Ferramentas gratuitas de análise de malware

Um tour por diferentes ferramentas gratuitas que nos ajudarão na análise estática e dinâmica de malware.

sol gonzalez

28 de outubro de 2021 - 18h53

Compartilhar

Examinamos as diferenças entre análise dinâmica e estática de malware e compartilhamos algumas das muitas ferramentas gratuitas disponíveis para executar essas tarefas. No final do artigo, compartilhamos alguns links para outros conteúdos e recursos úteis relacionados à análise de malware.

Análise de malware estática VS dinâmica.

Em primeiro lugar, a análise estática é baseada no processo de análise de um arquivo suspeito sem executá-lo. O objetivo deste método é realizar uma análise inicial para extrair informações úteis do binário suspeito para tomar uma decisão informada sobre como classificá-lo ou analisá-lo e onde concentrar esforços de análise adicionais.

A segunda é a análise dinâmica, também conhecida como análise do comportamento. Esse tipo de análise é responsável por executar uma amostra em um ambiente isolado para monitorar suas atividades, interação e seu efeito.

Figura 1 – Comparação entre análise estática VS dinâmica

Ferramentas para análise estática de malware

estúdio

Este software permite que analistas de malware examinem e analisem arquivos .exe e suas bibliotecas .dll dinâmicas.

A ferramenta nos mostra vários arquivos que podemos investigar para saber quais ações ela executa quando a executamos. Dessa forma, poderemos saber se é um malware e, em caso afirmativo, observar quais ações a ameaça é capaz de realizar.

Figura 2 – Estudo com uma amostra do RansomEXX

Pestudio é uma poderosa ferramenta que, se a máquina virtual tiver acesso à Internet, pode escanear os arquivos contidos no executável e carregá-los no VirusTotal. Além disso, o Pestudio é capaz de detectar as APIs usadas em malware em potencial. Alguns exemplos de APIs comumente utilizadas por códigos maliciosos são GetProcAddress, LoadLibraryA, GetModuleHandleA, ExitProcess, VirtualAlloc, WriteFile, entre outras.

Figura 3 – Seções Pestudio

Algumas das seções mais importantes que temos no Pestudio são:

• Indicadores : esta seção nos oferece informações sobre por que o binário é suspeito e o classifica de acordo com o nível de gravidade.
• Bibliotecas : identifica as .dlls que o binário para analisar carrega. Recupera as bibliotecas e funções referenciadas no arquivo suspeito. O Pestudio vem com uma lista predefinida de bibliotecas e funções comumente usadas por códigos maliciosos.
• Imports – Identifica os .dlls que o binário carrega junto com os parâmetros usados.
• Resources : nos dá informações sobre como carregar um arquivo estilo paylaod.
• Strings : através da lista pré-configurada <strings.xml> compara as strings que o binário a ser analisado tem para definir se o arquivo é suspeito.

PEBear

O PE-bear é um freeware para fazer engenharia reversa de arquivos PE com o objetivo de fornecer uma visão geral rápida do comportamento do arquivo.

Figura 4 – PE-bear com amostra de resgateEXX

Uma das vantagens de usar o PE-bear no início da análise é poder verificar as seções, já que muitas vezes os binários são empacotados, por exemplo com UPX.

Se você estiver interessado, pode se aprofundar nos empacotadores e no uso do PE-bear na solução do desafio ESET nº 44

CFF Explorador

Com CFF Explorer é possível inspecionar programas do tipo PE ( Portable Executable ), assim como Pestudio e PE-bear. Uma das principais vantagens da utilização desta ferramenta é que ela permite modificações dentro do PE.

O CFF Explorer também oferece a possibilidade de entender a composição básica extraindo informações sobre a data de compilação, o tipo de arquitetura ou as importações da biblioteca.

