unc4nny Postado Maio 21, 2020 em 12:48 Compartilhar Postado Maio 21, 2020 em 12:48 Oi. Esse dias eu ouvi falar do banker trojan que vai pelo nome de IcedId. Saiu bastante noticias sobre ele na epoca e entao eu peguei uma sample e fui tentar brincar com ela. O malware aparentemente tem 2 stages de unpacking, o primeiro, depois de muito google-fu e leitura, eu consegui passar. Agora o segundo eu to com mais dificuldades. O primeiro estagio do unpacking me devolveu um arquivo PE, entao eu abri ele no PE estudio e um indicators diz o seguinte: 1525,The file contains another file,type: unknown, location: overlay, offset: 0x00019C00,1 Depois, eu fui dar uma olhada nesse offset dentro do arquivo, e nao achei nada, nao soh isso, mas o arquivo nao tem import table. Depois de uma pesquisada eu vi que existe uma parada chamada Dynamic Library Resolution, onde um malware faz a resolucao da import table em tempo de execucao. Talvez seja ate o q esta acontecendo aqui, mas como eu sei eh isso que esta acontecendo e nao eu que fiz cagada? Enfim, o PEBear diz que as secoes do binario estao dispostas dessa forma: Eu nao consegui achar nada dumpando o binario. Em disco o offset indicado pelo pestudio eh o final da .reloc, entao acho que nao eh la que eu preciso olhar. O PEBear tambem diz que em memoria, a secao .data comeca no offset 0x3000, mas tem tamanho 0x18800, entao eu imagino que o arquivo que eu estou procurando deva estar la. O problema eh que a secao nao aparece no binario em disco, ja que a secao nao existe nele, e eu nao to conseguindo achar no binario em memoria. Alguem tem uma ideia boa por onde comecar? Se alguem quiser o hash da sample, avisa, eu nao sei se eu posso postar aqui auiasuiduas Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.