Análisis de malware 11. Técnicas anti forenses. Packers.

Los Packers o empaquetadores intentan burlar los escáneres de firmas de los antivirus. Utilizando un algoritmo para ocultar buena parte del contenido del fichero PE del escrutinio de los análisis automáticos o humanos.

Es similar a un archivo comprimido. Necesitamos conocer el método que se ha utilizado en dicha compresión/cifrado/ofuscación para acceder a su interior.

Uno de los packers más utilizados es UPX (Ultimate Packer for eXecutables). Es un compresor de ejecutables de mayor rendimiento que Zip, de código abierto y muy utilizado por programas legítimos.

En este laboratorio he creado un troyano muy simple en VB Script con solo dos lineas, que abre una ventana en el navegador y visita nuestro blog:

set shell = CreateObject ( "Shell.Application")
shell.Open "https://matescity.blogspot.com"

Lo he convertido a .exe online, con packer UPX. Los antivirus lo consideran un troyano; no por su firma, sino por su comportamiento al intentar desempaquetarse.

Avast le asigna un nombre genérico win 32 Malware.

Malwarebytes le denomina Troyano Dropper, es decir, un lanzador de otros ficheros maliciosos.

Con el clásico PEView observamos la ofuscación creada por la compresión. Esto se denomina alta entropía, alto grado de aleatoriedad en los datos; muy por encima de la media. Abordaremos en próximos posts este interesante concepto.

Con otro visor más potente como PE Studio obtenemos más info (Sobre todo las importantes Strings), aunque volvemos a chocar contra el muro de la compresión UPX.

¿Y si recurrimos a software de pago? (Version Trial)

PE Explorer lo desempaqueta...

...y nos permite realizar un completo análisis estático.

Las personas con más conocimientos podrían desempaquetarlo en linea de comandos con el propio UPX o incluso manualmente; salvo que el desarrollador de malware lo proteja con contraseña.

Existen muchos otros packers. Todos ellos le otrogan al malware la capacidad de residir en memoria, no en el disco duro; lo que dificultará la labor del analista de determinar sus funciones maliciosas.