Uma lista curada de ferramentas e de recursos para análise do malware

Análise malwares

Impressionante Status do link
Uma lista curada de ferramentas e de recursos awesome da análise do malware. Inspirado por awesome-python e awesome-php .

Coleção de Malware

Anonimizadores

Anonimizadores de tráfego da Web para analistas.
  • Anonymouse.org - um anonymizer livre, baseado correia fotorreceptora.
  • OpenVPN - Software VPN e soluções de hospedagem.
  • Privoxy - Um servidor proxy de código aberto com alguns recursos de privacidade.
  • Tor - The Onion Router, para navegar na web sem deixar vestígios do IP do cliente.

Honeypots

Armadilha e coletar suas próprias amostras.
  • Conpot - honeypot ICS / SCADA.
  • Cowrie - honeypot de SSH, baseado em Kippo. Dionaea - Honeypot projetado para capturar malwares.
  • Glastopf - Aplicação Web honeypot.
  • Honeyd - Criar um honeynet virtual.
  • HoneyDrive - Pacote de Honeypot Linux distro.
  • Mnemosyne - Um normalizador para dados de honeypot; Suporta Dionaea.
  • Thug - Baixa interação honeyclient, para investigar sites maliciosos.

Malware Corpora

Amostras de malware coletadas para análise.

Inteligência de ameaças de código aberto

Ferramentas

Colheita e análise de COIs.
  • AbuseHelper - Uma estrutura open-source para receber e redistribuir feeds de abuso e ameaça Intel.
  • AlienVault Open Threat Exchange - Compartilhe e colabore no desenvolvimento de Threat Intelligence.
  • Combinar - Ferramenta para reunir indicadores de Inteligência de ameaças de fontes publicamente disponíveis.
  • Fileintel - Puxe inteligência por hash de arquivo.
  • Hostintel - Puxe a inteligência por host.
  • IntelMQ - Uma ferramenta para CERTs para o processamento de dados de incidentes usando uma fila de mensagens.
  • IOC Editor - Um editor gratuito para arquivos XML IOC.
  • Ioc_writer - Biblioteca Python para trabalhar com objetos OpenIOC, de Mandiant.
  • Massa Octo Spice - Anteriormente conhecido como CIF (Collective Intelligence Framework). Acumula IOCs de várias listas. Curated pela fundação dos dispositivos de CSIRT .
  • MISP - Plataforma de Compartilhamento de Informações de Malware com curadoria do Projeto MISP .
  • PassiveTotal - Pesquise, conecte, marque e compartilhe IPs e domínios.
  • PyIOCe - Um editor Python OpenIOC.
  • Threataggregator - agrega ameaças de segurança de várias fontes, incluindo algumas das listadas abaixo em outros recursos .
  • ThreatCrowd - Um motor de busca de ameaças, com visualização gráfica.
  • ThreatTracker - Um script Python para monitorar e gerar alertas baseados em IOCs indexados por um conjunto de motores de busca personalizados do Google.
  • TIQ-test - Visualização de dados e análise estatística de feeds de Threat Intelligence.

Outros recursos

Inteligência de ameaça e recursos do COI.

