VOLATILITY BOT – UN ANALIZADOR DE MEMORIA AUTOMATIZADO PARA ANÁLISIS DE MALWARE Y MEMORIA

Posted on

votality-bot1

 

 

 

 

 

 

 

 

 

 

 

Parte del trabajo de los investigadores de seguridad informática que tienen que pasar dificultades cuando estudian nuevos programas maliciosos o desean analizar ejecutables sospechosos lo cual consiste en extraer el archivo binario y todas las diferentes inyecciones y cadenas descifradas durante la ejecución del malware. Volatility Bot fue creado por expertos de seguridad web para resolver estos tipos de problemas.

Según investigadores de seguridad informática, Volatility Bot es una herramienta de automatización para investigadores de seguridad web que corta todas las tareas de conjeturas y manuales de la fase de extracción binaria, también sirve para ayudar al investigador de seguridad web en los primeros pasos de realizar una investigación de análisis de memoria. No sólo extrae automáticamente el ejecutable (exe), sino que también busca todos los nuevos procesos creados en la memoria, inyecciones de código, cadenas, direcciones IP, etc.

En la nueva versión de Volatility Bot, una nueva característica es el análisis automatizado de vaciados de memoria, utilizando heurística y YARA / Clam AV Scanners. Según expertos de seguridad web, de de International Institute of Cyber Security IICS esta función es útil para el análisis de la memoria a escala. Por lo general, este proceso inicial se realiza manualmente, ya sea a través de una muestra de malware o un vaciado de memoria y puede ser largo y tedioso.

CARACTERÍSTICAS ACTUALES

  • Análisis automatizado de muestras de malware (Basado en diferencias entre la imagen de memoria limpia y la infectada)
    • Extracción del código inyectado
    • Descarga de nuevos procesos
    • Escaneo Yara, análisis estático, extracción de cadenas, etc. en todos los trabajaos.
  • Análisis heuristic automatizado de los vaciados de memoria que ayuda muchos los investigadores de seguridad informática.
    • Detectar anomalías usando heuristic y arrojar el código relevante
    • Análisis Yara, análisis estático, extracción de cadenas, etc. en todos los trabajos.

INSTALACIÓN

  1. Crear una nueva máquina virtual, con Windows XP hasta Windows 10 x64.
  2. Asegúrese de que la máquina tiene windows defender, programas de seguridad informática, seguridad web y FW deshabilitados, y tiene un IP estático
  3. Instalar python 3.5
  4. Crear c: \ temp carpeta, o cambie la carpeta de destino en config
  5. Copie el agente.py de Utils e inícielo
  6. Tome una instantánea de la VM
  7. Repita los pasos 1-6 para tantas máquinas virtuales como desee

volatility-bot

https://github.com/mkorman90/VolatilityBot

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s