Análisis de malware 9. La importancia de las cadenas en Análisis estático y dinámico.
Vimos en posts anteriores la importancia de las cadenas de texto. En ocasiones se podían encontrar en ellas direcciones IP, Url´s, distintos textos que muestra el programa en su ejecución...
Los visores PE más modernos, como PE Studio, nos las muestran en el análisis estático, sin necesidad de recurrir a programas externos en linea de comandos como Strings64 o andar meneando mucho los troyanos.
Supongamos que el programa es un malware con una contraseña de acceso al operador externo, o, como en este caso, un ejercicio de ingeniería inversa -tipo Crackme-; con la contraseña hardcodeada (incrustada) dentro del código.
El análisis de cadenas puede facilitar esta información.
Para los que quieran introducirse en el Reverse, ingeniería inversa, existen tutoriales y retos de cracking.
Tutorial Reto CrackMe
En este caso se trabajaría en análisis dinámico con un debbuger (un depurador de código). En él podemos interactuar con código, registros, volcados de memoria, pila, ejecutar paso a paso y un largo etcétera.
El decano de los debuggers es OllyDbg, un clásico, pero con versión de 64 bits y una amplísima documentación en castellano, como los cursos de Ricardo Narvaja y los tutoriales de 2017 enlazados en párrafos anteriores.
En la imagen podemos apreciar el interior del mismo programa crackme estudiado con PE Studio y de nuevo, siguiendo el flujo de ejecución, descubrimos la contraseña incrustada.
La utilidad exclusiva de Olly o de IDA Free consiste en mostrarnos el código ensamblador y ayudarnos a comprender las estructuras de control, en especial llamadas a funciones y saltos condicionales. La ejecución (SIEMPRE DENTRO DE UNA MAQUINA VIRTUAL) muestra comportamientos del malware que no necesariamente aparecerán en un análisis automatizado, aún interactivo, como el de Any.
Aprovecho para diseccionar las distintas zonas de nuestra Sanbox favorita.
Supongamos que el programa es un malware con una contraseña de acceso al operador externo, o, como en este caso, un ejercicio de ingeniería inversa -tipo Crackme-; con la contraseña hardcodeada (incrustada) dentro del código.
El análisis de cadenas puede facilitar esta información.
Para los que quieran introducirse en el Reverse, ingeniería inversa, existen tutoriales y retos de cracking.
Tutorial Reto CrackMe
En este caso se trabajaría en análisis dinámico con un debbuger (un depurador de código). En él podemos interactuar con código, registros, volcados de memoria, pila, ejecutar paso a paso y un largo etcétera.
El decano de los debuggers es OllyDbg, un clásico, pero con versión de 64 bits y una amplísima documentación en castellano, como los cursos de Ricardo Narvaja y los tutoriales de 2017 enlazados en párrafos anteriores.
En la imagen podemos apreciar el interior del mismo programa crackme estudiado con PE Studio y de nuevo, siguiendo el flujo de ejecución, descubrimos la contraseña incrustada.
La utilidad exclusiva de Olly o de IDA Free consiste en mostrarnos el código ensamblador y ayudarnos a comprender las estructuras de control, en especial llamadas a funciones y saltos condicionales. La ejecución (SIEMPRE DENTRO DE UNA MAQUINA VIRTUAL) muestra comportamientos del malware que no necesariamente aparecerán en un análisis automatizado, aún interactivo, como el de Any.
Aprovecho para diseccionar las distintas zonas de nuestra Sanbox favorita.
La URL la conseguí en la carpeta de Spam, en un enlace a una farmacia virtual de venta de Cialis (Viagra). Al parecer los farmaceúticos son "honrados" y no desean que salgamos de la botica con una buena infección de troyanos.
Rebuscando en Spam encontré algo más prometedor: una carta nigeriana; por desgracia sin enlaces ni adjuntos.
No ayudé al señor Egombute a realizar la transferencia. Lo reconozco, perdí 5.5 milones de $. Es que no me gusta ser plato de segunda mesa.
Rebuscando en Spam encontré algo más prometedor: una carta nigeriana; por desgracia sin enlaces ni adjuntos.
No ayudé al señor Egombute a realizar la transferencia. Lo reconozco, perdí 5.5 milones de $. Es que no me gusta ser plato de segunda mesa.
Comentarios
Publicar un comentario