lunes, 11 de julio de 2016

MARA - [M]obile [A]pplication [R]everse engineering and [A]nalysis Framework.




Mara es una herramienta dedicada a realizar ingeniería inversa bajo el marco de análisis de aplicaciones móviles. Es un conjunto de herramientas que interpreta a una aplicación móvil de uso común mediante la ingenieria inversa, todo esto con el fin de hacer el análisis más fácil y amigable para los desarrolladores de aplicaciones móviles y a los profesionales de la seguridad.

Instalación : 

Hay que tener en cuenta que al ser una herramienta que se encarga de analizar aplicaciones para móviles, las cuales tienen su base en lenguaje de programación JAVA es lógico pensar que vamos a necesitar tener instalado JAVA en la máquina en la cual vamos a ejecutar MARA, la cual trabaja con OPEN JDK o ORACLE JDK, Los autores de MARA recomiendan usar la versión 7 para el caso.


sudo apt-get -y install openjdk-7-jdk


Descargar MARA :  https://github.com/xtiankisutsa/MARA_Framework

En mi caso voy a ejecutar MARA en mi maquina virtual AndroL4b, un entorno dedicado al análisis de aplicaciones móviles maliciosas.

Vamos a comenzar extrayendo los archivos del zip y comenzar con la instalación.

andro@l4b:~$ unzip MARA_Framework-master.zip
andro@l4b:~$ ./setup.sh



Una vez terminado la instalación vamos a ejecutar a M.A.R.A.


andro@l4b:~$ ./mara.sh



A continuación vamos a poder visualizar las opciones de análisis que nos brinda esta gran herramienta.



Para poner a prueba las opciones de análisis de MARA vamos a analizar una nuestra de malware de que fue descubierta en los primeros días del presente mes. 

Nombre : OmniRATCraked.apk
md5 : e097d469229f1ddb3c81ad82a3ea0adc

A continuación procederemos a ingresar los datos que nos solicita MARA, claro esta que al ser un archivo apk y es un análisis individual vamos a optar por la primera opción del menú que nos muestra en la pantalla.

andro@l4b:~/jalil/malware/tools/mara$ ./mara.sh -s /home/andro/jalil/malware/test/OmniRAT.apk



============== 
     APK analysis 
==============


===================== 
        Finalizing Analysis
=====================



Una vez terminado en análisis hecho por MARA a nuestra apk maliciosa, vamos a ir a la carpeta creada por la misma en donde vamos a encontrar los resultados de todo el proceso que ha realizado.




El color rojo como subrayado marca el nombre de las carpetas que voy abriendo para poder finalmente llegar a ciertos archivo en java proceden de la ingeniería inversa realizada por MARA a nuestra archivo malicioso.

andro@l4b:~/jalil/malware/tools/mara/data/OmniRAT.apk/source/java/com/omnirat$ nano WebcamActivity.java


public class WebcamActivity extends ActionBarActivity {....}




public WebcamActivity() {....}





En la imagen podemos observar algunas palabras sumamente interesantes como lo son Remote Webcam , Save Screenshot, Start, Stop y WebcamActivity. Podemos pensar que esta sección del código se encarga de las funciones principales de la Webcam y a la vez de tomar capturas de pantalla.


Hay que tener presente que hoy en día los cibercriminales están incrementando las redes con muchas variaciones de distintos malwares, ya sean ransomwares, troyanos, exploit kits y muchas otras variaciones. Es indispensable de tomar políticas de control contra estas amenazas que se encuentran en las puertas de los servicios que se brindan hoy en día.


Bueno hemos llegado al final de este post, espero que haya sido de su total agrado y que la información que he brindado en estas líneas sea de su total utilidad para el análisis de estos códigos maliciosos los cuales están en un aumento exponencial el día de hoy.









viernes, 1 de julio de 2016


Maltrail - Sistema de detección de Tráfico Malicioso.


