Ferramentas gratuitas de análise de malware
Ferramentas gratuitas de análise de malware
Examinamos as diferenças entre análise dinâmica e estática de malware e compartilhamos algumas das muitas ferramentas gratuitas disponíveis para executar essas tarefas. No final do artigo, compartilhamos alguns links para outros conteúdos e recursos úteis relacionados à análise de malware.
Análise de malware estática VS dinâmica.
Em primeiro lugar, a análise estática é baseada no processo de análise de um arquivo suspeito sem executá-lo. O objetivo deste método é realizar uma análise inicial para extrair informações úteis do binário suspeito para tomar uma decisão informada sobre como classificá-lo ou analisá-lo e onde concentrar esforços de análise adicionais.
A segunda é a análise dinâmica, também conhecida como análise do comportamento. Esse tipo de análise é responsável por executar uma amostra em um ambiente isolado para monitorar suas atividades, interação e seu efeito.
Ferramentas para análise estática de malware
estúdio
Este software permite que analistas de malware examinem e analisem arquivos .exe e suas bibliotecas .dll dinâmicas.
A ferramenta nos mostra vários arquivos que podemos investigar para saber quais ações ela executa quando a executamos. Dessa forma, poderemos saber se é um malware e, em caso afirmativo, observar quais ações a ameaça é capaz de realizar.
Pestudio é uma poderosa ferramenta que, se a máquina virtual tiver acesso à Internet, pode escanear os arquivos contidos no executável e carregá-los no VirusTotal. Além disso, o Pestudio é capaz de detectar as APIs usadas em malware em potencial. Alguns exemplos de APIs comumente utilizadas por códigos maliciosos são GetProcAddress, LoadLibraryA, GetModuleHandleA, ExitProcess, VirtualAlloc, WriteFile, entre outras.
Algumas das seções mais importantes que temos no Pestudio são:
- Indicadores : esta seção nos oferece informações sobre por que o binário é suspeito e o classifica de acordo com o nível de gravidade.
- Bibliotecas : identifica as .dlls que o binário para analisar carrega. Recupera as bibliotecas e funções referenciadas no arquivo suspeito. O Pestudio vem com uma lista predefinida de bibliotecas e funções comumente usadas por códigos maliciosos.
- Imports – Identifica os .dlls que o binário carrega junto com os parâmetros usados.
- Resources : nos dá informações sobre como carregar um arquivo estilo paylaod.
- Strings : através da lista pré-configurada <strings.xml> compara as strings que o binário a ser analisado tem para definir se o arquivo é suspeito.
PEBear
O PE-bear é um freeware para fazer engenharia reversa de arquivos PE com o objetivo de fornecer uma visão geral rápida do comportamento do arquivo.
Uma das vantagens de usar o PE-bear no início da análise é poder verificar as seções, já que muitas vezes os binários são empacotados, por exemplo com UPX.
Se você estiver interessado, pode se aprofundar nos empacotadores e no uso do PE-bear na solução do desafio ESET nº 44
CFF Explorador
Com CFF Explorer é possível inspecionar programas do tipo PE ( Portable Executable ), assim como Pestudio e PE-bear. Uma das principais vantagens da utilização desta ferramenta é que ela permite modificações dentro do PE.
O CFF Explorer também oferece a possibilidade de entender a composição básica extraindo informações sobre a data de compilação, o tipo de arquitetura ou as importações da biblioteca.
Nesse caso, as .dlls chamadas pelo binário analisado usam quatro bibliotecas:
- KERNEL.dll
- USER32.dll
- ADVAPI32.dll
- SHELL32.dll
Embora esses .dlls não sejam maliciosos, às vezes os cibercriminosos os modificam para realizar outros tipos de tarefas no computador da vítima.
Outras funcionalidades que podem ser encontradas no CFF Explorer são: o visualizador de processos, opção para extrair strings, editor hexadecimal, entre outros.
hacker de recursos
Outra das ferramentas mais utilizadas para interpretar arquivos executáveis PE é o Resource Hacker . Esta ferramenta permite extrair informações de binários do Windows. Por exemplo, caso esteja sendo analisado um binário que se revele um conta-gotas, com o Resource Hacker será possível detectar o PE adicional dentro dos recursos.
A imagem a seguir foi tirada como exemplo para usar a ferramenta Bankdook RAT que foi usada na campanha dos Bandidos .
Ferramentas para análise dinâmica de malware
Hacker de processos
É uma ferramenta que permite monitorar os recursos do sistema e os processos executados nele.
Além disso, o Process Hacker permite inspecionar os atributos dos processos que são gerados a partir da execução do binário malicioso, seja a partir da exploração de serviços, conexões de rede, etc.
Explorador de processos
O Process Explorer é uma ferramenta pertencente ao conjunto de ferramentas SysInternals que possui a funcionalidade de monitorar processos e serviços no Windows.
Durante a análise dinâmica de malware, o Process Explorer é usado para identificar os processos criados a partir da infecção binária, tornando mais fácil para os analistas distinguir quais processos maliciosos estão em execução para que possam ser separados para análise posterior.
RegShot
O Regshot é uma ferramenta que permite aos analistas tirar "instantâneos" do sistema antes e depois de executar a amostra de malware a ser analisada. É uma ferramenta simples que permite identificar rapidamente os registros criados pelo binário malicioso. A análise pode ser exportada, desde um arquivo HTML até mesmo um arquivo .txt
execuções automáticas
Autoruns é uma ferramenta desenvolvida pela Sysinternals, muito parecida com o Process Explorer, que verifica rapidamente um sistema Windows para encontrar programas configurados para iniciar automaticamente na inicialização do sistema operacional. Ele também lista quais extensões são carregadas pelos processos do Windows, assim como os processos que são carregados pelo Internet Explorer.
wireshark
Por fim, mencione o Wireshark , uma ferramenta desenvolvida com o objetivo de analisar o tráfego de rede que pode ser usado de diferentes maneiras. Já falamos há algum tempo sobre o Wireshark em relação ao uso de filtros e sobre as opções de renderização de gráficos .
Ao executar o malware como parte da análise dinâmica que queremos realizar, através do Wireshark é possível verificar quais são os canais de comunicação que o malware utiliza, ou seja, capturando os pacotes de rede pode-se verificar como o atacante se comunicar com a vítima.
Conclusão
Ao longo deste artigo vimos várias ferramentas, é importante observar que embora a análise dinâmica nos dê muito mais informações em termos de comportamento, ela deve ser combinada com a análise estática para agilizar o processo de análise da amostra maliciosa.
Abaixo, compartilhamos alguns links interessantes para começar a análise de malware:
Comentários
Postar um comentário