Iniciarse en análisis de malware en Windows

Rafa Pedrero en este post muestra las herramientas más utilizadas en el Análisis de Malware para Sistemas Windows, plataformas, repositorios y mucho más para iniciarte.

Se muestran las herramientas más comunes utilizadas así como plataformas online, trucos para ciertas utilidades, repositorios donde encontrar reglas Yara muy útiles, etc.

Lo primero de todo es preparar un entorno para analizar malware, una máquina virtual. Se puede optar por la que más guste, generalmente, el malware tratará de buscar dónde se encuentra, si está siendo ejecutado en VirtualBox, VMWare, Qemu, Windows SandBox, etc.

Contenido

• Comprobar cómo de detectable es la VM
• Pafish
• Identificar la muestra original ¿Empaquetado?
• DIE (Detect It Easy)
• EXEinfo
• PEiD (discontinuado)
• El formato PE al detalle
• PEview
• Información del malware: Imports, Exports, Resources, etc.
• PE Bear
• Triage
• PEStudio
• Resource Hacker
• Análisis estático de malware
• IDA
• Ghidra
• Radare2
• De4dot
• Dnspy
• Interactive Delphi Reconstructor
• Cutter (GUI radare2)
• Hexinator
• Análisis dinámico del malware
• x64dbg
• OllyDumpEx
• ScyllaHide
• xAnalyzer
• Tráfico de datos
• Fakenet-NG
• InetSim
• ApateDNSjun
• CAPE Sandbox (pago)
• Monitor de procesos
• Suite de Sysinternals
• Process Hacker
• Procdot + Windump + Graphviz
• API Monitor
• Hex Workshop Hex Editor (pago)
• Análisis de Malware en ficheros ofimáticos
• Oletools
• Herramientas PDF de Didier Stevens
• RTFdump
• PDFStreamDumper
• PDF-parser
• Scripting en Windows
• SpiderMonkey, V8 o cscript.exe del propio Windows
• ShellExecute
• CypherChef
• VbsEdit
• Análisis completo
• Remnux
• Malcat
• BlobRunner
• PE-Sieve
• Hasherezade

Fuente: Ciberseguridad.blog (I) | II | III | IV

Suscríbete a nuestro Boletín