A mais nova release do capa, framework de código aberto com foco em analisar as funcionalidades maliciosas de arquivos/shellcodes, veio com uma quantidade gigantesca de novas regras, melhorias e correções.
Além de 50 novas regras também foi adicionado suporte à SMDA utilizando python3, classificação e mapeamento de TTPs (Tactics, Techniques and Procedures) em algumas das regras, scripts de exemplo utilizando capa como uma biblioteca em python dentre outras funcionalidades:
Dentre as novas regras adicionadas estão criação tarefas agendadas via linha de comando, alocação de memória com permissão de leitura e escrita, captura de IP público, patching da linha de comando do processo e muito mais!
Obviamente não podemos considerar a análise como verdade sempre, tendo em vista que existem funções que podem ser utilizadas por softwares legítimos, mas ainda assim a ferramenta ajuda e muito tendo em vista que o processo é todo automático e estático!
Lembrando que por enquanto a ferramenta suporta apenas análise de arquivos no formato PE e a limitação de sua funcionalidade é baseada nas regras das quais o capa utiliza.
Se você vive em outro planeta e não testou esta ferramenta ainda essa é a sua chance! Se você já testou/usa no seu dia a dia vale a pena atualizar e continuar utilizando?! ?
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.