Indetectables

4n0nym0us escribió: 11 Mar 2022, 14:12 Hola muñecos y muñecas, he seguido actualizando esta herramienta... abro post para dejarles las últimas cositas incluidas, espero que la disfruten 

4n4lDetector es una herramienta de análisis de archivos ejecutables, bibliotecas, controladores y mdumps de Microsoft Windows para x86 y x64. A partir de la versión 1.8, también se incluye un uso extendido para analizar anomalías en los ejecutables ELF de Linux. Su principal objetivo es recopilar la información necesaria para facilitar la identificación de código malicioso dentro de los archivos analizados. Esta herramienta analiza, entre otras cosas, la cabecera PE y su estructura, el contenido de las secciones, los diferentes tipos de cadenas, entre muchas otras cosas. También incorpora multitud de ideas propias para reconocer anomalías en la construcción de los ejecutables y la detección de mecanismos utilizados usualmente en el malware actual.

  [+] Detección de doble cabecera en ejecutables ELF Linux
  [+] Se incluye la extracción del número de versión de UPX para ejecutables ELF Linux (Muy utilizado en malware actualmente)
  [+] Agregada la identificación de todos los tipos de ejecutables ELF Linux
  [+] La interfaz de usuario es más amigable que nunca.
  [+] Se incluye el primer fragmento de la Rich signature en caso de encontrarlo.
  [+] He tardado 9 versiones de 4n4lDetector... pero ha llegado, ya se puede maximizar el formulario!
  [+] Mejorado el algoritmo de identificación de correos electrónicos para evitar direcciones duplicadas.
  [+] Solucionado un bug que podría cerrar la aplicación inesperadamente tras la apertura de un tipo específico de fichero. 
  [+] Mejorada la limpieza de cadenas tras la extracción de librerías en formato UNICODE.
  [+] Solucionado un bug al mostrar las funciones disponibles y su recuento en la tabla de exportaciones.
  [+] Agregada una funcionalidad de visualización de reportes "[W]" desde un visor Web con las siguientes herramientas
       -> Opciones de modificación del título y contenido del reporte
       -> Un visor del código HTML generado para la visualización
       -> Un botón para realizar el salvado del reporte a un documento
       -> Integrado un botón para la apertura de la carpeta que alberga todos los reportes guardados
  [+] Agregado el parámetro "-HTML" para la extracción de reportes en formato HTML por consola:
       -> 4n4lDetector.exe Path\App.exe -HTML

 

Descarga: [Enlace externo eliminado para invitados]

4n0nym0us escribió: 02 Jun 2024, 15:51 Ya ha salido la versión 2.8 de #4n4lDetector junto a un vídeo para aprender a analizar el servidor del troyano #LarryLurexRAT. Este se trata de una modificación de #DarkComet realizada desde #debugger por mí mismo. También reviso técnicas de evasión de motores antivirus basados en comportamiento y sistemas #EDR. Además, abordo la extracción de #IOCs y la recolección de información previa a un ejercicio de #reversing de #malware.

Descarga:
[Enlace externo eliminado para invitados]
Vídeo:
[Enlace externo eliminado para invitados]

Añadidos en esta versión:
  [+] Se añade un aviso en el apartado de secciones cuando la sección identificada sea ejecutable.
  [+] Ahora se calculan también los Hashes SHA-256 y SHA-1 de todos los archivos analizados.
  [+] Incluído el nombre original de la librería analizada en el botón de "[Export Table]".
  [+] Ahora 4n4lDetector es capaz de identificar contenido en las Import Table a pesar de que el Offset "Original First Thunk" se encuentre a "0" como en los comprimidos de UPX.
  [+] El módulo "Settings" ahora tiene una sutíl optimización para evitar congelamientos durante la descarga de las notificaciones.
  [+] Se ha optimizado el código encargado de la extracción de recursos, ahora es más rápido.
  [+] Se ha reestructurado la extracción de los Entry Points, optimizando su código y mejorando la velocidad de extracción.
  [+] Se optimizaron y eliminaron algunas de las reglas internas de 4n4lDetector para evitar algunos falsos positivos.
  [+] Se modificó el algoritmo extractor de descripciones de archivo, ahora es más efectivo.
  [+] El resultado del Carving PE se almacena ahora en una carpeta llamada PECarve dentro del apartado de análisis. 
  [+] Se reubicó la información de Virustotal en el panel principal. (Utilicen sus API_KEY personales).
      [-] SORRY MICROSOFT... Creo que estamos en paz después de esa detección de CobaltStrike <3 
  [+] El apartado de "IT Functions:" del análisis principal pasa a llamarse "Suspicious functions:", siendo este más acertado.
      [-] Ahora las funciones cuentan con una descripción de sus funcionalidades.
  [+] Ahora la funcionalidad de "Strings" se ejecuta de manera automática, visible en el botón "S" tras los análisis mientras "Intelligent Strings" esté activo.
      [-] Aumentada la efectividad y la velocidad del módulo "Intelligent Strings" y de la funcionalidad "Strings".
  [+] La opción "Sections Info" ahora es interna y en su lugar se ha creado una opcional para descomprimir muestras UPX.
      [-] Las muestras descomprimidas se almacenan en la ruta de análisis, dentro de una carpeta llamada UPX.
      [-] El binario UPX se encuentra en la raíz de 4n4lDetector, en una carpeta llamada "bin" siendo modificable por el usuario.
  [+] Ahora se agrupa la verificación de ejecutables firmados,la firma del checksum y la firma Rich en el apartado "Signatures".
  [+] Cambios en el manejo de la firma Rich.
      [-] Se extrae la firma al completo, no solo la primera parte.
      [-] Se agregó un hash para su detección.
      [-] se verifica la integridad de la misma con una revisión del algoritmo antiguo.
  [+] Se ha agreado una herramienta nueva para realizar extracción de Offsets diréctamente del ejecutable y visiualizar sus contenidos.
      [-] Ahora es posible realizar búsquedas de código manualmente en hexadecimal, ASCII y UNICODE.
      [-] También se ha incluido una funcionalidad para revisar el código en ensamblador.
      [-] Esta herramienta ejecuta sus funciones principales de forma automática con el Entry Point tras cada análisis.
  [+] Se agregó la extracción de las tablas de importación y exportación del resto de arquitecturas ejecutables existentes.
      [-] Alpha AXP, ARM, EFI Byte Code, EFI Byte Code (EBC), Hitachi SH3, Hitachi SH3, Hitachi SH3, Hitachi SH4, Hitachi SH5, Intel Itanium (IA-64), Intel i860, M32R, MIPS16, MIPS16 with FPU, MIPS R3000, MIPS R4000, MIPS little-endian, MIPS little-endian WCE v2, MIPS with FPU.