Binwalk: herramienta de análisis de código malicioso en imágenes de firmware

Binwalk hace un buen trabajo analizando posibles firmas de archivos y filtrando falsos positivos obvios, pero no es perfecto. Algunas firmas son más difíciles de validar que otras y binwalk siempre va a pecar de cauteloso, es decir, informará antes de un posible falso positivo para que pueda validarlo o invalidarlo de forma independiente, en lugar de no informar de un resultado cuestionablemente válido.

Como utilizar binwalk

Escaneo de firmware

La característica principal, y la más popular, de binwalk es su escaneo exclusivo. Binwalk puede escanear una imagen de firmware para diferentes tipos de archivos y sistemas de archivos, solo hay que pasarle una lista de archivos para escanear:

$ binwalk firmware.bin

Extracción de archivos.

Permite extraer los archivos que se encuentran en la imagen de firmware con la opción “-e”:

$ binwalk -e firmware.bin 

Binwalk incluso escaneará archivos recursivamente a medida que los extrae si también especifica la opción “-M”:

$ binwalk -Me firmware.bin 

Y si se especifica la opción “-r”, cualquier firma de archivo que no se haya podido extraer o que haya resultado en archivos de tamaño 0, se eliminará automáticamente:

$ binwalk -Mre firmware.bin 

Para extraer un tipo de firma específico, especifique una o más opciones de archivos a extraer con el modificador “-D”:

$ binwalk -D ‘ png image: png ‘ firmware.bin

Análisis de entropía

Cuando el análisis de binwalk no reporta nada porque no coincide nada sospechoso las firmas, existe una opción para que analice el código y identifique posibles códigos maliciosos, gracias al análisis de entropía. El análisis de entropía puede ayudar a identificar secciones interesantes de datos dentro de una imagen de firmware:

$ binwalk -E firmware.bin

Fuente: segu-info.com.ar

Please follow and like us: