FLASHMINGO: herramienta gratuita para analistas de malware para analizar explotaciones de Flash

FireEye lanzó una herramienta de análisis automatizada gratuita FLASHMINGO, que permite a los analistas de malware detectar muestras flash sospechosas e investigarlas.

La herramienta integra varios análisis de flujos de trabajo de como una aplicación independiente o como una biblioteca poderosa y se puede extender a través de complementos de Python.

Adobe flash sigue siendo el software más explotado por los atacantes, tiene más de mil CVE asignadas hasta la fecha y casi novecientas de estas vulnerabilidades tienen una puntuación de CVSS cercana a nueve o superior.

"Debemos encontrar un compromiso entre la necesidad de analizar las muestras de Flash y la cantidad correcta de recursos que se gastarán en un producto en declive. Con este fin, desarrollamos FLASHMINGO, un marco para automatizar el análisis de archivos SWF", se lee en la publicación del blog de FireEye.
FLASHMINGO aprovecha el marco de código abierto SWIFFAS para analizar los archivos Flash. Con FLASHMINGO, todos los datos binarios y el bytecode se analizan y almacenan como SWFObject.

El SWFObject contiene una lista de etiquetas que incluyen información sobre todos los métodos, cadenas, constantes y datos binarios incrustados, entre otros.

La herramienta es una colección de complementos que cubren una amplia gama de análisis común que opera SWFObject y extrae la siguiente información:

• Encuentra nombres de métodos sospechosos. Muchas muestras contienen nombres de métodos utilizados durante el desarrollo, como "run_shell" o "find_virtualprotect". Este plug-in marca muestras con métodos que contienen subcadenas sospechosas.
• Encuentra constantes sospechosas. La presencia de ciertos valores constantes en el bytecode puede apuntar a código malicioso o sospechoso. Por ejemplo, el código que contiene el valor constante 0x5A4D puede ser shellcode buscando un encabezado MZ.
• Encuentra bucles sospechosos. La actividad maliciosa a menudo ocurre dentro de los bucles. Esto incluye la codificación, la decodificación y la pulverización de pilas. Este método de indicadores de plug-in contiene bucles con operaciones interesantes como XOR o bitwise AND. Es una heurística simple que detecta efectivamente la mayoría de las operaciones de codificación y decodificación, y de lo contrario, el código interesante para analizar más a fondo.
• Recuperar todos los datos binarios incrustados.
• Un plug-in de descompilador que utiliza el Decompilador de Flash FFDEC. Este motor de descompilador, escrito en Java, se puede utilizar como una biblioteca independiente. Como FLASHMINGO está escrito en Python, el uso de este complemento requiere que Jython interopere entre estos dos idiomas.

FLASHMINGO se puede ampliar agregando su propio complemento, tiene todos los complementos enumerados en el directorio de complementos, uno puede copiar su complemento en el directorio de plantillas, cambiarle el nombre y editar su manifiesto y código.

"A pesar de que Flash está listo para llegar al final de su vida útil a fines de 2020 y la mayoría de la comunidad de desarrollo se ha alejado de él hace mucho tiempo, predecimos que veremos a Flash como un vector de infección por un tiempo."

FLASHMINGO ofrece a los analistas de malware un marco flexible para lidiar con muestras de Flash, puede descargar la herramienta desde el repositorio de GitHub.

Traducción: Raúl Batista de la redacción de Segu-Info
Autor: Gurubaran S
Fuente: GBHackers on Security

Suscríbete a nuestro Boletín