martes, 20 de agosto de 2019

PEpper: un script de código abierto para realizar análisis estáticos de malware


Una herramienta de código abierto para realizar análisis estáticos de malware

Instalacion
 
eva@paradise:~$ git clone https://github.com/Th3Hurrican3/PEpper/
eva@paradise:~$ cd PEpper
eva@paradise:~$ pip3 install -r requirements.txt
eva@paradise:~$ python3 pepper.py ./malware_dir


Capturas de pantallas










 
Salida CSV


Característica extraída

  • Suspicious entropy ratio
  • Suspicious name ratio
  • Suspicious code size
  • Suspicious debugging time-stamp
  • Number of export
  • Number of anti-debugging calls
  • Number of virtual-machine detection calls
  • Number of suspicious API calls
  • Number of suspicious strings
  • Number of YARA rules matches
  • Number of URL found
  • Number of IP found
  • Cookie on the stack (GS) support
  • Control Flow Guard (CFG) support
  • Data Execution Prevention (DEP) support
  • Address Space Layout Randomization (ASLR) support
  • Structured Exception Handling (SEH) support
  • Thread Local Storage (TLS) support
  • Presence of manifest
  • Presence of version
  • Presence of digital certificate
  • Packer detection
  • VirusTotal database detection
  • Import hash

Notas

- Se puede ejecutar en PE simple o múltiple (colocado dentro de un directorio)
- La salida se guardará (en el mismo directorio de pepper.py) que output.csv
- Para usar la exploración VirusTotal, agregue su clave privada en el módulo llamado "virustotal.py" (se requiere conexión a Internet)

Creditos 

Muchas gracias a quienes indirectamente me ayudaron en este trabajo, especialmente:

- El proyecto LIEF y su increíble biblioteca.
- PEstudio, un software realmente sorprendente para analizar PE
- PEframe de guelfoweb, una herramienta increíblemente extendida para realizar análisis estáticos en malware ejecutable portátil y documentos maliciosos de MS Office
- Proyecto Yara-Rules, que proporciona firmas compiladas, clasificadas y mantenidas lo más actualizadas posible





Fuente: https://www.kitploit.com/
No olvides Compartir... 

Siguenos en twitter: @disoftin

No hay comentarios:

Publicar un comentario

Más leídas este mes