es una herramienta desarrollada por Sysinternals, al igual que Process Explorer, que analiza rápidamente un sistema de Windows para encontrar programas que están configurados para iniciarse automáticamente al arrancar el sistema operativo. También enumera qué extensiones se cargan en procesos de Windows, como los procesos que se cargan de Internet Explorer.

Imagen 11. Autoruns

Wireshark

Por último, mencionar a Wireshark, una herramienta desarrollada con la finalidad de analizar tráfico de red que se puede utilizar de diferentes maneras. Hemos hablado hace algún tiempo atrás sobre Wireshark con respecto al uso de filtros y sobre las opciones para hacer gráficos.

A la hora de ejecutar la pieza de malware como parte del análisis dinámico que queremos realizar, a través de Wireshark se puede verificar cuáles son los canales de comunicación que el malware utiliza, es decir, capturando los paquetes de red se puede verificar cómo el atacante se comunica con la víctima.

Conclusión

A lo largo de este artículo vimos varias herramientas, es importante destacar que si bien  el análisis dinámico nos brinda mucha más información en cuanto al comportamiento, el mismo se debe combinar con el análisis estático para acelerar el proceso de análisis de la muestra maliciosa.

A continuación, compartimos algunos enlaces de interés para iniciarse en el análisis de malware:

• 5 consejos para iniciarte en el análisis de malware
• 4 cursos online en Udemy para iniciarse en el análisis de malware
• LOTS: una herramienta gratuita de extracción y análisis de strings
• Cómo analizar malware en .NET con 4 herramientas prácticas
• Ghidra: una herramienta gratuita de ingeniería inversa publicada por la NSA

Fuente: https://www.welivesecurity.com/

El mundo del software libre se mantiene en continúo crecimiento, al igual que la cantidad de personas que se van familiarizando con las nuevas tecnologías de código libre, que cubren diversas necesidades, desde laborales hasta sociales.

En ese sentido, este sistema operativo también sirve para proporcionar educación a la ciudadanía y especialmente a niños, niñas y adolescentes.

Precisamente, en la actualidad existen varias herramientas y aplicaciones elaboradas en software libre que ayudan en el proceso de formación de los más pequeños, de una forma didáctica e interactiva, abarcando áreas como lenguaje y matemáticas y convirtiéndose en novedosas alternativas para impartir conocimientos a las nuevas generaciones.

A continuación, se mencionan algunas de ellas:

-Katamotz: es un programa que ayuda a mejorar el proceso de lectura, mostrando en la pantalla textos por párrafos que aparecen y desaparecen a una velocidad controlada, concediendo además la posibilidad al lector de resaltar o colorear letras o palabras.

-KhangMan: basado en el mítico juego del ahorcado para aprender vocabulario.

-Kataluga: para jóvenes con dislexia y otros problemas que dificulten sus competencias lingüísticas.

-CubeTest: es un programa que sirve para que los niños y niñas de primaria practiquen la visión espacial, contestando 10 preguntas en las que se muestra un cubo y cuatro posibles vistas distintas de él, siendo sólo una de ellas correcta.

-Tux of Math Command: es un juego para ejercitar las cuatro operaciones matemáticas básicas: suma, resta, multiplicación y división. Los ejercicios se mueven de arriba para abajo en la pantalla y el jugador debe colocar los resultados correctos antes de que lleguen al suelo.

-TuxMathScrabble: otro juego pero, en este caso, de Scrabble matemático, con números en vez de letras, y las mismas cuatro operaciones fundamentales. Kitsune: es un programa para resolver problemas de aritmética, hallando un número concreto a partir de otros y, de nuevo, utilizando sólo las operaciones aritméticas elementales.

-WxGéométrie: es una calculadora gráfica para estudiantes de bachillerato que dispone de cuatro módulos diferenciados: geometría dinámica, estadísticas, trazador de curvas y cálculo científico.

El uso de estas herramientas de código libre permite a los jóvenes empoderarse y formar parte de las Tecnologías de la Comunicación y la Información (TIC), y al mismo tiempo aprovechar las ventajas que ofrecen los equipos informáticos y las nuevas tecnologías en beneficio de su conocimientos.