Detecção e classificação

Antivírus e outras ferramentas de identificação de malware

Scanners on-line e Sandboxes

Scanners multi-AV baseados na Web e sandboxes de malware para análise automatizada.
  • APK Analyzer - Análise dinâmica gratuita de APKs.
  • AndroTotal - Análise on-line gratuita de APKs contra vários aplicativos antivírus móveis.
  • AVCaesar - Malware.lu scanner online e repositório de malware.
  • Cryptam - Analisar documentos de escritório suspeitos.
  • Cuckoo Sandbox - Open Source, caixa de proteção auto-hospedada e sistema de análise automatizada.
  • Cuckoo-modified - Versão modificada do Cuckoo Sandbox lançado sob a GPL. Não fundido upstream devido a preocupações legais pelo autor.
  • Cuckoo-modified-api - Uma API de Python usada para controlar uma sandbox modificada por cuco.
  • DeepViz - Analisador de arquivo multi-formato com classificação máquina-aprendizagem.
  • Detux - Uma sandbox desenvolvida para fazer análise de tráfego de malwares Linux e capturar IOCs.
  • Document Analyzer - Análise dinâmica gratuita de arquivos DOC e PDF.
  • DRAKVUF - Sistema dinâmico de análise de malware.
  • File Analyzer - Análise dinâmica gratuita de arquivos PE.
  • Firmware.re - Desembala, faz a varredura e analisa praticamente qualquer pacote de firmware.
  • Análise híbrida - ferramenta de análise de malware on-line, alimentado por VxSandbox.
  • IRMA - Uma plataforma de análise assíncrona e personalizável para arquivos suspeitos.
  • Joe Sandbox - Deep malware análise com Joe Sandbox.
  • Jotti - Free online multi-AV scanner.
  • Limon - Sandbox para Analisar Malwares Linux
  • Malheur - Análise automatizada automática do comportamento do malware.
  • Malware config - Extrair, decodificar e exibir online as configurações de malwares comuns.
  • Malwr - Análise gratuita com uma instância Cuckoo Sandbox online.
  • MASTIFF Online - Análise estática on-line de malware.
  • Metadefender.com - Digitalize um arquivo, hash ou endereço IP para malware (gratuito)
  • NetworkTotal - Um serviço que analisa os arquivos pcap e facilita a detecção rápida de vírus, worms, trojans e todos os tipos de malware usando o Suricata configurado com o EmergingThreats Pro.
  • Noriben - Usa Sysinternals Procmon para coletar informações sobre malware em um ambiente em área restrita.
  • PDF Examiner - Analisar arquivos suspeitos PDF.
  • ProcDot - Um kit gráfico de ferramentas de análise de malware.
  • Recomposer - Um script de ajuda para carregar com segurança binários para sites de área de segurança.
  • Sand droid - Automático e completo sistema de análise de aplicativos Android.
  • SEE - Sandboxed Execution Environment (SEE) é um framework para a construção de automação de teste em ambientes protegidos.
  • URL Analyzer - Análise dinâmica gratuita de arquivos de URL.
  • VirusTotal - Análise on-line gratuita de amostras de malware e URLs
  • Visualize_Logs - Biblioteca de visualização de código aberto e ferramentas de linha de comando para logs. (Cuco, Procmon, mais por vir ...)
  • Zeltser's List - Free sandboxes automatizados e serviços, compilado por Lenny Zeltser.

Análise de domínio

Inspecione domínios e endereços IP.

Malware do navegador

Analise URLs maliciosos. Consulte também as secções de análise de domínio e documentos e shellcode .
  • Firebug - extensão do Firefox para desenvolvimento web.
  • Java Decompiler - Decompile e inspecionar aplicativos Java.
  • Java IDX Parser - Analisa arquivos de cache Java IDX.
  • JSDetox - Ferramenta de análise de malware JavaScript.
  • Jsunpack-n - Um descompactador javascript que emula a funcionalidade do navegador.
  • Krakatau - Java decompiler, montador e desmontador.
  • Malzilla - Analisar páginas web maliciosas.
  • RABCDAsm - Um "Desassemblador Robusto de Bytecode ActionScript."
  • Swftools - Ferramentas para trabalhar com arquivos Adobe Flash.
  • Xxxswf - Um script Python para analisar arquivos Flash.

