Analiza si tienes Malware/Ramsoware
Recomendaría usar el siguiente Script SSMA (Simple Static Malware Analyzer) para identificar si algún archivo tiene malware, entre otras cosas analiza y busca dentro del string del archivo:
- Posibles dominios.
- Direcciones IP, emails.
- Si el dominio esta en un blacklist.
- Funciones de Windows que son comunes en malware, como: OpenProcess, CreateProcess, Shellexecute.
- Detección de Malware basado en Yara-rules
- Existencia de algoritmos critográficos que son usado normalmente por Ramsowares.
- Uso de VirusTotal para identicar malware.
- Detecta la existencia de anti-debugging o anti -virtualization que son técnicas para evadir análisis de Malware automatizado.
Gracias por el gran aporte a: Lasha Khasaia
La instalación es muy sencilla:
Bajarse Python:
userx@NYC:~# sudo apt-get install python3-pip
Bajarse la Herramienta:
userx@NYC:~# git clone https://github.com/secrary/SSMA
dentro del directorio SSMA esta el script:
userx@NYC:~/SSMA# ls -l
total 68
-rw-r — r — 1 userx userx 35141 Mar 22 22:41 LICENSE
-rw-r — r — 1 userx userx 1782 Mar 22 22:41 README.md
-rw-r — r — 1 userx userx 57 Mar 22 22:41 requirements.txt
-rw-r — r — 1 userx userx63 Mar 22 22:41 requirements_with_ssdeep.txt
drwxr-xr-x 2 userx userx 4096 Mar 22 22:41 src
-rwxr-xr-x 1 userx userx 12496 Mar 22 22:41 ssma.py
userx@NYC:~/SSMA# sudo pip3 install -r requirements.txt
Collecting pefile (from -r requirements.txt (line 1))
Downloading pefile-2016.3.28.tar.gz (58kB)
100% |████████████████████████████████| 61kB 2.2MB/s
Collecting python-magic (from -r requirements.txt (line 2))
Downloading python_magic-0.4.13-py2.py3-none-any.whl
Collecting yara-python (from -r requirements.txt (line 3))
Downloading yara-python-3.5.0.tar.gz (551kB)
100% |████████████████████████████████| 552kB 876kB/s
Collecting virustotal-api (from -r requirements.txt (line 4))
Downloading virustotal-api-1.1.4.tar.gz
Collecting gitpython (from -r requirements.txt (line 5))
Downloading GitPython-2.1.3-py2.py3-none-any.whl (442kB)
100% |████████████████████████████████| 450kB 1.5MB/s
Collecting future (from pefile->-r requirements.txt (line 1))
Downloading future-0.16.0.tar.gz (824kB)
100% |████████████████████████████████| 829kB 915kB/s
Requirement already satisfied (use — upgrade to upgrade): requests>=2.2.1 in /usr/lib/python3/dist-packages (from virustotal-api->-r requirements.txt (line 4))
Collecting gitdb2>=2.0.0 (from gitpython->-r requirements.txt (line 5))
Downloading gitdb2–2.0.0-py2.py3-none-any.whl (63kB)
100% |████████████████████████████████| 71kB 5.1MB/s
Collecting smmap2>=2.0.0 (from gitdb2>=2.0.0->gitpython->-r requirements.txt (line 5))
Para correr el script es de la siguiente manera y validar si un archivo tiene Malware o rutinas peligrosas:
userx@NYC:~# python3 SSMA/ssma.py file-mlwtest
Fuente Directa del Autor: Lasha Khasaia
