19 noviembre 2013

Reversing malware tales: Analizando binarios con PeStudio

Una de las tareas más ingratas a la hora de analizar binarios en busca de malware, es cuando se tienen un montón de ejecutables y poco tiempo para mirar en profundidad. En ese caso, hacer una clasificación inicial rápida, permite dedicar el tiempo de una forma más concisa.

En su momento hablamos de Peframe como una gran herramienta que permite analizar en estático la apariencia buena / mala de un ejecutable.

Hoy vamos a hablar de PeStudio, una herramienta muy potente y que además dispone de un entorno gráfico bastante agradable.

Como muestras vamos a usar dos simples droppers que ya empleamos en anteriores posts de esta saga.

El primer vistazo al dropper más simple (empleando las funciones directamente) es este (como siempre, con un click la imagen saldrá en grande):


Lo primero que llama la atención son los 'indicators', PeStudio analiza el binario y lo clasifica en función de las cosas sospechosas que encuentra.

Lo segundo que llama la atención es su total integración con VirusTotal, envía un hash del ejecutable para ver si ha sido reportado anteriormente


En este caso, nuestra muestra ha sido analizada y clasificada como maliciosa por un buen número de motores de antivirus.

PeStudio nos indica las librerías que carga el binario y además, es capaz de discernir si esa dll es potencialmente sospechosa o no. En este caso urlmon ha 'cantado'


También podemos ver las llamadas a las funciones y si esas funciones están clasificadas como sospechosas o no:


Otro punto interesante es la capacidad de ver, de un vistazo, las 'strings' del ejecutable


Como dato anecdótico, si cargamos el ejecutable que enmascara las funciones con GetProcAddress() podemos ver que el número de AVs que detectan la muestra ha caído dramáticamente


No obstante, PeStudio sigue clasificando como notablemente malicioso el binario por su elevado número de funciones sospechosas


En definitiva, PeStudio me parece una gran herramienta, muy útil a la hora de clasificar binarios

2 comments :

Dedalus dijo...

Alguien ha probado a analizar el ejecutable de PeStudio con el propio PeStudio? Salen unos cuantos indicators jeje

Daniel Ferreira dijo...

Muy bueno, tremendamente útil y amigable. Gracias! Saludos, Daniel.