Existem dois tipos principais de análise de malware: estático e dinâmico.
Realizar a análise estática significa é observar seu código sem executá-lo, revelando aos analistas de malware o que ele faz, mas também as intenções futuras de seu desenvolvedor (por exemplo, funcionalidades atualmente inacabadas).
A análise dinâmica analisa o comportamento do malware quando ele é executado – geralmente em um sandbox virtual, revelando seu comportamento e quaisquer técnicas de evasão de detecção que ele usa.
A análise de malware beneficia os analistas de segurança, permitindo que eles, entre outras coisas:
- Identifique indicadores ocultos de comprometimento (IOCs).
- Aumente a eficácia das notificações e avisos do COI.
- Triagem de incidentes de acordo com a gravidade.
Todas as ferramentas de análise de malware listadas abaixo podem ser baixadas e usadas gratuitamente.
Capa
O capa detecta recursos em arquivos executáveis. Você o executa em um módulo PE, ELF, .NET ou arquivo shellcode e ele informa o que acha que o programa pode fazer. Por exemplo, pode sugerir que o arquivo é um backdoor, é capaz de instalar serviços ou depende de HTTP para se comunicar.
FLARE
O FLARE Ofuscated String Solver ( FLOSS ) usa técnicas avançadas de análise estática para elucidar automaticamente as strings de binários de malware. Você pode usá-lo como strings.exe, aprimorando a análise estática básica de binários desconhecidos.
Ghidra
Ghidra inclui um conjunto de ferramentas de análise de software de última geração, com recursos completos para análise do código compilado em Windows, macOS, Linux etc.
Os recursos incluem desmontagem, montagem, descompilação, criação de gráficos e scripts, além de centenas de outros recursos.
Malcom
O Malcom analisa a comunicação de rede de um sistema, usando representações gráficas de seu tráfego, cruzando-as com fontes de malware conhecidas. Isso é útil ao analisar como certas espécies de malware tentam se comunicar com o mundo exterior.
MobSF
O MobSF é um aplicativo móvel automatizado e completo (Android/iOS/Windows) para pentesting, análise de malware e estrutura de avaliação de segurança, realizando análises estáticas e dinâmicas.
Ele suporta binários de aplicativos móveis (APK, XAPK, IPA e APPX) juntamente com código-fonte compactado e fornece APIs REST para integração perfeita com seu pipeline de CI/CD ou DevSecOps, avaliando a segurança em tempo de execução e testes instrumentados interativos.
Pafish
O Pafish é uma ferramenta de teste que usa diferentes técnicas para detectar máquinas virtuais e ambientes de análise de malware da mesma forma que as famílias de malware.
O projeto é gratuito e de código aberto; o código de todas as técnicas de anti-análise está disponível publicamente.
Radare2
O Radare2 é uma ferramenta de linha de comando com suporte para scripts. Ele pode editar arquivos em discos rígidos locais, visualizar a memória do kernel e depurar programas localmente ou por meio de um servidor gdb remoto.
O amplo suporte de arquitetura do Radare2 permite analisar, emular, depurar, modificar e desmontar qualquer binário.
theZoo
theZoo é um repositório de malware, criado para oferecer uma maneira rápida e fácil de recuperar amostras de malware e seu código-fonte de forma organizada, na esperança de promover a pesquisa dos mesmos.
FONTE: aqui