Introduzione agli strumenti di analisi dei malware
I vantaggi dell'utilizzo dei computer per scopi personali e ufficiali sono numerosi, ma esistono anche minacce derivanti dalle frodi che operano online. Tali frodi sono chiamate criminali informatici. Rubano la nostra identità e altre informazioni creando programmi dannosi chiamati malware. Il processo di analisi e determinazione dello scopo e della funzionalità del malware si chiama analisi del malware. Il malware è costituito da codici dannosi che devono essere rilevati utilizzando metodi efficaci e l'analisi del malware viene utilizzata per sviluppare questi metodi di rilevamento. L'analisi dei malware è inoltre essenziale per sviluppare strumenti di rimozione del malware dopo che i codici dannosi sono stati rilevati.
Strumenti di analisi del malware
Alcuni degli strumenti e delle tecniche di analisi del malware sono elencati di seguito:
1. PEiD
I criminali informatici cercano di impacchettare il loro malware in modo che sia difficile da determinare e analizzare. Un'applicazione utilizzata per rilevare tale malware compresso o crittografato è PEiD. L'utente dB è un file di testo da cui vengono caricati i file PE e PEiD può rilevare 470 forme di firme diverse nei file PE.
2. Dipendente Walker
I moduli di finestre a 32 e 64 bit possono essere scansionati usando un'applicazione chiamata Dipendent Walker. Le funzioni del modulo che vengono importate ed esportate possono essere elencate usando il Dipendency Walker. Le dipendenze dei file possono anche essere visualizzate utilizzando un walker delle dipendenze e ciò riduce al minimo il set di file richiesto. Le informazioni contenute in questi file come il percorso del file, il numero di versione, ecc. Possono anche essere visualizzate usando il walker di dipendenza. Questa è un'applicazione gratuita.
3. Pirata informatico
Le risorse dai file binari di Windows possono essere estratte usando un'applicazione chiamata Resource Hacker. Estrazione, aggiunta, modifica di risorse come stringhe, immagini, ecc. Possono essere fatte usando l'hacker delle risorse. Questa è un'applicazione gratuita.
4. PEview
Le intestazioni dei file eseguibili portatili sono costituite da informazioni insieme alle altre sezioni del file e queste informazioni sono accessibili tramite un'applicazione chiamata PEview. Questa è un'applicazione gratuita.
5. FileAlyzer
FileAlyzer è anche uno strumento per accedere alle informazioni nelle intestazioni dei file eseguibili portatili insieme alle altre sezioni del file, ma FileAlyzer fornisce più caratteristiche e funzioni rispetto a PEview. Alcune delle funzionalità sono VirusTotal per l'analisi accetta il malware dalla scheda VirusTotal e le funzioni stanno spacchettando UPX e altri file compressi.
6. SysAnalyzer Github Repo
I diversi aspetti degli stati di sistema e degli stati di processo vengono monitorati utilizzando un'applicazione chiamata SysAnalyzer. Questa applicazione viene utilizzata per l'analisi di runtime. Le azioni intraprese dal binario sul sistema sono riportate dagli analisti usando SysAnalyzer.
7. Regshot 1.9.0
Regshot è un'utilità che confronta il registro dopo che le modifiche al sistema sono state eseguite con il registro prima che il sistema cambi.
8. Wireshark
L'analisi dei pacchetti di rete viene eseguita tramite Wireshark. I pacchetti di rete vengono acquisiti e vengono visualizzati i dati contenuti nei pacchetti.
9. Servizio online Robtex
L'analisi di provider Internet, domini, struttura della rete viene effettuata utilizzando lo strumento di servizio online Robtex.
10. VirusTotal
L'analisi di file, URL per il rilevamento di virus, worm, ecc. Viene eseguita utilizzando il servizio VirusTotal.
11. Mobile-Sandbox
L'analisi del malware degli smartphone del sistema operativo Android viene eseguita tramite mobile-sandbox.
