Volatility.- PublicMemoryImages

Cada vez me curro menos los nombres y es verdad pero es que se explican por si solos, por ejemplo hoy os traigo un recopilatorio de Dumps de memoria infectados con malaware para que podamos jugar. 

Lo mejor de estos volcados de memoria es que vienen de la mano de Volatility (La herramienta escrita en Python para poder analizar de una manera fácil estos dumps) y cada uno de ells vienen infectado con un malware concreto. Así que tenemos muchas muestras con las que poder jugar. 

Si os pica la curiosidad, aquí os dejo el enlace: 

• https://code.google.com/p/volatility/wiki/PublicMemoryImages

Sed Buenos ;) 

Vídeo.- Huellas En La Memoria Para Analisis De Malware

Seguimos con la tradición de una entrada rápida los domingos ya sabéis que hoy toca un vídeo o una infografia. Así que y dado que la gente de UPM TASSI aún no han subido todas las ponencias,  Os recomiendo un vídeo que vi hace unos días y que tenia guardado en la carpeta de "por si acasos". 

De esta manera os dejo con la ponencia de Mateo Martinez en la  DragonJAR Security Conference 2014 sobre las huellas en la memoria para análisis de malware:

Espero que os guste y que aprendais mucho.

Sed Buenos ;)

Anubis.- El Análisis de Malware Para Binarios Desconocidos

Hace mucho tiempo que os hable de sistemas de análisis de malware "online" como [Virustotal] o [Andrototal]. Las dos webs funcionan de una manera esquisita pero, hoy me he encontrado de cara con Anubis, que lejos de querer imitar a sus competidores, se centra en analisis de archivos .exe y .apk para generar un informe mas extenso del que podemos encontrar en los anteriores sistemas. 

"Anubis es una herramienta para analizar el comportamiento de ejecutables Windows PE con especial énfasis en el análisis de malware. Anubis como resultado, genera un archivo de informe que contiene suficiente información para dar a un usuario, una muy buena impresión sobre el propósito y las acciones de la binaria analizada. El informe generado incluye información detallada acerca de las modificaciones realizadas en el registro de Windows o el sistema de archivos, acerca de las interacciones con el Administrador de servicios de Windows u otros procesos y por supuesto que registra todo el tráfico de red generado. El análisis se basa en ejecutar el binario en un entorno emulado y viendo es decir, el análisis de su ejecución. El análisis se centra en los aspectos relevantes para la seguridad de las acciones de un programa, lo que hace más fácil el proceso de análisis y debido a que el dominio es más fino que permite obtener resultados más precisos. Es la herramienta ideal para el malware y virus de persona interesada en obtener una rápida comprensión del propósito de un binario desconocido."

Si  teneis ganas de jugar un poco con esto aquí os dejo el enlace:

• http://anubis.iseclab.org/?action=home

Sed Buenos con esto 0;) 

Manual Práctico Para el Análisis de Malware.

Muchas veces he estado tentado a crearme mi propio Lab para analizar malware de forma que, si se me fuera de las manos el bicho, no afectara na nadie mas que a la maquina virtual/servidor donde esté alojado.

La verdad es que es mucho más fácil decirlo que hacerlo ya que, hay malware capaz de aprovechar vulnerabilidades de la máquina virtual para infectar a todo el sistema. Esto hace referencia a que hoy viendo presentaciones antiguas de la blackhat un presentación que se hizo sobre la creación de labs en la BlackHat donde había un paper de Kris Kendall al respecto. 

El  recomienda la utilización de VMWare aunque afirma que no se puede estar seguro por tres razones: 

1. Por que en los sistemas virtualizados pueden existir fugas desde dicho sistema al host.
2. El Malware es capaz de detectar que se está ejecutando en una maquina virtual y modificar su comportamiento. 
3. Un gusano 0'day podría saltarse la sandbox del entorno virtualizado e infectanos. 

