Hookme es un programa para
sistemas Windows que permite interceptar los procesos del sistema cuando llaman a las APIs necesarias para las conexiones de red. La herramienta, todavía en versión beta,
fue desarrollada por Manuel Fernández (del actual equipo de Elven Paths) y Francisco
Oca (que participó en el desarrollo de las primeras versiones de FOCA). La
herramienta fue presentada en las ediciones de BlackHat Europe & USA 2013.
Cuando se analiza malware, habitualmente
se estudia el tráfico de red para comprender cómo se comunica con el exterior,
qué información descarga, o qué órdenes recibe o envía. Normalmente este tipo
de malware utiliza http o https para comunicarse, y las herramientas para
conseguir "ver" ese tráfico son de sobra conocidas (actuando como man
in the middle). Sin embargo, cierto tipo de malware más sofisticado puede
llegar a utilizar un protocolo propio encapsulado bajo SSL y con verificación
de certificado del servidor (si no se comunica ... Continuar leyendo
