Fernando Mercês

Existem vários frameworks para emulação de binários. No livro introdutório de Engenharia Reversa que escrevi, há um apêndice só de ferramentas onde alguns deles são listados. Confesso que quando vi "mais emulador" pensei: "ok, mais um emulador..." mas a FireEye não costuma lançar coisa inútil, então resolvi dar uma olhada ao invés de só julgar e ignorar. E, cá entre nós, foi a melhor coisa que fiz. Rodei o Speakeay no macOS e curti bastante a quantidade de recursos e possibilidades que ele traz. Vou contar aqui rapidinho o que rolou. 🙂 Instalação O processo de instalação foi bem fácil: git clone https://github.com/fireeye/speakeasy.git cd speakeasy python3 -m pip install -r requirements.txt python3 setup.py install Uso Invocando o script principal sem nenhum argumento, damos de cara com o help do programa: $ python3 run_speakeasy.py usage: run_speakeasy.py [-h] [-t TARGET] [-o OUTPUT] [-p [PARAMS [PARAMS ...]]] [-c CONFIG] [-m] [-r] [-a ARCH] [-d DUMP_PATH] [-q TIMEOUT] [-z DROP_FILES_PATH] [-l MODULE_DIR] Emulate a Windows binary with speakeasy optional arguments: -h, --help show this help message and exit -t TARGET, --target TARGET Path to input file to emulate -o OUTPUT, --output OUTPUT Path to output file to save report -p [PARAMS [PARAMS ...]], --params [PARAMS [PARAMS ...]] Commandline parameters to supply to emulated process (e.g. main(argv)) -c CONFIG, --config CONFIG Path to emulator config file -m, --mem-tracing Enables memory tracing. This will log all memory access by the sample but will impact speed -r, --raw Attempt to emulate file as-is with no parsing (e.g. shellcode) -a ARCH, --arch ARCH Force architecture to use during emulation (for multi-architecture files or shellcode). Supported archs: [ x86 | amd64 ] -d DUMP_PATH, --dump DUMP_PATH Path to store compressed memory dump package -q TIMEOUT, --timeout TIMEOUT Emulation timeout in seconds (default 60 sec) -z DROP_FILES_PATH, --dropped-files DROP_FILES_PATH Path to store files created during emulation -l MODULE_DIR, --module-dir MODULE_DIR Path to directory containing loadable PE modules. When modules are parsed or loaded by samples, PEs from this directory will be loaded into the emulated address space [-] No target file supplied Destaque para as opções -z e -d que prometem salvar os arquivos criados pelo programa e um dump de memória do processo, respectivamente. Emulando um executável PE O Speakeasy ainda não é perfeito. Emulei vários binários, mas a maioria tinha uma ou outra função da API do Windows ainda não suportada pelo programa. Um exemplo é o nosso desafio AnalyseMe-03, que gerou a seguinte saída: $ python3 run_speakeasy.py -t ~/Downloads/AnalyseMe-03.exe 0x40101e: 'KERNEL32.GetCommandLineA()' -> 0x40b0 0x40105c: 'KERNEL32.GetStartupInfoA(0x1211fa0)' -> None 0x401102: 'KERNEL32.GetProcessHeap()' -> 0x4120 0x401109: 'KERNEL32.HeapAlloc(0x4120, 0x8, 0x80)' -> 0x4140 0x40108d: 'KERNEL32.GetModuleHandleA(0x0)' -> 0x400000 0x40135e: 'KERNEL32.CreateFileA("C:\\Program Files\\Oracle\\VirtualBox Guest Additions\\DIFxAPI.dll", "GENERIC_READ", 0x1, 0x0, "OPEN_EXISTING", 0x80, 0x0)' -> 0xffffffff 0x40138f: 'KERNEL32.CreateFileA("C:\\windows\\System32\\Drivers\\Vmmouse.sys", "GENERIC_READ", 0x1, 0x0, "OPEN_EXISTING", 0x80, 0x0)' -> 0xffffffff 0x4011fe: 'wininet.InternetOpenA("Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)", 0x1, 0x0, 0x0, 0x0)' -> 0x20 Caught error: unsupported_api Invalid memory read (UC_ERR_READ_UNMAPPED) Unsupported API: wininet.InternetOpenUrlA * Finished emulating Tudo bem. O software é livre, então eu posso ir lá e adicionar suporte à InternetOpenUrlA da wininet.dll, caso eu realmente precise. E mesmo assim, o Speakeasy foi capaz de emular várias outras funções, que já me dizem o que o binário faz. Achei que os seguintes recursos valem o destaque: Fácil instalação. Multiplataforma. Pode ser usada como biblioteca em Python. Exemplos. Suporta shellcode. Emula drivers em ring0. Por ser emulador, dispensa SO e virtualizador. Cria um dump de memória. Salva os arquivos criados. Sem dúvida um software impressionante, principalmente se o utilizamos com foco em famílias de malware em específico. Pode salvar muitas horas de análise. 🙏 Pontaço para a FireEye de novo, que mês passado, diga-se de passagem, lançou o capa, que cobri no canal. Já são duas ferramentas que entraram pro meu dia a dia na análise de binários de Windows.

Arquivo utilizado no artigo da Revista H2HC, edição 15 (ainda em construção).

A NSA, agência de espionagem norte-americana, acaba de publicar um documento de 45 páginas detalhando o funcionamento de um malware chamado Drovorub, a quem atribuiu o desenvolvimento ao governo Russo. Segundo o relatório, o malware é composto por 4 partes: Cliente, usado como implante. Módulo de kernel que é o rootkit. Agente que faz o redirecionamento de portas e transfere arquivos entre vítima e C2. Servidor que tem o software do C2. O diagrama geral de funcionamento do malware é mostrado na figura abaixo: O cliente recebe comandos do servidor, pode transferir arquivos e abrir uma shell remota. Além disso, ele também instala o rootkit, que é capaz de ocultar processos (fazendo com que não apareçam na listagem de comandos como ps e top do Linux), arquivos, sockets abertos e até mesmo pacotes recebidos pelo Netfilter. Em resumo, o atacante tem total controle de seu servidor Linux. Talvez até mais controle que você. 🤷🏽 Pra saber se seu servidor está infectado, a NSA recomenda buscar pelas strings "sc!^2a", "do_fork" e "net_list_request" num dump de memória. Recomendações adicionais, incluindo regras para detectar o tráfego de rede Snort e Yara para encontrar os arquivos podem ser encontradas no documento. Sinistro. O.o

Conferência online (este ano) que rola na Argentina. É a maior da América Latina em público. Mais informações: https://ekoparty.org/

Início das aulas do curso Programação Shell Linux com o professor Julio Cezar Neves, autor de livros sobre shell, programador do único UNIX desenvolvido fora dos EUA. O cara conhece shell com os pés nas costas! 😁 Assista o vídeo: As inscrições com apoio ao Mente Binária podem ser feitas em: https://go.hotmart.com/K17210064N 💚

Conferência virtual (neste ano) só com palestras que envolvem o desenvolvimento e uso do radare2, um framework livre para engenharia reversa. Mais detalhes em https://rada.re/con/2020/. Evento ao vivo: https://www.youtube.com/watch?v=JyUAJHA1nKc