También presenta las herramientas que hay para tener un Lab seguro, aparte de enseñar los porcesos de un análisis estático y dinámico. Si teneis mas curiosidad, os dejo el enlace la presentación: 

• http://www.blackhat.com/presentations/bh-dc-07/Kendall_McMillan/Paper/bh-dc-07-Kendall_McMillan-WP.pdf  

Sed Buenos y no os pringuéis mucho analizando malware. ;) 

Canal Pirata de Snifer VII - Malware CookBook

Debido a un problema de capa 10 el pasado fin de semana no traje la entrada xD, si señores se me fue pense que era otro dia juraba que era viernes :P, por esa razon me olvide completamente pero que va el Gringo Frijolero ni recuerdo me hizo de la elaboración de la entrada, asi que para no fallar este fin de semana venimos con este excelente libro el cual es  Malware CookBook al cual le debo horas de lectura, debido que hasta ahora no logro terminar de leer un solo capitulo! :|.

Pero que va se que a mas  de uno le agradara y si andan interesados en este mundo de Malware (iniciamos el spam :$) en mi blog, ando con una sección dedicada al Malware el cual pueden pasarse y darle mas miraditas a este mundo.

 

Por si la fiesta no se acaba mas detalles del libro y las herramientas pueden acceder al siguiente enlace Aquí entre semana, por no decirlo ayer postee las imagenes forenses de malware del libro aquí podremos acceder al mismo y disfrutar de ello.

Sin mas que decirles, Happy Malware :D

Regards,

Snifer

PDF-Parser.- Bendito Sea Python

No muchos sabrán que las entradas a este blog son totalmente improvisadas, (Supongo que lo habréis supuesto xD) pero la verdad es que tampoco me gusta echar mano de los borrados los evito a no ser que sea imprescindible. Pues hoy ha sido uno de esos días que no tenia ni idea de que escribir, hasta que he visto la entrada de [Seifreed] en [DragonJar] donde presentaba la herramienta PDF-Parser. Una herramienta la mar de útil ni no queremos recurrir a sanboxs o a meterlo en el PeePDF, hecha en Python (Seee e.e) llamada PDF-Parser. Así que he decidido fusilarle la entrada. 

Aquí tenéis todas las opciones con las que podemos jugar con esta herramienta: 

Usage: pdf-parser.py [options] pdf-file|zip-file|url

pdf-parser, use it to parse a PDF document

Options:

• --version show program's version number and exit
• -h, --help show this help message and exit
• -s SEARCH, --search=SEARCH
• string to search in indirect objects (except streams)
• -f, --filter pass stream object through filters (FlateDecode,
• ASCIIHexDecode, ASCII85Decode, LZWDecode and
• RunLengthDecode only)
• -o OBJECT, --object=OBJECT
• id of indirect object to select (version independent)
• -r REFERENCE, --reference=REFERENCE
• id of indirect object being referenced (version
• independent)
• -e ELEMENTS, --elements=ELEMENTS
• type of elements to select (cxtsi)
• -w, --raw raw output for data and filters
• -a, --stats display stats for pdf document
• -t TYPE, --type=TYPE type of indirect object to select
• -v, --verbose display malformed PDF elements
• -x EXTRACT, --extract=EXTRACT
• filename to extract malformed content to
• -H, --hash display hash of objects
• -n, --nocanonicalizedoutput
• do not canonicalize the output
• -d DUMP, --dump=DUMP filename to dump stream content to
• -D, --debug display debug info
• -c, --content display the content for objects without streams or
• with streams without filters
• --searchstream=SEARCHSTREAM
• string to search in streams
• --unfiltered search in unfiltered streams
• --casesensitive case sensitive search in streams
• --regex use regex to search in streams

Source code put in the public domain by Didier Stevens, no Copyright

Use at your own risk https://DidierStevens.com

Espero que os guste y si queréis descargarlo o ver el código fuente de esta herramienta en la fuente:

• http://www.dragonjar.org/pdf-parser-tratando-documentos-pdf.xhtml

Sed Buenos ;)