[Slides].- Cazando Malware con Sysinternals

Hace mucho tiempo ya hablamos sobre [esta ponencia de Mark Russinovich] sobre como encontrar y cazar software malicioso gracias al paquete de herramientas para Windows, Sysinternal. a integración de estas herramientas con virus total se ve que ha dado sus frutos y ahora muchas utilizan este servicio para verificar si un archivo esta lanzando procesos maliciosos en cualquier punto en el que se encuentre el sistema. 

De esto tratan estas slides y son muy recomendables junto con la ponencia que os comentaba anteriormente: 

• https://www.rsaconference.com/writable/presentations/file_upload/hta-t07r-license-to-kill-malware-hunting-with-the-sysinternals-tools_final.pdf

Sed buenos ;) 

Anubis.- El Análisis de Malware Para Binarios Desconocidos

Hace mucho tiempo que os hable de sistemas de análisis de malware "online" como [Virustotal] o [Andrototal]. Las dos webs funcionan de una manera esquisita pero, hoy me he encontrado de cara con Anubis, que lejos de querer imitar a sus competidores, se centra en analisis de archivos .exe y .apk para generar un informe mas extenso del que podemos encontrar en los anteriores sistemas. 

"Anubis es una herramienta para analizar el comportamiento de ejecutables Windows PE con especial énfasis en el análisis de malware. Anubis como resultado, genera un archivo de informe que contiene suficiente información para dar a un usuario, una muy buena impresión sobre el propósito y las acciones de la binaria analizada. El informe generado incluye información detallada acerca de las modificaciones realizadas en el registro de Windows o el sistema de archivos, acerca de las interacciones con el Administrador de servicios de Windows u otros procesos y por supuesto que registra todo el tráfico de red generado. El análisis se basa en ejecutar el binario en un entorno emulado y viendo es decir, el análisis de su ejecución. El análisis se centra en los aspectos relevantes para la seguridad de las acciones de un programa, lo que hace más fácil el proceso de análisis y debido a que el dominio es más fino que permite obtener resultados más precisos. Es la herramienta ideal para el malware y virus de persona interesada en obtener una rápida comprensión del propósito de un binario desconocido."

Si  teneis ganas de jugar un poco con esto aquí os dejo el enlace:

• http://anubis.iseclab.org/?action=home

Sed Buenos con esto 0;) 

Process Explorer.- Con Virustotal

Hace muchísimo que os hable de una herramienta de [sysinternals] llamada [Process Explorer] la cual era de mucha utilidad para ver si habían procesos no conocidos o de procedencia sospechosa. Pero también hace mucho mas tiempo que os hablé de la archi-famoso [Virustotal] el cual fue comprado por Google y que ahora gracias a sysinternals podremos disfrutar de el fusionado con la nueva actualización para Process Explorer. Lo cual me encanta y creo que le viene como anillo al dedo a esta herramienta. 

"Gracias a la colaboración con el equipo de Virus Total, esta actualización de Process Explorer introduce la integración con VirusTotal.com, un servicio de análisis online de antivirus. Cuando se encuentre habilitado, Process Explorer envía los hashes de las imágenes y ficheros mostrados en el proceso y las vistas DLL a VirusTotal y si hubieran sido previamente analizadas, informaría cuantos motores de antivirus lo identificarían como supuestamente maliciosas. El resultado (que incluye enlace) nos dirigiría al informe en la propia VirusTotal.com e incluso se podría enviar ficheros para su análisis."

 Me muero de ganas de tener un hueco para probar esta actualización. Os dejo el enlace a la pagina de Windows Sysinternals para que podáis darle caña antes que yo.

• http://technet.microsoft.com/en-us/sysinternals/bb896653

Visto en:

• http://www.securitybydefault.com/2014/01/integracion-de-process-explorer-v16-con.html

Sed Buenos ;)