PORTUGUÊS

Exploração de Soluções para Reconhecimento de Malware em Ficheiros Propícios a serem usados em Técnicas de Phishing

Os Detalhes do Projeto serão partilhados depois da conclusão da Dissertação de Mestrado em https://www.github.com/danielvilaca/SHRLCK

SHRLCK é uma aplicação Desktop Multiplataforma desenvolvida em Electron (Chromium + Node.js) com interface moderna em TailwindCSS. Utiliza Python para análise forense de ficheiros PDF e PE, comunicando com o frontend via spawnPy e JSON. A aplicação integra a VirusTotal API para validação de segurança, recorrendo também a módulos nativos do Node.js para gestão de ficheiros, hashing e IPC entre processos.

O principal objetivo da aplicação é permitir que utilizadores Não Técnicos realizem análises rápidas, mas eficazes, a ficheiros com possível Malware, mantendo, no entanto, uma componente detalhada para casos de análise técnica.

Upload

O Utilizador poderá efetuar o Upload de 2 formas:

• Arrastando o ficheiro PDF para a zona central da aplicação, com um tamanho limite de 50 Mbs por ficheiro (limite prático imposto pelo Buffer interno do Electron (IPC));

• Clicando na zona central da mesma, escolhendo o ficheiro, através do explorador do sistema em uso, em que o limite do tamanho do ficheiro depende meramente da componente RAM do próprio SO/OS e da capacidade de processamento do Python / Electron, não existindo assim um limite fixo.

Relatorios

Os Relatórios dos ficheiros analisados são visualizáveis com indicação de LOW/MEDIUM/HIGH e de cor Verde/Amarelo/Vermelho correspondente. Os mesmos são armazenados em JSON e em TXT, para maior facilidade de acesso, tendo a indicação da data em que foi feita a análise ao ficheiro, titulo e score, no cartão correspondente do mesmo.

Além das opções de Ver Detalhes e Análise VirusTotal, caso seja encontrada alguma técnica de null padding embutida no ficheiro, o mesmo é limpo e é dada a opção de guardar uma nova versão limpa desse mesmo ficheiro.

Log Técnico

O Log Técnico representa, em detalhe, informação que possa ser relevante para uma análise mais aprofundada do ficheiro.

Inclui Metadados entre os quais:

• Keywords verificadas, nível de entropia aplicada, posição do objeto malicioso, contagem de EOFs, entre outros, onde apesar da aplicação ser de intuito simplista, permite também uma análise mais detalhada por parte de um especialista.

Api Externa

O utilizador terá como opção analisar o documento (via Hash / Assinatura) sem que os dados do mesmo sejam expostos, podendo complementar a análise heuristica com uma análise dinâmica com acesso à base de dados da VirusTotal com +60 AV engines.

Futuramente

• Aplicar Machine Learning (ANN / CNN) para uma análise aos PE's (Programmable Executables);
• Desenvolver heuristicas mais robustas com integração de Yara-L, etc para implementação conjunta em SIEMs / EDRs;
• Aumentar capacidade para outros ficheiros DOS (Word / Excel / Etc);
• Viabilizar novas formas de deteção para restantes técnicas (Base64 / Etc)
• Pacote de Setup/Build com Idiomas (EN / FR / ESP / DE / RU)

Licença

CC BY 4.0 - https://creativecommons.org/licenses/by/4.0/

ENGLISH

Exploration of Solutions for Malware Recognition in Files Prone to Phishing Techniques

The Full Details of the Project will only be available until the completion of the Master's Thesis on https://www.github.com/danielvilaca/SHRLCK

SHRLCK is a Cross-Platform Desktop application built with Electron (Chromium + Node.js) featuring a modern interface styled with TailwindCSS. It leverages Python for forensic analysis of PDF and PE files, communicating with the frontend via spawnPy and JSON. The application integrates the VirusTotal API for security validation, while also relying on native Node.js modules for file management, hashing, and inter-process communication (IPC).

Upload

Reports

Technical Log

External API

Future Work

Licence

CC BY 4.0 - https://creativecommons.org/licenses/by/4.0/