Инструменты для исследования вредоносного ПО.

[Emilio_Gaviriya]

Специалисты по информационной безопасности руководствуются принципом "Знай своего врага", который применим и к вредоносному ПО. Существует множество бесплатных и открытых инструментов, помогающих исследовать зловреды. Сегодня мы рассмотрим некоторые из них.

Инструменты для исследования вредоносного ПО.

Исследование зловредов.​

• VirusTotal - это бесплатный онлайн-сервис, который сканирует подозрительные файлы и URL-адреса с помощью десятков антивирусных движков и инструментов для анализа вредоносного ПО. Он позволяет пользователям быстро проверить файлы на наличие вирусов, вредоносных программ, шпионского ПО и других угроз.
• Triage - работает путем статического анализа подозрительных файлов. Он извлекает тысячи функций из файлов и использует их для обучения моделей машинного обучения, которые могут классифицировать вредоносное ПО и определять его поведение.
• FileScan.IO - это бесплатный онлайн-сканер вредоносных программ, который позволяет пользователям сканировать подозрительные файлы с использованием нескольких антивирусных движков. Он поддерживает широкий спектр форматов файлов, включая исполняемые файлы, документы, архивы и сценарии. FileScan.IO использует технологию VirusTotal для сканирования файлов.

Дистрибутивы для анализа вредоносных программ.​

• REMnux - это дистрибутив Linux, специально разработанный для реагирования на инциденты и анализа вредоносных программ. Он основан на Ubuntu и включает в себя широкий спектр инструментов для цифровой криминалистики, анализа вредоносных программ и реагирования на инциденты.
• Tsurugi Linux - это дистрибутив Linux, специально разработанный для пентестинга и анализа безопасности. Он основан на Ubuntu и включает в себя широкий спектр инструментов для тестирования на проникновение, анализа уязвимостей и оценки безопасности.
  Tsurugi Linux предназначен для использования пентестерами, исследователями безопасности и специалистами по ИТ-безопасности. 

Комбайны и тулкиты.​

• Ghidra Software Reverse Engineering Framework - это набор инструментов с открытым исходным кодом для анализа программного обеспечения. Ghidra может использоваться для выполнения широкого спектра задач по анализу программного обеспечения.
• FLARE VM - это виртуальная машина, которая содержит набор инструментов для анализа вредоносных программ и реагирования на инциденты. Он разработан и поддерживается командой FireEye Mandiant.
• MobSF (Mobile Security Framework) - это открытая платформа для анализа мобильных приложений. Он позволяет исследователям безопасности и разработчикам приложений анализировать мобильные приложения на предмет уязвимостей и вредоносного поведения.

Инструменты анализа сетевой активности.​

• Zeek (ранее известный как Bro) - это сетевая платформа анализа трафика с открытым исходным кодом, которая используется для обнаружения угроз, мониторинга сети и анализа трафика. Он предоставляет мощный язык сценариев и обширную библиотеку встроенных функций, которые позволяют пользователям создавать настраиваемые сценарии для анализа сетевого трафика.
• Maltrail - это платформа с открытым исходным кодом для отслеживания вредоносных веб-сайтов и доменов. Он собирает данные из различных источников, включая отчеты пользователей, списки вредоносных программ и данные разведки об угрозах, и предоставляет пользователям доступ к этим данным через веб-интерфейс и API.
• MiTMProxy - это бесплатный и открытый прокси-сервер с возможностями перехвата трафика, который позволяет пользователям перехватывать, просматривать и изменять сетевой трафик в режиме реального времени.

Надеемся, наша статья была вам полезна.​