0
0
Se você é um sysadmin, um analista de inteligência de ameaças, um pesquisador de malware, um especialista em forense ou até mesmo um desenvolvedor de software que procura construir software seguro, essas 15 ferramentas gratuitas do GitHub ou GitLab podem facilmente se encaixar em suas atividades de trabalho diárias e fornecer vantagens adicionais.
Nota do editor: Este artigo, publicado originalmente em abril de 2016, foi atualizado para incluir ferramentas que estão atualmente em uso popular.[ Saiba como rastrear e proteger o código aberto em sua empresa. | Receba as últimas notícias do CSO, inscrevendo-se em nossas newsletters. ]
1. ELF Parser
Muitas soluções virtualizadas de análise de malware e sandboxing existem para espiar o malware do Windows, mas analisar binários suspeitos de macOS ou Linux torna-se um pouco mais desafiador com ferramentas limitadas disponíveis para estudar o comportamento desses executáveis nativos. Eu experimentei este desafio ao verificar o comportamento de um malware macOS e Linux difícil de detectar embalado em um ELF executável. Foi aí que, o ELFParser, combinado com ferramentas de análise de tráfego como o WireShark e ferramentas de análise estática como o hexdump, facilitouum pouco a pesquisa.
ELF Parser quebra perfeitamente as strings encontradas dentro de um ELF executável por URLs, strings, endereços IP, chamadas e funções de
rede. A ferramenta também destaca sinais de quaisquer atividades suspeitas, como coleta de informações, reconhecimento (por exemplo, recuperação de variáveis ambientais), manipulação de processos e outras tarefas que estão sendo realizadas por um binário. Quanto maior o número de tarefas suspeitas ou uma função chamadas dentro de um binário, maior será o “score” calculado pela ferramenta.
2. YARA
Originalmente desenvolvido por Victor Alvarez do VirusTotal, o YARA tornou-se uma obrigação para pesquisadores de malware e analistas do SOC. “Com o YARA, você pode criar descrições de famílias de malware (ou o que quiser descrever) com base em padrões textuais ou binários. Cada descrição, também conhecida como regra, consiste em um conjunto de cordas e uma expressão booleana que determina sua lógica”, lê a documentação oficial da YARA.
Pesquisadores de segurança podem ser vistos frequentemente postando “regras do YARA” no Twitter ou na seção comunitária do VirusTotal para amostras de
malware. O objetivo dessas regras é ajudar os profissionais de TI a detectar uma determinada vertente de malware ou indicador de compromisso (COI) em seu ambiente.Construindo um programa de segurança de aplicativos de classe mundialhttps://imasdk.googleapis.com/js/core/bridge3.453.0_en.html#goog_757150232Volume 0%
3. PageBuster
Para análise dinâmica de um binário Linux, malicioso ou benigno, o PageBuster torna super fácil recuperar dumps de páginas executáveis dentro de processos Linux embalados. Isso é especialmente útil ao separar empacotadores especializados de tempo de execução com malware que introduzem ofuscação e dificultam a análise estática.
“Os empacotadores podem ser de crescente complexidade e, em muitos casos, um momento preciso no tempo em que todo o código original está completamente descompactado na memória nem sequer existe”, explica o engenheiro de segurança Matteo Giordano em um post no blog.
O PageBuster também tem cuidado para conduzir suas atividades de dumping de página cuidadosamente para não acionar qualquer máquina anti-virtual ou defesas anti-sandboxing presentes no binário analisado (por exemplo, malware evasivo).
4. AuditJS
A ferramenta auditJS gratuita pode ajudar os desenvolvedores JavaScript e NodeJS a garantir que seu projeto esteja livre de dependências vulneráveis, e que as dependências de dependências incluídas em seu projeto estão livres de vulnerabilidades conhecidas. Funciona espiando o que está dentro do arquivo manifesto do seu projeto, package.json.
“A grande coisa sobre o AuditJS é que não só ele vai digitalizar os pacotes em seu pacote.json, mas ele vai digitalizar todas as dependências de suas dependências, todo o caminho para baixo. Ser capaz de saber se você tem uma vulnerabilidade de segurança mesmo em dependências transitivas pode vir com alguma paz de espírito significativa”, disse o desenvolvedor Dan Miller em um post no blog.
5. Mihari
Quando você combina o poder de Shodan,Censys, VirusTotal, SecurityTrails e uma dúzia de outros serviços de inteligência de código aberto(OSINT),você obtém Mihari. Mihari touts-se para ser uma estrutura para a caça contínua de ameaças baseada em OSINT. A infinidade de serviços que a Mihari integra abre muitas possibilidades quando se trata de coletar e gerenciar a OSINT.
A ferramenta pode alertá-lo sobre o Slack, TheHive ou criando um novo evento MISP depois de ter pesquisado artefatos (endereços IP, URLs ou hashes de interesse) em seu banco de dados.
6. Regexploit
A negação de serviço (DoS) nem sempre ocorre através de um ataque de rede inundando seu servidor ou cargas que causam uma falha no aplicativo. Falhas em suas expressões regulares (regex) podem ser exploradas para dificultar o desempenho e a velocidade da sua aplicação ou causar uma condição DoS.
A fraqueza exata onde um padrão de regex vulnerável pode fazer com que o motor de processamento de regex congele ou defase é chamado de “retrocesso catastrófico”. O Regexploit permite que pesquisadores de segurança, hackers éticos e desenvolvedores descubram facilmente se seu regex tem alguma falha regular de negação de serviço de expressão (ReDoS).
7. Incrível Defesa de Ataque de Cobalto
Cobalt Strike é uma ferramenta de pentesting popular usada para simular ameaças avançadas do mundo real. Como tal, também tem sido abusada por adversários para a realização de suas atividades sinistras.
Awesome-CobaltStrike-Defense não é uma única ferramenta, mas sim uma coleção de ferramentas e técnicas no GitHub, compilada pelos pesquisadores de segurança Michael Koczwara e Wojciech Lesicki para ajudar os profissionais de cibersegurança a preparar defesas contra ataques avançados que usam o Cobalt Strike e ferramentas de pentesting semelhantes.
8. Bumerangue
Para atividades de equipe vermelha, o Boomerang fornece uma maneira de expor servidores internos à web ou nuvem sobre túneis HTTP ou TCP. Isso pode ter muitos usos dependendo do contexto e escopo de uma avaliação de segurança. Escrito em Go, esta ferramenta pode ajudar nas atividades de teste de penetração e no estabelecimento de conexões de comando e controle (C2) que podem deslizar através de firewalls corporativos.
9. OWASP Zed Attack Proxy (ZAP)
O Zed Attack Proxy (ZAP) é uma ferramenta de pentesting fácil de usar que encontra vulnerabilidades em aplicativos web. Ele fornece scanners automatizados e um conjunto de ferramentas para aqueles que desejam encontrar vulnerabilidades manualmente. Ele foi projetado para ser usado por profissionais com uma ampla gama de experiências de segurança, e é ideal para testadores funcionais que são novos para pentesting ou para desenvolvedores. Há até um plugin ZAP oficial para o aplicativo de integração e entrega contínua Jenkins.
10. Shadrak
Shadrak é outro gerador de bomba de descompressão baseado no pacote ZipBomb. Bombas de descompressão ou “bombas zip” referem-se a um arquivo muito grande com dados inúteis e sem sentido que foram compactados para reduzir seu tamanho a alguns kilobytes (KBs). Quando descomprimido, o arquivo original ocuparia mais recursos (por exemplo, terabytes de espaço em disco) do que o que está disponível, fazendo com que o sistema congelasse ou travasse completamente.
Para pesquisadores de malware e hackers éticos,o Shadrak se torna uma ferramenta muito útil para se estar ciente. Pode gerar bombas de descompressão em vários formatos, incluindo 7-Zip, exe, RAR, ZIP ou TAR. Os desenvolvedores da ferramenta afirmam que suas bombas de descompressão são capazes de quebrar ou pendurar produtos antivírus, ferramentas forenses, sistemas antispam, e causar uma condição DoS em quase tudo o que descomprprime arquivos.
11. Fóton
O fóton é um rastreador de web super-rápido projetado para coletar OSINT. Ele pode ser usado para obter endereços de e-mail, contas de mídia social, baldes da Amazon e outras informações cruciais relacionadas a um domínio. O fóton se baseia em fontes públicas como o Wayback Machine do Google e do Internet Archive. Escrito em Python, o Photon vem com a capacidade de adicionar plugins a ele para exportar os dados coletados em um formato JSON puro, ou para integrar o DNSDumpster com ele.
12. Harlogger
Harlogger permite que você fareje tráfego HTTP/HTTPS descriptografado em dispositivos iOS, incluindo os jailbroken, para análise ou fins forenses. Os resultados são fornecidos em um arquivo HAR.
13. MozDef
Para os profissionais de resposta a incidentes, a Mozilla Defense Platform (MozDef) é uma ferramenta de código aberto para lidar, monitorar, responder e gerenciar automaticamente incidentes de segurança à medida que ocorrem. O MozDef incorpora Elasticsearch, Meteor e MongoDB para expandir as capacidades tradicionais do SIEM com resposta a incidentes e visualizações.
14. Lynis
Para realizar auditorias de segurança completas em sistemas baseados em Unix, como Linux, macOS, BSD, não procure mais do que Lynis. Os fabricantes de Lynis queriam facilitar que os defensores ou os times azuis avaliassem as defesas de segurança que eles têm no lugar, e gerassem dicas sobre como endurecer ainda mais seu sistema. Como tal, sysadmins, auditores de segurança e até pentesters encontrarão valor incluindo Lynis em seu kit de ferramentas.
15. Autópsia / O Kit Sleuth
Para especialistas em perícia digital, a Autópsia fornece um aplicativo de interface de usuário gráfico (GUI) baseado no projeto Sleuth Kit para ajudar a analisar discos rígidos e smartphones. Embora a Autópsia seja feita para ser multiplataforma (Windows, Linux, macOS, etc.), seus fabricantes testaram-na principalmente em sistemas Windows.
FONTE: CSO ONLINE