Utilitarios para Análisis de Malware

Escáners en línea y herramientas de análisis de Virus/Malware

• GFI Public Sandbox - conocido formalmente como CWSandbox
• :: mwanalysis :: CWSandbox :: - servicio independiente de CWSSandbox mantenido por la Cátedra de Prácticas de Informática 1 de la Universidad de Mannheim
• SandBox Information Center - Norman
• VirusTotal - Escaner Online de Virus, Malware y URLs
• Jotti's malware scan
• Metascan Online - escáner online gratuito de ficheros con múltiples motores de antivirus
• ASafaWeb - analizador automático de la seguridad de sitios web en ASP.NET
• Virus Lab - información de virus de F-Prot Antivirus
• Anubis: Analyzing Unknown Binaries - informes realmente buenos y detallados
• Metascan Online - escáner online gratuito de ficheros con múltiples motores de antivirus
• ThreatExpert - escáner de ficheros on-line. Prueba ThreatExpert - Submission Applet
• ThreatExpert - Submit Your Sample Online - la misma gente con diferente interfaz
• Submit a sample - Microsoft Malware Protection Center
• Eureka Malware Analysis Page - servicio de análisis automático de binarios de malware
• Comodo Instant Malware Analysis
• File Verdict Service - sistema de análisis automático también de Comodo
• Wepawet - enfocado a ficheros JavaScript, PDF y Flash
• F-Secure - Sample Analysis System
• Xandora - Your Online Binary Analyser - análisis de ficheros PE de malware
• VirusChief - Online Virus Scan - escanea ficheros a través de una variedad de motores
• VirSCAN.org - escáner de virus multi-motor - soporta 36 motores de antivirus
• NoVirusThanks.org - escáner antivirus multi-motor - servicio
• avast! Online Scanner
• malwr.com - servicio de análisis de malware gratuito hecho a partir de un sandbox Cuckoo
• Online Malware Tool for Malware Analysis
• Autovin » Malware Submission - herramienta automática de Panda Security para incidentes con virus
• Ether: Malware Analysis via Hardware Virtualization Extensions - todavía en pruebas/beta
• SuspectFile - servicio de subida para análisis

Herramientas de análisis de ficheros PDF

• pdf examiner - Malware Tracker - sube y escanea ficheros PDF para una variedad de exploits
• PDF X-RAY - sube y escanea ficheros PDF sospechosos para detectar comportamiento malicioso
• PDF Stream Dumper - impresionante herramienta (freeware) instalable en local para el análisis de documentos PDF maliciosos. Es una herramienta básica para cualquier analista.
• PDF Tools « Didier Stevens - Didier tiene una gran colección de herramientas locales para tener a mano cuando se analizan archivos PDF.
• 6 Free Local Tools for Analyzing Malicious PDF Files - gran lista de herramientas PDF de Lenny Zeltser
• Analyzing Suspicious PDF Files With Peepdf - post de Lenny Zeltser de cómo usar la herramienta peepdf
• peepdf - PDF Analysis Tool - eternal-todo.com - herramienta gratuita en Python de Jose Miguel Esparza
• jsunpack - a generic JavaScript unpacker - herramienta online para extraer JavaScript de ficheros PDF, pcap, HTML o JavaScript. Para más información de este recurso visitarjsunpack-n - A generic JavaScript unpacker en el hosting Google Project-
• malware tracker blog - Blog del equipo Malware Tracker que contiene geniales análisis, write ups e informes.

Aunque no es para PDF el servicio Malware Tracker’s +Cryptam también puede escanear documentos "Office” en busca de contenidos maliciosos.

Herramientas Sandbox para el análisis de malware

• Minibis - CERT.at - “Software e indicaciones para instalar un sistema de análisis de malware automático basado en el paper "Mass Malware Analysis: A Do-It-Yourself Kit". “ de Christian Wojner
• Zero Wine: Malware Behavior Analysis - máquina virtual QEMU con Debian y herramientas para subir y analizar malware y generar informes
• Buster Sandbox Analyzer - proyecto basado en Sandboxie
• Cuckoo Sandbox - un sistema de análisis de malware que maneja ejecutables de Windows, ficheros DLL, documentos PDF y Office, scripts PHP y Python, URL de Internet, etc.
• Cuckoo for Cuckoo Box - post de SpiderLabs para Mac OS X.
• Analyzing Malware with Cuckoo Sandbox V3.0 - post de securitybananas.com
• Cuckoo Sandbox 101- Blog Infosanity de Andrew Waite donde aborda algunos aspectos críticos que encontró.
• Capture-BAT Page - The Honeynet Project - Herramienta de análisis de comportamiento de las aplicaciones en sistemas Win32 que proporciona conocimientos sobre el funcionamiento del software (impacto) del malware en lugar del archivo ejecutable malicioso en sí.
• Malware analysis tool, Capture-Bat - Gran tutorial escrito por Travis Altman para instalar y analizar los resultados de Capture-Bat.
• Sometimes Trouble Finds You.... - interesante y reciente entrada de Sketchymoose en su blog sobre cómo usar Capture-Bat en un vector de redirección de malware URL

