[Write-up] Practical Malware Analysis | Part 1 - Chapter 1 - Lab 1-2

Practical Malware-Analysis

CHAPTER 1 - BASIC STATIC TECHNIQUES

Write up Lab 1-2

Lab01-02.exe

Tệp cần phân tích là Lab01-02.exe

 

Questions

1. Upload the Lab01-02.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions?
2. Are there any indications that this file is packed or obfuscated? If so, what are these indicators? If the file is packed, unpack it if possible.
3. Do any imports hint at this program’s functionality? If so, which importsare they and what do they tell you?
4. What host- or network-based indicators could be used to identify this malware on infected machines?

Answers

 

 1. Upload the Lab01-02.exe file to http://www.VirusTotal.com/. Does it match any existing antivirus definitions?

 

Sử dụng tool trong công cụ Malcode Analyst Pack ta có được thông tin sau:

 

MD5:       8363436878404DA0AE3E46991E355B83
SHA1:     5A016FACBCB77E2009A01EA5C67B39AF209C3FCB
SHA256:   C876A332D7DD8DA331CB8EEE7AB7BF32752834D4B2B54EAA362674A2A48F64A6

MD5 Hash

MD5

Mẫu Lab01-02.exe lần đầu tiên được gửi tới Virustotal vào ngày 2011-07-02 17:02:09 UTC và kể từ đó, nó có tỷ lệ phát hiện là 55/70.

History Lab01-02.exe

Submit Virustotal Lab01-02.exe

2. Are there any indications that this file is packed or obfuscated? If so, what are these indicators? If the file is packed, unpack it if possible.

 

Sử dụng PEiD cho thấy Lab01-02.exe bị packed bằng Ultimate Packer for eXecutables (UPX).

 

PEiD Lab01-02.exe packed

====================

Note

 

1 Sử dụng Exeinfo PE

 

Exeinfo PE Lab01-02.exe packed

 Lab01-02.exe được đóng gói bởi UPX, tool ngày cũng cung cấp thông tin về UPX và hướng dẫn unpack.

 

 2 Sử dụng VirusTotal

 

Virustotal_UPX

Virustotal_UPX Packed

Các dấu hiệu: thuộc tính tệp, kích thước tệp ảo lớn so với kích thước thô, .... cho thấy đây là tệp đã được packed.

====================

Có nhiều cách để unpack tuy nhiên cách đơn giản là dùng chính UPX để unpack.

 upx -d Lab01-02.exe -o Lab01-02-Unpacked.exe

Unpack Lab01-02. exe

 ====================

Note

Dùng PEiD với tệp Unpack Lab01-02. exe

PEiD Lab01-02-Unpacked

 Sau khi unpack, ta thấy file này được compile bằng Microsoft Visual C++ version 6.0

Upload Unpack Lab01-02. exe VirusTotal

MD5    ae4ca70697df5506bc610172cfc288e7
SHA-1    31e8a82e497058ff14049cf283b337ec51504819
SHA-256    8bcbe24949951d8aae6018b87b5ca799efe47aeb623e6e5d3665814c6d59aeae

Virustotal uplaod Lab01-02 unpacked

Virustotal uplaod Lab01-02 unpacked_1

 ====================

3. Do any imports hint at this program’s functionality? If so, which imports are they and what do they tell you?

Sử dụng Dependency Walker ta biết được các chức năng nổi bật:

ADVAPI32.DLL

• CreateService
• StartServiceCtrlDispatcher
• OpenSCManager

ADVAPI32.DLL

WININET.DLL

• InternetOpenUrl
• InternetOpen

WININET.DLL

 

Dựa trên điều này, có thể phán đoán rằng tệp thực thi sẽ khởi tạo và kích hoạt một dịch vụ và dịch vụ đó sẽ kết nối với internet.

====================

Note

KeCác hàm được imports trong Kernel32 là:

• CreateWaitableTimer
• SetWaitableTimer
• ExitProcess
• OpenMutex
• CreateMutex
• CreateThread

====================
 4. What host- or network-based indicators could be used to identify this malware on infected machines?

Quan sát strings của tệp thực thi nhận thấy rằng:

Các strings đáng chú ý như đường dẫn là: http://www.malwareanalysisbook.com , MalService, HGL345 và InternetExplorer 8.0

Strings Lab01-02.exe

Căn cứ các thông tin trên thì có thể dự đoán rằng:

Thông qua các hàm được import, chương trình sẽ khởi tạo tiểu trình và điều khiển thông qua các Mutex (HGL345), cố gắng kết nối đến một URL nào đó; đồng thời cũng khởi tạo và chạy một dịch vụ khác (Malservice) trong hệ thống (services.msc) – dịch vụ này có thể kết nối internet , có thể sẽ bị ẩn khỏi chương trình Quản lý dịch vụ.

Chương trình kết nối đến địa chỉ http://wwwmalwareanalysisbook.com (184.168.221.22) với agent Internet Explorer 8.0

Kết thúc Lab01-02.exe.