BlackBerry 发布新型恶意软件反向工程工具，用于分析 PE 文件

BlackBerry开放源代码PE Tree，这是一种用于分析可移植可执行（PE）文件的新型恶意软件反向工程工具。

8月3日，在Black Hat USA 2020安全会议上，BlackBerry为网络安全社区发布了一种新工具。

这款名为PE Tree的基于python的新应用程序适用于Linux、Mac和Windows系统，可用于对可执行文件(PE)的内部结构进行反向工程和分析，而PE文件是恶意软件作者用来隐藏恶意有效负载的常见文件。

自上周起，该工具已在GitHub上开源，但8月3日标志着其正式发布。

该公司在新闻稿中说：“恶意软件的逆向工程是一个非常耗时且费力的过程，可能涉及数小时的反汇编甚至是解构软件程序的过程。”

它补充说：“ BlackBerry Research 和 Intelligence团队最初开发了供内部使用的开源工具，现在正向恶意软件逆向工程社区提供。”

根据BlackBerry的说法，PE Tree的好处包括：

• 以易于浏览的树状视图列出PE文件内容
• 与IDA Pro反编译器集成（轻松导航PE结构，转储内存中的PE文件，执行导入重建）
• VirusTotal搜索集成
• 可以将数据发送到CyberChef
• 可以作为独立应用程序或IDAPython插件运行
• 开源许可证允许社区捐款

该工具是PE-bear的替代产品，PE-bear是Malwarebytes恶意软件分析师Aleksandra“ Hasherezade” Doniec开发的类似应用程序。

网络安全厂商欢迎开源空间

PE Tree还标志着另一个有用的网络安全工具已发布到开源空间。对于网络安全公司而言，这是一种重大的改变，其历史上一直将其内部工具置于公众视线之外，或者在昂贵的商业许可下也不公开源代码。

在过去的两年中，我们已经看到：

• FireEye发布了CommandoVM，一种基于Windows的虚拟机，专门用于恶意软件研究，以替代社区中最受欢迎的操作系统Kali Linux。
• FireEye发布了Flashmingo，该应用程序可自动搜索Flash漏洞。
• FireEye发布了Crescendo，这是一个适用于macOS的实时事件查看器。
• FireEye发布了StringSifter，这是一种机器学习工具，可以根据与恶意软件分析的相关性自动对字符串进行排名。
• FireEye发布了SharPersist，这是一个red-team 实用程序，可以使用不同的技术在Windows上建立持久性。
• FireEye发布了Capa，该工具可以分析恶意软件并检测恶意功能。
• FireEye发布了SilkETW，这是一个用于收集和搜索Windows事件跟踪（ETW）日志的工具。
• CERT-Poland发布了DRAKVUF，这是一个自动化的管理程序级别的恶意软件分析系统/沙盒。
• CyberArk发布了SkyWrapper，该工具可以扫描AWS基础设施并检测黑客是否滥用了自我复制令牌来维护对受感染系统的访问。
• CyberArk发布了SkyArk，这是一种在AWS和Azure环境中检测影子管理员帐户的工具。
• F-Secure发布了TamaGo，一种基于Go的固件，用于裸机ARM片上系统（SoC）组件。
• F-Secure发布了Jandroid，该工具可识别Android上潜在的逻辑漏洞利用链。
• F-Secure版本C3，这是一个用于构建自定义命令和控制服务器的开源工具。
• SEC Consult发布了SEC Xtractor，这是一种用于硬件利用和固件提取的工具。
• NCC集团发布了全球首款针对蓝牙5的开源嗅探器Sniffle]。
• NCC Group发布了Phantom Tap（PhanTap），这是一种用于静默拦截网络流量的工具。
• NCC集团发布了WStalker，这是一个代理，用于支持Web API调用的测试。
• Google发布了Tsunami，这是用于大型企业网络的漏洞扫描程序。
• Google发布了UKIP，该工具可防止Linux上的USB击键注入攻击。
• Google发布了Sandboxed API，这是一个在Linux上对C / C ++库进行沙箱测试的项目。
• Cloudflare发布了Flan Scan，这是一种网络漏洞扫描程序。
• Red Canary发行了Chain Reactor，这是在Linux系统上进行对手模拟的工具。
• SpecterOps发布了Satellite，这是red-team运营的有效载荷和代理服务。
• Trustwave发布了SCShell，这是一种依靠Service Manager进行无文件横向移动的工具。
• Trustwave发布了CrackQ，这是一种用于管理排队系统中的hashcat密码破解作业的工具。
• 法国的ANSSI网络安全机构发布了DFIR ORC，这是一种开源取证工具，专用于从Windows系统收集工件。
• Sophos发布了Sandboxie，这是一个用户友好的应用程序，可让用户在自己的受限容器内沙盒化（隔离）危险的应用程序。
• NSA发布了Ghidra，这是一个完整的软件逆向工程工具包。
• 英特尔发布了HBFA，该应用程序可帮助进行固件安全测试。
• Kroll发布了KAPE（事件响应团队的工件解析器），以寻找可能的折衷线索。