Recopilación de información básica sobre el Malware análisis estático

PEID

Malware (spyware, rootkits, gusanos, troyanos, virus, etc.), un software malicioso diseñado para interrumpir el funcionamiento de la computadora, recopilar información confidencial u obtener acceso no autorizado a los sistemas informáticos.

Lo primero que debe hacer cuando su sistema está infectado es escanear con algunos programas antivirus y anti malware, y así sucesivamente. Esto muestra cómo analizar
y poner de manifiesto su funcionalidad. Lo primero que hacemos aquí es recopilar información sobre el análisis de malware, es la primera parte básica para comenzar y seguir avanzando según la complejidad del malware.

Tenemos 2 tipos de análisis estáticos y dinámicos.


Estático: - Analizando el código o la estructura del programa.
Dinámico: - En realidad, ejecuta el programa para ver qué está haciendo wat.

Ahora tomemos un malware ...

o crear urself un troyano

el malware está identificado de manera única por un hash. El software malicioso se ejecuta a través de un programa hash que produce hash que produce un hash que identifica un malware.

Para tomar una huella digital, usamos una herramienta llamada md5deep. También hay otras herramientas.

uso: md5deep 123.exe (nombre de archivo de malware).

md5deep

 

en la captura de pantalla anterior, puede ver un hash. Este hash se puede usar para buscar en línea para ver si ya se ha identificado.

Ahora viene el problema de que el malware no está empaquetado o no. Debido a que está lleno, es difícil que el analizador lo detecte.
normalmente está empaquetado con algún tipo de programa de envoltura. Para identificar o detectar con wat packer que este malware ha sido empacado usamos una herramienta llamada:

PEID 

PEID

 

para descomprimirlo hay un programa llamado upx 


para descomprimir el uso: upx -d filename.exe

upx

 

ahora el siguiente paso es como si necesitáramos ver qué tipo de funciones vinculadas (archivos DLL) está usando.

tenemos una herramienta llamada walker de dependencia. ahora cargue el archivo en él 

walker

 

1.) aquí en el panel derecho puede observar varios dll's importado
2.) funciones importadas
3.) cuando las importaciones de malware funcionan por ordinal, puede encontrar qué función se está importando al observar el valor ordinal.
4.) información adicional sobre el dll tat sería cargar si ejecuta el programa.

Un troyano común o keylogger tiene dll interesante y tendrá fuctions como

Kernel32.dll: user32.dll GDI32.dll, Shell32.dll, Advapi32.dll etc.
------------- -----------
(funciones) Setwindowshookexw
CreateFilew Registerclassexw
findfirstfilew registerhotkey
findnextfilew setwindoetextw
etcétera etcétera......

) Kernel32 nos dice que el software puede crear y manipular el proceso. Arriba de las funciones findnextfile y firstfile
que son interesantes ya que podemos buscar a través de directorios.

) User32.dll tiene una función como setwindowhook es comúnmente utilizada en spyware y keyloggers.
) GDI32 es para el programa de tat relacionado con gráficos probablemente tenga GUI
) shell32 puede lanzar otros programas
) Advapi32 usa el registro.


Como dijimos eso para echar un vistazo a los encabezados PE

Tenemos secciones en archivos PE como:
.text (contiene código ejecutable), .rdata (contiene datos de solo lectura), .data (datos globales), .rsrc (recursos necesarios para ejecutable)
.idata (almacena información importante de funciones y si no está presente estará en rdata), .reloc (información para la reubicación de archivos de la biblioteca), etc.

tenemos una herramienta llamada PEview (ver a continuación)

PEview

 

Puede observar la información de la máquina y la marca de tiempo cuando se compiló, lo cual es útil.

Podemos ingnorar el DOS_Header y la firma.


Image_Optinal_Header incluye información importante y tiene subsistema, que muestra que hay una consola o programa de GUI.


Image_Section_Header también contiene información importante. Estos se usan para describir cada sección en el archivo PE. Las secciones pueden ser coherentes
de exe a otros archivos exe.

PDview

aquí puede observar en la cosa es la sección .data es que el tamaño virtual es mucho más grande que el tamaño de datos en bruto (puede ignorar si hay una pequeña diferencia) esto solo no dirá que es sospechoso. es probable que esté descomprimidos.

Síguenos en FacebookTwitterunete a nuestra charla en Riotúnete a IRC o únete a Telegram y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Etiquetas

Acerca del autor

AvSec, Pentesting. Estudiante de ingeniería en sistemas y mantenimiento de sistemas informáticos. UNA