Documentos e Shellcode

Analisar JS e shellcode maliciosos de documentos PDF e Office. Consulte também a seção de malware do navegador.
  • AnalyzePDF - Uma ferramenta para analisar PDFs e tentar determinar se eles são maliciosos.
  • Box-js - Uma ferramenta para estudar malware JavaScript, com suporte JScript / WScript e emulação ActiveX.
  • DiStorm - Disassembler para analisar shellcode malicioso.
  • JS Beautifier - JavaScript desembalagem e deobfuscation.
  • JS Deobfuscator - Deobfuscate Javascript simples que usam eval ou document.write para esconder seu código.
  • Libemu - Biblioteca e ferramentas para a emulação shellcode x86.
  • Malpdfobj - Desconstruir PDFs maliciosos em uma representação JSON.
  • OfficeMalScanner - Procurar rastreios maliciosos em documentos do MS Office.
  • Olevba - Um script para analisar documentos OLE e OpenXML e extrair informações úteis.
  • Origami PDF - Uma ferramenta para analisar PDFs maliciosos, e muito mais.
  • PDF Tools - pdfid, pdf-parser, e mais de Didier Stevens.
  • PDF X-Ray Lite - Uma ferramenta de análise PDF, a versão backend-free de PDF X-RAY.
  • Peepdf - Ferramenta Python para explorar possíveis PDFs maliciosos.
  • QuickSand - QuickSand é um framework C compacto para analisar documentos suspeitos de malware para identificar exploits em fluxos de diferentes codificações e para localizar e extrair executáveis ​​incorporados.
  • Spidermonkey - mecanismo JavaScript do Mozilla, para depuração de JS malicioso.

File Carving

Para extrair arquivos de imagens de disco e memória.

Desfuscação

Reverter XOR e outros métodos de ofuscação de código.
  • Balbuzard - Uma ferramenta de análise de malware para reverter a ofuscação (XOR, ROL, etc) e muito mais.
  • De4dot - .NET deobfuscator e unpacker.
  • Ex_pe_xor & iheartxor - Duas ferramentas de Alexander Hanel para trabalhar com arquivos codificados XOR de um único byte.
  • FLOSS - O FireEye Labs Obfuscated String Solver usa avançadas técnicas de análise estática para desobedecer automaticamente strings de malware binários.
  • NoMoreXOR - Adivinha uma chave XOR de 256 bytes usando a análise de freqüência.
  • PackerAttacker - Um extractor de código escondido genérico para malware do Windows.
  • unpacker - Automated unpacker malware para malwares do Windows com base em WinAppDbg.
  • Unxor - Guess XOR chaves usando ataques conhecidos de texto simples.
  • VirtualDeobfuscator - Ferramenta de engenharia reversa para wrappers de virtualização.
  • XORBruteForcer - Um script Python para forçar bruta chaves XOR de um único byte.
  • XORSearch & XORStrings - Um par de programas de Didier Stevens para encontrar dados XORed.
  • Xortool - Guess comprimento da chave XOR, bem como a própria chave.

Depuração e Engenharia Reversa

Desassembladores, depuradores e outras ferramentas de análise estática e dinâmica.
  • Angr - Estrutura de análise binária agnóstica desenvolvida no Seclab da UCSB.
  • Bamfdetect - Identifica e extrai informações de bots e outros malwares.
  • BAP - Multiplataforma e open source (MIT) estrutura de análise binária desenvolvida no Cylab da CMU.
  • BARF - Multiplataforma, open source Análise binária e Reverse engineering Framework.
  • Binnavi - Análise binária IDE para engenharia reversa com base na visualização de gráficos.
  • Binário ninja - Uma plataforma de engenharia reversa que é uma alternativa à IDA.
  • Binwalk - Ferramenta de análise de firmware.
  • Bokken - GUI para Pyew e Radare. Espelho )
  • Capstone - Estrutura de desmontagem para análise binária e reversão, com suporte para muitas arquiteturas e ligações em vários idiomas.
  • Codebro - Navegador de código baseado na Web usando clang para fornecer análise básica de código.
  • DnSpy - editor de assembly do .NET, decompiler e depurador.
  • Evan's Debugger (EDB) - Um depurador modular com uma GUI Qt.
  • Fibratus - Ferramenta para exploração e rastreamento do kernel do Windows.
  • FPort - Relatórios abrem portas TCP / IP e UDP em um sistema ao vivo e os mapeia para o aplicativo proprietário.
  • GDB - O depurador GNU.
  • GEF - GDB Enhanced Features, para exploradores e engenheiros reversos.
  • Hackers-grep - Um utilitário para procurar seqüências de caracteres em executáveis ​​PE incluindo importações, exportações e símbolos de depuração.
  • IDA Pro - Desassemblador e depurador do Windows, com uma versão de avaliação gratuita.
  • Imunidade Debugger - Debugger para análise de malware e muito mais, com uma API Python.
  • Ltrace - Análise dinâmica para executáveis ​​do Linux.
  • Objdump - Parte de GNU binutils, para análise estática de binários Linux.
  • OllyDbg - Um depurador de nível de montagem para executáveis ​​do Windows.
  • PANDA - Plataforma de Arquitetura-Análise Dinâmica Neutra
  • PEDA - Python Exploit Development Assistance para GDB, uma exibição aprimorada com comandos adicionados.
  • Pestudio - Executa a análise estática de executáveis ​​do Windows.
  • Plasma - Desmontagem interativa para x86 / ARM / MIPS.
  • PPEE (filhote de cachorro) - um explorador profissional do arquivo do PE para verificadores, investigadores do malware e aqueles que querem inspecionar statically arquivos do PE mais detalhadamente.
  • Process Explorer - Gerenciador de tarefas avançado para Windows.
  • [Process Hacker] ( http://processhacker.sourceforge.net/ ) - Ferramenta que monitora os recursos do sistema
  • Process Monitor - Ferramenta de monitoramento avançada para programas do Windows.
  • PSTools - Ferramentas de linha de comando do Windows que ajudam a gerenciar e investigar sistemas ativos.
  • Pyew - Ferramenta Python para análise de malware.
  • Radare2 - Estrutura de engenharia reversa, com suporte a depuradores.
  • RegShot - Registry compara utilitário que compara snapshots.
  • RetDec - Decompilador de código máquina recarregável com um serviço de descompilação on-line e API que você pode usar em suas ferramentas .
  • ROPMEMU - Um framework para analisar, dissecar e descompilar ataques complexos de reutilização de código.
  • SMRT - Sublime Malware Research Tool, um plugin para Sublime 3 para ajudar com a análise de malware.
  • Strace - Análise dinâmica para executáveis ​​do Linux.
  • Triton - Uma estrutura de análise binária dinâmica (DBA).
  • Udis86 - Biblioteca e ferramenta de desmontagem para x86 e x86_64.
  • Vivisect - Ferramenta Python para análise de malware.
  • X64dbg - Um depurador x64 / x32 de código aberto para janelas.

Rede

Analise as interações de rede.
  • Bro - Protocolo analisador que opera em escala incrível; Protocolos de arquivo e de rede.
  • BroYara - Use as regras de Yara de Bro.
  • CapTipper - Explorador de tráfego HTTP malicioso.
  • Chopshop - Análise de protocolos e framework de decodificação.
  • Fiddler - Intercepting web proxy projetado para "web depuração."
  • Hale - Botnet C & C monitor.
  • Haka - Uma linguagem orientada a segurança de código aberto para descrever protocolos e aplicar políticas de segurança no tráfego (ao vivo) capturado.
  • INetSim - Emulação de serviços de rede, útil na construção de um laboratório de malware.
  • Laika BOSS - Laika BOSS é uma análise de malware centrada em arquivos e sistema de detecção de intrusão.
  • Malcom - Malware Communications Analyzer.
  • Maltrail - Um sistema malicioso de detecção de tráfego, utilizando listas (pretas) publicamente disponíveis contendo trilhas maliciosas e / ou geralmente suspeitas e apresentando uma interface de relatórios e análise.
  • Mitmproxy - interceptar o tráfego de rede em tempo real.
  • Moloch - captura de tráfego IPv4, indexação e sistema de banco de dados.
  • NetworkMiner - ferramenta de análise forense de rede, com uma versão gratuita.
  • Ngrep - Pesquisa através de tráfego de rede como grep.
  • PcapViz - Topologia de rede e visualizador de tráfego.
  • Python ICAP Yara - Um servidor ICAP com scanner yara para URL ou conteúdo.
  • Tcpdump - Recolher tráfego de rede.
  • Tcpick - Trach e reassemble os fluxos TCP do tráfego de rede.
  • Tcpxtract - Extrai arquivos do tráfego de rede.
  • Wireshark - A ferramenta de análise de tráfego de rede.

Forensics da memória

Ferramentas para dissecar malware em imagens de memória ou sistemas em execução.
  • BlackLight - Windows / MacOS forensics cliente suportando hiberfil, pagefile, análise de memória bruta
  • DAMM - Análise Diferencial de Malware na Memória, construída sobre a Volatilidade
  • Evoluir - Interface web para a Volatility Memory Forensics Framework.
  • FindAES - Localize chaves de criptografia AES na memória.
  • Muninn - Um script para automatizar partes da análise usando Volatilidade e criar um relatório legível.
  • Rekall - Estrutura de análise de memória, bifurcada da Volatility em 2013.
  • TotalRecall - Script baseado em Volatility para automatizar várias tarefas de análise de malware.
  • VolDiff - Executa volatilidade em imagens de memória antes e depois da execução de malware e alterações de relatório.
  • Volatilidade - Estrutura forense de memória avançada.
  • VolUtility - Interface Web para a estrutura da Análise de Memória de Volatilidade.
  • WinDbg - Inspeção de memória ao vivo e depuração de kernel para sistemas Windows.

Artefatos do Windows

Armazenamento e fluxo de trabalho

  • Aleph - Sistema de Pipeline de Análise de Malware OpenSource.
  • CRITs - Collaborative Research Into Threats, um repositório de malware e ameaças.
  • Malwarehouse - Armazene, marque e procure malware.
  • Polichombr - Uma plataforma de análise de malware projetada para ajudar os analistas a reverter malwares colaborativamente.
  • StoQ - Framework de análise de conteúdo distribuído com extenso suporte de plugins, de entrada para saída, e tudo mais.
  • Viper - Uma estrutura binária de gestão e análise para analistas e pesquisadores.

Diversos

  • Al-khaser - Um malware PoC com boas intenções que visa enfatizar sistemas anti-malware.
  • Binarly - Motor de busca de bytes em um grande corpus de malware.
  • DC3-MWCP - Estrutura do Malware Configuration Parser do Defense Cyber ​​Crime Center.
  • MalSploitBase - Um banco de dados contendo explorações usadas por malware.
  • Malware Museum - Coleção de programas de malware que foram distribuídos nos anos 80 e 90.
  • Pafish - Paranoid Fish, uma ferramenta de demonstração que emprega várias técnicas para detectar sandboxes e ambientes de análise da mesma forma que as famílias de malware.
  • REMnux - Distribuição Linux e imagens do docker para engenharia reversa e análise de malware.
  • Santoku Linux - Distribuição Linux para forense móvel, análise de malware e segurança.

Recursos

Livros

Material essencial de leitura de análise de malware.

Twitter

Algumas contas relevantes do Twitter.

De outros

Listas Awesome Relacionadas

Contribuindo

Solicitações de pull e problemas com sugestões são bem-vindos! Leia as diretrizes de CONTRIBUIÇÃO antes de enviar um PR.

obrigado

Esta lista foi tornada possível por:
  • Lenny Zeltser e outros colaboradores para desenvolver REMnux, onde eu encontrei muitas das ferramentas nesta lista;
  • Michail Hale Ligh, Steven Adair, Blake Hartstein e Mather Richard por escrever Cookbook do Analista de Malware , que foi uma grande inspiração para a criação da lista;
  • E todos os outros que enviaram solicitações de sugestões ou links sugeridos para adicionar aqui!