Ir al contenido principal

Servicios online para análisis de Malware

El análisis de un nuevo malware es siempre una tarea que requiere muchos recursos, tanto en tiempo como en conocimiento, lo que al final se traduce en dinero. Además, los buenos analistas de malware son un bien escaso. Las Empresas desarrolladoras de antivirus hacen una inversión muy considerable cuando se enfrenta a nuevos espécimenes de virus, por lo que se está investigando bastante en el campo del análisis automático de programas maliciosos. Está lejos el día en que un programa pueda igualar a un buen profesional, y además, personalmente, me parece una pena dejarle a una máquina el placer de resolver un desafío tan gratificante como es comprender el funcionamiento de un malware a pesar de los obstáculos que pone el programador que lo ha ideado.
En cualquier caso, hay mucho malware nuevo cada día, y algunos son simplemente evoluciones de otros, así que vale la pena centrarse en los verdaderamente interesantes y usar analizadores automáticos para los demás. Existen diferentes alternativas de software, algunas gratuitas, para ayudarnos a destripar virus, y de ellas hablaremos otro día porque hoy quiero hablaros de los servicios de análisis online. Os presentaré algunos y veremos qué tal se comportan utilizando el virus win32.Alina.



Existen webs, como la conocida VirusTotal que son capaces de analizar archivos y cotejarlos con las bases de datos de diferentes antivirus para ver si el archivo es o no peligroso. Las webs que os presentaré a continuación van un paso más allá y realizan un verdadero análisis estático o dinámico del archivo. Como veremos, algunas profundizan más y otras realizan un trabajo más superficial.


ViCheck.ca
Además de ejecutables, ViCheck.ca puede examinar archivos en formato MS Office Word, Powerpoint, Excel, Access o Adobe PDF. Permite la carga de varios archivos a la vez. Lo único que tendremos que poner en el formulario, además del archivo que queremos examinar, es un correo electrónico donde se enviará el resultado del análisis. El resultado puede verse aquí. Como podemos observar, el análisis no es demasiado bueno en este caso. Habría que analizar cómo se comporta con otros espécimenes de malware.


Joe Security
Es una empresa suiza con bastante experiencia en este campo, y dispone de herramientas comerciales bastante interesantes. Además de un análisis dinámico, su software realiza análisis estático en busca de "códigos dormidos", es decir, partes del código que sólo se ejecutaran bajo ciertas condiciones (por ejemplo, malware dirigido a un objetivo concreto) y por lo tanto, son difíciles de detectar en un análisis dinámico normal. Además, es multiplataforma y es capaz de analizar incluso ficheros .apk de Android. Para este artículo he probado con analizador de ficheros genérico. Podemos ver aquí el resultado. La verdad es que el report generado es impresionante. Mucho detalle y bastante información. Obviamente, la versión de pago nos ofrece más datos.


Eureka!
Realiza análisis estadístico de bigramas para el desempaquetado del binario y trazado de ejecución. El resultado se puede ver aquí. Eureka! nos permite descargar el ejecutable desempaquetado por si queremos analizarlo, y nos permite examinar el desensamblado del ejecutable así como el diagrama de flujo de ejecución del mismo.


Anubis
Permite subir archivos ejecutables de Windows y .apk de Android. El resultado del análisis puede verse aquí. Tras finalizar, Anubis nos permite descargar el análisis en varios formatos, incluyendo HTML, XML o PDF, y además, podemos descargar el fichero .pcap con el tráfico generado por el malware. El informe es bastante completo y nos muestra gran cantidad de información sobre cómo interacciona el virus con el registro de Windows, el sistema de archivos, la red, llamadas al sistema, etc.


Hemos visto cuatro opciones para analizar malware online. Por supuesto hay otras, pero estas son una buena muestra de que podemos comenzar a analizar archivos maliciosos sin necesidad de montar complicados laboratorios o invertir en software especializado.
Si queremos hacer un trabajo más serio, será necesario montar un laboratorio propio y usar software más especifico, pero de eso ya os hablaré en otro artículo.

Comentarios

Entradas populares de este blog

Criptografía en Python con PyCrypto

A la hora de cifrar información con Python, tenemos algunas opciones, pero una de las más fiables es la librería criptográfica PyCrypto, que soporta funciones para cifrado por bloques, cifrado por flujo y cálculo de hash. Además incorpora sus propios generadores de números aleatorios. Seguidamente os presento algunas de sus características y también como se usa.


Creando firmas de virus para ClamAV

ClamAv es un antivirus opensource y multiplataforma creado por Tomasz Kojm muy utilizado en los servidores de correo Linux. Este antivirus es desarrollado por la comunidad, y su utilidad práctica depende de que su base de datos de firmas sea lo suficientemente grande y actualizado. Para ello es necesario que voluntarios contribuyan activamente aportando firmas.
El presente artículo pretende describir de manera sencilla cómo crear firmas de virus para ClamAV y contribuir con ellas a la comunidad.


Explotando vulnerabilidades: buffer overflow y shellcode

El anterior post lo dediqué a hablaros del funcionamiento de la pila en las llamadas a funciones con la intención de seguir profundizando hoy en los posibles problemas que pueden surgir de una programación poco cuidadosa. La mayoría de los problemas de seguridad que surgen a diario tienen su raíz en una vulnerabilidad del código ejecutable de un programa. Hoy voy a hablar de desbordamiento de buffers o buffer overflow y shellcodes.