12. Malzilla
Le pagine dannose vengono esplorate da un programma chiamato Malzilla. Usando malzilla, possiamo scegliere il nostro agente utente e referrer e malzilla possono usare i proxy. La fonte da cui derivano le pagine Web e le intestazioni HTTP è mostrata da Malzilla.
13. Volatilità
Gli artefatti nella memoria volatile chiamati anche RAM che sono digitali sono estratti usando il framework Volatility ed è una raccolta di strumenti.
14. APKTool
Le app Android possono essere retroingegnerizzate tramite APKTool. Le risorse possono essere decodificate nella loro forma originale e possono essere ricostruite con le modifiche necessarie.
15. Dex2Jar
Il formato eseguibile Android Dalvik può essere letto usando Dex2Jar. Le istruzioni dex sono lette in formato dex-ir e possono essere modificate nel formato ASM.
16. Smali
L'implementazione della macchina virtuale di Dalvik e Android utilizza il formato dex e può essere assemblata o disassemblata utilizzando Smali.
17. PeePDF
I file PDF dannosi possono essere identificati utilizzando lo strumento PeePDF scritto in linguaggio Python.
18. Cuckoo Sandbox
L'analisi dei file sospetti può essere automatizzata utilizzando il sandbox a cucù.
19. Droidbox
Le applicazioni di Android possono essere analizzate utilizzando Droidbox.
20. Malwasm
Il database è costituito da tutte le attività di malware, i passaggi di analisi possono essere mantenuti utilizzando lo strumento malwasm e questo strumento si basa sulla sandbox del cuculo.
21. Regole Yara
La classificazione del malware che si basa su testo o binario dopo essere stati analizzati dallo strumento Cuculo viene effettuata dallo strumento chiamato Yara. Le descrizioni basate su pattern di malware sono scritte usando Yara. Lo strumento si chiama Regole Yara perché queste descrizioni sono chiamate regole. L'abbreviazione di Yara è Yet Another Recursive Acronimo.
22. Google Rapid Response (GRR)
Le impronte lasciate dal malware in specifiche workstation vengono analizzate dal framework di risposta rapida di Google. I ricercatori appartenenti alla sicurezza hanno mangiato google ha sviluppato questo framework. Il sistema di destinazione è costituito da un agente di Google Rapid Response e l'agente interagisce con il server. Dopo che il server e l'agente sono stati distribuiti, diventano i client di GRR e semplificano le indagini su ciascun sistema.
23. REMnux
Questo strumento è progettato per decodificare il malware. Combina diversi strumenti in uno per determinare facilmente il malware basato su Windows e Linux. Viene utilizzato per indagare sul malware basato su un browser, condurre analisi forensi sulla memoria, analizzare varietà di malware, ecc. Gli elementi sospetti possono anche essere estratti e decodificati utilizzando REMnux.
25. Bro
Il framework di bro è potente e si basa su una rete. Il traffico nella rete viene convertito in eventi e ciò a sua volta può attivare gli script. Bro è come un sistema di rilevamento delle intrusioni (IDS) ma le sue funzionalità sono migliori dell'IDS. Viene utilizzato per condurre indagini forensi, monitoraggio di reti, ecc.
Conclusione
L'analisi dei malware svolge un ruolo importante nell'evitare e determinare gli attacchi informatici. Gli esperti di sicurezza informatica erano soliti eseguire manualmente l'analisi del malware prima di quindici anni ed era un processo che richiedeva tempo, ma ora gli esperti di sicurezza informatica possono analizzare il ciclo di vita del malware utilizzando strumenti di analisi del malware aumentando così l'intelligence sulle minacce.
Articolo raccomandato
Questa è una guida agli strumenti di analisi dei malware. Qui discutiamo alcuni degli strumenti più comunemente usati come PEiD, Dependency Walker, Resource Hacker, ecc. Puoi anche consultare i nostri altri articoli suggeriti per saperne di più -
- Di cosa abbiamo bisogno il beta test?
- Introduzione agli strumenti di copertura del codice
- I 10 migliori strumenti di test cloud di successo
- 7 diversi strumenti IPS per la prevenzione del sistema