En este blog informático está reflejada mi experiencia en el mundo de la informática. Mis publicaciones serán sobre seguridad informática e Internet. Las técnicas y herramientas aquí explicadas son para fomentar la seguridad de la información dentro de la filosofía del hacking ético. En línea desde 2005.

Herramientas de análisis de Malware en servidores y páginas Web.

Uno de los principales focos de infección de malware son las páginas web. En este post tratare sobre dos herramientas para detectar malware en servidores y páginas web.


Webserver Malware Scanner:

Es un simple script para la detección y el análisis de las amenazas basadas en la Web. En la actualidad se encarga de: exploitkits, shells, códigos de JavaScript ofuscado, ejecutables, iframes y escaneo de puertos.

Entre sus características destaca:

  • Analizar en busca de los usuarios infectados DirectAdmin.
  • Analizar en busca de puertos abiertos vulnerables.
  • Analizar en busca de exploits recientes.
  • Analizar en busca de blogs WordPress infectados.
  • Exploración para detectar la infección en archivos .Html y. Php.
  • Analizar en busca de javascript ofuscado en iframes.
  • Analizar en busca de malware en  iframes.
  • Analizar en busca de shells PHP.

Más información y descarga:
http://sourceforge.net/projects/smscanner/


Linux Malware Detect:
 

Es un escáner de malware para Linux publicado bajo la licencia GNU GPLv2, que se ha diseñado en torno a las amenazas en entornos hosting compartido. Utiliza datos de amenazas de los sistemas de detección de intrusiones de red IPS, para extraer el malware que está siendo utilizado activamente en los ataques y genera firmas para la detección. Además, los datos de amenazas también se deriva de envíos de los usuarios con la función checkout LMD y de recursos de la comunidad de malware. Las firmas que utiliza LMD son hashes md5 y coincide con el patrón HEX, también se pueden exportar fácilmente a cualquier número de herramientas de detección, como ClamAV.

La principal baza de LMD es que en la actualidad existe una disponibilidad limitada de herramientas gratuitas para los sistemas Linux que se centran en la detección de malware. Muchos de los productos antivirus que realizan la detección de malware en Linux tienen un historial muy pobre de detección de amenazas, especialmente los destinados a los entornos de hosting compartido.

Características:

  • Archivo MD5 hash para la detección rápida e identificación de amenazas.
  • Patrón de juego basado en HEX para identificar variantes de amenazas.
  • Componente estadístico de análisis para la detección de amenazas ofuscadas (por ejemplo: base64).
  • Detección integrada de ClamAV para utilizar como motor de escáner para un rendimiento mejorado.
  • Integrado función de actualización de firma con-u |-update.
  • Integrado con función de actualización de versión-d |-update-ver.
  • Opción de exploración reciente para analizar sólo los archivos que se han añadido o cambiado en X días.
  • Opción de exploración de ruta completa.
  • Opción de envió de sospecha de software malicioso a rfxn.com para su revisión.
  • Sistema de información completo para ver los resultados del análisis actual y anterior.
  • Posee  cola de cuarentena que almacena las amenazas de una forma segura, sin permisos.
  • Opción de procesamiento por lotes de cuarentena para poner en cuarentena los resultados de análisis actuales o anteriores.
  • Opción para restaurar los archivos a la ruta original.
  • Normas  para la eliminación de cadenas inyectadas de malware.
  • Opción de procesamiento por lotes de limpieza para intentar la limpieza de informes de análisis anteriores.
  • Normas para eliminar base64 y gzinflate (software malicioso inyectado en base64).
  • Análisis diario de todos los cambios de los últimos 24h de los directorios de usuario.
  • Kernel monitor de inotify que puede tomar datos de la trayectoria de STDIN o FILE.
  • Cómoda función de monitor inotify del kernel para supervisar los usuarios del sistema.
  • Monitor inotify del núcleo puede ser restringido a una raíz HTML configurable por el usuario.
  • Kernel monitor de inotify con sysctl límites dinámicos para un rendimiento óptimo.
  • Inotify del kernel de alerta a través de informes semanales diarios o opcionales.
  • E-mail información de alerta después de cada ejecución de la exploración (manual y diario).


La diferencia clave con LMD es que no se limita a detectar el malware basado en firmas hashes que alguien genera sino más bien se trata de un proyecto global que rastrea activamente en las amenazas  y genera firmas en base a esas amenazas del mundo real que actualmente están circulando .

Hay cuatro fuentes principales para los datos de malware que se utiliza para generar firmas LMD:

  • Red de IPS:  Una red formada por 35.000 sitios web y como tal recibe una gran cantidad de atauqes diarios, todo lo cual está registrado por IPS. Los eventos IPS se procesan para extraer la url malware, se clasifican y luego se generan firmas en su caso. La gran mayoría de las firmas LMD se han derivado de IPS que extrajeron los datos.
  •  Datos de la Comunidad: Los datos se recogen de varios sitios web con comunidades que hablan de malware como clean-mx y  malwaredomainlist y luego son procesados para recuperar el nuevo malware, revisar, clasificar y luego generar firmas.
  • ClamAV: el hexágono MD5 y firmas de detección de ClamAV se monitorean las actualizaciones pertinentes que se aplican al grupo de usuarios de la LMD y se añaden al proyecto, según corresponda. Hasta la fecha ha habido aproximadamente 400 firmas portadas de ClamAV mientras que el proyecto LMD ha contribuido de nuevo a ClamAV mediante la presentación de más de 1.100 firmas y continúa haciéndolo de manera continua.
  • Envío de los usuarios: LMD tiene una función de comprobación que permite a los usuarios enviar sospecha de malware para opinión, esto se ha convertido en una característica muy popular y genera en promedio alrededor de 30 a 50 presentaciones por semana.


La firma LMD se actualiza normalmente una vez al día o con más frecuencia dependiendo de los datos de amenazas entrantes de la función checkout LMD, la extracción de malware IPS y otras fuentes. La actualización de las firmas en las instalaciones de LMD se realiza diariamente a través de la secuencia de comandos por defecto cron.daily con la opción de actualización, que se puede ejecutar manualmente en cualquier momento.


Más información y descarga de LMD:
http://www.rfxn.com/projects/linux-malware-detect/
Herramientas de análisis de Malware en servidores y páginas Web. Herramientas de análisis de Malware en servidores y páginas Web. Reviewed by Álvaro Paz on jueves, julio 11, 2013 Rating: 5
Publicar un comentario
Este Blog sobre Seguridad Informática está bajo una licencia de Creative Commons, Álvaro Paz. Con la tecnología de Blogger.