Nueva herramienta del ISC: Base de datos con lista blanca de hashes
El NIST publica un conjunto de CDs, regularmente actualizados, con hashes para una cantidad de paquetes de software. La "National Software Reference Library" (NSRL) [1] es usada frecuentemente por forenses para eliminar de una investigación los archivos estándar no alterados. Sin embargo, siento que esta base de datos también tiene mucha utilidad para el análisis de malware. El software anti malware usualmente tiene un enfoque de "enumerar lo malo" en su intento por tener firmas de todo el malware conocido. Con el actual flujo de nuevas variantes de malware, este enfoque no funciona más.
Un problema que había con la NIST NSRL era que no había una forma sencilla de buscar un solo hash o archivo. Podía ordenar el conjunto de CDs o descargarlos, pero no había una forma simple de buscar un solo hash que fuera particularmente útil para el análisis de malware. Y no más. Descargamos la base de datos para ud. y ahora está disponible para ser consultada aquí: http://isc.sans.org/tools/hashsearch.html
El plan es agregar nuestra propia colección de hash a esta. Podría ofrecer también una búsqueda basada en DNS si hubiera interés. Para proveer alguna información de malware, agregué una búsqueda contra la base de datos de hashes de malware del Team Cymru.[2]
Como usar esta herramienta
Se puede buscar en base al nombre de archivo, el hash sha1 o md5. La búsqueda de malware por ahora sólo funciona con hashes md5. Para cada búsqueda, se puede obtener más de un resultado de respuesta. Por ejemplo, su busca "cmd.exe", obtendrá hashes para varias versiones de Windows que incluyen cmd.exe. Lo mismo si ingresa un hash, y el mismo binario es usado en múltiples productos.
Si desea contribuir con su propia colección de hashes, avísenos. En particular si tiene una buena colección de hashes de Windows 7. Ya que el foco de esta herramienta es el análisis de malware, los hashes de ejecutables y librerías son muy apreciados. Por favor contáctenos mediante http://isc.sans.org/contact.html para discutir los detalles. Los hashes contribución de fuentes distintas del NIST serán claramente identificados en tanto esos pueden no estar exactamente de acuerdo con los estándares del NIST.
[1] http://www.nsrl.nist.gov/
[2] http://www.team-cymru.org/Services/MHR/
Traducción: Raúl Batista - Segu-info
Autor: Johannes B. Ullrich, Ph.D.
Fuente: ISC - SANS
Un problema que había con la NIST NSRL era que no había una forma sencilla de buscar un solo hash o archivo. Podía ordenar el conjunto de CDs o descargarlos, pero no había una forma simple de buscar un solo hash que fuera particularmente útil para el análisis de malware. Y no más. Descargamos la base de datos para ud. y ahora está disponible para ser consultada aquí: http://isc.sans.org/tools/hashsearch.html
El plan es agregar nuestra propia colección de hash a esta. Podría ofrecer también una búsqueda basada en DNS si hubiera interés. Para proveer alguna información de malware, agregué una búsqueda contra la base de datos de hashes de malware del Team Cymru.[2]
Como usar esta herramienta
Se puede buscar en base al nombre de archivo, el hash sha1 o md5. La búsqueda de malware por ahora sólo funciona con hashes md5. Para cada búsqueda, se puede obtener más de un resultado de respuesta. Por ejemplo, su busca "cmd.exe", obtendrá hashes para varias versiones de Windows que incluyen cmd.exe. Lo mismo si ingresa un hash, y el mismo binario es usado en múltiples productos.
Si desea contribuir con su propia colección de hashes, avísenos. En particular si tiene una buena colección de hashes de Windows 7. Ya que el foco de esta herramienta es el análisis de malware, los hashes de ejecutables y librerías son muy apreciados. Por favor contáctenos mediante http://isc.sans.org/contact.html para discutir los detalles. Los hashes contribución de fuentes distintas del NIST serán claramente identificados en tanto esos pueden no estar exactamente de acuerdo con los estándares del NIST.
[1] http://www.nsrl.nist.gov/
[2] http://www.team-cymru.org/Services/MHR/
Traducción: Raúl Batista - Segu-info
Autor: Johannes B. Ullrich, Ph.D.
Fuente: ISC - SANS
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!