Introdução às ferramentas de análise de malware

As vantagens de usar computadores para fins oficiais e pessoais são muitas, mas também existem ameaças pelas fraudes que operam online. Tais fraudes são chamadas de cibercriminosos. Eles roubam nossa identidade e outras informações criando programas maliciosos chamados malware. O processo de análise e determinação do objetivo e da funcionalidade do malware é chamado de análise de malware. O malware consiste em códigos maliciosos que devem ser detectados usando métodos eficazes e a análise de malware é usada para desenvolver esses métodos de detecção. A análise de malware também é essencial para desenvolver ferramentas de remoção de malware após a detecção dos códigos maliciosos.

Ferramentas de análise de malware

Algumas das ferramentas e técnicas de análise de malware estão listadas abaixo:

1. PEiD

Os cibercriminosos tentam compactar seus malwares para que seja difícil determinar e analisar. Um aplicativo usado para detectar esses malwares compactados ou criptografados é o PEiD. O usuário dB é um arquivo de texto no qual os arquivos PE são carregados e 470 formas de diferentes assinaturas nos arquivos PE podem ser detectadas pelo PEiD.

2. Dependency Walker

Os módulos das janelas de 32 e 64 bits podem ser verificados usando um aplicativo chamado Dependency walker. As funções do módulo importadas e exportadas podem ser listadas usando o walker de dependência. As dependências de arquivo também podem ser exibidas usando um caminhante de dependência e isso reduz ao mínimo o conjunto de arquivos necessário. As informações contidas nesses arquivos, como caminho do arquivo, número da versão, etc. também podem ser exibidas usando o Walker de Dependência. Este é um aplicativo gratuito.

3. Hacker de Recursos

Os recursos dos binários do Windows podem ser extraídos usando um aplicativo chamado Resource Hacker. A extração, adição, modificação de recursos, como seqüências de caracteres, imagens, etc., podem ser feitas usando o hacker de recursos. Este é um aplicativo gratuito.

4. PEview

Os cabeçalhos dos arquivos executáveis ​​portáteis consistem em informações, juntamente com as outras seções do arquivo, e essas informações podem ser acessadas usando um aplicativo chamado PEview. Este é um aplicativo gratuito.

5. FileAlyzer

O FileAlyzer também é uma ferramenta para acessar as informações nos cabeçalhos dos arquivos executáveis ​​portáteis, juntamente com as outras seções do arquivo, mas o FileAlyzer fornece mais recursos e funções quando comparado ao PEview. Alguns dos recursos do VirusTotal para análise aceitam o malware da guia VirusTotal e as funções estão descompactando o UPX e outros arquivos compactados.

6. SysAnalyzer Github Repo

Os diferentes aspectos dos estados do sistema e do processo são monitorados usando um aplicativo chamado SysAnalyzer. Este aplicativo é usado para análise de tempo de execução. As ações executadas pelo binário no sistema são relatadas pelos analistas usando o SysAnalyzer.

7. Regshot 1.9.0

O Regshot é um utilitário que compara o registro depois que as alterações do sistema são feitas com o registro antes da alteração do sistema.

8. Wireshark

A análise de pacotes de rede é feita através do Wireshark. Os pacotes de rede são capturados e os dados contidos nos pacotes são exibidos.

9. Serviço Online Robtex

A análise dos provedores de Internet, domínios e estrutura da rede é feita usando a ferramenta de serviço online Robtex.

10. VirusTotal

A análise de arquivos, URLs para detecção de vírus, worms etc. é feita usando o serviço VirusTotal.

11. Mobile-Sandbox

A análise de malware dos smartphones do sistema operacional Android é feita usando o sandbox móvel.

12. Malzilla

As páginas maliciosas são exploradas por um programa chamado Malzilla. Usando o malzilla, podemos escolher nosso agente de usuário e o referenciador e o malzilla podem usar proxies. A fonte da qual as páginas da Web e os cabeçalhos HTTP são derivados é mostrada pelo malzilla.

13. Volatilidade

Os artefatos na memória volátil, também chamados de RAM digitais, são extraídos usando a estrutura Volatility e é uma coleção de ferramentas.

14. APKTool

Os aplicativos Android podem ter engenharia reversa usando o APKTool. Os recursos podem ser decodificados para sua forma original e podem ser reconstruídos com as alterações necessárias.

15. Dex2Jar

O formato executável do Dalvik para Android pode ser lido usando o Dex2Jar. As instruções dex são lidas no formato dex-ir e podem ser alteradas para o formato ASM.

16. Smali

A implementação da máquina virtual da Dalvik e Android usa o formato dex e pode ser montada ou desmontada usando o Smali.

17. PeePDF

Arquivos PDF nocivos podem ser identificados usando a ferramenta PeePDF, escrita na linguagem python.

18. Caixa de areia do cuco

A análise de arquivos suspeitos pode ser automatizada usando a sandbox do cuco.

19. Droidbox

As aplicações do Android podem ser analisadas usando o droidbox.

20. Malwasm

O banco de dados que consiste em todas as atividades de malware, as etapas de análise podem ser mantidas usando a ferramenta malwasm e essa ferramenta é baseada na sandbox do cuco.

21. Regras de Yara

A classificação de malware que se baseia em texto ou binário após serem analisados ​​pela ferramenta Cuckoo é feita pela ferramenta chamada Yara. As descrições de malware baseadas em padrões são gravadas usando o Yara. A ferramenta é chamada de Regras do Yara, porque essas descrições são chamadas de regras. A abreviação de Yara é mais uma sigla recursiva.

22. Google Rapid Response (GRR)

As pegadas deixadas pelo malware em estações de trabalho específicas são analisadas pela estrutura do Google Rapid Response. Os pesquisadores pertencentes à segurança do Google desenvolveram essa estrutura. O sistema de destino consiste em um agente do Google Rapid Response e o agente interage com o servidor. Após a implantação do servidor e do agente, eles se tornam clientes do GRR e facilitam as investigações em cada sistema.

23. REMnux

Essa ferramenta foi projetada para fazer engenharia reversa de malware. Ele combina várias ferramentas em uma para determinar facilmente o malware com base no Windows e Linux. É usado para investigar o malware baseado em um navegador, realizar análises forenses na memória, analisar variedades de malware etc. Os itens suspeitos também podem ser extraídos e decodificados usando o REMnux.

25. Bro

A estrutura do bro é poderosa e é baseada em uma rede. O tráfego na rede é convertido em eventos e, por sua vez, pode disparar os scripts. Bro é como um sistema de detecção de intrusão (IDS), mas suas funcionalidades são melhores que o IDS. É usado para conduzir investigação forense, monitoramento de redes, etc.

Conclusão

A análise de malware desempenha um papel importante para evitar e determinar ataques cibernéticos. Os especialistas em segurança cibernética costumavam executar a análise de malware manualmente antes de quinze anos e era um processo demorado, mas agora os especialistas em segurança cibernética podem analisar o ciclo de vida do malware usando ferramentas de análise de malware, aumentando assim a inteligência de ameaças.

Artigo recomendado

Este é um guia para as Ferramentas de análise de malware. Aqui discutimos algumas das ferramentas mais usadas, como PEiD, Dependency Walker, Resource Hacker, etc. Você também pode consultar nossos outros artigos sugeridos para saber mais -

  1. O que precisamos de testes beta?
  2. Introdução às ferramentas de cobertura de código
  3. As 10 principais ferramentas de teste de nuvem bem-sucedidas
  4. 7 ferramentas IPS diferentes para prevenção de sistemas

Categoria:

Desenvolvimento de software