Existen herramientas para el análisis de aplicaciones maliciosas en Android, que permiten analizar los archivos APK sin necesidad de instalar la aplicación. La mayoría de estas herramientas utilizan técnicas sandbox (aislamiento de procesos) es un mecanismo para ejecutar programas con seguridad y de manera separada. A menudo se utiliza para ejecutar código nuevo, o software de dudosa confiabilidad proveniente de terceros. Ese aislamiento permite controlar de cerca los recursos proporcionados a los programas, tales como espacio temporal en discos y memoria. Habitualmente se restringen las capacidades de acceso a redes, la habilidad de inspeccionar la máquina anfitrión y dispositivos de entrada entre otros. En este post citare varias como: CuckooDroid, AndroL4b, AppUse y HelDroid, otras online como:AndroTotal, Anubis, CopperDroid, SandDroid y Tracedroid.
CuckooDroid.
Es una extensión de Cuckoo Sandbox marco de análisis de software de código abierto para la automatización de análisis de archivos sospechosos de malware. Es un sistema automatizado, multiplataforma, para la emulación y análisis basado en la popular zona de pruebas Cuckoo y varios otros proyectos de código abierto. Proporcionando la inspección APK tanto estática como dinámica, así como evadir ciertas técnicas como: detección de entorno virtual, extracción de clave de cifrado, inspección SSL, huella de llamada de API, firmas básicas de comportamiento y muchas otras características. El marco es altamente personalizable y extensible aprovechando el poder de la gran comunidad de Cuckoo existente.
El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la detección y eliminación de malware no es suficiente: es de vital importancia entender: cómo funcionan, lo que harían en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el análisis de una violación interna, recolectar datos procesables y analizar posibles amenazas.
Cuckoo genera un puñado de diferentes datos brutos, que incluyen:
- Las funciones nativas y API de Windows llamadas huellas.
- Las copias de los archivos creados y eliminados del sistema de ficheros.
- Volcado de la memoria del proceso seleccionado.
- Volcado completo de memoria de la máquina de análisis.
- Capturas de pantalla del escritorio durante la ejecución del análisis de malware.
- Volcado de red generado por la máquina que se utiliza para el análisis.
A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podrían incluir:
- Informe JSON.
- Informe HTML.
- Informe MAEC.
- Interfaz de MongoDB.
- Interfaz HPFeeds.
Lo más interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentación de informes. Cuckoo proporciona todos los requisitos para integrar fácilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee.
Fuente:https://www.gurudelainformatica.es/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