Maltrail es un sistema de detección de tráfico malicioso, cuyas bases se basan en el uso de listas públicamente disponibles (listas negro) que contienen rastros maliciosos y/o generalmente sospechosas. además se pueden incluir rastros recopilados de diversos informes de AV (Antivirus) y también de investigadores independientes muy enfocados en temas de malwares.


Ejemplos : 

  •     http://saspdd.by/saspdd.by/admin/pnytail.exe
  •     http://199.213.24.122/host.exe
  •     http://114.215.155.227/FOX.exe


Listas Negras

  1. AlienVault
  2. Blocklist
  3. Dshielddns
  4. Snort
  5. Zeustrackerdns
  6. Zeustrackerip
  7. SSlipbl
  8. Vxvault
  9. Malwaredomainlist
  10. Feodotrackerdns
  11. Cybercrimetracker
  12. Bruteforceblocker


Arquitectura


Maltrail se basa en el Tráfico => Sensor <==> Servidor <==> Arquitectura del Cliente. El sensor (s) es un componente independiente que se ejecuta en el nodo de control, donde "monitorea" el tráfico de las lista negra/rutas (es decir, nombres de dominio, URL y / o IP). En caso de dar un resultado positivo, envía los detalles del evento al servidor (central), en el que se almacenan los registros en el directorio adecuado (es decir, LOG_DIR describe la sección de configuración). Si el sensor se está ejecutando en la misma máquina que el servidor (configuración por defecto), los registros se almacenan directamente en el directorio de registro local. De lo contrario, están siendo enviados a través de mensajes UDP al servidor remoto (es decir LOG_SERVER se describe en la sección de configuración).





Instalación


Para poder instalar Maltrail de forma exitosa vamos a digitar los siguientes comandos. En mi caso voy a realizar la instalación en el sistema operativo REMnux.

remnux@remnux:~$ sudo su
root@remnux:/home/remnux#  sudo apt-get install git python-pcapy
root@remnux:/home/remnux#  git clone https://github.com/stamparm/maltrail.git
root@remnux:/home/remnux#  cd maltrail
root@remnux:/home/remnux#  sudo python sensor.py





A continuación vamos a activar la interface del cliente al cual se destinan todos los reportes hechos por el sensor. Para poder hacerlo abrimos una nueva terminal y digitamos los siguiente.

remnux@remnux:~$ sudo su
root@remnux:/home/remnux#  cd maltrail
root@remnux:/home/remnux#  python server.py




Para poder visualizar la interfaz nos vamos a nuestro navegador y digitamos la siguiente dirección:
http://127.0.0.1:8338





username : admin
password : changeme!





Prueba de Concepto.

A continuación vamos a realizar una pequeña prueba de concepto para medir la capacidad de Mantrial frente a un supuesto ataque, el cual va ser hecho por el mismo cliente, para ellos vamos a abrir una nueva terminal y digitamos lo siguiente.


remnux@remnux:~$ ping -c 1 136.161.101.53
remnux@remnux:~$ cat /var/log/maltrail/$(date +"%Y-%m-%d").log




Como podemos observar Maltrail nos brinda información totalmente clasificada ya sea esta de acuerdo a la severidad o tipo de amenaza, protocolo, IP origen o destino, etc. Sin lugar a duda Maltrail es un herramienta muy útil para revisar rapida y fácilmente el tráfico de nuestras redes, gracias a su entorno web muy agradable para el cliente.




Hay que mencionar también que la información de la herramienta se encuentra muy bien documentada por parte de los creadores y totalmente disponible para el uso en temas de entornos perimetrales de seguridad.


Bueno sin mas que agregar, me despido y espero que este post sea de su agrado y les sea de utilidad la información brindada en la misma. Me despido y será hasta la próxima oportunidad.











PD :  Envío un gran saludo a la pequeña Sage, quién será mi mejor amiga y compañera por mucho tiempo, espero poder conocerte muy pronto y poder hacer todas las travesuras en la redes que tanto hemos estado planeando por mucho tiempo ... Descansa y pronto nos veremos Sage.