Leandro Fróes Postado Novembro 17, 2018 em 14:18 Compartilhar Postado Novembro 17, 2018 em 14:18 Boa tarde galera! Como vocês estão? Faz um tempinho que estamos pensando sobre algo que possa ser postado semanalmente aqui no portal, algo que seja curioso, desafiador, divertido, mas que prepare para situações reais. Com isto em mente estamos lançando hoje a série de desafios chamados AnalyseMe, que são postados nesta área toda sexta-feira. O intuito é treinar análise de malware. Portanto os binários conterão rotinas maliciosas e por isso é estritamente necessário que sejam analisados em um ambiente controlado (máquina virtual). A ideia é simples: aplicar os conceitos de engenharia reversa que aprendemos nos nossos estudos, mas de uma forma direcionada à análise de malware (falando nisso, você já leu o nosso livro e viu o nosso curso?! ?). Os participantes devem analisar os programas aqui postados e responder o tópico com sua análise. Desta forma podemos tirar dúvidas e ter visões diferentes sobre o mesmo binário, facilitando o aprendizado. Desenvolvemos também um modelo de relatório que esperamos receber como resposta (use a tag spoiler, que é o olhinho na barra de ferramentas: ) . Segue exemplo: Spoiler Tipo de arquivo: PE EXE Compilador/linguagem: Borland C++ Protector/packer: Nenhum SHA-256: 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08 Strings interessantes: X, Y, Z Funções locais maliciosas: 405040 (faz tal coisa), 403570 (faz coisa e tal) Chamadas à API do Windows e outras bibliotecas: CreateWindowExA(parâmetros), InternetOpenFileA(parâmetros)... Atividades de rede: resolve o domínio X, baixa Y da URL Z O que o binário faz em linhas gerais: Rouba as senhas armazenadas no browser. O que foi modificado no sistema: o arquivo X é criado e uma chave de registro é adicionada em HKLM\Microsoft\Windows\CurrentVersion\Run com o valor c:\binario.exe O nível de detalhe da análise fica a critério de vocês, só tomem cuidado para não sair muito da ideia principal, guiada pelo formulário. Caso vocês achem necessário mais algum item no formulário fiquem à vontade para colocar junto da sua análise. Qualquer dúvida/sugestão/ideia estamos sempre à disposição. Vamos lotar isto aqui hein. ? E agora, sem mais delongas, segue o primeiríssimo desafio: AnalyseMe-00.exe Lembrando que alguns itens do relatório podem estar em branco para cada desafio. Por exemplo, o binário pode não ter atividade de rede ou não ter nenhuma string interessante, etc. Agora é contigo! ? Link para o comentário Compartilhar em outros sites More sharing options...
Aof Postado Novembro 21, 2018 em 19:19 Compartilhar Postado Novembro 21, 2018 em 19:19 Estou com uma duvida @Leandro Fróes. Esse malware tem algum packer ou outro tipo de proteção? Quando analisei ele com o RDG retornou pra mim como Microsoft Visual c++ v6.0 SPx e abaixo FAKE SING. Existem fake sing nesse malware? Se houver proteção no malware qual material devo estuda pra bypass isso. Pfv Link para o comentário Compartilhar em outros sites More sharing options...
Leandro Fróes Postado Novembro 22, 2018 em 08:55 Autor Compartilhar Postado Novembro 22, 2018 em 08:55 Fala @Aof, blz? A ideia do desafio é justamente você verificar esse tipo informação (se tem packer, linguagem utilizada, ideia do binário em si, etc). O curso do CERO e o livro com certeza são o suficiente para esta análise. Sobre as ferramentas você pode dar uma olhada no artigo que Linkei ali na descrição, mas fique a vontade pra usar as ferramentas que se sentir mais confortável ? abs Link para o comentário Compartilhar em outros sites More sharing options...
yuri Postado Novembro 25, 2018 em 20:09 Compartilhar Postado Novembro 25, 2018 em 20:09 Show Leandro. Iniciando as análises!! ? Link para o comentário Compartilhar em outros sites More sharing options...
dudsdev Postado Novembro 26, 2018 em 16:53 Compartilhar Postado Novembro 26, 2018 em 16:53 Da horaaaa, Taca-lhe fogo!! Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble Romac Postado Novembro 26, 2018 em 19:47 Apoiador Nibble Compartilhar Postado Novembro 26, 2018 em 19:47 Parabéns pela iniciativa Leandr, vou analisar. Link para o comentário Compartilhar em outros sites More sharing options...
rcimatti Postado Novembro 27, 2018 em 18:07 Compartilhar Postado Novembro 27, 2018 em 18:07 Boa tarde Leandro, Legal essa ideia, parabéns! Aqui está o que achei: Spoiler Tipo de arquivo: PE EXE Compilador/linguagem: Microsoft Visual C/C++ (2017 v15.5) Protector/packer: Nenhum SHA-256: a5c8b9d287270af46943bfdd19f7f6d5f11ecf24980f9f6aca798756af4731f8 Strings interessantes: "C:\\Windows\\System32\\cmd.exe"; Funções locais maliciosas: start/main e 401100 (deleta o arquivo); Chamadas à API do Windows e outras bibliotecas: DeleteFileA, ExitProcess, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, HeapAlloc, GetProcessHeap; Atividades de rede: Nenhuma; O que o binário faz em linhas gerais: Tenta remover o executável cmd.exe em C:\Windows\System32; O que foi modificado no sistema: Nada (não conseguiu remover); Abs, Rafael Link para o comentário Compartilhar em outros sites More sharing options...
