octubre 4, 2024

Emular red en Windows para análisis dinámico de malware.

0
Voiced by Amazon Polly
Comparte en redes sociales

FakeNet es una herramienta que ayuda en el análisis dinámico de software malicioso. La herramienta simula una red, para que el malware interactué con un host remoto, permitiendo al analista, observar la actividad del malware, en los protocolos de red dentro de un ambiente seguro.

FakeNet está programado en python 2.7 y utiliza una variedad de servicios de Windows y bibliotecas para emular una red Windows. Carga un entorno HTTP personalizado y un servidor DNS para responder a las solicitudes. Utiliza OpenSSL para manejar conexiones en el protocolo SSL. Maneja para esta emulación de red un proveedor de servicios por niveles de Winsock (LSP) para redirigir el tráfico hacia localhost, y para escuchar el tráfico en los puertos. También crea un archivo de captura de tráfico (*.pcap) para su posterior análisis, reconstruyendo un encabezado de paquetes basado en el tráfico de las llamadas send/recv.

Características:

  • Es fácil de instalar y utilizar, la herramienta se ejecuta en Windows y no requiere de las bibliotecas de terceros.
  • Mantiene la ejecución del malware de forma que se puede observar gran parte de su funcionamiento.
  • Apoya  los protocolos más comunes utilizados por el malware, soporta DNS, HTTP y SSL.
  • El servidor HTTP siempre sirve un archivo, si la solicitud de malware es un jpg le sirve un formato correcto jpg, etc.  Los archivos que se sirven son configurables por el usuario.
  • Capacidad para redirigir todo el tráfico hacia localhost, incluyendo el tráfico destinado a una dirección IP estática.
  • Extensiones en Python,  incluyendo una extensión de ejemplo que implementa SMTP y SMTP a través de SSL.
  • Proporciona extensiones de Python para añadir protocolos nuevos o personalizados.
  • Construido con la capacidad para crear un archivo de captura (*.pcap) para los paquetes redirigidos a localhost, para su posterior análisis.
  • Modulo que escucha el tráfico en cualquier puerto, detecta  y descifra el tráfico SSL y muestra el contenido en la consola. Lleva a cabo todas las actividades en el equipo local para evitar la necesidad de una segunda máquina virtual.

Es una herramienta ideal para analizar el método de infección del malware de páginas web maliciosas. Porque permite ver e interceptar, las consultas y respuestas HTTP, HTTPS y DNS.

Más información y descarga de FakeNet:
http://sourceforge.net/projects/fakenet/

Información de modo de empleo y configuración:
http://www.aldeid.com/wiki/FakeNet

Deja un comentario