AnalyseMe - Nível 01

[Leandro Fróes]

Fala galera, tudo certo?

Segue o nosso segundo desafio da série AnalyseMe. Outra coisa, lembram daquele modelo de relatório do AnalyseMe - Nível 00? Aquele é um padrão para vocês manterem o foco, para saberem que aquilo é importante dar uma olhada. Caso não consigam encontrar todos os campos fiquem a vontade para postar o que acharam, a idea aqui é aprendermos juntos e ajudar quem precisa.

Se você ainda não postou sua análise porque alguém já postou antes, posta lá!! Não esqueça que cada um tem seu ponto de vista e isso é muito importante! ?

Queria também agradecer à todos que fizeram o primeiro tópico movimentar. Para aqueles que ainda não fizeram/postaram o desafio, tá esperando o que?!?!?! ?

 

AnalyseMe-01.exe

[Aof]

 

muito bom @Leandro Fróes esse sample.

só o que ta faltando e influenciar o pessoal, a postar seus resultados mesmo que já tenha sido resolvido. Com suas próprias palavras.

Spoiler

Tipo de arquivo:                         PE EXE
Compilador/linguagem:         Microsoft Visual C/C++(-)[-]
Protector/packer:                     Nenhum
SHA-256:                                      52CC326E53906BFD2E5A371D3ADBDDB537CFD2F231BB7420E66C46C2EC4C9810
Strings interessantes:            "http://2016.eicar.org/download/eicar.com", "\windowsupdate.exe" , "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0"
Funções locais maliciosas:     004011A0 (faz as requisições ao site)
chamadas à API Windows e outras libs:  InternetOpenUrlA,InternetOpenA, InternetReadFile, WININET.dll,WriteFile, GetTempPathA, CreateFileA, ExitProcess, lstrcpynA, HeapAlloc, GetProcessHeap, lstrlenA, GetCommandLineA
Dlls importadas:                        KERNEL32.dll, WININET.dll  
Atividades de rede:                  acessa um site ("supostor C&C") e baixa mais um artefatos.
O que o binário faz em linhas gerais:  baixa 2 arquivos chamados "eicar.com" e "windowsupdate.exe", estes logo contem caracteres para testar o anti-virus.
O que foi modificado no sistema:         nada

 

[Leandro Fróes]

Concordo plenamente @Aof, obrigado pelo feedback!!

Muito legal sua análise por sinal ?.

[rcimatti]

Boa tarde Leandro,

Sei que já está resolvido mas segue minha análise abaixo:

Spoiler

Tipo de arquivo: PE EXE
Compilador/linguagem: Visual Studio C/C++
Protector/packer: Nenhum
SHA-256: 4263a62d41f13ff00d730fbf25bcfbccef9387cec2c5dff1cb8404efceade3e7
Strings interessantes: "http://2016.eicar.org/download/eicar.com", "\\windowsupdate.exe" e "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0";
Funções locais maliciosas: 4011A0 (download e escrita do arquivo);
Chamadas à API do Windows e outras bibliotecas: InternetOpenA, InternetOpenUrlA, InternetReadFile, CreateFileA,  WriteFile, GetTempPathA;
Atividades de rede: Baixa o arquivo em "http://2016.eicar.org/download/eicar.com" usando o user-agent do Firefox;
O que o binário faz em linhas gerais: Salva o arquivo baixado na pasta temporária do sistema com o nome "windowsupdate.exe";
O que foi modificado no sistema: O arquivo windowsupdate.exe foi criado dentro da pasta temporária do usuário;

Valeu pelo sample!

Abs,
Rafael

[NathanUchoa]

Boa tarde, 

Lá vai minha primeira análise, 

Spoiler

 Tipo de arquivo: PE EXE

Compilador/linguagem: Visual C/C++ (14.00.27.023)

Protector/packer: Nenhum

SHA-256: 4263A62D41F13FF00D730FBF25BCFBCCEF9387CEC2C5DFF1CB8404EFCEADE3E7

Strings interessantes:
windowsupdate.exe
 C:\Users\IEUser\Desktop\Project1\Release\Project1.pdb
http://2016.eicar.org/download/eicar.com

Funções locais maliciosas:  4011A0
Faz o download do arquivo e escreve na pasta temporária em  AppData\Local\Temp\\"windowsupdate.exe"

