Herramienta de análisis de malware automatizado de aplicaciones Android.
|
CuckooDroid es una extensión de Cuckoo Sandbox marco de análisis de software de código abierto para la automatización de análisis de archivos sospechosos de malware. Es un sistema automatizado, multiplataforma, para la emulación y análisis basado en la popular zona de pruebas Cuckoo y varios otros proyectos de código abierto. Proporcionando la inspección APK tanto estática como dinámica, así como evadir ciertas técnicas como: detección de entorno virtual, extracción de clave de cifrado, inspección SSL, huella de llamada de API, firmas básicas de comportamiento y muchas otras características. El marco es altamente personalizable y extensible aprovechando el poder de la gran comunidad de Cuckoo existente.
Cuckoo Sandbox es un sistema de análisis de malware de código abierto. Esta aplicación permite analizar cualquier archivo sospechoso y en cuestión de segundos, Cuckoo proporcionará resultados detallados que describen lo que resultaría cuando se ejecuta dentro de un entorno aislado.
El malware es la principal herramienta de los cibercriminales y de los principales ciberataques en organizaciones empresariales. En estos tiempos la detección y eliminación de malware no es suficiente: es de vital importancia entender: cómo funcionan, lo que harían en los sistemas cuando se despliega, comprender el contexto, las motivaciones y los objetivos del ataque. De esta manera entender los hechos y responder con mayor eficacia para protegerse en el futuro. Hay infinidad de contextos en los que se puede necesitar implementar un entorno limitado, desde el análisis de una violación interna, recolectar datos procesables y analizar posibles amenazas.
Cuckoo genera un puñado de diferentes datos brutos, que incluyen:
- Las funciones nativas y API de Windows llamadas huellas.
- Las copias de los archivos creados y eliminados del sistema de ficheros.
- Volcado de la memoria del proceso seleccionado.
- Volcado completo de memoria de la máquina de análisis.
- Capturas de pantalla del escritorio durante la ejecución del análisis de malware.
- Volcado de red generado por la máquina que se utiliza para el análisis.
A fin de que tales resultados sean mejor interpretados por los usuarios finales, Cuckoo es capaz de procesar y generar diferentes tipos de informes, que podrían incluir:
- Informe JSON.
- Informe HTML.
- Informe MAEC.
- Interfaz de MongoDB.
- Interfaz HPFeeds.
Lo más interesante, es que gracias a la amplia estructura modular del Cuckoo, es posible personalizar tanto el procesamiento y la fase de presentación de informes. Cuckoo proporciona todos los requisitos para integrar fácilmente un entorno aislado con los sistemas existentes, con los datos que se deseen, de la manera que desee y con el formato que desee.
Más información y descarga de CuckooDroid:
https://github.com/idanr1986/cuckoo-droid
Más información y descarga de Cuckoo Sandbox:
http://www.cuckoosandbox.org/
Documentación de Cuckoo Sandbox:
http://docs.cuckoosandbox.org/en/latest/
Premios Bitacoras.com 2016, categoría Mejor Blog de Seguridad Informática. Vota el blog Gúru de la informática (http://