PEframe ile Zararlı Yazılımlar üzerinde Statik Analiz Gerçekleştirmek

Merhaba

Analiz edilecek olan Portable Executable hakkında temel bilgileri elde etmek, zararlı yazılım analizi sürecinin OSINT aşaması sayılabilir. Bu nedenle “hedef” olarak nitelendirdiğimiz zararlı yazılım hakkında mümkün mertebe tüm bilgileri etmek önemlidir.

Bu işlem için PEframe isimli açık kaynak kodlu araç kullanılabilir. 

PEframe özellikleri ve Kurulum

PEframe aracı, test edilen zararlı yazılım üzerinde aşağıdaki durumları analiz edebilmektedir.

  • Import table
  • Export table
  • String ifadelerin tespiti
  • Section bilgileri
  • Xor, Sign, Packer, Anti Debug, Anti VM tespiti
  • Dosya boyutu, compile time, Digital Signature vb bilgiler
  • API tespiti

PEframe aracının kurulumu bir git komutu kadar kolaydır.

git clone https://github.com/guelfoweb/peframe.git

Bu komut sonrası peframe kullanıma hazır durumdadır.

Örnek kullanım

Örnek olarak internetten rastgele indirdiğim bir zararlı yazılımı ele aldım.

wget http://5.254.98.54/pod1/sdfbfhj.exe -O /tmp/test.exe

 Bu testleri her ihtimale karşı Kali üzerinde gerçekleştirmenizi öneriyorum. Herhangi yanlış bir çift tıklama Windows kullanıcılarını mağdur edebilir.

Şimdiyse bu zararlı yazılımı peframe aracına verelim.

mince@rootlab peframe (master) $ python peframe.py /tmp/test.exe 

Short information
------------------------------------------------------------
File Name          test.exe
File Size          987648 byte
Compile Time       2015-01-09 20:00:25
DLL                False
Sections           4
Hash MD5           0be76c0783db3d7d6ed2719f412e7c76
Hash SHA-1         cbd063e8ffba72140d0476bc150cc5e7360594e0
Imphash            1fbda6f56eb97c298565a75bcb4054a7
Detected           Packer, Anti Debug, Anti VM
Directory          Import, Resource

Packer matched [1]
------------------------------------------------------------
Packer             Borland Delphi 3.0 (???)

Anti Debug discovered [3]
------------------------------------------------------------
Function           GetLastError
Function           TerminateProcess
Function           UnhandledExceptionFilter

Anti VM Trick discovered [1]
------------------------------------------------------------
Trick              VMCheck.dll

Suspicious API discovered [32]
------------------------------------------------------------
Function           CloseHandle
Function           CreateFileW
Function           CreateProcessAsUserW
Function           DeleteFileW
Function           GetCommandLineA
Function           GetCommandLineW
Function           GetCurrentProcess
Function           GetCurrentProcessId
Function           GetDriveTypeA
Function           GetDriveTypeW
Function           GetFileAttributesA
Function           GetFileAttributesW
Function           GetModuleFileNameW
Function           GetModuleHandleA
Function           GetModuleHandleW
Function           GetProcAddress
Function           GetStartupInfoA
Function           GetSystemDirectoryW
Function           GetTickCount
Function           GetWindowsDirectoryW
Function           LoadLibraryA
Function           LoadLibraryW
Function           OpenProcessToken
Function           RegCloseKey
Function           RegDeleteValueW
Function           RegOpenKeyA
Function           RegOpenKeyExW
Function           Sleep
Function           TerminateProcess
Function           UnhandledExceptionFilter
Function           VirtualAllocEx
Function           WriteFile

File name discovered [8]
------------------------------------------------------------
Library            ADVAPI32.dll
Library            GDI32.dll
Library            KERNEL32.dll
Library            SHLWAPI.dll
Library            USER32.dll
Library            WINMM.dll
Library            msvcrt.dll
Library            ole32.dll

Meta data found [11]
------------------------------------------------------------
LegalCopyright      \xa9 2006 Microsoft Corporation.  All rights reserved.
InternalName        WordConv
FileVersion         12.0.6500.5000
CompanyName         Microsoft Corporation
LegalTrademarks1    Microsoft\xae is a registered trademark of Microsoft Corporation.
LegalTrademarks2    Windows\xae is a registered trademark of Microsoft Corporation.
ProductName         2007 Microsoft Office system
ProductVersion      12.0.6500.5000
FileDescription     Word Converter
OriginalFilename    WordConv.exe
Translation         0x0409 0x04e4

Çıktıyı analiz ettiğimizde, test edilen uygulamayı dış hatları ile tanımış oluyoruz. Örneğin 2007 Microsoft Office system meta data bilgisi bulunan bu uygulama internet üzerinde Word Converter olarak lanse edilmekte ve orjinal adı WordConv.exe.  Ayrıca  VMCheck.dll ile Anti-VM özelliği bulunmakta.