MalwareBazaar es un proyecto de abuse.ch, cuyo propósito es compartir muestras de malware con la comunidad relacionada a seguridad de la información, proveedores de antivirus, y proveedores de inteligencia sobre amenazas.

¿Por qué MalwareBazaar?

En el área de las investigaciones en seguridad de TI, se utiliza en gran medida la información pública disponible (OSINT), con el propósito de detectar nuevas ciber amenazas. OSINT es un gran recurso para esta inteligencia sobre amenazas. Sin embargo frecuentemente es probable enfrentarte con un problema simple pero grave: las muestras de malware a las cuales se referencia en publicaciones de blogs, documentos técnicos, o mencionadas en redes sociales como Twitter (X) no suelen ser fácilmente posibles de ser accedidas. Debe registrarse en millones de diferentes motores de escaneo antivirus en línea, entornos sandbox, o bases de datos de malware, para finalmente obtener la muestra de malware necesarias para realizar el análisis. Esto está empeorando: pues algunas de estas plataformas vienen con restricciones de descarga (solo se puede descargar una cantidad específica de muestras de malware por día), otras plataformas solo están disponibles para usuarios quienes paguen. Esto puede ser un gran inconveniente para realizar un trabajo diario para muchos investigadores de seguridad en TI..

La motivación para publicsar MalwareBazaar, es tener un lugar donde los investigadores en seguridad de TI pueden compartir fácilmente muestras de malware con la comunidad, sin tener las restricciones de descarga, ni deber pagar costosas tarifas de suscripción.

La manera más simple de obtener (descargar) una muestra de malware es a través de su sitio web.

Habiendo ingresado al sitio web de MalwareBazaar, ingresar a la sección “Browse”

El buscador tiene una sintaxis para realizar búsquedas; como por ejemplo; md5, sha256, signature, tag, file_type, user, clamav, yara, serial_number, issuer_cn, imphash, tlsh, telfhash, gimphash, dhash_icon.

Para el siguiente ejemplo se utiliza “tag”, para buscar por etiquetas, seguido del texto “ransomware”, para buscar muestras de ransomware.

La descarga correspondiente a la muestra de malware requerida, se realiza haciendo clic en el ícono correspondiente a la columna de nombre “DL”.

En la página donde ya es factible descargar la muestra de malware, mediante el botón de nombre “Download”, se presenta una oportuna advertencia.

¡Precaución!

Está a punto de descargar una muestra de malware. Al hacer clic en "descargar", declara haber comprendido lo cual está haciendo, y MalwareBazaar no se hace responsable de ningún daño causado al descargar esta muestra de malware.

Así mismo indica la contraseña es: infected

Una vez descargado el archivo se procede a descomprimirlo. Luego de lo cual ya es posible analizar la muestra de malware.

Resulta interesante al momento de realizar la presente publicación, un antivirus como clamAV no lo detecta como malicioso. Un motivo para esto es el malware se publicó hace dos días, dado el hecho se considera un malware “reciente”, como consecuencia de esto clamAV no puede aún detectarlo.

MalwareBazaar incluye un API, lo cual permite integrar inteligencia de amenazas desde MalwareBazaar en un SIEM.

Así mismo en lo referente a la base de datos de MalwareBazaar, se puede obtener información, explorar la base de datos, y encontrar las más recientes adiciones.

También se pueden compartir las muestras de malware con la comunidad, lo cual ayuda a crear una Internet más segura.

Fuentes:

https://bazaar.abuse.ch/