在Black Hat USA 2020安全会议上,BlackBerry为网络安全社区发布了一种新工具。
名为PE Tree,这是一个适用于Linux,Mac和Windows的基于Python的新应用程序,可用于反向工程和分析Portable Executable(PE)文件的内部结构,恶意软件作者曾经使用过的常见文件隐藏恶意负载。
该工具自上周起已在GitHub上开源,但今天标志着其正式发布。
该公司在今天的新闻稿中说:恶意软件的逆向工程是一个非常耗时且费力的过程,可能涉及数小时的反汇编甚至是解构软件程序的过程。
BlackBerry Research and Intelligence团队最初开发了供内部使用的开源工具,现在正向恶意软件逆向工程社区提供。
根据BlackBerry的说法,PE Tree的好处包括:
以易于浏览的树状视图列出PE文件内容
与IDA Pro反编译器集成(轻松导航PE结构,转储内存中的PE文件,执行导入重建)
VirusTotal搜索集成
可以将数据发送到CyberChef
可以作为独立应用程序或IDAPython插件运行
开源许可证允许社区捐款
该工具是PE-bear的替代产品,PE-bear是Malwarebytes恶意软件分析师Aleksandra“ Hasherezade” Doniec开发的类似应用程序。
#FORMATIMGID_1#
PE Tree还标志着另一个有用的网络安全工具已发布到开源空间。对于网络安全公司而言,这是一种重大的改变,其历史上一直将其内部工具置于公众视线之外,或者在昂贵的商业许可下也不公开源代码。
在过去的两年中,我们已经看到:
FireEye发布了CommandoVM(一种基于Windows的虚拟机,专门用于恶意软件研究),以替代社区中最受欢迎的操作系统Kali Linux。
FireEye发布了Flashmingo,该应用程序可自动搜索Flash漏洞。
FireEye发布了Crescendo,这是一个适用于macOS的实时事件查看器。
FireEye发布了StringSifter,这是一种机器学习工具,可以根据与恶意软件分析的相关性自动对字符串进行排名。
FireEye发布了SharPersist,这是一个红队实用程序,用于使用不同的技术在Windows上建立持久性。
FireEye发布了Capa,该工具可以分析恶意软件并检测恶意功能。
FireEye发布了SilkETW,这是一个用于收集和搜索Windows事件跟踪(ETW)日志的工具。
CERT-Poland发布了DRAKVUF,这是一个自动化的管理程序级别的恶意软件分析系统/沙盒。
CyberArk发布了SkyWrapper,该工具可以扫描AWS基础设施并检测黑客是否滥用了自我复制令牌来维护对受感染系统的访问。
CyberArk发布了SkyArk,这是一种在AWS和Azure环境中检测影子管理员帐户的工具。
F-Secure发布了TamaGo,一种基于Go的固件,用于裸机ARM片上系统(SoC)组件。
F-Secure发布了Jandroid,该工具可识别Android上潜在的逻辑漏洞利用链。
F-Secure版本C3,这是一个用于构建自定义命令和控制服务器的开源工具。
SEC Consult发布了SEC Xtractor,这是一种用于硬件利用和固件提取的工具。
NCC集团发布了全球首款针对蓝牙5的开源嗅探器Sniffle。
NCC Group发布了Phantom Tap(PhanTap),这是一种用于静默拦截网络流量的工具。
NCC集团发布了WStalker,这是一个代理,用于支持Web API调用的测试。
Google发布了Tsunami,这是用于大型企业网络的漏洞扫描程序。
Google发布了UKIP,该工具可防止Linux上的USB击键注入攻击。
Google发布了Sandboxed API,这是一个在Linux上对C / C ++库进行沙箱测试的项目。
Cloudflare发布了Flan Scan,这是一种网络漏洞扫描程序。
Red Canary发行了Chain Reactor,这是在Linux系统上进行对手模拟的工具。
SpecterOps发布了Satellite,这是红队运营的有效载荷和代理服务。
Trustwave发布了SCShell,这是一种依靠Service Manager进行无文件横向移动的工具。
Trustwave发布了CrackQ,这是一种用于管理排队系统中的hashcat密码破解作业的工具。
法国的ANSSI网络安全机构发布了DFIR ORC,这是一种开源取证工具,专用于从Windows系统收集工件。
Sophos发布了Sandboxie,这是一个用户友好的应用程序,可让用户在自己的受限容器内沙盒化(隔离)危险的应用程序。
NSA发布了Ghidra,这是一个完整的软件逆向工程工具包。
英特尔发布了HBFA,该应用程序可帮助进行固件安全测试。
