assignments/Assignment_005/readme.md

38 lines
2.3 KiB
Markdown
Raw Normal View History

2024-10-09 13:21:07 +02:00
# Assignment: Importe mit rabin2 untersuchen (payload_1b)
<!-- Points: 5 -->
In diesem Assignment geht es darum, Techniken kennenzulernen, die Autoren von Malware benutzen, um sich einer statischen Analyse zu entziehen. Hierzu werden wir erneut das `rabin2`-Tool aus dem Radare 2 Paket verwenden.
## Radare 2
Für diese Übung werden wir das Kommandozeilen-Reverse-Engineering-Werkzeug Radare 2 einsetzen. Sie finden Tipps zur Installation und Verwendung in der [Kurzanleitung](../help/radare2.md).
## Aufgabe
Das Werkzeug `rabin2` kann dazu verwendet werden, die importierten Funktionen und enthaltenen Strings einer Binärdatei zu untersuchen. Sie können zur Anzeige der Strings auch das `strings`-Kommando verwenden.
Nehmen Sie sich die folgende Datei vor und verwenden Sie `rabin2`, um sich die Importe (Option `-i`) und die enthaltenen Strings (Option `-z`) anzeigen zu lassen.
* [payload_1b](payload_1b)<!-- binary -->
## Hinweis
Bei dem Executable handelt es sich um ein Programm unbekannter Funktionalität, wie man sie z.B. bei der Untersuchung von kompromittierten Rechner finden könnte. Es kann gut sein, dass es sich um eine _Malware_ handelt, welche bei der Ausführung Schaden verursacht, bis hin zur Zerstörung aller Daten auf dem Rechner. Deswegen sollten Sie die Datei __auf keinen Fall__ ohne Schutzmaßnahmen (virtuelle Maschine etc.) __ausführen__. Die hier vorgenommene Analyse kommt ohne Ausführung der Datei aus und ist insofern sicher auch ohne Schutzmaßnahmen durchführbar.
Sie müssen in der Realität damit rechnen, dass die Malware Schwachstellen in den von Ihnen verwendeten Werkzeugen nutzt, um bei einem Reverse-Engineering Ihren Rechner anzugreifen. Da wir uns hier in einem Übungskontext befinden, ignorieren wir dieses Problem.
Die Liste der Funktionen, die importiert werden, ist recht kurz. Die Strings sind kryptisch und seltsam.
Diese Software verschleiert offensichtlich die Bibliotheksfunktionen, die sie benutzt. Können Sie dahinter kommen, wie hierbei vorgegangen wird und welche Funktionen verwendet werden?
## Abgabe
* Schreiben Sie auf, was Sie über die Datei herausgefunden haben.
* Geben Sie eine Einschätzung ab, ob es sich möglicherweise um eine Malware handelt.
* Welche Art von Malware könnte vorliegen? Was macht sie wahrscheinlich?
Die Abgabe erfolgt über das Repository, das Ihrem Team zugeordnet ist.