Parte del trabajo de los investigadores de seguridad informática
que tienen que pasar dificultades cuando estudian nuevos programas maliciosos o
desean analizar ejecutables sospechosos lo cual consiste en extraer el archivo
binario y todas las diferentes inyecciones y cadenas descifradas durante la
ejecución del malware. Volatility
Bot fue creado
por expertos de seguridad web para resolver estos tipos de problemas.
Según investigadores de seguridad informática,
Volatility Bot es una herramienta de automatización para investigadores de
seguridad web que corta todas las tareas de conjeturas y manuales de la fase de
extracción binaria, también sirve para ayudar al investigador de seguridad web
en los primeros pasos de realizar una investigación de análisis de memoria. No
sólo extrae automáticamente el ejecutable (exe), sino que también busca todos
los nuevos procesos creados en la memoria, inyecciones de código, cadenas,
direcciones IP, etc.
En la nueva versión de Volatility Bot, una nueva característica
es el análisis automatizado de vaciados de memoria, utilizando heurística y
YARA / Clam AV Scanners. Según expertos de seguridad web, de de
International Institute of Cyber Security IICS esta función es útil para el
análisis de la memoria a escala. Por lo general, este proceso inicial se
realiza manualmente, ya sea a través de una muestra de malware o un vaciado de
memoria y puede ser largo y tedioso.
CARACTERÍSTICAS
ACTUALES
§ Análisis
automatizado de muestras de malware (Basado en diferencias entre la imagen de
memoria limpia y la infectada)
§ Extracción
del código inyectado
§ Descarga
de nuevos procesos
§ Escaneo
Yara, análisis estático, extracción de cadenas, etc. en todos los trabajaos.
§ Análisis
heuristic automatizado de los vaciados de memoria que ayuda muchos los
investigadores de seguridad informática.
§ Detectar
anomalías usando heuristic y arrojar el código relevante
§ Análisis
Yara, análisis estático, extracción de cadenas, etc. en todos los trabajos.
INSTALACIÓN
1.
Crear una nueva máquina virtual, con Windows XP hasta Windows 10
x64.
2.
Asegúrese de que la máquina tiene windows defender, programas de
seguridad informática, seguridad web y FW deshabilitados, y tiene un IP
estático
3.
Instalar python 3.5
4.
Crear c: \ temp carpeta, o cambie la carpeta de destino en
config
5.
Copie el agente.py de Utils e inícielo
6.
Tome una instantánea de la VM
7.
Repita los pasos 1-6 para tantas máquinas virtuales como desee
0 comments:
Post a Comment