Una herramienta de código abierto para realizar análisis estáticos de malware
Instalacion
eva@paradise:~$ git clone https://github.com/Th3Hurrican3/PEpper/
eva@paradise:~$ cd PEpper
eva@paradise:~$ pip3 install -r requirements.txt
eva@paradise:~$ python3 pepper.py ./malware_dir
Salida CSV
Característica extraída
- Suspicious entropy ratio
- Suspicious name ratio
- Suspicious code size
- Suspicious debugging time-stamp
- Number of export
- Number of anti-debugging calls
- Number of virtual-machine detection calls
- Number of suspicious API calls
- Number of suspicious strings
- Number of YARA rules matches
- Number of URL found
- Number of IP found
- Cookie on the stack (GS) support
- Control Flow Guard (CFG) support
- Data Execution Prevention (DEP) support
- Address Space Layout Randomization (ASLR) support
- Structured Exception Handling (SEH) support
- Thread Local Storage (TLS) support
- Presence of manifest
- Presence of version
- Presence of digital certificate
- Packer detection
- VirusTotal database detection
- Import hash
Notas
- Se puede ejecutar en PE simple o múltiple (colocado dentro de un directorio)
- La salida se guardará (en el mismo directorio de pepper.py) que output.csv
- Para usar la exploración VirusTotal, agregue su clave privada en el módulo llamado "virustotal.py" (se requiere conexión a Internet)
- La salida se guardará (en el mismo directorio de pepper.py) que output.csv
- Para usar la exploración VirusTotal, agregue su clave privada en el módulo llamado "virustotal.py" (se requiere conexión a Internet)
Creditos
Muchas gracias a quienes indirectamente me ayudaron en este trabajo, especialmente:
- El proyecto LIEF y su increíble biblioteca.
- El proyecto LIEF y su increíble biblioteca.
- PEstudio, un software realmente sorprendente para analizar PE
- PEframe de guelfoweb, una herramienta increíblemente extendida para realizar análisis estáticos en malware ejecutable portátil y documentos maliciosos de MS Office
- Proyecto Yara-Rules, que proporciona firmas compiladas, clasificadas y mantenidas lo más actualizadas posible
- Proyecto Yara-Rules, que proporciona firmas compiladas, clasificadas y mantenidas lo más actualizadas posible
0 Comentarios