Mobile Malware Analysis sandbox
Nov08

Mobile Malware Analysis sandbox

Con la cantidad de servicios que están saliendo a la luz para el análisis de malware, está cada vez mas claro, que cada vez mas la gente desea usar este tipo de servicios. Estos servicios de análisis son llevados a cabo tanto por organizaciones (Universidades, centros de investigación) como empresas, no solo casas de antivirus sino empresas de seguridad informática. Hay pocas organizaciones que entreguen un servicio a la comunidad y está claro que las organizaciones o entidades que ofrecen te tipo de servicios su valor añadido son los samples que almacenan y que usan luego para sus investigaciones. Por otro lado, navegando me he encontrado con otro servicio que ofrece hacer análisis de malware, se trata de Mobile Malware Analysis, este servicio no tiene todavía mucha información en la web, ya que si miramos el about de la web: Al parecer el sistema analizaría malware para todas las plataformas, vamos a ver que tal funciona: El servicio es relativamente nuevo, puesto que todavía no hay muchos análisis al respecto. Mediante un wizard, subiremos un archivo para verlo Vaya… la primera vez que voy a subir el archivo, como no tiene extensión hay un bonito Full Path Disclousure El sistema detecta que, evidentemente se trata de una muestra de malware, pero no nos da ninguna información sobre ella. Por lo tanto desconocemos que sistema usan por detrás para detectar que la muestra es maliciosa. El servicio, acaba de salir y aún está muy verde, pero esperamos que vayan añadiendo mas funcionalidades con el tiempo. Seguiremos el proyecto muy de cerca....

Leer Más
AndroTotal
Ago25

AndroTotal

El uso de herramientas online de análisis de malware, suponen una ayuda para el investigador que tiene que saber que hace un determinado APK. El uso de este tipo de herramientas nos sirve para antes de ponernos nosotros ha realizar un análisis manual que nos de un “previo” de que es lo que hace. Además este tipo de herramientas permiten algo muy útil y es poder relacionar casos. Es decir, si hay samples relacionados porque comunican con el mismo C &C o hay strings y datos relacionados esto nos permite poder identificar campañas activas y poder incluso hacer tracking de los ciber-criminales que desarrollan estas muestras. Es algo normal proveerse de API’s de acceso para poder hacer submit de los análisis, ya que puedes integrarlo en procesos internos o herramientas que hayas podido desarrollar de manera interna. Vamos a ver que posibilidades que nos ofrece la herramienta. La web se presenta de forma sencilla y muy común. Realizar submit del sample y metiendo un captcha   Vamos a escoger algunos de los samples que yo tengo para ver que output podemos recibir de la herramienta. Cuando realizamos Submit del sample, se realiza el Upload y ya te mostrará información sobre la subida. La web se irá actualizando conforme se va analizando la muestra, podemos ver detalles como la versión de Android que se está utilizando para el análisis y la suite de antivirus que se está usando. En el análisis hay un enlace para ir directamente a todos los detalles sobre el análisis. Primero podemos ver detalles como los relativos a los hash de la aplicación, la primera vez que se vió. Es decir, ¿Se había analizado antes? Además algo que me ha gustado mucho es que permite hacer búsquedas en servicios de análisis externos. Podemos ver servicios de terceros como: VirusTotal CopperDroid ForeSafe SandDroid AndroidObservatory VisualThreat Puedes compartir los detalles del análisis en las redes sociales si quieres en Twitter o Facebook. El análisis te da mas información que podemos consultar, información relativa a los permisos requeridos por el APK (no los que necesita sino, los que pide) Obviamente no hace falta decir que es necesario un análisis manual de la aplicación además de poder ver análisis de otros servicios de terceros. [+]...

Leer Más
OASAM, Open Android Security Assessment Methodology
Ene09

OASAM, Open Android Security Assessment Methodology

Estas iniciativas me encantan, todos conocemos Owasp, un estándar que nos permite evaluar la seguridad web (entre otras cosas). Como cada vez mas la tecnología móvil se hace latente, es normal que salgan proyectos como el que vengo a enseñar hoy, OASAM. ¿Que es OASAM? OASAM, es acrónimo de Open Android Security Assessment Methodology y tiene por objetivo ser una metodología de análisis de seguridad de aplicaciones Android. El objetivo es ser un framework de referencia de análisis de vulnerabilidades en aplicaciones Android. Actualmente los dispositivos portables están copando el mercado, la consumerización los está llevando al apartado empresarial, dejando obsoleta la idea del uso exclusivamente ocioso. Por un lado Android se está revelando como el sistema operativo más extendido en este apartado debido a diversos motivos, entre ellos la facilidad de crear y distribuir masivamente aplicativos. Sin embargo desde el punto de vista de seguridad no se está difundiendo ningún tipo de información acerca de las nuevas vulnerabilidades que puede acarrear la programación insegura en esta plataforma, que tiene una considerable superficie de ataque (la tradicional añadiendo la que la propia arquitectura Android incorpora). Por otro lado, aunque hay algunos trabajos concretos al respecto, no existe una taxonomía completa y consistente de vulnerabilidades en aplicaciones específicas de Android que permita calalogar estas vulnerabilidades. El objetivo del proyecto OASAM es elaborar una taxonomía completa y consistente de vulnerabilidades en aplicaciones Android, que sirva de apoyo no solo a los desarrolladores de aplicaciones, sino también a los encargados de buscar vulnerabilidades en las mismas. Un vistazo a lo que tienen echo: El proyecto está empezando así que os animo a mandar un correo a los autores del proyecto para poder echar una mano ahora que empieza! Los autores son: Autor: Daniel Medianero Colaboradores: Victor Villagrá...

