Ferramenta para Análise de Malware: FakeNet

FakeNet é uma ferramenta para análise de malwares que auxilia na análise dinâmica de um software malicioso. Ela simula uma rede onde permite que o malware trabalhe de forma funcional nessas interfaces simuladas, proporcionando um nível de análise muito detalhado sobre a atividade do malware dentro de um ambiente seguro e eficiente.

Objetivos da Ferramenta

  • Ser fácil de instalar e usar, a ferramenta pode ser executada em Windows e não requer bibliotecas de terceiros para funcionar;
  • Suporte aos protocolos mais utilizados pelos malwares;
  • Executa toda a atividade na máquina local para evitar a necessidade de uma segunda máquina virtual;
  • Fornece extensões Python para adicionar protocolos novos ou customizados;
  • Mantém o malware em execução para que você possa observar a maior parte de seu comportamento;
  • Tem uma configuração flexível, mas pode ser usado com configurações padrões.

Recursos

  • Suporta DNS, HTTP e SSL;
  • O servidor HTTP sempre serve um arquivo e tenta servir um arquivo significativo; se o malware solicitar um .jpg, então um formato .jpg devidamente formatado é servido, etc. Os arquivos que estão sendo servidos são configuráveis pelo usuário;
  • Capacidade de redirecionar todo o tráfego para localhost, incluindo o tráfego destinado a um endereço IP codificado;
  • Extensões Python, incluindo uma extensão de amostra que implementa SMTP e SMTP em SSL;
  • Construído na capacidade de criar um arquivo de captura (.pcap) para pacotes em localhost;
  • Dummy listener que escuta o tráfego em qualquer porta, auto-detecta e desencripta o tráfego SSL e exibe o conteúdo no console.

Funcionamento

O FakeNet utiliza uma variedade de bibliotecas de Windows e de terceiros. Utiliza um servidor HTTP e DNS personalizados para responder a essas requisições e usa OpenSSL para envolver qualquer conexão com SSL.

Além disso, também faz utilização de um Winsock Layered Service Provider (LSP) para redirecionar o tráfego para localhost e para escutar o tráfego em novas portas. Usa python 2.7 para as extensões de python e cria o arquivo .pcap reconstruindo um cabeçalho de pacote com base no tráfego de chamadas send/recv.

Créditos

  • Software design and development: Andrew Honig
  • Feature design and project management: Mike Sikorski
  • Code review and testing: John Laliberte and Niles Akens

Download da ferramenta de análise de malware

Para efetuar download do FakeNet, visite o link do projeto e baixe.

.


.

Fonte: Practical Malware Analysis

.

Deixe o seu comentário:

Seu endereço de e-mail não será publicado.

Rodapé do Site