4N4LDetector es una herramienta avanzada diseñada por Germán Sánchez Garcés (enelpc) para el análisis estático de ejecutables, bibliotecas, controladores y volcados de memoria en Windows. Su finalidad principal es ofrecer un diagnóstico de los archivos analizados para identificar posibles amenazas mediante la extracción de indicadores clave de compromiso y la evaluación de estructuras internas. PEscan es su versión web premium uxuizada.
¿Qué es un IOC?
Un IOC (Indicador Clave de Compromiso) es un artefacto o evidencia que puede indicar que un binario o sistema ha sido comprometido o está en proceso de serlo por un atacante. Los IOCs son utilizados principalmente en ciberseguridad para identificar, rastrear y responder a incidentes de seguridad y pueden ser de diversas formas.
Pueden ser desde direcciones IPs maliciosas asociadas a servers C2, hashes categorizados como maliciosos, nombres de archivos hasta registros del sistema (entre otros). Estos indicadores ayudan a los profesionales de la seguridad a detectar y mitigar ataques, como intrusiones de malware o acceso no autorizado.
¿Cómo funciona 4N4LDetctor?
4N4L realiza un análisis del PE header (encabezado del ejecutable), de la las secciones y otros aspectos internos de los archivos, revisando los strings y detectando patrones de obfuscación, cifrado y empaquetado. También identifica puntos de entrada inusuales, funciones maliciosas y patrones polimórficos, anti-VM y anti-debuggin sin la necesidad de ejecutar los archivos y poner el riesgo el sistema.
La herramienta es compatible con una amplia gama de arquitecturas, desde 32 bits (x86, ARMv7) hasta 64 bits (x64, ARMv8), incluyendo formatos menos comunes como EFI Byte Code, MIPS y Alpha AXP. Esto asegura que pueda analizar una variedad de binarios, lo que la hace útil en entornos de investigación forense y detección de malware.
¿Cómo funciona PEscan?
Solo dropea el binario y espera a que PEscan genere el reporte. Adjuntamos un fichero malicioso de prueba.
El análisis te devolverá un output similar a este:
