Autor
|
Tema: 4n4lDetector v1.8 (Leído 62,910 veces)
|
4n0nym0us
|
Ya ha salido la versión 2.8 de #4n4lDetector junto a un vídeo para aprender a analizar el servidor del troyano #LarryLurexRAT. Este se trata de una modificación de #DarkComet realizada desde #debugger por mí mismo. También reviso técnicas de evasión de motores antivirus basados en comportamiento y sistemas #EDR. Además, abordo la extracción de #IOCs y la recolección de información previa a un ejercicio de #reversing de #malware. Descarga: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.8Vídeo: https://www.youtube.com/watch?v=-zCPk_nuY4cAñadidos en esta versión: - Se añade un aviso en el apartado de secciones cuando la sección identificada sea ejecutable.
- Ahora se calculan también los Hashes SHA-256 y SHA-1 de todos los archivos analizados.
- Incluído el nombre original de la librería analizada en el botón de "[Export Table]".
- Ahora 4n4lDetector es capaz de identificar contenido en las Import Table a pesar de que el Offset "Original First Thunk" se encuentre a "0" como en los comprimidos de UPX.
- El módulo "Settings" ahora tiene una sutíl optimización para evitar congelamientos durante la descarga de las notificaciones.
- Se ha optimizado el código encargado de la extracción de recursos, ahora es más rápido.
- Se ha reestructurado la extracción de los Entry Points, optimizando su código y mejorando la velocidad de extracción.
- Se optimizaron y eliminaron algunas de las reglas internas de 4n4lDetector para evitar algunos falsos positivos.
- Se modificó el algoritmo extractor de descripciones de archivo, ahora es más efectivo.
- El resultado del Carving PE se almacena ahora en una carpeta llamada PECarve dentro del apartado de análisis.
- Se reubicó la información de Virustotal en el panel principal. (Utilicen sus API_KEY personales).
[-] SORRY MICROSOFT... Creo que estamos en paz después de esa detección de CobaltStrike <3 - El apartado de "IT Functions:" del análisis principal pasa a llamarse "Suspicious functions:", siendo este más acertado.
[-] Ahora las funciones cuentan con una descripción de sus funcionalidades. - Ahora la funcionalidad de "Strings" se ejecuta de manera automática, visible en el botón "S" tras los análisis mientras "Intelligent Strings" esté activo.
[-] Aumentada la efectividad y la velocidad del módulo "Intelligent Strings" y de la funcionalidad "Strings". - La opción "Sections Info" ahora es interna y en su lugar se ha creado una opcional para descomprimir muestras UPX.
[-] Las muestras descomprimidas se almacenan en la ruta de análisis, dentro de una carpeta llamada UPX. [-] El binario UPX se encuentra en la raíz de 4n4lDetector, en una carpeta llamada "bin" siendo modificable por el usuario. - Ahora se agrupa la verificación de ejecutables firmados,la firma del checksum y la firma Rich en el apartado "Signatures".
- Cambios en el manejo de la firma Rich.
[-] Se extrae la firma al completo, no solo la primera parte. [-] Se agregó un hash para su detección. [-] se verifica la integridad de la misma con una revisión del algoritmo antiguo. - Se ha agreado una herramienta nueva para realizar extracción de Offsets diréctamente del ejecutable y visiualizar sus contenidos.
[-] Ahora es posible realizar búsquedas de código manualmente en hexadecimal, ASCII y UNICODE. [-] También se ha incluido una funcionalidad para revisar el código en ensamblador. [-] Esta herramienta ejecuta sus funciones principales de forma automática con el Entry Point tras cada análisis. - Se agregó la extracción de las tablas de importación y exportación del resto de arquitecturas ejecutables existentes.
[-] Alpha AXP, ARM, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel Itanium (IA-64), Intel i860, M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS little-endian, MIPS little-endian WCE v2, MIPS with FPU.
|
|
|
En línea
|
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
|
|
|
4n0nym0us
|
4n4lDetector se ha comido la tarta entera. No encontrarán forma más rápida, estable y certera de realizar un análisis estático de malware, extracción de IOCs y pre-reversing. Esta versión junto a la posibilidad de revisar el buffer original del archivo, en formato texto y hexadecimal hace esta tarea mucho más sencilla. Además incorpora la gráfica analizando la estructura PE de forma visual y la posibilidad de identificar cualquier cadena desde el buscador de la herramienta sin límites entre otras muchas funcionalidades descritas a continuación. ![](https://scontent.fmad20-1.fna.fbcdn.net/v/t39.30808-6/450909064_10161337512242970_2289853408929311744_n.jpg?_nc_cat=106&ccb=1-7&_nc_sid=127cfc&_nc_ohc=VvaURih_-dgQ7kNvgEE1CXu&_nc_ht=scontent.fmad20-1.fna&oh=00_AYCxok8epB41q8LtgrCnEXV1ltXA65GoXAYVi3c8zjwTYA&oe=66973BBC) Descarga: https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.9Añadidos en esta versión: - Nuevo logo de la aplicación por Sandra Badia Gimeno (www.sandrabadia.com).
- Reubicadas las funciones Kernel-mode al apartado Suspicious Functions.
- Se incluyeron sorpresas para no aburrirse con el uso diario de la herramienta.
- Se realizaron multitud de pruebas enfocadas a dar la mayor estabilidad, velocidad y eficacia de los contenidos extraídos.
