Menu

Auditoria de TI, GRC, Segurança Cibernética, Riscos e Controles

Análise de malware utilizando a ferramenta FakeNet

FakeNet é uma ferramenta para análise de malwares que auxilia na análise dinâmica de um software malicioso. Ela simula uma rede onde permite que o malware trabalhe de forma funcional nessas interfaces simuladas, proporcionando um nível de análise muito detalhado sobre a atividade do malware dentro de um ambiente seguro e eficiente.

Objetivos da Ferramenta

  • Ser fácil de instalar e usar, a ferramenta pode ser executada em Windows e não requer bibliotecas de terceiros para funcionar;

  • Suporte aos protocolos mais utilizados pelos malwares;

  • Executa toda a atividade na máquina local para evitar a necessidade de uma segunda máquina virtual;

  • Fornece extensões Python para adicionar protocolos novos ou customizados;

  • Mantém o malware em execução para que você possa observar a maior parte de seu comportamento;

  • Tem uma configuração flexível, mas pode ser usado com configurações padrões.

Recursos

  • Suporta DNS, HTTP e SSL;

  • O servidor HTTP sempre serve um arquivo e tenta servir um arquivo significativo; se o malware solicitar um .jpg, então um formato .jpg devidamente formatado é servido, etc. Os arquivos que estão sendo servidos são configuráveis pelo usuário;

  • Capacidade de redirecionar todo o tráfego para localhost, incluindo o tráfego destinado a um endereço IP codificado;

  • Extensões Python, incluindo uma extensão de amostra que implementa SMTP e SMTP em SSL;

  • Construído na capacidade de criar um arquivo de captura (.pcap) para pacotes em localhost;

  • Dummy listener que escuta o tráfego em qualquer porta, auto-detecta e desencripta o tráfego SSL e exibe o conteúdo no console.

Funcionamento

O FakeNet utiliza uma variedade de bibliotecas de Windows e de terceiros. Utiliza um servidor HTTP e DNS personalizados para responder a essas requisições e usa OpenSSL para envolver qualquer conexão com SSL.

Além disso, também faz utilização de um Winsock Layered Service Provider (LSP) para redirecionar o tráfego para localhost e para escutar o tráfego em novas portas. Usa python 2.7 para as extensões de python e cria o arquivo .pcap reconstruindo um cabeçalho de pacote com base no tráfego de chamadas send/recv.

Créditos

  • Software design and development: Andrew Honig
  • Feature design and project management: Mike Sikorski
  • Code review and testing: John Laliberte and Niles Akens

Download da ferramenta de análise de malware

Para efetuar download do FakeNet, visite o link do projeto e baixe.

.

.

Fonte: Practical Malware Analysis

.

Post Navigation

Novo botnet IoT denominado JenX infecta dispositivos e serviço de ataques DDoS por 20 dólares

2018: ano da privacidade?

Postagens relacionadas:

trojan-ursnif

Trojan Ursnif adota nova técnica de injeção de código

analise-malware-vba

Análise de malware baseado em macros VBA

dados-pessoais-comercio

Submundo dos crimes virtuais: dados pessoais, cartões de créditos e senhas

Deixe uma resposta:

Seu endereço de e-mail não será publicado.

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.

Salvo disposição em contrário, todo o conteúdo deste site está disponível sob a licença Creative Commons BY-NC-SA 4.0.
Este site tem fins educacionais e informativos. Nenhum conteúdo aqui deve ser considerado como aconselhamento jurídico ou tecnológico.
As opiniões neste site/blog são exclusivamente minhas e não refletem as de meus empregadores, passados, presentes ou futuros.
Valorizamos sua privacidade. Consulte nossa Política de Privacidade e o Aviso Legal para obter mais informações.