BlackBerry 發布新型惡意軟件反向工程工具，用于分析 PE 文件

BlackBerry開放源代碼PE Tree，這是一種用于分析可移植可執行（PE）文件的新型惡意軟件反向工程工具。

8月3日，在Black Hat USA 2020安全會議上，BlackBerry為網絡安全社區發布了一種新工具。

這款名為PE Tree的基于python的新應用程序適用于Linux、Mac和Windows系統，可用于對可執行文件(PE)的內部結構進行反向工程和分析，而PE文件是惡意軟件作者用來隱藏惡意有效負載的常見文件。

自上周起，該工具已在GitHub上開源，但8月3日標志著其正式發布。

該公司在新聞稿中說：“惡意軟件的逆向工程是一個非常耗時且費力的過程，可能涉及數小時的反匯編甚至是解構軟件程序的過程。”

它補充說：“ BlackBerry Research 和 Intelligence團隊最初開發了供內部使用的開源工具，現在正向惡意軟件逆向工程社區提供。”

根據BlackBerry的說法，PE Tree的好處包括：

• 以易于瀏覽的樹狀視圖列出PE文件內容
• 與IDA Pro反編譯器集成（輕松導航PE結構，轉儲內存中的PE文件，執行導入重建）
• VirusTotal搜索集成
• 可以將數據發送到CyberChef
• 可以作為獨立應用程序或IDAPython插件運行
• 開源許可證允許社區捐款

該工具是PE-bear的替代產品，PE-bear是Malwarebytes惡意軟件分析師Aleksandra“ Hasherezade” Doniec開發的類似應用程序。

網絡安全廠商歡迎開源空間

PE Tree還標志著另一個有用的網絡安全工具已發布到開源空間。對于網絡安全公司而言，這是一種重大的改變，其歷史上一直將其內部工具置于公眾視線之外，或者在昂貴的商業許可下也不公開源代碼。

在過去的兩年中，我們已經看到：

• FireEye發布了CommandoVM，一種基于Windows的虛擬機，專門用于惡意軟件研究，以替代社區中最受歡迎的操作系統Kali Linux。
• FireEye發布了Flashmingo，該應用程序可自動搜索Flash漏洞。
• FireEye發布了Crescendo，這是一個適用于macOS的實時事件查看器。
• FireEye發布了StringSifter，這是一種機器學習工具，可以根據與惡意軟件分析的相關性自動對字符串進行排名。
• FireEye發布了SharPersist，這是一個red-team 實用程序，可以使用不同的技術在Windows上建立持久性。
• FireEye發布了Capa，該工具可以分析惡意軟件并檢測惡意功能。
• FireEye發布了SilkETW，這是一個用于收集和搜索Windows事件跟蹤（ETW）日志的工具。
• CERT-Poland發布了DRAKVUF，這是一個自動化的管理程序級別的惡意軟件分析系統/沙盒。
• CyberArk發布了SkyWrapper，該工具可以掃描AWS基礎設施并檢測黑客是否濫用了自我復制令牌來維護對受感染系統的訪問。
• CyberArk發布了SkyArk，這是一種在AWS和Azure環境中檢測影子管理員帳戶的工具。
• F-Secure發布了TamaGo，一種基于Go的固件，用于裸機ARM片上系統（SoC）組件。
• F-Secure發布了Jandroid，該工具可識別Android上潛在的邏輯漏洞利用鏈。
• F-Secure版本C3，這是一個用于構建自定義命令和控制服務器的開源工具。
• SEC Consult發布了SEC Xtractor，這是一種用于硬件利用和固件提取的工具。
• NCC集團發布了全球首款針對藍牙5的開源嗅探器Sniffle]。
• NCC Group發布了Phantom Tap（PhanTap），這是一種用于靜默攔截網絡流量的工具。
• NCC集團發布了WStalker，這是一個代理，用于支持Web API調用的測試。
• Google發布了Tsunami，這是用于大型企業網絡的漏洞掃描程序。
• Google發布了UKIP，該工具可防止Linux上的USB擊鍵注入攻擊。
• Google發布了Sandboxed API，這是一個在Linux上對C / C ++庫進行沙箱測試的項目。
• Cloudflare發布了Flan Scan，這是一種網絡漏洞掃描程序。
• Red Canary發行了Chain Reactor，這是在Linux系統上進行對手模擬的工具。
• SpecterOps發布了Satellite，這是red-team運營的有效載荷和代理服務。
• Trustwave發布了SCShell，這是一種依靠Service Manager進行無文件橫向移動的工具。
• Trustwave發布了CrackQ，這是一種用于管理排隊系統中的hashcat密碼破解作業的工具。
• 法國的ANSSI網絡安全機構發布了DFIR ORC，這是一種開源取證工具，專用于從Windows系統收集工件。
• Sophos發布了Sandboxie，這是一個用戶友好的應用程序，可讓用戶在自己的受限容器內沙盒化（隔離）危險的應用程序。
• NSA發布了Ghidra，這是一個完整的軟件逆向工程工具包。
• 英特爾發布了HBFA，該應用程序可幫助進行固件安全測試。
• Kroll發布了KAPE（事件響應團隊的工件解析器），以尋找可能的折衷線索。