¿Sabes qué es FAME Framework y para qué se utiliza en ciberseguridad? ¿Qué diferencias tiene con marcos de trabajo similares? El malware es una de las principales amenazas para la ciberseguridad actualmente. Las variantes modernas de malware pueden ser altamente complejas y destructivas para los sistemas. Además, muchos ciberdelincuentes inexpertos consiguen fácilmente acceso a ellos.
En consecuencia, miles de nuevas variantes de malware y ciberataques surgen al día. Por lo que los equipos de respuesta ante incidentes de ciberseguridad deben estar analizando sistemas y redes de compañías y organizaciones constantemente. Para ello, deben contar con herramientas avanzadas y automatizadas para el análisis de malware y la monitorización de procesos.
Para analizar malware, existen numerosas herramientas de código abierto, de pago y algunas de ellas vienen en formato de aplicación web. Por lo tanto, siempre es útil contar con marcos de trabajo que ofrezcan perspectivas holísticas y que reúnan la mayor cantidad de motores de análisis posibles.
En este post, hablaremos sobre una herramienta gratuita de análisis de malware que te ofrecerá informes amplios y detallados sobre cada muestra. A continuación, te explicaremos qué es FAME Framework.
¿Qué es FAME Framework?
FAME Automated Malware Evaluation o FAME Framework es una herramienta de código abierto para automatizar análisis exhaustivos acerca de un archivo relacionado con malware. FAME permite integrar diferentes tipos de módulos derivados de múltiples y poderosas herramientas de ciberseguridad. FAME Framework cuenta con una interfaz web amigable para los usuarios y es un marco de trabajo diseñado especialmente para equipos de respuesta ante incidentes.
FAME Framework intenta extraer la mayor cantidad de información posible acerca de un fichero sospechoso, incluso si se trata de una amenaza de día cero. El motivo de la eficiencia de este marco de trabajo radica en la gran cantidad de módulos de análisis que se le pueden agregar.
Tipos de módulos de FAME Framework
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaPara entender más a fondo qué es FAME Framework, veremos los diferentes tipos de módulos que se pueden agregar en esta herramienta:
- Preload: son aquellos módulos que detectan el tipo de formato del fichero sospechoso y, asimismo, envían instrucciones a la sandbox acerca de cómo detonar la muestra. En ocasiones, estos mismos módulos reciben los datos sobre el comportamiento del malware y los envían a la etapa de procesamiento.
- Processing: son los módulos en los que ocurre el análisis de FAME. Los módulos de procesamiento se pueden clasificar como el “corazón” de este framework, ya que determinan qué comportamientos analizar en el malware.
- Isolated processing: son los módulos que permiten automatizar análisis dinámicos de malware en sandbox, utilizando herramientas como CAPE y Cuckoo Sandbox. Se pueden construir y utilizar sandbox propios o predeterminados.
- Reporting: este módulo recoge y organiza los datos procesados y los pone a disposición del analista por medio de la interfaz web de la plataforma.
- Antivirus: este módulo reúne varios motores antivirus, que sirven para detectar y clasificar el tipo de malware en cuestión. Complementan a los módulos de procesamiento y acompañan en la monitorización de comportamientos del sistema aislado.
- Virtualization: se refiere a la configuración de entornos virtuales para pruebas con malware, los cuales deben diseñarse de forma adecuada, con el fin de evitar que los programas detecten su entorno de ejecución y no funcionen.
Algunos módulos
Ahora sabes qué es FAME Framework y qué tipos de módulos puedes agregar. Dichos módulos son herramientas escritas en Python3 que podrás agregar fácilmente a la plataforma. El programa de FAME cuenta con un directorio predeterminado con algunos módulos de análisis iniciales. Sin embargo, también puedes incluir herramientas como:
- Office macros: para determinar si hay un ataque con macros.
- MobSF: para hacer análisis estático y dinámico de aplicaciones móviles.
- RTF Reversing: para hacer ingeniería inversa de archivos con formato tipo RTF.
- Cuckoo Sandbox: para automatizar análisis dinámicos de malware.
- Cuckoo Modified: corresponde al framework CAPE, para automatizar análisis dinámicos de malware más exhaustivos.
Si quieres aprender más sobre qué es FAME Framework con la guía de un analista de malware profesional, ingresa a nuestro Ciberseguridad Full Stack Bootcamp y especialízate en tan solo 7 meses. ¿A qué estás esperando para impulsar tu vida profesional? ¡Inscríbete ahora y triunfa en el sector IT!