Leer Más
Análisis de APK con VirusTotal
May12

Análisis de APK con VirusTotal

Quien se dedica a la seguridad conoce Virus Total, aquel servicio que te da una visión de cuantos motores antivirus detectan una muestra en concreto. Virus Total ha ido aumentando la cantidad de tipos de archivo que puede procesar y ahora es capaz de analizar también aplicaciones para Android (aunque mientras no lo tenia salieron sitios que brindaban este servicio como andrototal.org). Así que para que veáis que tipo de análisis realiza he subido un APK para que realice el análisis. Esta imagen nos resultará muy familiar ya que igual que cuando el servicio analiza una aplicación para Windows. Mientras se realiza el análisis iremos viendo las detecciones por parte de las casas de antivirus. Como estamos analizando un APK, podremos ver que permisos pide la aplicación, entre otras cosas. Aquellos permisos que asean sospechosos, serán marcados de rojo. Esta pestaña es muy útil ya que podemos ver que pide la aplicación concretamente. Otra de las pestañas útiles es la de información adicional, aquí podremos ver que de las veces que se ha subido a VirusToral que nombres tenía la aplicación. En el artículo de hoy hemos visto que también podemos analizar aplicaciones para Android antes de instalarla en el...

Leer Más
Dispositivos Android como herramientas para test de penetración
Ene25

Dispositivos Android como herramientas para test de penetración

Conozco personas que prefieren no salir, a salir sin su teléfono móvil, lo cierto es que cada vez son mas los conocidos que toman ese tipo de decisiones y no se si es por el entorno en que me muevo y lo “geeks” de mis conocidos o realmente es un indicador de lo dependientes que nos hemos vuelto de estos dispositivos. La verdad es que se han convertido en parte importante de nuestra vida cotidiana, desde ellos hacemos todo tipo de actividades, recreativas, académicas y cada vez mas… laborales. Era de esperarse que empezaran proliferar las herramientas que nos permitieran trabajar desde equipos móviles, la capacidad de computo en ellos ha aumentado rápidamente los últimos años, superando incluso algunas configuraciones de equipos portátiles, son pequeños, fáciles de transportar y siempre los tenemos a la mano para reaccionar frente a cualquier incidente rápidamente. En el mundo de la seguridad informática trabajar desde estos dispositivos tiene un plus agregado y es el de poder pasar desapercibido en situaciones donde sea necesario (por ejemplo cuando el personal de una empresa ha sido avisado previamente que se van a realizar pruebas de penetración en la organización), dejando a un lado el extendido estereotipo del hacker con gorro, portátil lleno de calcomanías y pelo largo (tenia que poner esta foto jejeje), seguro lograría que los empleados de una empresa actúen de forma diferente a la habitual (cosas que no queremos). Ya hemos visto como existe una gran cantidad de herramientas para entornos iOS que nos permiten realizar muchas de las labores de un pentest desde dispositivos con el sistema operativo de Apple, ahora el turno es para Android quien también amplio abanico de herramientas para realizar pentest. Herramientas de Pentest desde Android Android Network Toolkit – zAnti Iniciaremos con las herramientas que agrupan varias utilidades en una y después pasaremos por las mas puntuales, una de las que ha dado que hablar bastante últimamente es zAnti una herramienta que vio la luz por primera vez en el 2011 durante DEFCON y que integra una gran variedad de utilidades para auditar una organización en una sola aplicación, ha sido motivo de criticas ya que por su modelo de negocios capa o elimina muchas de las funcionalidades interesantes como los ataques MITM o la explotación de fallos de seguridad, a cambio de créditos que se van consumiendo con cada uso. Pagina Oficial – Enlace del APK dSploit – Android Network Penetration Suite La siguiente aplicación se llama dSploit incluye muchas de las herramientas que trae zAnti sin restricciones o pedir créditos por ello, tiene un escáner de puertos, una herramienta para fuerza bruta, un creador de...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES