Herramientas de Linux para el análisis de Malware


Fecha: 10 de enero de 2024



La adopción de medidas de seguridad es indispensable para el buen funcionamiento de los servidores. Es por ello que algunas empresas han tomado la medida de generar estabilidad y sobre todo garantizar la seguridad de sus servicios por lo que han desarrollado herramientas que no solo detectan fallas y malware, sino que además los enmiendan y toman acciones preventivas; lo que permite brindar en sus servicios básicos los correctivos pertinentes ante riesgos que deben tomarse en cuenta.

Algunas de estas herramientas para escanear el servidor Linux en busca de fallas de seguridad y malware son:

  1. Lynis: Es capaz de detectar agujeros de seguridad y fallas de configuración. Pero va más allá de eso, en lugar de simplemente exponer las vulnerabilidades, sugiere acciones correctivas. Por eso, para obtener informes de auditoría detallados, es necesario ejecutarlo en el sistema host.
  2. Chkrootkit: Es uno de los programas basados en Unix más utilizados que puede detectar rootkits. Utiliza 'strings' y 'grep' (comandos de herramientas de Linux) para detectar problemas; se puede utilizar desde un directorio alternativo o desde un disco de rescate. En caso de que desee verificar un sistema ya comprometido, se encargan de buscar entradas eliminadas en los archivos “wtmp” y “lastlog”, encontrar registros sniffer o archivos de configuración de rootkit y verificar entradas ocultas.
  3. Rkhunter: Es una herramienta adecuada para sistemas POSIX y puede ayudar con la detección de rootkits y otras vulnerabilidades. Revisa minuciosamente los archivos ocultos o visibles, directorios predeterminados, módulos del kernel y permisos mal configurados.
  4. ClamAV: Es un antivirus de código abierto que puede ayudar a detectar virus, troyanos y muchos otros tipos de malware. Es una herramienta completamente gratuita, por eso mucha gente la usa para escanear su información personal, incluidos los correos electrónicos, en busca de cualquier tipo de archivo malicioso. También sirve significativamente como un escáner del lado del servidor.
  5. Linux Malware Detect: Es un antivirus de renombre para sistemas Linux, diseñado específicamente en torno a las amenazas; usa una base de datos de firmas para encontrar cualquier código malicioso en ejecución y terminarlo rápidamente.
  6. Radare 2: Es un marco para analizar binarios y realizar ingeniería inversa con excelentes capacidades de detección. Puede detectar binarios mal formados, brindando al usuario las herramientas para administrarlos, neutralizando las amenazas potenciales.
  7. Remnux: Utiliza métodos de ingeniería inversa para analizar malware, puede detectar muchos problemas basados en navegador, ocultos en fragmentos de código ofuscados de JavaScript y subprogramas de Flash. También es capaz de escanear archivos PDF y realizar análisis forenses de memoria.
  8. Tigre: Verifica el estado y la configuración del sistema, tiene uso multipropósito. Es una herramienta de auditoría de seguridad.
  9. Maltrail: Es un sistema de detección de tráfico capaz de mantener limpio el flujo de información de su servidor y ayudarlo a evitar cualquier tipo de amenazas maliciosas; realiza esa tarea comparando las fuentes de tráfico con los sitios de la lista negra publicados en línea.
  10. YARA: Es una de las herramientas más esenciales utilizadas para la investigación y detección de programas maliciosos. Utiliza patrones textuales o binarios para simplificar y acelerar el proceso de detección, lo que resulta en una tarea rápida y sencilla.


Referencias:



Tags:  malware herramientas linux


Octubre 2024

Crítico
CVE-2024-9264

La CVE-2024-9264 fue descubierta el 26 de septiembre de 2024 y anunciada públicamente el 18 de octubre de 2024, siendo hallada en Grafana, una popular plataforma de visualización de datos. Esta vulnerabilidad permite a los atacantes remotos no autent

Crítico
CVE-2024-21378

En el 2023 investigadores del NetSpi descubrieron una vulnerabilidad remota que afectaba a Microsoft Outlook, la falla identificada como CVE-2024-21378 permitía a los atacantes autenticados ejecutar códigos maliciosos después de la autenticación, sin