Como analista de malware o investigador de seguridad, tener una utilidad de análisis potente y dinámico es vital para poder identificar el malware de manera efectiva y eficiente. FortiAppMonitor es una utilidad gratuita desarrollada y lanzada por Fortinet diseñada para monitorear el comportamiento de los programas en macOS. Permite a los usuarios comprender las capacidades de malware y analizar rápidamente los comportamientos maliciosos de malware dirigido a macOS. Sus capacidades incluyen las siguientes características:
1. Supervisa la ejecución del proceso con argumentos de la línea de comando y la salida del proceso.
2. Supervisa todos los eventos comunes del sistema de archivos, incluidas las operaciones de abrir, leer, escribir, eliminar y renombrar archivos.
3. Supervisa las actividades de la red, incluidos UDP, TCP, consulta y respuesta de DNS, e ICMP para los protocolos IPv4 e IPv6.
4. Supervisa los eventos de carga de .dylib.
5. Supervisa los eventos de carga y descarga de KEXT.
También proporciona un filtro detallado para que los usuarios puedan establecer un filtro para los tipos de eventos que les interesan, así como una potente función de búsqueda para que los usuarios puedan buscar rápidamente en los registros basados en las palabras clave. Los usuarios también pueden guardar todos los registros en un archivo de formato JSON. Además, se puede acceder a todas estas funciones de FortiAppMonitor a través de un diseño de GUI fácil de navegar. Los usuarios también pueden copiar un registro específico en una pantalla GUI al portapapeles usando la tecla de acceso directo “Comando + C”.
Esta utilidad fue demostrada inicialmente por el investigador de FortiGuard Labs, Kai Lu, en el Black Hat USA 2018 Arsenal, titulado “Aprenda cómo construir su propia utilidad para monitorear comportamientos maliciosos de malware en macOS”. En esta presentación, Kai presentó esta solución avanzada para monitorear los comportamientos maliciosos de malware en el kernel macOS. También guió a los asistentes a través de todos los detalles técnicos clave para la implementación de esta utilidad. Para usuarios interesados en un tutorial rápido, puede descargar sus diapositivas de presentación aquí.
Pdf:
https://fortinetweb.s3.amazonaws.com/fortiguard/research/Learn_How_to_Build_Your_Own_Utility_to_Monitor_Malicious_Behaviors_of_Malware_on%20macOS_KaiLu.pdfVersiones soportadas:
macOS 10.11 (OS X El Capitan)
macOS 10.12 (macOS Sierra)
macOS 10.13 (macOS High Sierra)
macOS 10.14 (macOS Mojave, Beta)
Descarga:
https://fortinetweb.s3.amazonaws.com/fortiguard/research/fortiappmonitor_1.0.0_release.pkgPeso: 52.1 MB
SHA-1: 6DDA29A5B96B5AB9AC64471B94600FFD8024398C
Saludos.