GarbageMan — анализ файлов написанных на .NET

GarbageMan

Клас­сичес­кие вирусы обыч­но пишут на C/C++, ассем­бле­ре и про­чих низ­коуров­невых язы­ках. Но это не обя­затель­но дела­ет их наибо­лее эффектив­ными. Мал­варь, написан­ная на .NET, может дос­тавить кучу проб­лем, потому что методы обфуска­ции это­го кода ста­ли весь­ма могучи­ми.

В какой‑то сте­пени это­му помог­ло откры­тие исходни­ков плат­формы .NET. Конеч­но же, вир­мей­керы изу­чили исходни­ки и сде­лали соот­ветс­тву­ющие выводы. В ито­ге мы име­ем мно­гос­лой­ное шиф­рование, раз­личные манипу­ляции с про­цес­сами, мас­су анти­отла­доч­ных и обфусци­рующих при­емов.

Еще по теме: Деобфускация PowerShell

Как анализировать файл написанный на .NET

Что­бы как‑то решать такие проб­лемы, была соз­дана замеча­тель­ная прог­рамма под наз­вани­ем GarbageMan. Она нам и поможет в ана­лизе фай­ла. Дело в том, что рабочий Heap и стек .NET-при­ложе­ния пред­став­ляют собой нас­тоящий кла­дезь информа­ции о типах дан­ных, свя­зан­ности объ­ектов друг с дру­гом и про­чих вещах. При помощи GarbageMan мы будем ее извле­кать и иссле­довать.

GarbageMan соз­дает сним­ки сос­тояния заг­ружен­ного в него при­ложе­ния и отоб­ража­ет информа­цию: даже если в фай­ле исполь­зует­ся обфусци­рова­ние или шиф­рование (как в нашем слу­чае), во вре­мя выпол­нения вре­донос рас­шифру­ет эту информа­цию.

GarbageMan — это набор инструментов, предназначенных для анализа Heap в .NET. Эти инструменты предлагают следующие преимущества для исследователей вредоносного ПО:

  • Возможность быстро извлекать полезные данные в виде открытого текста (PE-изображения и т.д.) из Heap .NET.
  • Легкость анализа зашифрованных сетевых протоколов, признаков утечки данных и подобных случаев.
  • Способность преодолевать техники противодействия дампингу, используемые вредоносным ПО (psnotify).

Заг­рузим наш .NET-файл в GarbageMan и надела­ем нес­коль­ко сним­ков его работы с про­межут­ком в нес­коль­ко сот мил­лисекунд.

Ис­поль­зуемая поч­та, поч­товый сер­вер и порт
Ис­поль­зуемая поч­та, поч­товый сер­вер и порт
Спи­сок инте­ресу­ющих Agent Tesla сер­висов
Спи­сок инте­ресу­ющих Agent Tesla сер­висов

У меня получи­лось извлечь спи­сок сер­висов, с которы­ми вза­имо­дей­ству­ет Agent Tesla, его поч­ту, поч­товый сер­вер и мно­го дру­гой информа­ции. Неп­лохо за минуту работы при­ложе­ния!

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий