Merhaba
Analiz edilecek olan Portable Executable hakkında temel bilgileri elde etmek, zararlı yazılım analizi sürecinin OSINT aşaması sayılabilir. Bu nedenle “hedef” olarak nitelendirdiğimiz zararlı yazılım hakkında mümkün mertebe tüm bilgileri etmek önemlidir.
Bu işlem için PEframe isimli açık kaynak kodlu araç kullanılabilir.
PEframe özellikleri ve Kurulum
PEframe aracı, test edilen zararlı yazılım üzerinde aşağıdaki durumları analiz edebilmektedir.
- Import table
- Export table
- String ifadelerin tespiti
- Section bilgileri
- Xor, Sign, Packer, Anti Debug, Anti VM tespiti
- Dosya boyutu, compile time, Digital Signature vb bilgiler
- API tespiti
- …
PEframe aracının kurulumu bir git komutu kadar kolaydır.
git clone https://github.com/guelfoweb/peframe.git
Bu komut sonrası peframe kullanıma hazır durumdadır.
Örnek kullanım
Örnek olarak internetten rastgele indirdiğim bir zararlı yazılımı ele aldım.
wget http://5.254.98.54/pod1/sdfbfhj.exe -O /tmp/test.exe
Bu testleri her ihtimale karşı Kali üzerinde gerçekleştirmenizi öneriyorum. Herhangi yanlış bir çift tıklama Windows kullanıcılarını mağdur edebilir.
Şimdiyse bu zararlı yazılımı peframe aracına verelim.
mince@rootlab peframe (master) $ python peframe.py /tmp/test.exe Short information ------------------------------------------------------------ File Name test.exe File Size 987648 byte Compile Time 2015-01-09 20:00:25 DLL False Sections 4 Hash MD5 0be76c0783db3d7d6ed2719f412e7c76 Hash SHA-1 cbd063e8ffba72140d0476bc150cc5e7360594e0 Imphash 1fbda6f56eb97c298565a75bcb4054a7 Detected Packer, Anti Debug, Anti VM Directory Import, Resource Packer matched [1] ------------------------------------------------------------ Packer Borland Delphi 3.0 (???) Anti Debug discovered [3] ------------------------------------------------------------ Function GetLastError Function TerminateProcess Function UnhandledExceptionFilter Anti VM Trick discovered [1] ------------------------------------------------------------ Trick VMCheck.dll Suspicious API discovered [32] ------------------------------------------------------------ Function CloseHandle Function CreateFileW Function CreateProcessAsUserW Function DeleteFileW Function GetCommandLineA Function GetCommandLineW Function GetCurrentProcess Function GetCurrentProcessId Function GetDriveTypeA Function GetDriveTypeW Function GetFileAttributesA Function GetFileAttributesW Function GetModuleFileNameW Function GetModuleHandleA Function GetModuleHandleW Function GetProcAddress Function GetStartupInfoA Function GetSystemDirectoryW Function GetTickCount Function GetWindowsDirectoryW Function LoadLibraryA Function LoadLibraryW Function OpenProcessToken Function RegCloseKey Function RegDeleteValueW Function RegOpenKeyA Function RegOpenKeyExW Function Sleep Function TerminateProcess Function UnhandledExceptionFilter Function VirtualAllocEx Function WriteFile File name discovered [8] ------------------------------------------------------------ Library ADVAPI32.dll Library GDI32.dll Library KERNEL32.dll Library SHLWAPI.dll Library USER32.dll Library WINMM.dll Library msvcrt.dll Library ole32.dll Meta data found [11] ------------------------------------------------------------ LegalCopyright \xa9 2006 Microsoft Corporation. All rights reserved. InternalName WordConv FileVersion 12.0.6500.5000 CompanyName Microsoft Corporation LegalTrademarks1 Microsoft\xae is a registered trademark of Microsoft Corporation. LegalTrademarks2 Windows\xae is a registered trademark of Microsoft Corporation. ProductName 2007 Microsoft Office system ProductVersion 12.0.6500.5000 FileDescription Word Converter OriginalFilename WordConv.exe Translation 0x0409 0x04e4
Çıktıyı analiz ettiğimizde, test edilen uygulamayı dış hatları ile tanımış oluyoruz. Örneğin 2007 Microsoft Office system meta data bilgisi bulunan bu uygulama internet üzerinde Word Converter olarak lanse edilmekte ve orjinal adı WordConv.exe. Ayrıca VMCheck.dll ile Anti-VM özelliği bulunmakta.