Chamadas à API do Windows e outras bibliotecas: 
- WININET.DLL
1. InternetOpenA (Inicializa o uso de um aplicativo das funções do WinINet)
2. InternetOpenUrlA (Abre um recurso especificado por uma URL completa de FTP ou HTTP). FLAG = INTERNET_FLAG_RAW_DATA

- KERNEL32.DLL
1. GetTempPathA ( 260, 0x0018fe1c )
2. CreateFileA ( "C:\Users\ADMINI~1\AppData\Local\Temp\\windowsupdate.exe") FLAG =  GENERIC_READ | GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL
3. WriteFile ( 0x00000324, 0x0018ff20, 68, 0x0018ff64, NULL )
4. ExitProcess ( 0 )

Atividades de rede: Acessa a URL http://2016.eicar.org/download/eicar.com e faz download do arquivo windowsupdate.exe 

O que o binário faz em linhas gerais:  Salva em uma pasta temporária do sistema, ... "AppData\Local\Temp\\windowsupdate.exe", o executável contém scripts para detecção do Antivirus.

O que foi modificado no sistema: Nada

Estou aberto a todo tipo de crítica.

Um abraço a todos.

 

[Euler Neto]

Tou meio atrasado porque tava sem PC mas enfim consegui um tempo pra analisar o executável.
O problema que tive foi que

Spoiler

 

quando InternetOpenUrl("http://2016.eicar.org/download/eicar") era chamado, travava o windbg. Tentei baixar pelo browser na VM mas mesmo o download era barrado, então tive que baixar no Linux pra poder ver o arquivo. Observando o conteúdo imaginei que fosse pra testar o antivírus como mencionado.

PS: O Firewall está desabilitado.

 

 

[anderson_leite]

Spoiler

Tipo de arquivo: PE EXE

Compilador/linguaguem:  Microsoft Visual C/C++ - C/C++

Protector/packer: Nenhum

SHA-256: 4263a62d41f13ff00d730fbf25bcfbccef9387cec2c5dff1cb8404efceade3e7

Strings interessantes: "http://2016.eicar.org/download/eicar.com"(url para download do artefato) , "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0" (User agent),  \windowsupdate.exe (Arquivo criado para "dropar" o binário baixado), "C:\Users\IEUser\Desktop\Project1\Release\Project1.pdb" path para o arquivo de debugger do projeto do criador do sample (Nome do escritor)

Funções locais maliciosas: 004010t89 (Pega atual diretorio para usar como base), 004011A0 (Faz uso da lib WinNet para criar um downloader usando as headers do firefox, para poder baixar o sample eicar na maquina e escrever em um arquivo temporario com o nome de windowsupdate.exe)

Chamadas à API do Windows e outras bibliotecas:  Chamadas notaves: Kernel32 - GetCommandLineA, lstrlenA, WriteFile, GetTempPathA, CreateFileA. WinNet - InternetReadFile, InternetOpenA, InternetOpenUrlA

Atividades de rede: request HTTP para download do código malicioso em "http://2016.eicar.org/download/eicar.com"

O que o binário faz em linhas gerais: Age como um dropper, baixa um codigo malicioso (eicar) e escreve nos arquivos temporarios como windowsupdate.exe, porem não executa

O que foi modificado no sistema:  Binário escrito nos arquivos temporarios

 

[andersongomes001]

Spoiler

Tipo de arquivo: PE EXE
Compilador/linguagem: Microsoft Visual C/C++(-)[-]
Protector/packer: Nenhum
SHA-256: 4263A62D41F13FF00D730FBF25BCFBCCEF9387CEC2C5DFF1CB8404EFCEADE3E7
Strings interessantes: "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0","http://2016.eicar.org/download/eicar.com","\\windowsupdate.exe"
Funções locais maliciosas: 004011A0 (função que faz download de arquivo malicioso para a maquina)
Chamadas à API do Windows e outras bibliotecas:
WININET.dll 
InternetReadFile
InternetOpenUrlA
InternetOpenA

KERNEL32.dll

WriteFile
GetTempPathA
CreateFileA
ExitProcess

Atividades de rede:  acessa um host e baixa um arquivos.
O que o binário faz em linhas gerais: 
faz uma conexão com o host "http://2016.eicar.org/download/eicar.com" passando um user-agent: "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0"
cria um arquivo na pasta AppData\Local\Temp com o nome de windowsupdate.exe
O que foi modificado no sistema: cria um arquivo windowsupdate.exe na pasta temporária do usuário.