Herramientas de análisis de Adobe Shockwave/Flash

• Introducing Adobe SWF Investigator - herramienta de Adobe Labs para extraer y tratar aparte los archivos SWF. Utiliza la plataforma de Adobe AIR.
• Adobe SWF Investigator | Flash security - Adobe Labs - enlace de descarga
• HP Communities - SWFScan - decompilador de Flash gratuito - Enterprise Business Community - Decompila ficheros Adobe Flash y realiza un escaneo de seguridad básico.
• Decompile Flash files with HP SwfScan - revisión de Mike Williams en BetaNews

Mandiant - en una palabra hará…

• MANDIANT - Red Curtain - de su descripción del producto: "MRC examina los archivos ejecutables (por ejemplo, EXE, DLL, etc.). para determinar si son sospechosos basándose en un conjunto de criterios. Se examinan múltiples aspectos de un archivo ejecutable, tales como la entropía (en otras palabras, aleatorización), indicaciones de packing, compilador y firmas, la presencia de las firmas digitales y otras características para generar una puntuación de la amenaza. Esta puntuación se puede utilizar para identificar si un conjunto de archivos requiere mayor investigación."
• MANDIANT Find Evil - herramienta de desensamblado para detectar ejecutables paquetizados
• Comprueba Mandiant’s Free Software así como otras herramientas que pueden ayudar en la investigación de malware.

Lecciones aprendidas y conocimientos compartidos por los profesionales del análisis de malware

Gracias al duro trabajo y al espíritu comunitario de los analistas de malware, podemos aprender de sus aportes. Estos son algunos de los mejores lugares para empezar.

• Malware Analysis Blog | quis custodiet ipsos custodes - Este blog acaba de empezar, pero las entradas hasta el momento han sido muy interesantes. El post de análisis de malware puesto en función de las operaciones de inteligencia y contrainteligencia es una revisión muy bien pensada de las cuestiones que un analista de malware debe tener familiarizadas.
• Hexacorn | Blog contiene muchos posts detallados y algunos retos para poner a prueba nuestras neuronas. Echa un vistazo a la categoría Malware Analysis y al post Extracting Strings from PE sections.
• Analyzing Malicious Documents Cheat Sheet by Lenny Zeltser - Lenny Zeltser comparte un genial repositorio de herramientas, recursos y técnicas en formato “cheat-sheet”.
• Introduction to Malware Analysis - (enlace PDF) - Esta presentación de Lenny Zeltser resume muchas de las bases importantes que el investigador debe tener en cuenta. Echa un ojo a Presentations, Webcasts, and Speaking Engagements by Lenny Zeltseren esta página.
• Otras entradas de Lenny Zeltser: Reverse-Engineering Malware Cheat Sheet y REMnux Usage Tips for Malware Analysis on Linux. Mr Zeltser ofrece formación en SANS Institutes si piensas en dedicarte a esto a nivel profesional. Revisa el enlace Reverse-Engineering Malware: Malware Analysis Tools and Techniques Course - Malware Analysis Training by Lenny Zeltser para más información.
• System Forensics - blog escrito por Patrick Olsen. Geniales y detalladas entradas de análisis. Por ejemplo algunas interesantes: Zeus v2 Malware Analysis - Part I y Zeus v2 Malware Analysis - Part II .
• Advanced Malware Cleaning - video on-line (~13 min) presentado por Mark Russinovich de Sysinternal que nos enseña herramientas y técnicas para limpiar manualmente un sistema de malware. Despúes de unos años siguie siendo bueno.
• Zero Day Malware Cleaning with the Sysinternals Tools - (enlace PDF) - “Presentación de Mark en la Blackhat US 2011 que nos enseña como usar herramientas de Sysinternals para cazar y eliminar malware”.
• Windows Incident Response: Malware Analysis - Harlan Carvey comparte algunos pensamientos y puntos de vista sobre la respuesta de malware y el campo de análisis desde una perspectiva forense digital.
• Is Anti-Virus Really Dead? A Real-World Simulation Created for Forensic Data Yields Surprising Results - SANS Computer Forensics y el blog Incident Response blog de robtlee muestra el valor de la respuesta ante incidentes de malware y la protección en un entorno empresarial.
• WEBCAST: Manually Removing Viruses & Malware - Blog de Kurt Shintaku - Mike Halsey, presentación del Microsoft MVP para "expulsar" malware de un sistema Windows. Requiere registro y estará accesible hasta el 5 de julio de este año.

Otras listas de recursos de análisis malware

• Malware Sandbox Services and Software - Andre’ M. DiMino - SemperSecurus blog
• Information Security Blog » Online Malware Analysis Scanners - Coresec.org
• Mantra's (Anti)-Malware Link Gallery - OWASP Mantra
• Malware Analysis - SecurityXploit
• Malware online scanners | Security on steroids - CleanBytes.net
• When You Only Have 10 Minutes... - Sketchymoose’s Blog

Fuente: Hackplayers