Aof Postado Novembro 28, 2018 em 18:24 Compartilhar Postado Novembro 28, 2018 em 18:24 Não querendo desmerecer a analise do amigo @rcimatti, afinal fiz a mesma analise e deu os mesmos resultados, o motivo de não ter posta o resultado da minha analise, foi essas strings dentro da Section .rdata. Mas meu conhecimento ainda não abrange essa área ainda! Acredito que tem um outro sample para analisar. .text .text$mn .idata$5 .rdata .rdata$zzzdb .idata$2 .idata$3 .idata$4 .idata$6 .CRT$XCA .CRT$XCZ .data .bss Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Novembro 29, 2018 em 02:27 Compartilhar Postado Novembro 29, 2018 em 02:27 Que maneiro @rcimatti! Obrigado mesmo pela análise. Curta e precisa. =) @Aof não tem nenhuma "pegadinha" não. É só isso mesmo. Este binário é super simples, justamente por ser o primeiro nível dos desafios. A ideia é ir dificultando nos próximos, pouco a pouco. Abraços! Link para o comentário Compartilhar em outros sites More sharing options...
Aof Postado Novembro 30, 2018 em 03:07 Compartilhar Postado Novembro 30, 2018 em 03:07 Em 29/11/2018 em 00:27, Fernando Mercês disse: Que maneiro @rcimatti! Obrigado mesmo pela análise. Curta e precisa. ? @Aof não tem nenhuma "pegadinha" não. É só isso mesmo. Este binário é super simples, justamente por ser o primeiro nível dos desafios. A ideia é ir dificultando nos próximos, pouco a pouco. Abraços! obg @Fernando Mercês aguardando o próximo. Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble Euler Neto Postado Dezembro 1, 2018 em 20:48 Apoiador Nibble Compartilhar Postado Dezembro 1, 2018 em 20:48 Minha análise deu isso também. Só especificando que ao chamar DeleteFile("C:\Windows\System32\cmd.exe") é retornado ERROR_ACCESS_DENIED. Link para o comentário Compartilhar em outros sites More sharing options...
Fernando Mercês Postado Dezembro 3, 2018 em 11:45 Compartilhar Postado Dezembro 3, 2018 em 11:45 Boa, @Euler Neto. Uma pergunta adicional seria especificar o valor literal dessa constante (ERROR_ACCESS_DENIED). Abraço! Link para o comentário Compartilhar em outros sites More sharing options...
NathanUchoa Postado Dezembro 11, 2018 em 04:11 Compartilhar Postado Dezembro 11, 2018 em 04:11 Curtindo demais os desafios, obrigado! Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble anderson_leite Postado Dezembro 23, 2018 em 21:41 Apoiador Nibble Compartilhar Postado Dezembro 23, 2018 em 21:41 Spoiler Tipo de arquivo: PE EXE Compilador/linguaguem: Microsoft Visual C/C++(2017 v.15.5 - C/C++ Protector/packer: Nenhum SHA-256: a5c8b9d287270af46943bfdd19f7f6d5f11ecf24980f9f6aca798756af4731f8 Strings interessantes: C:\Windows\System32\cmd.exe, C:\Users\Homer\Documents\Visual Studio 2017\Projects\Project3\Release\Project3.pdb, DeleteFile Funções locais maliciosas: 00401100 (Tenta deletar C:\Windows\System32\cmd.exe usando a call DeleteFile) Chamadas à API do Windows e outras bibliotecas: DeleteFile( C:\Windows\System32\cmd.exe), GetCommandLineA() Atividades de rede: nenhuma O que o binário faz em linhas gerais: Tenta apagar a C:\Windows\System32\cmd.exe via DeleteFile(path) O que foi modificado no sistema: Nada Link para o comentário Compartilhar em outros sites More sharing options...
andersongomes001 Postado Janeiro 17, 2019 em 00:38 Compartilhar Postado Janeiro 17, 2019 em 00:38 Spoiler Tipo de arquivo: PE EXECompilador/linguagem: Microsoft Visual C/C++(-)[-]Protector/packer: NenhumSHA-256: A5C8B9D287270AF46943BFDD19F7F6D5F11ECF24980F9F6ACA798756AF4731F8Strings interessantes: "C:\\Windows\\System32\\cmd.exe"Funções locais maliciosas: 00401105 (Exclui um arquivo existente passando "C:\\Windows\\System32\\cmd.exe" como parâmetro)Chamadas à API do Windows e outras bibliotecas: GetCommandLineA,GetStartupInfoA,GetModuleHandleA,ExitProcess,GetProcessHeap,RtlAllocateHeap,DeleteFileAAtividades de rede: N/AO que o binário faz em linhas gerais: tenta deletar o arquivo "C:\\Windows\\System32\\cmd.exe" e recebe um ERROR_ACCESS_DENIED porque o arquivo é somente leitura.O que foi modificado no sistema: nada Link para o comentário Compartilhar em outros sites More sharing options...
prassis Postado Setembro 18, 2019 em 19:12 Compartilhar Postado Setembro 18, 2019 em 19:12 Muito bom estes desafios, estou começando agora em engenharia reversa, li o livro e estou terminando o curso do CERO. Curtindo muito, parabéns pela iniciativa!! ??? Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.