Metasploit añade soporte de análisis de malware mediante VirusTotal

VirusTotal empezó siendo una pequeña empresa malagueña, fue comprada en 2012 por Google y hoy en día es unos de los servicios de análisis multi-antivirus más populares, si no el que más. 

Aunque no me gusta especialmente que eliminaran la opción "Do not distribute the sample" que todavía mantienen otros servicios como NoVirusThanks, es innegable que es uno de los más sencillos y a la vez más potentes y completos: tiene extensiones para Chrome y Firefox, un programa que integra en el menú contextual la opción de enviar a VirusTotal, una versión para Android, y pone a disposición de los usuarios API's en varios lenguajes.

Y ahora además... ¡Metasploit ha añadido soporte de análisis de malware mediante VirusTotal!

Por defecto se utilizará la clave de API del propio Metasploit. Es decir, si no la cambias Metasploit podrá ver directamente la fecha y el mismo informe que tu tienes para cada uno de los archivos sospechosos que has subido. Sin embargo si lo prefieres puedes conseguir en https://www.virustotal.com/ una clave gratuita no comercial que te permitirá realizar hasta cuatro peticiones de análisis de cualquier tipo por minuto, más que suficiente para uso personal...


Actualmente existen dos scripts distintos para diferentes escenarios. La versión independiente o standalone se encuentra en el directorio "tools", lo que implica que se usa generalmente para algún tipo de propósito de desarrollo (aunque por supuesto puedes hacer lo que quieras con él). El otro sirve como módulo de entrada que permite comprobar un archivo remoto a través de un payload de Metasploit ... es un poco irónico, ¿no?

La versión standalone: virustotal.rb

El script subirá la muestra de malware a VirusTotal, y el servicio se hará cargo del resto. Si se trata de un fichero malicioso que no se ha analizado antes, es posible que pasen varios minutos para obtener un informe, normalmente unos 5-6 minutos. Si por alguna razón el período de espera tarda más de una hora el script terminará automáticamente, aunque podremos consultar manualmente el enlace del análisis más tarde.

Para probarlo la sintaxis es muy sencilla:

tools/virustotal.rb -f [RUTA DEL ARCHIVO HASTA UN MÁXIMO DE 4]

O si quieres usar tu propia API la primera vez (y sólo la primera vez) tendrás que especificarla:

tools/virustotal.rb -k [API KEY] -f [NOMBRE DEL ARCHIVO]

Un ejemplo de informe sería:



La versión del módulo post-explotación: check_malware.rb

Esta vez en vez de subir la muestra a VirusTotal, este módulo presentará el checksum y obtendrá el informe. Como opciones permite especificar nuestra propia clave y especificar el archivo que deseamos comprobar en el equipo atacado. He aquí un ejemplo de cómo usarlo:



Y esto es todo lo necesario que debes saber para empezar a usar VirusTotal desde Metasploit. Así que ejecuta msfupdate y no dudes en compartir con nosotros tus experiencias ;)

Fuente: Metasploit Now Supports Malware Analysis via VirusTotal

Comentarios