Olá pessoal que visita o blog !
Nesse primeiro post iremos fazer uma breve análise de dois samples
maliciosos que recebemos. Abaixo estao os dois binarios, iremos fazer a análise
estática do “Acrobat_Reader_PDF”.
Na Análise Estática fazemos a dissecação de um artefato malicioso sem executá-lo, apenas observando seu código com ajuda de disassemblers, debuggers, descompiladores, etc. É o onde entra a engenharia reversa do binário.
PEV é uma ferramentas criada por Fernando Mercês,
sugerimos o link http://pev.sourceforge.net/ para maior detalhes desse
projeto.
No primeiro passo vamos verificar para qual plataforma esse executável foi compilado:
Agora vamos rodar o comando PESCAN para coletar mais informações sobre o executável:
Ótimo, com o resultado acima podemos ver que esse executável está com packer (UPX)*. Então vamos salvar o resultado gerado num arquivo .txt .
Podemos ver que o arquivo com o packer “possui” 3662 linhas. Chegou a hora de remover o packer !
Novamente, vamos salvar o resultado gerado, porem com o packer já removido.
Observamos agora que o total de linhas é muito maior sem o Packer. Essa é a principal função do packer, esconder partes do código dificultando a análise pelos especialistas e tentando dar bypass nas soluções de Antivírus.
Executando novamente o PESCAN sem o packer.
Temos fortes indícios que o executável Adobe_Reader_PDF.exe
é um sample malicioso, como o uso de Packers, tamanho e ícone do arquivo. No próximo
post será feita a análise dinâmica desse executável e do start.exe para
sabermos suas ações no SO. Abaixo o report desses samples no VirusTotal.
Packer (UPX): http://canaltech.com.br/o-que-e/antivirus/O-que-e-um-Packer/
Nenhum comentário:
Postar um comentário
Todos os comentários serão previamente avaliados pelos administradores. Obrigado.