Un proyecto creado por el grupo –Team CYMRU– puede llegar a ser de muchísima utilidad al momento de querer detectar algún malware o archivo sospechoso llamada Malware Hash Registry (MHR)
Es una base de datos de muchisimos HASH de malwares que puede ser consultadas con algunos queries como Whois ó DNS.
El uso de la base de datos es gratuito (libre de costo) y para uso no comercial. En caso de que el uso vaya a ser comercial se deberán poner en contácto con el grupo. Si se esta pensando en hacer alguna herramienta automatizada de consulta en algún software libre o de código abierto, aplicación o host se comuniquen con ellos para saber si cuentan con la suficienta capacidad de soportar la carga que se puede generar.
Esta prohibido cualquier publicación de algún registro en un servicio público.
La forma de utilizarlo puede ser por:
- Whois (43 TCP)
- DNS (53 UDP)
Vamos a ver un ejemplo de como hacerlo con DNS:
la consulta hay que hacerla a: malware.hash.cymru.com y haciendo la siguiente petición:
$ dig +short 733a48a9cb49651d72fe824ca91e8d00.malware.hash.cymru.com A 127.0.0.2
Como vemos de acuerdo a nuestra petición hemos obtenido la dirección 127.0.0.2 con lo cual el hash que le hemos enviado es un registro positivo.
Pueden leer mas información en la página oficial del proyecto.
via: Sans
Grupo MKE SAS
