Anton Kuznetsov

Security Researcher.Purple Team.Speaker.Author in the xakep.ru

Песочницы и сканеры для динамического анализа вредоносного ПО

  • any.run — интерактивная онлайн-песочница.
  • BoomBox — автоматическое развертывание лаборатории для исследования вредоносных программ Cuckoo Sandbox с помощью Packer и Vagrant.
  • Cuckoo Sandbox — автономная песочница с открытым исходным кодом и автоматизированная система анализа.
  • cuckoo-modified — модифицированная версия Cuckoo Sandbox, выпущенная под лицензией GPL.
  • cuckoo-modified-api — API Python, используемый для управления песочницей, модифицированной cuckoo.
  • detux — песочница, разработанная для анализа трафика вредоносных программ Linux и захвата IOC.
  • DRAKVUF — Система динамического анализа вредоносных программ.
  • firmware.re — Распаковывает, сканирует и анализирует практически любую версию прошивки.
  • HaboMalHunter — инструмент автоматизированного анализа вредоносных программ для файлов ELF Linux.
  • Jotti — бесплатный мульти-AV-сканер онлайн.
  • Limon — песочница для анализа вредоносного ПО для Linux.
  • Malheur — Автоматический изолированный анализ поведения вредоносных программ.
  • malice.io — Масштабируемый фреймворк для анализа вредоносных программ.
  • malsub — API-фреймворк для онлайн-сервисов анализа вредоносных программ и URL-адресов.
  • MetaDefender Cloud — бесплатно сканируйте файл, хэш, IP-адрес, URL-адрес или доменный адрес на наличие вредоносных программ.
  • Noriben — использует Sysinternals Procmon для сбора информации о вредоносных программах в изолированной среде.
  • PacketTotal — PacketTotal — это онлайн-движок для анализа файлов .pcap и визуализации сетевого трафика внутри них.
  • sandboxapi — библиотека Python для создания интеграций с несколькими изолированными программными средами с открытым исходным кодом и коммерческими вредоносными программами.
  • SEE — Sandboxed Execution Environment (SEE) — это платформа для построения автоматизации тестирования в защищенных средах.
  • Hybrid Analysis — онлайн-инструмент для анализа вредоносного ПО на базе VxSandbox (имеет API).
  • VirusTotal — бесплатный онлайн-анализ образцов вредоносных программ и URL-адресов
  • InQuest Deep File Inspection — загружайте распространенные вредоносные программы для глубокой проверки файлов и эвристического анализа.

  • Visualize_Logs — библиотека визуализации с открытым исходным кодом и инструменты командной строки для журналов. (Cuckoo, Procmon, и.т.д)

  • Список Зельцера — бесплатные автоматизированные песочницы и сервисы, составленные Ленни Зельцером.
  • ProcDot — набор графических инструментов для анализа вредоносных программ.

Инструменты анализа подозрительных документов на наличие вредоносного кода (Shellcode, VBA, JS и.т.д)

  • PDF Tools — pdfid, pdf-parser и многое другое от Didier Stevens.
  • PDF X-Ray Lite — инструмент для анализа PDF, бесплатная версия PDF X-RAY.
  • peepdf — инструмент на Python для изучения потенциально вредоносных PDF-файлов (парсинг объектов, потоков, декодирование декомпрессирование и.т.д).
  • AnalyzePDF — инструмент для анализа PDF-файлов и попытки определить, являются ли они вредоносными.
  • Pdf-parser.py — аналогичная peepdf утилита, для анализа pdf;
  • malpdfobj — отобразить вредоносные PDF-файлы в представление JSON.
  • Origami PDF — инструмент для анализа вредоносных PDF-файлов и многого другого.
  • PDF Examiner — Анализ подозрительных файлов PDF.
  • olevba — скрипт для разбора документов OLE и OpenXML и извлечения полезной информации.
  • OfficeMalScanner — Сканирует вредоносные следы в документах MS Office.
  • box-js — инструмент для изучения вредоносных программ JavaScript с поддержкой JScript/WScript и эмуляцией ActiveX.
  • JS Beautifier — распаковка и деобфускация JavaScript.
  • Spidermonkey — движок JavaScript от Mozilla для отладки вредоносного JS.
  • box-js — инструмент для изучения вредоносных программ JavaScript с поддержкой JScript/WScript и эмуляцией ActiveX.
  • diStorm — дизассемблер для анализа вредоносного шеллкода.
  • libemu — библиотека и инструменты для эмуляции шеллкода x86.

Инструменты анализа вредоносной активности в сетевом трафике

  • FakeNet-NG — инструмент динамического сетевого анализа следующего поколения (хорошее описание в книге «Вскрытие покажет»).
  • INetSim — эмуляция сетевых служб, полезная при создании лаборатории вредоносных программ (хорошее описание в книге «Вскрытие покажет»).
  • ApateDNS — подделывает DNS-ответы для IP-адресов, которые относятся к определенному пользователю. Позволяет отслеживать запросы вредоносного ПО(хорошее описание в книге «Вскрытие покажет»).
  • Fiddler — перехватывающий веб-прокси, предназначенный для «веб-отладки».
  • Bro — анализатор протоколов, работающий в невероятных масштабах; как файловые, так и сетевые протоколы.
  • BroYara — Используйте правила Yara от Bro.
  • Chopshop — анализ структуры и декодирование протоколов.
  • HTTPReplay — библиотека для разбора и чтения файлов PCAP, включая сессии TLS с использованием ключей TLS (используется в песочнице Cuckoo).
  • Malcolm — мощный, легко развертываемый набор инструментов для анализа сетевого трафика с целью получения артефактов (файлы PCAP) и журналов Zeek.
  • mitmproxy — позволяет перехватывать сетевой трафик «на лету».
  • NetworkMiner — инструмент для судебного анализа сети с бесплатной версией (широко используется в DFIR).
  • ngrep — поиск по сетевому трафику, аналог grep в linux.
  • Tcpdump — сбор сетевого трафика.
  • tcpxtract — Извлечение файлов из сетевого трафика.
  • Wireshark — инструмент для анализа сетевого трафика.

Анализ исполняемых файлов

Анализа байткода

Дизассемблеры/декомпиляторы

Скрипты для IDA

Анализ APK

Анализ IPA

Mac Decrypt

Ресурсы для практики

CTF, Challenges and git repos для практики

Полезные книги