Conheça algumas das ferramentas de segurança mais importantes para análise de ameaças

Os profissionais de segurança precisam estar sempre atualizados, aprendendo sobre ferramentas, técnicas e conceitos para analisarem ameaças cada vez mais sofisticadas e ataques cibernéticos. Conheça as ferramentas de segurança mais importantes para análise de ameaças, indispensáveis para os profissionais de segurança.

Editores hexadecimais

Um editor hexadecimal (ou editor de arquivo binário) é um tipo de programa de computador que permite a manipulação dos dados binários fundamentais que constituem um arquivo de computador. O nome ‘hex’ vem de ‘hexadecimal’: um formato numérico padrão para representar dados binários. Temos alguns excelentes editores, como: HxD; 010 Editor; Oficina Hex; HexFiend e; Hiew.

Desmontadores

Um desmontador é um programa de computador que traduz linguagem de máquina em linguagem assembly (ou linguagem de montagem), a operação inversa à de um montador.

A desmontagem, a saída de um desmontador, geralmente é formatada para legibilidade humana, em vez de adequação para entrada de um montador, tornando-a principalmente uma ferramenta de engenharia reversa. Os desmontadores mais importantes: IDA Pro; Binary Ninja; Radare; Hopper; Capstone; objdump; fREedom e; plasma.

Detecção e Classificação

• AnalyzePE: Wrapper para uma variedade de ferramentas para geração de relatórios sobre arquivos do Windows PE.
• Assemblyline: Uma estrutura de análise de arquivo distribuído escalável.
• BinaryAlert: Um pipeline da AWS sem servidor e de código aberto que verifica e alerta sobre arquivos carregados com base em um conjunto de regras YARA.
  ClamAV – Mecanismo antivírus de código aberto.
• Detect-It-Easy: Um programa para determinar os tipos de arquivos.
• ExifTool: Ler, escrever e editar metadados de arquivos.
• File Scanning Framework: Solução modular e recursiva de verificação de arquivos.
• hashdeep: Calcula hashes de resumo com uma variedade de algoritmos.
• Loki: Scanner baseado em host para IOCs.
• Mau funcionamento: catalogue e compare o malware em um nível de função.
• MASTIFF: Estrutura de análise estática.
• MultiScanner: Estrutura modular de varredura/análise de arquivos.
• nsrllookup: Uma ferramenta para pesquisar hashes no banco de dados National Software Reference Library do NIST.
• packerid: Uma alternativa Python multiplataforma ao PEiD.
• PEV: Um kit de ferramentas multiplataforma para trabalhar com arquivos PE, fornecendo ferramentas ricas em recursos para análise adequada de binários suspeitos.
• Rootkit Hunter: Detecta rootkits Linux.
• ssdeep: Calcula hashes difusos.
• totalhash.py: script Python para pesquisa fácil no banco de dados TotalHash.cymru.com.
• TrID: Identificador de arquivo.
• YARA: Ferramenta de correspondência de padrões para analistas.
• Gerador de regras Yara: Gere regras yara com base em um conjunto de amostras de malware. Também contém um bom banco de dados de strings para evitar falsos positivos.

Instrumentação Binária Dinâmica

Ferramentas de instrumentação binária dinâmica: Pin; DynamoRio; frida e; dyninst.

Descriptografar Mac

Ferramentas de descriptografia do Mac:

Cerbero Profiler: Selecionar tudo -> Copiar para novo arquivo;
AppEncryptor: Ferramenta para descriptografar;
Class-Dump: use a opção de desproteção;
readmem: ferramenta de despejo de processo do OS X Reverser;

Ferramentas de emulador

Qemu;
unicorn.

Análise de Documentos

Ferramentas de análise de documentos: Ole Tools; Didier’s PDF Tools e; Origami.

Análise dinâmica

• ProcessHacker;
• Process Explorer;
• Process Monitor;
• Autoruns;
• Noriben;
• API Monitor;
• Wireshark;
• Fakenet;
• Volatility;
• LiME;
• Cuckoo;
• Objective-See Utilities;
• XCode Instruments: XCode Instruments for Monitoring Files and Process User Guide;
• dtrace: sudo dtruss = strace receitas do dtrace;
• fs_usage: relata chamadas do sistema e falhas de página relacionadas à atividade do sistema de arquivos em tempo real. E/S de arquivo: fs_usage -w -f filesystem;
• dmesg: exibe o buffer de mensagens do sistema
• Triton.

Desofuscação

• Balbuzard: Uma ferramenta de análise de malware para reverter a ofuscação (XOR, ROL, etc) e muito mais.
• de4dot: desofuscador e descompactador .NET.
• ex_pe_xor & iheartxor: Duas ferramentas de Alexander Hanel para trabalhar com arquivos codificados XOR de byte único.
• FLOSS: O FireEye Labs Ofuscated String Solver usa técnicas avançadas de análise estática para desofuscar automaticamente strings de binários de malware.
• NoMoreXOR: Adivinhe uma chave XOR de 256 bytes usando análise de frequência.
• PackerAttacker: Um extrator de código oculto genérico para malware do Windows.
• unpacker: Descompactador de malware automatizado para malware do Windows baseado em WinAppDbg.
• unxor: Adivinhe chaves XOR usando ataques de texto simples conhecidos.
• VirtualDeobfuscator: Ferramenta de engenharia reversa para wrappers de virtualização.
• XORBruteForcer: Um script Python para força bruta de chaves XOR de byte único.
• XORSearch & XORStrings: Alguns programas de Didier Stevens para encontrar dados XORed.
• xortool: Adivinhe o comprimento da chave XOR, bem como a própria chave.

Depuração

Nesta lista podemos ver as ferramentas para Disassemblers, debuggers e outras ferramentas de análise estática e dinâmica.

Ferramentas de depuração multiplataforma

• gdb
• vdb
• lldb
• qira

Ferramentas de depuração somente do Windows

• WinDbgGenericName
• Depurador de Imunidade
• Olly DBg v1.10
• Olly DBg v2.01
• Olly SnD
• Olly Shadow
• Olly CiMs
• Olly UST_2bg
• x64dbg

Ferramentas de depuração somente para Linux

• DDD

Além das ferramentas listadas neste post, muitas outras são necessárias para ps pesquisadores de segurança. Eles têm disponíveis muitas outras para: Engenharia Reversa, Análise Binária, Descompilação, Análise de bytecode, Importação de ferramentas de reconstrução, Análise de documentos e muito mais. Neste link, você tem acesso a todas elas!