Что такое PeStudio?

PeStudio — это инструмент для поиска подозрительных артефактов в исполняемых файлах для ускорения первой оценки вредоносных программ. Используя этот инструмент, аналитик может легко определить функции, обычно используемые для вредоносных действий создателями вредоносных программ.

Когда аналитик открывает вредоносный образец внутри программы, он получает общую информацию о файле, такую как хэш MD5 и энтропия. Хэш-значение образца затем будет проверено на Virus Total, и результат поиска будет указан внутри программы. На картинке, представленной ниже, показан результат запроса.

На вкладке «Раздел» аналитик может увидеть хэш MD5 для каждого раздела, значение энтропии и адрес точки входа (адрес, с которого начинается выполнение процесса), а также разрешение на чтение, запись и/или выполнение для каждого раздела. . Если раздел «.rsrc» слишком большой, приложение может «сбросить» на диск другой файл. В этом случае рекомендуется, чтобы во время динамического анализа аналитик обращал пристальное внимание на файлы, которые записываются на диск.

«Разделы импорта» содержат имена импортированных функций. Выполняя поиск каждой функции на сайте MSDN.microsoft.com, аналитик может найти, что делает эта функция. В PeStudio есть список «заблокированных» импортов, в котором перечислены все импорты, которые могут использоваться для вредоносных действий.

В примере, представленном ниже, проверка раздела «Импорт» может дать аналитику обзор основных импортированных библиотек, используемых вредоносной программой для вредоносных действий и запрещенных приложением PeStudio. Например, импорты «connect», «gethostbyname», «socket», «memcpy», «send» и «GetAsyncKeyState» дают аналитику вредоносных программ некоторое представление об основных функциях анализируемого образца.

В разделе «Экспорт» представлены функции, которые PE-файл экспортирует для использования другими PE-файлами. В представленном примере экспорт отсутствует.

В разделе «ресурсы» обычно хранится информация, связанная с пользовательским интерфейсом (значки или пользовательские элементы окна). Если вредоносное приложение имеет функции dropper5, файлы, записанные на диск, могут храниться в разделе «.rsrc».

В разделе « tls-callback» есть код, который настроит среду, чтобы приложение могло работать. Этот код будет выполнен перед точкой входа. Используя эту функцию, создатель вредоносного ПО может скрыть код внутри TLS (Thread Local Storage), который будет выполняться до того, как ОС Windows создаст процесс.

Раздел строк также является полезным источником информации для аналитика. Все строки из исполняемого файла анализируются и помещаются в этот раздел. Изучая «раздел строк», аналитик пытается определить читаемые строки, такие как IP-адреса и URL-адреса, а также имена файлов, которые можно использовать во время расследования. Когда количество читаемых символов уменьшается, приложение может быть запаковано или запутано.

Ниже представлен «струнный раздел» анализируемого образца.

Другой важной областью при анализе вредоносного ПО является раздел «сертификат», который содержит сертификат, используемый для подписи приложения. Обычно вредоносные приложения не подписаны или используют сертификат от ненадежного или скомпрометированного центра сертификации. Инструменты PeStudio также могут создавать и экспортировать XML-отчет для анализируемого исполняемого файла. Выходной отчет в формате XML можно использовать для дальнейшего анализа с помощью сторонних аналитических инструментов.