Hay dos tipos principales de análisis de malware: estático y dinámico.

Realizar un análisis estático de un binario malicioso significa concentrarse en analizar su código sin ejecutarlo. Este tipo de análisis puede revelar a los analistas de malware no solo lo que hace el malware, sino también las intenciones futuras de su desarrollador (p. ej., funcionalidades actualmente sin terminar).

El análisis dinámico analiza el comportamiento del malware cuando se ejecuta, generalmente en un entorno limitado virtual. Este tipo de análisis debería revelar el comportamiento del malware y cualquier técnica de evasión de detección que utilice.

El análisis de malware beneficia a los analistas de seguridad al permitirles, entre otras cosas:

Identificar indicadores ocultos de compromiso (IOC).
Aumente la eficacia de las notificaciones y advertencias del COI.
Clasifica los incidentes según su gravedad.

Todas las herramientas de análisis de malware que se enumeran a continuación se pueden descargar y utilizar de forma gratuita.

capa: identifica automáticamente las capacidades de malware

capa detecta capacidades en archivos ejecutables. Lo ejecuta contra un módulo PE, ELF, .NET o un archivo de shellcode y le dice lo que cree que puede hacer el programa. Por ejemplo, podría sugerir que el archivo es una puerta trasera, es capaz de instalar servicios o depende de HTTP para comunicarse.

Solucionador de cadenas ofuscadas FLARE

FLARE Ofuscated String Solver ( FLOSS ) utiliza técnicas avanzadas de análisis estático para desofuscar automáticamente cadenas de archivos binarios de malware. Puede usarlo como strings.exe para mejorar el análisis estático básico de archivos binarios desconocidos.

Marco de ingeniería inversa de Ghidra Software

Ghidra es un marco de ingeniería inversa de software (SRE) creado y mantenido por la Dirección de Investigación de la Agencia de Seguridad Nacional. Este marco incluye un conjunto de herramientas de análisis de software de alto nivel y con todas las funciones que permiten a los usuarios analizar el código compilado en una variedad de plataformas, incluidas Windows, macOS y Linux. Las capacidades incluyen desensamblaje, ensamblaje, descompilación, creación de gráficos y secuencias de comandos, junto con cientos de otras características.

Malcom: Analizador de comunicación de malware

Malcom es una herramienta diseñada para analizar la comunicación de red de un sistema mediante representaciones gráficas del tráfico de red y compararlas con fuentes de malware conocidas. Esto resulta útil cuando se analiza cómo ciertas especies de malware intentan comunicarse con el mundo exterior.

Marco de seguridad móvil (MobSF)

MobSF es una aplicación móvil todo en uno automatizada (Android/iOS/Windows) para pruebas de penetración, análisis de malware y marco de evaluación de seguridad capaz de realizar análisis estáticos y dinámicos. MobSF admite binarios de aplicaciones móviles (APK, XAPK, IPA y APPX) junto con el código fuente comprimido y proporciona API REST para una integración perfecta con su canalización de CI/CD o DevSecOps. Dynamic Analyzer lo ayuda a realizar evaluaciones de seguridad en tiempo de ejecución y pruebas instrumentadas interactivas.

Pafish: herramienta de prueba

Pafish es una herramienta de prueba que utiliza diferentes técnicas para detectar máquinas virtuales y entornos de análisis de malware de la misma manera que lo hacen las familias de malware. El proyecto es gratuito y de código abierto; el código de todas las técnicas de antianálisis está disponible públicamente.

Radare2: el marco de ingeniería inversa similar a Libre Unix

El proyecto radare comenzó como un simple editor hexadecimal de línea de comandos centrado en análisis forense. Hoy en día, Radare2 es una herramienta de línea de comandos de bajo nivel con soporte para secuencias de comandos. Puede editar archivos en discos duros locales, ver la memoria del kernel y depurar programas localmente o mediante un servidor gdb remoto. El amplio soporte de arquitectura de Radare2 le permite analizar, emular, depurar, modificar y desensamblar cualquier binario.

theZoo: Un repositorio de malware en vivo

theZoo es un repositorio de malware vivo. El proyecto se creó para ofrecer una forma rápida y fácil de recuperar muestras de malware y código fuente de manera organizada con la esperanza de promover la investigación de malware.

Raúl Martínez

Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

Mejores herramientas de análisis de malware de código abierto que deberías usar para ingeniería inversa de un ransomware

capa: identifica automáticamente las capacidades de malware

Solucionador de cadenas ofuscadas FLARE

Marco de ingeniería inversa de Ghidra Software

Malcom: Analizador de comunicación de malware

Marco de seguridad móvil (MobSF)

Pafish: herramienta de prueba

Radare2: el marco de ingeniería inversa similar a Libre Unix

theZoo: Un repositorio de malware en vivo

Las 11 reglas esenciales de seguridad en la nube de Falco para proteger aplicaciones en contenedores sin costo

Cómo comprobar si una distro de Linux está comprometida por la puerta trasera XZ Utils en 6 pasos

La estrategia de gestión continua de exposición a amenazas CTEM paso a paso para AWS y AZURE

Malware PLC basado en web: una nueva técnica para hackear sistemas de control industrial

Seguridad API: 10 estrategias para mantener seguras las integraciones de API

Cómo robar la contraseña de Windows a través del correo de Outlook

11 formas de hackear ChatGpt y sistemas de IA generativa

CANAL DE NOTICIAS DE CIBERSEGURIDAD