Desde hace un tiempo estamos dando un servicio a nuestras Cajas de analisis forense 'on-site'.Esto consiste en analizar y obtener las pruebas (normalmente algún troyano bancario) para a continuación mandar al laboratorio el especimen y poder destripar el ejecutable y ver que 'coño' hace.
En algún caso lo hacemos nosotros con nuestras propias herramientas y en otros casos por tiempo lo subcontratamos a otras empresas con laboratorio propio. (no doy nombre que luego se enfadan 'los otros').
En estos días me encuentro con una ¿utilidad? o ¿servicio? que permite 'destripar' y analizar bichos informáticos. Según pone en su web, Sunbelt CWSandbox proporciona un rápido análisis de virus, spyware, troyanos, u otras muestras de malware. Permite cargar las muestras de malware para analizar y obtener resultados devueltos por correo electrónico. CWSandbox permite la recogida automática de malware de diferentes equipos, un servidor web / interfaz, o un directorio. En pocas palabras: Potente automatizador de análisis de malware. Incluidos los infectados por troyanos, los documentos de Office, objetos de ayuda de navegador (BHOs), URLs maliciosos y más - por la ejecución del código dentro de un ambiente controlado, es decir lo deben de ejecutar en algún tipo de Vmware controlado y automatizado.
Como tiene buena pinta, me pongo las pilas y subo un troyanico muy simple (el tini.exe) que abre una puerta trasera poniendose a la escucha desde el puerto 7777.
Para 'subir' el ejecutable lo hago desde la siguiente dirección que me proporciona la herramienta/servicio:
y este es el resultado obtenido:
[center]
Conclusiones: Herramienta de ayuda que te puede dar una idea del escenario de ejecución de un posible malware (siempre que sepas cual es el ejecutable) y de sus actuaciones. Habrá que probarlo con algún troyano más avanzado
...
En algún caso lo hacemos nosotros con nuestras propias herramientas y en otros casos por tiempo lo subcontratamos a otras empresas con laboratorio propio. (no doy nombre que luego se enfadan 'los otros').
En estos días me encuentro con una ¿utilidad? o ¿servicio? que permite 'destripar' y analizar bichos informáticos. Según pone en su web, Sunbelt CWSandbox proporciona un rápido análisis de virus, spyware, troyanos, u otras muestras de malware. Permite cargar las muestras de malware para analizar y obtener resultados devueltos por correo electrónico. CWSandbox permite la recogida automática de malware de diferentes equipos, un servidor web / interfaz, o un directorio. En pocas palabras: Potente automatizador de análisis de malware. Incluidos los infectados por troyanos, los documentos de Office, objetos de ayuda de navegador (BHOs), URLs maliciosos y más - por la ejecución del código dentro de un ambiente controlado, es decir lo deben de ejecutar en algún tipo de Vmware controlado y automatizado.
Como tiene buena pinta, me pongo las pilas y subo un troyanico muy simple (el tini.exe) que abre una puerta trasera poniendose a la escucha desde el puerto 7777.
Para 'subir' el ejecutable lo hago desde la siguiente dirección que me proporciona la herramienta/servicio:
y este es el resultado obtenido:
[center]
Conclusiones: Herramienta de ayuda que te puede dar una idea del escenario de ejecución de un posible malware (siempre que sepas cual es el ejecutable) y de sus actuaciones. Habrá que probarlo con algún troyano más avanzado
...