10 oct. 2017

FLARE VM: máquina virtual para diseccionar malware

Para analizar cualquier archivo sospechoso es muy recomendado hacerlo siempre desde una máquina virtual emulando un sistema víctima para así poder observar el comportamiento de ese malware en el entorno virtualizando, a pesar de que alguna clase de malware sea capaz de detectar su ejecución en una maquina virtual (comúnmente por procesos creado por el software de virtualización) y alterar su comportamiento para pasar desapercibido, esto no suele ser lo más común pero podría ocurrir, aún así los análisis se deben realizar en un entorno virtualizado para así también evitar que el sistema anfitrión se vea afectado por alguna de las pruebas como un análisis dinámico.
También necesitaremos para el análisis del malware diversas herramientas como desensambladores, decompiladores, software para la monitorización, debuggers... Como ya bien sabrá cualquier aficionado al reversing y al análisis de malware.

Pues gracias a FLARE VM podremos olvidarnos de tirar nuestro preciado tiempo configurando e instalando herramientas para analizar malware, ya que esta herramienta creada por la gente de FireEye se encargará de descargarnos un montón de herramientas dedicadas al análisis de malware, reversing, análisis forense...

FLARE VM es una especie de máquina virtual que se basa en Windows 7 o superior y que se encargará de armar nuestro laboratorio para el análisis de malware principalmente con herramientas para el debugging, desensamblado, decompiladores, herramientas para el análisis estático y dinámico, análisis y manipulación de red, análisis web, explotación, análisis de vulnerabilidades en aplicaciones.

Los desarrolladores de este proyecto mencionan que se han inspirado en distribuciones Linux orientadas a la seguridad como Kali Linux, REMnux. 

Debuggers
  • OllyDbg + OllyDump + OllyDumpEx
  • OllyDbg2 + OllyDumpEx
  • x64dbg
  • WinDbg
Desensambladores
  • IDA Free
  • Binary Ninja Demo
Java:
  • JD-GUI
  • dex2jar
Visual Basic
  • VBDecompiler
Flash
  • FFDec
.NET
  • ILSpy
  • DNSpy
  • DotPeek
  • De4dot
Office
  • Offvis
Editores hexadecimales
  • FileInsight
  • HxD
  • 010 Editor
PE
  • PEiD
  • ExplorerSuite (CFF Explorer)
  • PEview
  • DIE
  • PeStudio
Editores de texto
  • SublimeText3
  • Notepad++
  • Vim
Útiles
  • MD5
  • 7zip
  • Putty
  • Wireshark
  • RawCap
  • Wget
  • UPX
  • Process Hacker
  • Sysinternals Suite
  • API Monitor
  • SpyStudio
  • Checksum
  • Unxutils
Python, modulos y herramientas
  • Python 2.7
  • Hexdump
  • PEFile
  • Winappdbg
  • FakeNet-NG
  • Vivisect
  • FLOSS
  • FLARE_QDB
  • PyCrypto
  • Cryptography
Otros
  • VC Redistributable Modules (2008, 2010, 2012, 2013, 2015)
Fuente: HackPlayers

1 comentario:

  1. Genial, vamos a probar la maquina virtual posteare mi experiencia... gracias por la informacion

    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!