Ya ha salido la versión 2.8 de #4n4lDetector junto a un vídeo para aprender a analizar el servidor del troyano #LarryLurexRAT. Este se trata de una modificación de #DarkComet realizada desde #debugger por mí mismo. También reviso técnicas de evasión de motores antivirus basados en comportamiento y sistemas #EDR. Además, abordo la extracción de #IOCs y la recolección de información previa a un ejercicio de #reversing de #malware.

Descarga:
https://github.com/4n0nym0us/4n4lDetector/releases/tag/v2.8
Vídeo:
https://www.youtube.com/watch?v=-zCPk_nuY4c

Añadidos en esta versión:
  

• Se añade un aviso en el apartado de secciones cuando la sección identificada sea ejecutable.
• Ahora se calculan también los Hashes SHA-256 y SHA-1 de todos los archivos analizados.
• Incluído el nombre original de la librería analizada en el botón de "[Export Table]".
• Ahora 4n4lDetector es capaz de identificar contenido en las Import Table a pesar de que el Offset "Original First Thunk" se encuentre a "0" como en los comprimidos de UPX.
• El módulo "Settings" ahora tiene una sutíl optimización para evitar congelamientos durante la descarga de las notificaciones.
• Se ha optimizado el código encargado de la extracción de recursos, ahora es más rápido.
• Se ha reestructurado la extracción de los Entry Points, optimizando su código y mejorando la velocidad de extracción.
• Se optimizaron y eliminaron algunas de las reglas internas de 4n4lDetector para evitar algunos falsos positivos.
• Se modificó el algoritmo extractor de descripciones de archivo, ahora es más efectivo.
• El resultado del Carving PE se almacena ahora en una carpeta llamada PECarve dentro del apartado de análisis. 
• Se reubicó la información de Virustotal en el panel principal. (Utilicen sus API_KEY personales).
[-] SORRY MICROSOFT... Creo que estamos en paz después de esa detección de CobaltStrike <3 
  
• El apartado de "IT Functions:" del análisis principal pasa a llamarse "Suspicious functions:", siendo este más acertado.
[-] Ahora las funciones cuentan con una descripción de sus funcionalidades.
  
• Ahora la funcionalidad de "Strings" se ejecuta de manera automática, visible en el botón "S" tras los análisis mientras "Intelligent Strings" esté activo.
[-] Aumentada la efectividad y la velocidad del módulo "Intelligent Strings" y de la funcionalidad "Strings".
  
• La opción "Sections Info" ahora es interna y en su lugar se ha creado una opcional para descomprimir muestras UPX.
[-] Las muestras descomprimidas se almacenan en la ruta de análisis, dentro de una carpeta llamada UPX.
      [-] El binario UPX se encuentra en la raíz de 4n4lDetector, en una carpeta llamada "bin" siendo modificable por el usuario.
  
• Ahora se agrupa la verificación de ejecutables firmados,la firma del checksum y la firma Rich en el apartado "Signatures".
• Cambios en el manejo de la firma Rich.
[-] Se extrae la firma al completo, no solo la primera parte.
      [-] Se agregó un hash para su detección.
      [-] se verifica la integridad de la misma con una revisión del algoritmo antiguo.
  
• Se ha agreado una herramienta nueva para realizar extracción de Offsets diréctamente del ejecutable y visiualizar sus contenidos.
[-] Ahora es posible realizar búsquedas de código manualmente en hexadecimal, ASCII y UNICODE.
      [-] También se ha incluido una funcionalidad para revisar el código en ensamblador.
      [-] Esta herramienta ejecuta sus funciones principales de forma automática con el Entry Point tras cada análisis.
  
• Se agregó la extracción de las tablas de importación y exportación del resto de arquitecturas ejecutables existentes.
[-] Alpha AXP, ARM, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel Itanium (IA-64), Intel i860, M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS little-endian, MIPS little-endian WCE v2, MIPS with FPU.