Tuesday, April 14, 2020

FOCA V3.4.7 Released! #FearTheFOCA What's New? @Fear_The_Foca

La nueva versión de FOCA ya está en la calle lista para que empieces a jugar con ella. Como ya habíamos anunciado mi compañero Fran Ramírez y yo en nuestro CodeTalk de novedades de FOCA, se acaba de publicar la nueva versión, la FOCA v3.4.7 con las características ya anunciadas., y alguna más.

Figura 1: FOCA v3.4.7 Released! What's new?

Por si aún no has visto el CodeTalk For Developer que hicimos Fran Ramírez y yo sobre las novedades de FOCA, lo tienes aquí mismo para que te lo veas estos días si tienes un ratito.


Figura 2: CodeTalk For Developers: Novedades de FOCA


En él estuvimos hablando, además de todas las novedades en que estábamos trabajando, de esta nueva versión 3.4.7. que ya puedes descargar de la sección de Releases de nuestro GitHub de FOCA. Aquí mismo te la dejamos listo para que la descargues.

Figura 3: Release FOCA v3.4.7 en GitHub, compilada y con  código fuente

En el artículo de hoy vamos a aprovechar y hacer un repaso de todas estas nuevas funciones que hemos añadido en esta nueva versión donde, como característica principal, se ha incluido DIARIO para el análisis de malware de los documentos, apoyándose en tecnología Machine Learning. Como habréis visto, nuestros compañeros llevan tiempo usando Machine Learning aplicado a ciberseguridad y hemos metido una de las funciones desarrolladas en nuestra querida FOCA.

Figura 4: Machine Learning Aplicado a Ciberseguridad
de  0xWord con Carmen Torrano, Paloma Recuero, Fran Ramírez,
José Torres y Santiago Hernández

Podéis ver más detalles de su funcionamhttps://github.com/ElevenPaths/FOCAiento desde la propia web de DIARIO. Para acometer estos cambios y realizar una integración a medida, hemos considerado pertinentes una serie de modificaciones que facilitan su uso, que extienden la funcionalidad de FOCA, que sigue siendo básicamente como se explica en el libro que escribimos junto con Chema Alonso de Pentesting con FOCA 2ª Edición.

Figura 5:Libro de  Pentesting con FOCA 2ª Edición en 0xWord
de Chema Alonso con colaboración de Ioseba Palop, Manu Fernández,
Pablo González, Enrique Rando, Rubén Alonso y Juanma Moreno

La primera de ellas es la actualización del árbol lateral, creando la entrada 'Document Analysis'. Eso se debe a que no solo se pueden analizar metadatos de documentos como siempre, sino que también se podrá además comprobar diferentes sistemas de detección de malware en ellos. De esta manera, se le da un concepto más amplio para cualquier futura implementación que se quiera realizar.

Figura 6: Document Analysis

También se puede apreciar que al igual que existía un 'Metadata Summary', se ha incluido un resumen de los ficheros analizados por DIARIO, catalogando aquellos documentos en los que se ha encontrado malware, y en los que no.

Figura 7: Malware Summary

Y ahora, la vista de detalle de un documento no solo incluye la información de metadatos encontrados, sino que incluye también la predicción de malware. Ambos tipos de información siempre y cuando se hayan analizado, ya que este análisis se realiza de manera independiente. Como se puede apreciar en la imagen, aparecerá una advertencia en el caso de que el análisis de metadatos y/o de malware esté pendiente.

Figura 8: Información detallada de un documento

¿Cómo se realiza el análisis de malware de uno o varios documentos? De la misma manera en la que se analizan los metadatos. Basta con ir al listado de ficheros añadidos, y utilizando el menú contextual, pulsar la opción de 'Analyze Malware' para analizar el fichero o ficheros seleccionados, o 'Analyze All Malware' para analizar todos los del listado.

Figura 9: Analizando malware con DIARIO en todos los documentos

Cabe destacar que no todos los ficheros pueden ser analizados. Para esto deben estar descargados previamente, no haber sido analizados y que tengan una extensión compatible con DIARIO. Estas extensiones son 'pdf', 'docx', 'xlsx', 'doc', y 'xls'. En este vídeo tenéis información más detallada de DIARIO.


Figura 10: DIARIO. Una nueva forma de analizar malware.

Pero estas no son las únicas novedades. Además de los ya habituales fixes de versiones anteriores y la mejora y limpieza de código, esta nueva versión incluye mejoras en la extracción de metadatos, como el análisis de imágenes embebidas en ficheros PDF.

Figura 11: Extracción de metadatos en imágenes embebidas en ficheros PDF

¡Aprovechad estos días de estar en casa y probad la nueva funcionalidad! Si son tus primeros pasos con FOCA, aquí puedes consultar una pequeña guía. Y recuerda que puedes seguir al día las novedades en nuestra Cuenta de Twitter Oficial de FOCA: @Fear_The_Foca

Fear the FOCA!

Autor: Ioseba Palop, Main FOCA Contributor.


Figura 12: Contactar con Ioseba Palop

More info


No comments: