lupa que encuentra la palabra malware entre otras
Auditoría de código,  Ciberseguridad,  Hacking ético

Prueba el sistema antivirus, archivo EICAR

Cómo probar si la detección antivirus está activa en un sistema o aplicación? Un buen comienzo es confirmar la subida de archivos maliciosos. Para esto el archivo EICAR consiste en una cadena de texto que prueba el sistema antivirus.

En una auditoría de código, esta característica es fácil de ver. Para lo demás este inofensivo «Malware» te permite realizar esta comprobación en el contexto de una auditoría DAST o pentest.

Este es el test o archivo EICAR, consiste en una cadena de texto que prueba el sistema antivirus. Si guardas como archivo esta cadena expuesta a continuación, esto hará saltar la detección antivirus:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

Los sistemas que implementan detección de malware, tienen registrada esta cadena como prueba precisamente para eso, probar la detección antivirus. Por esto el archivo resultante es inofensivo, y se corresponde con una operativa habitual.

formulario de subida de archivos de una aplicación .net, Archivo EICAR, prueba el sistema antivirus

Descripción

Los sistemas antivirus guardan en sus bases de datos la signature o firma de este archivo de 68 bytes como malware. Por lo tanto responderán exactamente igual que si se encontrara un código realmente perjudicial.

En origen el archivo EICAR ponía a prueba el sistema antivirus guardado a disco con una extensión «.com». Este sencillo ejecutable resultado en sistemas como MS-DOS imprimía por pantalla «EICAR-STANDARD-ANTIVIRUS-TEST-FILE!» y se detenía.

La prueba EICAR (nombre oficial: EICAR Standard Anti-Virus Test File) es una prueba, desarrollada por el European Institute for Computer Antivirus Research (en español Instituto Europeo para la Investigación de los Antivirus Informáticos) y por Computer Antivirus Research Organization (en español Organización de Investigación de los Antivirus Informáticos), para probar la respuesta de los programas antivirus en el equipo.

Wikipedia

A continuación podemos ver el resultado del análisis en VirusTotal y los hash de el ejemplo común de archivo EICAR:

https://www.virustotal.com/gui/file/131f95c51cc819465fa1797f6ccacf9d494aaaff46fa3eac73ae63ffbdfd8267/detection

Hash type Value
CRC32 1dd02bdb
MD5 69630e4574ec6798239b091cda43dca0
SHA1 cf8bd9dfddff007f75adf4c2be48005cea317c62
SHA224 a2e3aa5b0d6b05643f99e619c2d16deef927d171861477696be5b4c0
SHA256 131f95c51cc819465fa1797f6ccacf9d494aaaff46fa3eac73ae63ffbdfd8267
SHA384 10cc0011d21012867900a17757c239025dac46589f8e08ef93916d773a1dcc6257b357e408112d0d09fc9d3401d25700
SHA5125581f85b25f0d80fa84c69e7ca24d98344f5fbaec45b7707dccf139a8c065961391d6e762516ee1db3137c4d82eca7fbc67c348c37ea0d615bb88161cf3b3008

Posibilidades

A partir de aquí tenemos varias posibilidades. En primer lugar cogemos la cadena de texto y la guardamos con una extensión cualquiera. Después las aplicaciones de esta prueba como podrás imaginar son muchas.

  • En auditorías de aplicaciones o servicios, haciendo pruebas dinámicas sobre la aplicación (SAST): En primer lugar comprobar si deja subir el archivo al usuario, confirmar si lo guarda realmente y podemos recuperarlo. Después revisaremos si la aplicación ha detectado y /o impedido la subida del archivo, si ha registrado el incidente, etc…
  • En sistemas: De esta forma probamos si el sistema antivirus está funcionando. Del mismo modo podría llegarse a introducir malware mediante un correo, pendrive, descarga, etc…

Si quieres leer más sobre auditoría de aplicaciones https://auditoriadecodigo.com/realizando-una-auditoria-de-codigo-primera-parte/

Referencias y recursos para profundizar más en el tema

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

error

Enjoy this blog? Please spread the word :)

error: