Buenas noches estimados lectores, hoy no hablaré de moca sin embargo hablaremos de seguridad de la información un tema del cual me gusta mucho hablar y practicar en mi día a día , buscando en la red por herramientas de seguridad de la información me he encontrado con esta herramienta llamada Malcom.
Es importante que antes de que les hable sobre Malcom tengamos la definición correcta sobre qué es malware.
¿Qué es un Malware?
Un malware por sus siglas en inglés (malicious software) es un tipo de software que contiene código malicioso con el objetivo de entrar en nuestros ordenadores y/o dispositivos móviles con el objetivo de dañarlos o realizar acciones sin el consentimiento del usuario, como lo son la producción de spam, robar contraseñas bancarias o el robo de archivos y documentos, pero que no acaso, ¿esto es lo mismo que un virus?
Algunas de las clasificaciones del malware son las siguientes:
- Troyanos
- Gusanos
- Rootkits
Por tal motivo estos no son considerados como virus.
De ahí que me surge la siguiente pregunta:
¿Cuál es la diferencia entre un Malware y un Virus?
Para poder entender esta diferencia debemos entender también la definición de virus:
Un virus, es un código malicioso que se propaga mediante la infección de archivos existentes, haciendo una comparación con la biología, es similar a la forma en que un virus biológico se propaga mediante infecciones en las células vivas.
A diferencia del malware los virus usando su capacidad de infección siempre intentan utilizar su capacidad para hacer copias de sí mismo y de propagarse en otros equipos, siendo como virus típicos los archivos adjuntos de un correo electrónico.
Sin embargo, no podemos dejar de lado que un virus puede ser un malware, ya que los malware son variantes mejoradas de los virus, que hoy en día buscan entrar a nuestros equipos de manera más usual haciendo uso de navegadores web.
Por lo tanto, si seguimos haciendo esta diferencia llegaremos a una conclusión de que ambos tienen muchas cosas en común por eso mismo hoy en día necesitamos una protección mayor en nuestros equipos sobre todo si son windows ya que un antivirus no es suficiente para la protección al 100% del sistema operativo.
¿Los antivirus detectan malware?
La pregunta de este subtítulo me la he realizado durante mucho tiempo y aún sigo sin llegar a estar 100% seguro de cómo obtener una seguridad perfecta en un sistema operativo windows.
La clasificación entre los diferentes tipos de ataques queda a disposición del fabricante del antivirus/antimalware, por tal motivo lo que para nosotros es un malware puede ser que para la firma de antimalware sea clasificado como un virus, por tal motivo no estaremos 100% seguros de si éste será detectado con su motor de seguridad.
Como tip personal yo tengo instalado el antivirus: Bullguard, junto con el antimalware: Malwarebytes, por ahora he tenido una detección de intrusiones, virus, exploits y malware casi perfecto.
Ahora sí estamos listos de hablar sobre el programa que les vengo recomendando.
Malcom
Malcom es un analizador de comunicaciones (freeeware) que fue diseñado para analizar comunicaciones realizadas por medio de malwares en la red, mostrándonos los resultados de un análisis dentro de representaciones gráficas, haciendo uso de referencias cruzadas de bases de datos malwares.
Es una herramienta muy útil y usable ya que de esta manera podremos analizar nuestra red en busca de malware, para que de esa manera detectemos las ips, los nodos y la cantidad de tráfico que es enviada y recibida dentro de nuestra red.
Características de la herramienta
Malcom nos puede ayudar en lo siguiente:
- Detectar ejecución de comandos de control centralizados en servidores (C&C).
- Entender nuestra red peer-to-peer
- Observar las infraestructuras de fast-flux con DNS
- Determinar de una manera rápida y sencilla si alguno de nuestros dispositivos fue infectado por malware.
Instalación de Malcom
Malcom solo puede ser instalado en ambientes linux basados en debian y que hagan uso del repositorio apt, está escrito en python por lo tanto requiere descarga de librerías extras, les recomiendo hacer la instalación primero en una máquina virtual para no romper las librerías compartidas con el sistema.
Ejecutando el siguiente comando desde la terminal de linux, malcom será instalado con todas sus dependencias:
|
sudo apt–get install build–essential git python–dev libevent–dev mongodb libxml2–dev libxslt–dev zlib1g–dev redis–server libffi–dev libssl–dev python–virtualenv
|
Si tú eres un usuario que al igual que yo te gusta hacer pruebas de herramientas de monitoreo y de comunicación probablemente ya tengas algunas máquinas virtuales ejecutando herramientas en diferentes sistemas operativos, pero no te recomiendo lo instales en alguna de esas máquinas virtuales, mejor crear una nueva para el propósito de tener solo malcom como prueba y una vez que ya lo conozcas y lo domines ahora si instalarlo en alguna otra virtual o de manera directa en el host.
Mientras que la información de la capa 3 siga funcionando hasta hoy en día malcom puede ser ejecutado en cualquier red, sin embargo, yo no lo recomiendo que lo ejecuten dentro de redes alta disponibilidad ya que a pesar de que fue desarrollado para rápidas ejecuciones puede causar problemas con el gateway, ya que hace una función llamada «mirror port and gateway» que puede romper la regla de alta disponibilidad.
Puedes descargar malcom desde el siguiente link:
Si estás más interesado en el tema también puedes leer más acerca de la aplicación desde el siguiente link:
No olvides pasar a la caja de comentarios y compartir tus experiencias usando herramientas de contramedidas para los diferentes tipos de ataques.
Nota: La información presentada en este blog es solo para uso didáctico, ni el autor ni la página se hacen responsables por el uso indebido de la información presentada.
theworldofmoca.wordpress.com 