Hola Underc0ders!
El dia de hoy mostrare como hacer analisis estatico a un ejecutable malicioso obtenido del libro "Practical Malware Analysis: The Hands-on Guide to Dissecting Malicious Software", este analisis sera muy basico pero espero cubrir todas las areas de manera clara.
Un poco de teoria:
El analisis estatico consiste en analizar un archivo malicioso sin ejecutarlo, me refiero a sacar toda la informacion posible de este a travez de diversas herramientas como por ejemplo los strings, que importa y exporta el archivo malicioso, fecha de creacion, hashes, analisis con antivirus.
Imports- Son las librerias que el virus usara de nuestro sistema operativo
Exports- Librerias que el virus usara para infectar nuestro sistema
Strings- Secuencias de caracteres que nos ayudaran a comprender el funcionamiento del virus
Empaquetado - Un empaquetador funciona similar a comprimir un archivo, este reducira el espacio de este pero aparte ocultara informacion sobre este dificultando asi su analisis, como por ejemplo ocultar strings, informacion del header, imports, exports.
Herramientas
- PEiD
- PEview
- VirusTotal
- IDA Pro (Free)
Comencemos, lo primero que hare sera analizar el ejecutable con PEiD, esta herramienta nos ayudara a saber si el ejecutable esta empaquetado
(http://i.imgur.com/7Px2s2F.png)
Como podemos observar en la imagen nos aparece que no esta empaquetado, continuemos
Lo siguiente sera analizar los headers del ejecutable, lo que buscare sera solo la fecha de compilacion, esto nos dara indicios si de verdad esta empaquetado o no.
(http://i.imgur.com/O3cW0YP.png)
Aqui el primer indicio de que algo esta mal, la fecha que muestra la imagen es incorrecta...
Antes de profundizar con VirusTotal analizare el archivo con IDA Pro, esto solo para visualizar strings, imports y exports
Posiblemente empaquetado ya que existen los strings
GetProcAddress
LoadLibraryA
Para obtener un poco mas de informacion utilizare VirusTotal, esta herramienta lo que hace es analizar muestras de archivos con mas de 35 antivirus, proporcionandonos mucha informacion sobre estos
(http://i.imgur.com/0CrErsU.png)
Ya analizandolo vemos que efectivamente es un archivo malicioso, veamos que mas podemos obtener con VirusTotal
Hash MD5 625ac05fd47adc3c63700c3b30de79ab
Aqui algo interesante, VT indica que si esta empaquetado con ArmKiller...
Exports
start
Imports
CreateRemoteThread ; Crea un proceso hilo que correra en el espacio virtual de otro
CreateFileA ; Crea un nuevo archivo
WriteFile ; Escribe informacion dentro de un archivo
GetWindowsDirectory ; Recupera la ruta de un directorio de Windows
WinExec ; Ejecuta una aplicacion en especifico
FindResource ; Determina la ubicacion de un archivo especifico
GetTempPathA ; Determina la ubicacion de un directorio destinado a archivos temporales
OpenProcess ; Abre un proceso
LoadResource ; Obtiene el puntero del primer byte de un recurso en memoria(Me imagino que asi inyecta el proceso malicioso)
URLDownloadToFile ; Descarga informacion de internet y la almacena en un archivo
Local
psapi.dll ; Para obtener info de algun proceso
\\system32\\wupdmgr.exe
\\winup.exe
urlmon.dll
Red
[http://]www[.]practicalmalwareanalysis[.]com/updater.exe ; Este es el archivo que intenta descargar el virus
Conclusion Virus/DOWNLOADER
Parece que infecta un archivo/proceso, para despues descargar un achivo a travez de un enlace de un sitio malocioso
Interesante compañero, gracias por compartir.
@Bit99 (https://underc0de.org/foro/index.php?action=profile;u=63543)
Buen aporte para comenzar a incursionar en este cautivante mundo del análisis del malware.
Te animo a continuar profundizando, investigando y haciendo prácticas de este estilo, por esa razón: +1
Saludos
Gabriela