- Optimización durante el estado en reposo. Ya no se realizan comprobaciones de creación de ficheros para las funcionalidades de PECarve y UPX.
- Se incluyó la detección de las secciones que permiten escritura desde los flags.
- Se ha mejorado levemente la extracción de funciones de la "Export Table" mediante Carving.
- Se ha incluido el nombre del archivo bajo análisis en el contenido del informe.
- Se agregó una descripción más extensa sobre las posibilidades de la función Zombie_AddRef.
- Se corrigió un bug en el que el dump de la herramienta "Show Offsets" no permitía leer una pequeña porción del final del archivo analizado.
- Ahora al hacer click sobre el resultado de Virustotal del formulario principal, este nos llevará a la página web del análisis.
- Se ha incluido el análisis de Virustotal a los análisis realizados desde el modo consola.
- Revisión de las detecciones de Shikata_ga_nai y actualización de lo métodos heurísticos de detección de Payloads.
- Aumentada y mejorada la funcionalidad de extracción de consultas de la rama de registros ASCII y UNICODE.
- Aumentada y mejorada la funcionalidad de extracción de consultas SQL ASCII y UNICODE.
- Aumentada y mejorada la funcionalidad de extracción de URLs, también busca FTP y SFTP en ASCII y UNICODE.
- Aumentada y mejorada la funcionalidad de extracción de nombres de archivos ASCII y UNICODE.
[-] .EXE, .DLL, .BAT, .VBS, .VBE, .JSE, .WSF, .WSH, .PS1, .PSM1, .PSC1, .SCR, .HTA, .DLL, .PIF, .MSI, .MSP, .SYS, .CPL, .JAR, .TXT, .INI, .PDF, .WDS, .DOC - El buscador de palabras ha sido completamente deslimitado para cualquier ubicación de búsqueda de las cajas de texto.
[-] En la vista web el buscador ahora se bloquea automáticamente. - Solucionado un raro bug en el apartado de IPs que podía llevar el hilo de ejecución a un bucle sin terminar de analizar los archivos.
[-] Esta solución además corrigió la posibilidad de terminar análisis con una sola opción activa en el panel de módulos de la herramienta. - El módulo de 4n4l.rules convierte ahora internamente las reglas en formato texto "T:" en formato Unicode.
[-] Se optimizaron las reglas de este archivo, ahora busca más con menos. - Se aumentan de 100 hasta 1500 los bytes a revisar en el Entry Point por el archivo de reglas.
[-] Se revisaron algunas de las reglas para eliminar falsos positivos tras la actualización. - La lectura de los archivos de reglas se hace una sola vez tras arranzar la aplicación o tras el primer análisis, después queda cargado en memoria para próximos usos.
[-] El estado de carga se puede revisar desde el apartado de "Settings". - Se agregó la virgulilla (~), el dolar ($), la comilla simple (') y la comilla doble (") cómo caracteres que pueden formar parte de los reportes.
[-] Se aplica un filtro de conversión a estas comillas para la vista Web de la herramienta. - Se trabajó en la eficiencia del módulo "Intelligent Strings".
[-] Se aumentó la longitud de cadenas a analizar en todas las funcionalidades de Strings de la herramienta (75% cadenas más largas). [-] Ahora se realiza una limpieza específica de caracteres anómalos y se permiten nuevos. [-] Se extendieron las palabras de búsqueda. - Agregada una gráfica encargada de visualizar el contenido de los ejecutables y cualquier archivo analizado.
[-] La cabecera ejecutable se muestra de color azul. [-] Las secciones identificadas se encuentran divididas entre el color magenta para las secciones ejecutables y el color negro para el resto. [-] El código sobrante de los ejecutables tendrá un color rojo cómo en Crypters, Binders, Joiners... [-] Si la sección analizada contiene un RSize a cero, el contenido de la misma no será pintado en la gráfica. [-] Si el archivo no es un ejecutable de Windows, se analizarán los caracteres imprimibles y la ausencia de los mismos. De color azul y el negro cuando no exista contenido. [-] Al realizar doble click sobre la gráfica, esta automáticamente se guardará en la carpeta de análisis. [-] Las ejecuciones medinate el modo consola de la aplicación "-TXT", "-HTML" o "-GREMOVE" incluyen la gráfica cómo salida de análisis.
|
|
|
En línea
|
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
4n4lDetector v1.1
« 1 2 »
Análisis y Diseño de Malware
|
4n0nym0us
|
10
|
10,278
|
23 Junio 2015, 13:22 pm
por .:UND3R:.
|
|
|
4n4lDetector v1.2
Análisis y Diseño de Malware
|
4n0nym0us
|
3
|
4,726
|
3 Noviembre 2015, 13:37 pm
por WIитX
|
|
|
4n4lDetector v1.3
« 1 2 »
Análisis y Diseño de Malware
|
4n0nym0us
|
19
|
26,093
|
17 Octubre 2017, 21:27 pm
por 4n0nym0us
|
|
|
4n4lDetector v1.5
Análisis y Diseño de Malware
|
4n0nym0us
|
0
|
4,123
|
9 Noviembre 2017, 00:29 am
por 4n0nym0us
|
|
|
es de fiar 4n4lDetector ?
Dudas Generales
|
BIA
|
3
|
6,120
|
7 Febrero 2024, 15:11 pm
por Danielㅤ
|
|