Nesse caso, as .dlls chamadas pelo binário analisado usam quatro bibliotecas:

• KERNEL.dll
• USER32.dll
• ADVAPI32.dll
• SHELL32.dll

Embora esses .dlls não sejam maliciosos, às vezes os cibercriminosos os modificam para realizar outros tipos de tarefas no computador da vítima.

Figura 5 – CFF Explorer com uma amostra do ransomware RansomEXX

Outras funcionalidades que podem ser encontradas no CFF Explorer são: o visualizador de processos, opção para extrair strings, editor hexadecimal, entre outros.

hacker de recursos

Outra das ferramentas mais utilizadas para interpretar arquivos executáveis ​​PE é o Resource Hacker . Esta ferramenta permite extrair informações de binários do Windows. Por exemplo, caso esteja sendo analisado um binário que se revele um conta-gotas, com o Resource Hacker será possível detectar o PE adicional dentro dos recursos.

A imagem a seguir foi tirada como exemplo para usar a ferramenta Bankdook RAT que foi usada na campanha dos Bandidos .

Figura 6 – Hacker de Recursos

Ferramentas para análise dinâmica de malware

Hacker de processos

É uma ferramenta que permite monitorar os recursos do sistema e os processos executados nele.

Além disso, o Process Hacker permite inspecionar os atributos dos processos que são gerados a partir da execução do binário malicioso, seja a partir da exploração de serviços, conexões de rede, etc.

Captura de tela 7 – Hacker de processo

Explorador de processos

O Process Explorer é uma ferramenta pertencente ao conjunto de ferramentas SysInternals que possui a funcionalidade de monitorar processos e serviços no Windows.

Durante a análise dinâmica de malware, o Process Explorer é usado para identificar os processos criados a partir da infecção binária, tornando mais fácil para os analistas distinguir quais processos maliciosos estão em execução para que possam ser separados para análise posterior.

Figura 8 – Process Explorer com amostra RansomEXX

RegShot

O Regshot é uma ferramenta que permite aos analistas tirar "instantâneos" do sistema antes e depois de executar a amostra de malware a ser analisada. É uma ferramenta simples que permite identificar rapidamente os registros criados pelo binário malicioso. A análise pode ser exportada, desde um arquivo HTML até mesmo um arquivo .txt

Imagem 9. Regshot com amostra RansomEXX

Captura de tela 10 – Regshoot – modificações do registro RANSOMEXX

execuções automáticas

Autoruns é uma ferramenta desenvolvida pela Sysinternals, muito parecida com o Process Explorer, que verifica rapidamente um sistema Windows para encontrar programas configurados para iniciar automaticamente na inicialização do sistema operacional. Ele também lista quais extensões são carregadas pelos processos do Windows, assim como os processos que são carregados pelo Internet Explorer.

Figura 11. Execuções automáticas

wireshark

Por fim, mencione o Wireshark , uma ferramenta desenvolvida com o objetivo de analisar o tráfego de rede que pode ser usado de diferentes maneiras. Já falamos há algum tempo sobre o Wireshark em relação ao uso de filtros e sobre as opções de renderização de gráficos .

Ao executar o malware como parte da análise dinâmica que queremos realizar, através do Wireshark é possível verificar quais são os canais de comunicação que o malware utiliza, ou seja, capturando os pacotes de rede pode-se verificar como o atacante se comunicar com a vítima.

Conclusão

Ao longo deste artigo vimos várias ferramentas, é importante observar que embora a análise dinâmica nos dê muito mais informações em termos de comportamento, ela deve ser combinada com a análise estática para agilizar o processo de análise da amostra maliciosa.

Abaixo, compartilhamos alguns links interessantes para começar a análise de malware:

• 5 dicas para começar com a análise de malware
• 4 cursos on-line na Udemy para começar na análise de malware
• LOTS: uma ferramenta gratuita de extração e análise de strings
• Como analisar malware em .NET com 4 ferramentas úteis
• Ghidra: uma ferramenta gratuita de engenharia reversa publicada pela NSA