Noticias

Herramienta de descompilación de malware pasa a ser de código abierto

El proveedor de antimalware Avast ha donado su herramienta de decompilador de malware local a la comunidad de código abierto.

RetDec de Avast básicamente convierte un malware en un lenguaje de programación de alto nivel y ayuda a los analistas de malware a desenmascarar el funcionamiento interno y las funciones de su código. Lo convierte en algo que se parece al código fuente original“, dice Jakub Kroustek, líder del equipo de laboratorio de amenazas en Avast. Es mucho más fácil y más eficiente detectar lo que el malware puede hacer cuando se descompone“, señala.

Nos enfrentamos a millones de muestras nuevas de malware cada día. No las estamos analizando en profundidad, pero al usar la descompilación podemos manejar algunas de forma más rápida y cercana“, dice Kroustek, fundador de la herramienta.

Los investigadores de Avast utilizaron la herramienta para descompilar las cepas de ransomware, incluyendo Apocalypse, BadBlock, Bart, CrySIS y TeslaCrypt, y luego ofrecer herramientas de descifrado gratuitas para el ransomware.

Las herramientas de descompilación proporcionan un análisis estático del código, donde los investigadores en realidad no ejecutan el código sino que lo estudian de cerca. El análisis dinámico es otro método, donde un investigador ejecuta código malicioso en la seguridad de un entorno de entorno limitado para estudiar cómo se ejecuta en acción. A veces es correcto usar una caja de arena, y otras veces es beneficioso usar un descompilador“, dice. En mi caso, suelo usar ambas cosas. Cuando estás luchando contra tipos malos, intentas usar cada palanca“, dice.

RetDec fue creado por primera vez en 2011 por investigadores de la Universidad de Tecnología de Brno en la República Checa y AVG Technologies, y la herramienta se convirtió en Avast el año pasado después de que adquiriera AVG. Kroustek dice que Avast espera conseguir otros expertos en seguridad para ayudar a impulsar su desarrollo como una herramienta de código abierto, que está dirigida a investigadores e ingenieros de inversión.

Las herramientas de descompilación no son nada nuevo. Hay productos comerciales, que pueden ser caros y limitados en personalización, dice Kroustek, mientras que hay otras herramientas de decompiladores de código abierto como DCC, Boomerang y Snowman, por ejemplo.

Si bien hay buenas herramientas de descompilación disponibles que ofrecen buenos resultados, muchas son productos de pago, sin embargo, estas no se pueden ampliar fácilmente con funciones personalizadas“, afirma. Por otro lado, los usuarios pueden utilizar descompiladores de código abierto existentes, libres, pero estos no siempre logran una estabilidad adecuada, legibilidad y calidad del código”.

John Bambanek, gerente de sistemas de amenazas de Fidelis Cybersecurity, quien también enseña en la Universidad de Illinois en Urbana-Champaign, dice que un descompilador de fuente abierta como Avast puede ser especialmente útil para la academia.
Avast dice que la herramienta ahora de código abierto funciona en múltiples arquitecturas, formatos de archivos y sistemas operativos, y también puede usarse para algo más que descompilación. Utiliza el lenguaje de tipo C y Python para la salida y se ejecuta en plataformas Linux y Windows. El código fuente de RetDec y las herramientas relacionadas están disponibles ahora en GitHub, bajo una licencia de MIT.

“Si alguien no se enfoca en decompiladores, puede usar las bibliotecas para detectar patrones particulares” en el malware, por ejemplo, dice Kroustek.

Extraído de este enlace

(Visitada 1 veces, 1 visitas hoy )
Comparte

Responder

avatar
Imágenes
 
 
 
Auido y vídeo
 
 
 
Otros archivos
 
 
 
  Suscribirse  
Notificarme de

Quizás también te interese ..


Strict Standards

: call_user_func_array() expects parameter 1 to be a valid callback, non-static method SimTermLoader::basic_init() should not be called statically in /var/www/vhost/maslinux.es/home/html/wp-includes/class-wp-hook.php on line 286

Strict Standards: Non-static method SimTermLoader::Init() should not be called statically in /var/www/vhost/maslinux.es/home/html/wp-content/plugins/simterm/simterm.php on line 57