Analisis de Lab01-04.exe

Hola Underc0ders!

El dia de hoy mostrare como hacer analisis estatico a un ejecutable malicioso obtenido del libro "Practical Malware Analysis: The Hands-on Guide to Dissecting Malicious Software", este analisis sera muy basico pero espero cubrir todas las areas de manera clara.

Un poco de teoria:

El analisis estatico consiste en analizar un archivo malicioso sin ejecutarlo, me refiero a sacar toda la informacion posible de este a travez de diversas herramientas como por ejemplo los strings, que importa y exporta el archivo malicioso, fecha de creacion, hashes, analisis con antivirus.

Imports- Son las librerias que el virus usara de nuestro sistema operativo
Exports- Librerias que el virus usara para infectar nuestro sistema
Strings- Secuencias de caracteres que nos ayudaran a comprender el funcionamiento del virus
Empaquetado - Un empaquetador funciona similar a comprimir un archivo, este reducira el espacio de este pero aparte ocultara informacion sobre este dificultando asi su analisis, como por ejemplo ocultar strings, informacion del header, imports, exports.

Herramientas

- PEiD
- PEview
- VirusTotal
- IDA Pro (Free)


Comencemos, lo primero que hare sera analizar el ejecutable con PEiD, esta herramienta nos ayudara a saber si el ejecutable esta empaquetado



Como podemos observar en la imagen nos aparece que no esta empaquetado, continuemos

Lo siguiente sera analizar los headers del ejecutable, lo que buscare sera solo la fecha de compilacion, esto nos dara indicios si de verdad esta empaquetado o no.



Aqui el primer indicio de que algo esta mal, la fecha que muestra la imagen es incorrecta...

Antes de profundizar con VirusTotal analizare el archivo con IDA Pro, esto solo para visualizar strings, imports y exports

Posiblemente empaquetado ya que existen los strings

   GetProcAddress
   LoadLibraryA

Para obtener un poco mas de informacion utilizare VirusTotal, esta herramienta lo que hace es analizar muestras de archivos con mas de 35 antivirus, proporcionandonos mucha informacion sobre estos



Ya analizandolo vemos que efectivamente es un archivo malicioso, veamos que mas podemos obtener con VirusTotal

Hash MD5 625ac05fd47adc3c63700c3b30de79ab
Aqui algo interesante, VT indica que si esta empaquetado con ArmKiller...

Exports

   start
   
Imports

   CreateRemoteThread ; Crea un proceso hilo que correra en el espacio virtual de otro
   CreateFileA ; Crea un nuevo archivo
   WriteFile ; Escribe informacion dentro de un archivo
   GetWindowsDirectory ; Recupera la ruta de un directorio de Windows
   WinExec ; Ejecuta una aplicacion en especifico
   FindResource ; Determina la ubicacion de un archivo especifico
   GetTempPathA ; Determina la ubicacion de un directorio destinado a archivos temporales
   OpenProcess ; Abre un proceso
   LoadResource ; Obtiene el puntero del primer byte de un recurso en memoria(Me imagino que asi inyecta el proceso malicioso)
   URLDownloadToFile ; Descarga informacion de internet y la almacena en un archivo

   
Local   

psapi.dll ; Para obtener info de algun proceso
\\system32\\wupdmgr.exe
\\winup.exe
urlmon.dll

Red

[http://]www[.]practicalmalwareanalysis[.]com/updater.exe ; Este es el archivo que intenta descargar el virus

Conclusion Virus/DOWNLOADER

Parece que infecta un archivo/proceso, para despues descargar un achivo a travez de un enlace de un sitio malocioso

Interesante compañero, gracias por compartir.

 
   @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Buen aporte para comenzar a incursionar en este cautivante mundo del análisis del malware.
Te animo a continuar profundizando, investigando y haciendo prácticas de este estilo, por esa razón: +1

Saludos

Gabriela