En Venezuela, el Gobierno Bolivariano impulsa iniciativas que forman a las niñas, niños y jóvenes de la Patria en el uso de las tecnologías libres. Entre ellas destaca el proyecto Caciquitos, herramienta educativa instalada en las computadoras Canaima, especial para diseñar y programar en un ambiente software libre.

Fuente: www.somoslibres.org

En este informe vamos a hablar de 5 herramientas gratuitas dedicadas a la enseñanza, para que puedas desarrollar tus conocimientos en diferentes plataformas. Hablaremos de un completo entorno educativo para Linux, una potente herramienta para estudiantes y profesionales de las matemáticas, hasta llegar a una aplicación con la cual podrás crear mapas conceptuales, entre otras opciones.

Roman Arabic Numerals Converter

Comenzaremos por todo lo alto con Roman Arabic Numerals Converter, una herramienta que ayudará a estudiantes y profesionales de las matemáticas a trabajar con números romanos y árabes. Con la aplicación podrás trabajar los números arábigos y el sistema de numeración romana mediante los números del teclado o usando el ratón.

Realmente la herramienta es una muy buena opción para convertir cifras árabes a números romanos o viceversa. Roman Arabic Numerals Converter es una aplicación gratuita disponible para Windows.

MecaNet

Si quieres aprender mecanografía desde tu ordenador, pero usando los métodos académicos tradicionales, con MecaNet tendrás una buena herramienta para mejorar tu velocidad en el teclado.

Si creas un perfil de usuario con la aplicación podrás ver tu progreso y tus fallos habituales. Y si quieres ir un poco más allá podrás acceder a exámenes cronometrados, juegos de mecanografía y cursos para el teclado numérico.

MecaNet es una aplicación gratuita disponible para Windows. Te recomendamos usar la instalación avanzada de la aplicación para evitar instalar toolbar de terceros que no hacen al buen funcionamiento de la utilidad.

GeoGebra

Ahora le toca el turno a la geometría y al álgebra, GeoGebra es una aplicación interactiva diseñada para la enseñanza y el aprendizaje del álgebra y geometría. La herramienta es un sistema de geometría dinámica y podrás construir mediante puntos, vectores, segmentos, rectas y secciones cónicas; también podrás ingresar ecuaciones y coordenadas.

GeoGebra es una aplicación gratuita en español y disponible para Windows, Mac OS X, distribuciones de Linux, como una aplicación web y extensión de Google Chrome.

CmapTools

Si lo que tienes que hacer son mapas conceptuales, diagramas, esquemas o croquis, con CmapTools podrás plasmar tus ideas teóricas en un entorno gráfico bastante sencillo de comprender.

Si realmente sabes lo que quieres con la aplicación podrás crear mapas conceptuales desde cero; pero si no tienes las ideas claras, CmapTools te brinda la opción de ver y usar a modo de ejemplo una base de datos de trabajos realizados que te servirán de guía para tu proyecto.

La herramienta te brinda un entorno profesional de trabajo para poder exportar tus esquemas en varios formatos, inclusive en formato web.

CmapTools es una aplicación gratuita disponible para Windows Mac, Linux y Solaris.

Huayra

Terminaremos con Huayra una aplicación que cubre todas las necesidades educativas de los alumnos de escuelas iniciales. Con la aplicación, tanto docentes, padres y alumnos encontrarán un entorno educativo idóneo para la formación del estudiante, porque la herramienta puede ser usada tanto en el aula como en el hogar.

Huayra dispone de edición y reproducción de sonido y vídeo, navegador de Internet, edición gráfica, juegos, herramientas de educación y contenido “Conectar argentina” como; Educ.ar, Canal Encuentro, Conectar Igualdad, Paka-Paka y Conéctate. Éstas son algunas de las 2.500 herramientas de la aplicación.

Huayra está basada en GNU/Linux y se encuentra disponible en formato ISO la imagen pesa 1,6 GB.

También te recomendamos un profesor de inglés de bolsillo, para que lo lleves a todas partes en tu dispositivo Android. Y desde Neoteo hablamos de eBooks gratuitos, los mejores espacios educativos para tus niños y una herramienta para que los más pequeños de la casa jueguen en el jardín.

Fuente: SomosLibres