Malware analysis tools

linux
malware
analysis
kali

(root@sarius:~#) #1

Servus.

Doar ce mi-am tras Kali pe laptop și aș vrea să-l transform (și) într-o stație de malware analysis. Am mai făcut așa ceva recent dar doar cu ajutorul unui sandbox virtual online, un fel de preview al versiunii full. Vreau să instalez ceva tool-uri de analiză și-am zis să întreb pe aici dacă ați mai lucrat cu chestii de genul ăsta și îmi puteți recomanda ceva. Da, știu, aș fi putut căuta pe Gugăl, dar vreau părerile cuiva care a folosit și nu „testimoniale”.

Deocamdată vreau să introbag Limon (sandbox) Cuckoo (sandbox) și JSDetox (script deobfuscator). Alte recomandări?


(Cătălin Nicolescu) #2

Daca mai afli chestii interesante, posteaza si pe aici ca si eu cochetez cu domeniul asta, dar informatiile sunt putine si greu de gasit


(root@sarius:~#) #3

Food for thought:

  1. Ceva listă pe GitHub.
  2. Free Automated Malware Analysis Sandboxes and Services @ Lenny Zeltser.
  3. 5 Steps to Building a Malware Analysis Toolkit Using Free Tools @ Lenny Zeltser.
  4. V-Stream Sandbox @ Payload Security (tool automat de analiză cu versiune free-of-charge și plătită).
  5. Comparing Free Online Malware Analysis Sandboxes @ Security Intelligence.

(Adavidoaiei Dumitru-Cornel) #4

Imi aduc aminte de 1999 cand eram in clasa 9-a, era celebra librarie eminescu in tomis, unde teora avea o colectie foarte puternica pe programare, rasfoiam acolo din cand in cand cartile, aveau o carte de programare virus si antivirus, singurele carti care le cumparam erau de pascal si hardware, dar din pacate teora sa restrans odata cu extinderea internetului.


(Adavidoaiei Dumitru-Cornel) #5

@a.busuioc Kali are la baza searchsploit, este cea mai mare baza de date de exploit-uri, cu putin efort cred ca poate fi instalata pe orice distributie:

https://www.exploit-db.com/searchsploit/

La urma urmei Kali e bazat pe Debian.

Procedura standard este urmatoarea scanezi cu nmap si in functie de rezultat cauti si rulezi exploits cu searchsploit.


(Adavidoaiei Dumitru-Cornel) #6

Dupa un pic de research searchsploit poate fi instalat pe orice distributie Linux prin github, how to is in the previous post link.


(Adavidoaiei Dumitru-Cornel) #7

Un mic how to proces cap coada: cautare exploit, compilare(daca e scris in limbaj gen C), rulare:


(root@sarius:~#) #8

Kali are deja integrat Metasploit, care utilizează inclusiv exploit-uri din Exploit DB și știe să facă integrare cu exploit-uri third party. La ultimul eveniment la care am participat pe partea asta am integrat foarte ușor „DoublePulsar” și „EternalBlue” în Metasploit și-am pus la payload Meterpreter, după care-am avut acces de admin în toate mașinile din rețeaua virtuală în care am lucrat. Yay, Shadow Brokers.


(Adavidoaiei Dumitru-Cornel) #9

La o scanare se pare ca router-ul meu de acasa ruleaza un Linux embedded (https://en.wikipedia.org/wiki/OpenWrt) cu Kernel 2.6, mi se pare interesant daca il pot hackui si sa obtin un rootshell.

Majoritatea routerelor ruleaza Kernel de Linux, daca ne amintin in ani 2000 retelele de bloc foloseau masini cu Linux pentru a face NAT, acuma s-a miniaturizat dar tot Linux ruleaza.


(Adavidoaiei Dumitru-Cornel) #10

@a.busuioc mi-am instalat si eu Kali, m-am jucat un pic cu tool-urile, dar ca si sistem de operare e ok, are functie de screen video recording integrata in distributie si tot ce stiam in sistemele Debian se aplica aici.


(root@sarius:~#) #11

Kali e bazat pe Debian, ceva fork am impresia. Related distros here.

Dacă ar fi după mine l-aș folosi pentru daily stuff, da’ cum unealta mobilă mai stă și pe la logodnică, e mai greu. La următoru’ laptop clar o să rulez exclusiv pe Linux.

Chestia funny cu Kali a fost că la instalare n-a fost nevoie să instalez nici măcar un driver pentru Ethernet / Wireless / Bluetooth / etc. În timp ce la ultima instalare de Windoze pe un laptop a trebuit să umblu cu DVD, că Windoze 7 nu are drivere pentru USB 3.0 și laptopul avea numai porturi de 3.0. So yeah, Windoze rullz, lol.


(Adrian Stanculescu) #12

Am eu multe cursuri de pe torenti (care intre timp au ramas fara seed). Vi le pot pune la indemana, insa nu stiu unde sa le uploadez. Aprox. 50 gb.


(Igor Mardari) #13

https://mega.nz
Cica ofera 50 gb free storage space.


(Adrian Stanculescu) #14


Corect, Dar 21.3kBs ? Dupa 3 zile am lasat-o balta.