2210943
/
assignments
forked from ree-lecture/assignments
0
0
Fork 0
Code Pull Requests Activity
assignments/Assignment_005
History
Thomas Smits e0c7002951 Update of exercises 2024-10-09 13:21:07 +02:00
..
payload_1b Update of exercises 2024-10-09 13:21:07 +02:00
readme.md Update of exercises 2024-10-09 13:21:07 +02:00

readme.md

Assignment: Importe mit rabin2 untersuchen (payload_1b)

In diesem Assignment geht es darum, Techniken kennenzulernen, die Autoren von Malware benutzen, um sich einer statischen Analyse zu entziehen. Hierzu werden wir erneut das rabin2-Tool aus dem Radare 2 Paket verwenden.

Radare 2

Für diese Übung werden wir das Kommandozeilen-Reverse-Engineering-Werkzeug Radare 2 einsetzen. Sie finden Tipps zur Installation und Verwendung in der Kurzanleitung.

Aufgabe

Das Werkzeug rabin2 kann dazu verwendet werden, die importierten Funktionen und enthaltenen Strings einer Binärdatei zu untersuchen. Sie können zur Anzeige der Strings auch das strings-Kommando verwenden.

Nehmen Sie sich die folgende Datei vor und verwenden Sie rabin2, um sich die Importe (Option -i) und die enthaltenen Strings (Option -z) anzeigen zu lassen.

Hinweis

Bei dem Executable handelt es sich um ein Programm unbekannter Funktionalität, wie man sie z.B. bei der Untersuchung von kompromittierten Rechner finden könnte. Es kann gut sein, dass es sich um eine Malware handelt, welche bei der Ausführung Schaden verursacht, bis hin zur Zerstörung aller Daten auf dem Rechner. Deswegen sollten Sie die Datei auf keinen Fall ohne Schutzmaßnahmen (virtuelle Maschine etc.) ausführen. Die hier vorgenommene Analyse kommt ohne Ausführung der Datei aus und ist insofern sicher auch ohne Schutzmaßnahmen durchführbar.

Sie müssen in der Realität damit rechnen, dass die Malware Schwachstellen in den von Ihnen verwendeten Werkzeugen nutzt, um bei einem Reverse-Engineering Ihren Rechner anzugreifen. Da wir uns hier in einem Übungskontext befinden, ignorieren wir dieses Problem.

Die Liste der Funktionen, die importiert werden, ist recht kurz. Die Strings sind kryptisch und seltsam.

Diese Software verschleiert offensichtlich die Bibliotheksfunktionen, die sie benutzt. Können Sie dahinter kommen, wie hierbei vorgegangen wird und welche Funktionen verwendet werden?

Abgabe

  • Schreiben Sie auf, was Sie über die Datei herausgefunden haben.
  • Geben Sie eine Einschätzung ab, ob es sich möglicherweise um eine Malware handelt.
  • Welche Art von Malware könnte vorliegen? Was macht sie wahrscheinlich?

Die Abgabe erfolgt über das Repository, das Ihrem Team zugeordnet ist.