Analiza si tienes Malware/Ramsoware

Recomendaría usar el siguiente Script SSMA (Simple Static Malware Analyzer) para identificar si algún archivo tiene malware, entre otras cosas analiza y busca dentro del string del archivo:

  • Posibles dominios.
  • Direcciones IP, emails.
  • Si el dominio esta en un blacklist.
  • Funciones de Windows que son comunes en malware, como: OpenProcess, CreateProcess, Shellexecute.
  • Detección de Malware basado en Yara-rules
  • Existencia de algoritmos critográficos que son usado normalmente por Ramsowares.
  • Uso de VirusTotal para identicar malware.
  • Detecta la existencia de anti-debugging o anti -virtualization que son técnicas para evadir análisis de Malware automatizado.

Gracias por el gran aporte a: Lasha Khasaia

La instalación es muy sencilla:

Bajarse Python:

userx@NYC:~# sudo apt-get install python3-pip

Bajarse la Herramienta:

userx@NYC:~# git clone https://github.com/secrary/SSMA

dentro del directorio SSMA esta el script:

userx@NYC:~/SSMA# ls -l

total 68

-rw-r — r — 1 userx userx 35141 Mar 22 22:41 LICENSE

-rw-r — r — 1 userx userx 1782 Mar 22 22:41 README.md

-rw-r — r — 1 userx userx 57 Mar 22 22:41 requirements.txt

-rw-r — r — 1 userx userx63 Mar 22 22:41 requirements_with_ssdeep.txt

drwxr-xr-x 2 userx userx 4096 Mar 22 22:41 src

-rwxr-xr-x 1 userx userx 12496 Mar 22 22:41 ssma.py

userx@NYC:~/SSMA# sudo pip3 install -r requirements.txt

Collecting pefile (from -r requirements.txt (line 1))

Downloading pefile-2016.3.28.tar.gz (58kB)

100% |████████████████████████████████| 61kB 2.2MB/s

Collecting python-magic (from -r requirements.txt (line 2))

Downloading python_magic-0.4.13-py2.py3-none-any.whl

Collecting yara-python (from -r requirements.txt (line 3))

Downloading yara-python-3.5.0.tar.gz (551kB)

100% |████████████████████████████████| 552kB 876kB/s

Collecting virustotal-api (from -r requirements.txt (line 4))

Downloading virustotal-api-1.1.4.tar.gz

Collecting gitpython (from -r requirements.txt (line 5))

Downloading GitPython-2.1.3-py2.py3-none-any.whl (442kB)

100% |████████████████████████████████| 450kB 1.5MB/s

Collecting future (from pefile->-r requirements.txt (line 1))

Downloading future-0.16.0.tar.gz (824kB)

100% |████████████████████████████████| 829kB 915kB/s

Requirement already satisfied (use — upgrade to upgrade): requests>=2.2.1 in /usr/lib/python3/dist-packages (from virustotal-api->-r requirements.txt (line 4))

Collecting gitdb2>=2.0.0 (from gitpython->-r requirements.txt (line 5))

Downloading gitdb2–2.0.0-py2.py3-none-any.whl (63kB)

100% |████████████████████████████████| 71kB 5.1MB/s

Collecting smmap2>=2.0.0 (from gitdb2>=2.0.0->gitpython->-r requirements.txt (line 5))

Para correr el script es de la siguiente manera y validar si un archivo tiene Malware o rutinas peligrosas:

userx@NYC:~# python3 SSMA/ssma.py file-mlwtest

Image for post
Image for post

Fuente Directa del Autor: Lasha Khasaia

https://secrary.com/

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store