Обратите внимание на то, что итоговая распакованная программа отличается от оригинала. Она по-прежнему содержит заглушку-распаковщик и весь тот код, который был добавлен упаковщиком. PE-заголовок программы для распаковывания был восстановлен распаковщиком и не полностью совпадает с заголовком оригинального файла.

Распознавание упакованных программ

Приступая к анализу вредоносного ПО, вначале нужно определить, является ли программа упакованной. Методики, которые для этого используются, были рассмотрены в предыдущих главах. Далее мы еще раз кратко по ним пройдемся и познакомимся с новым подходом.

Признаки упакованной программы

В следующем списке собраны признаки, которые помогут вам понять, является ли программа упакованной.

Программа импортирует слишком мало вызовов, особенно если это только

LoadLibrary и GetProcAddress.

Если открыть программу в IDA Pro, автоматический анализ распознает лишь небольшую часть кода.

При открытии файла в OllyDbg вы видите предупреждение о том, что программа может быть упакована.

Программа содержит разделы, чьи имена указывают на определенный упаковщик (такой как UPX0).

Разделы программы имеют необычный размер: например, если у раздела .text в поле Size of Raw Data указано значение 0, а в Virtual Size — ненулевое значение.

Для обнаружения упаковщиков можно использовать специальные инструменты, такие как PEiD.

Вычисление энтропии

Упакованные исполняемые файлы можно также распознать с помощью методики, известной как вычисление энтропии. Энтропия определяет уровень «беспорядка»

всистеме или программе. И хотя для ее вычисления не существует четкой, стандартной математической формулы, мы можем воспользоваться устоявшейся процедурой оценки энтропии цифровых данных.

Сжатые или зашифрованные данные больше похожи на случайную информацию, поэтому они имеют более высокую энтропию по сравнению с обычными исполняемыми файлами.

Эвристические методы, в том числе и на основе энтропии, часто применяются

винструментах для автоматического определения упакованных программ. Один

из таких инструментов, Mandiant Red Curtain, распространяется бесплатно и использует такие характеристики, как энтропия, для вычисления степени угрозы со стороны исполняемых файлов. Эта утилита умеет сканировать файловую систему на предмет упакованных двоичных файлов.

Способы распаковки

Есть три способа распаковки программы: автоматизированный статический, автоматизированный динамический и ручной динамический. Автоматическая распаковка быстрее и проще ручной, но она не всегда срабатывает. Если вы определили тип упаковщика, который использовался в программе, вам должно быть известно, доступен ли для него автоматизированный распаковщик. В случае отрицательного ответа попытайтесь найти информацию о ручной распаковке.

При работе с запакованным вредоносным ПО следует помнить, что ваша задача — проанализировать зараженный код, а это не всегда требует точного воссоздания исходной программы. Чаще всего в результате распаковки получается новый двоичный файл, который немного отличается от оригинала, но делает все то же самое.

Автоматизированная распаковка

Программы для автоматизированной статической распаковки разжимают и/или расшифровывают исполняемый файл. Это самый простой способ, и, если он срабатывает, лучше его не найти. Он приводит исполняемый файл в исходный вид, но не запускает его. Инструменты подобного рода привязаны к определенному упаковщику и не подходят для распаковывания файлов, которые препятствуют анализу.

Для работы с EXE- и DLL-файлами можно использовать бесплатную программу PE Explorer. В ее стандартную поставку входит несколько плагинов для статической распаковки, которые умеют работать с такими упаковщиками, как NSPack, UPack и UPX. Распаковка файлов с помощью PE Explorer происходит максимально просто: если обнаружится, что выбранная вами программа упакована, из нее автоматически будет извлечен исполняемый файл. Если вы хотите исследовать результат распаковки вне PE Explorer, вам сначала нужно его сохранить.

Автоматизированные динамические распаковщики запускают исполняемый файл и позволяют заглушке распаковать его код. После распаковки исходная программа записывается на диск и распаковщик восстанавливает ее исходную таблицу импортов.

Программа для автоматической распаковки должна определить, где заканчивается заглушка и начинается оригинальный исполняемый файл, что довольно непросто. Если конец заглушки распознан неправильно, распаковка завершается неудачно.

На сегодняшний день в свободном доступе нет хороших автоматизированных динамических распаковщиков. Многие бесплатные инструменты неплохо справляются с определенными упаковщиками, но ни один из них не приспособлен для серьезной работы.

Оба метода автоматической распаковки демонстрируют хорошую скорость и просты в использовании, но успешность их применения невысока. Аналитик безопасности должен понимать разницу между динамическими и статическими программами для автоматизированной распаковки: первые запускают вредоносный исполняемый файл, а вторые — нет. Перед выполнением вредоносной программы обязательно следует убедиться в том, что она находится в безопасной среде (см. главу 2).

Ручная распаковка

Какое-то вредоносное ПО может быть распаковано автоматически с помощью имеющихся инструментов, но чаще всего распаковкой приходится заниматься вручную. Иногда ручная распаковка происходит быстро и с минимальными усилиями, но бывает и так, что это превращается в длинную и трудную процедуру.

Существует два подхода к ручной распаковке программ.

Определение алгоритма упаковки и написание программы, которая выполняет его в обратном направлении. При этом программа обращает вспять каждый шаг, проделанный упаковщиком. Для этого существуют автоматизированные инструменты, но они все еще не очень эффективны, так как программа, написанная для распаковки вредоноса, будет относиться лишь к конкретному упаковщику. Таким образом, даже несмотря на автоматизацию, для завершения этого процесса требуется значительное время.

Запуск упакованной программы с расчетом на то, что заглушка-распаковщик сделает всю работу за вас. Процесс, загруженный в память, сбрасывается на диск, а его заголовок корректируется, чтобы в итоге получилась завершенная программа. Это более эффективный подход.

Рассмотрим простой процесс ручной распаковки. В этом примере мы распакуем исполняемый файл, запакованный методом UPX. И хотя в этом случае все можно сделать автоматически, используя программу UPX, этот упрощенный вариант послужит хорошим упражнением. В первой лабораторной работе к этой главе вы проделаете все это самостоятельно.

Начнем с загрузки упакованного исполняемого файла в OllyDbg. Первым делом нужно найти ОТВ, то есть первую инструкцию программы, когда она еще не была упакована. Поиск ОТВ для функции в ходе ручной распаковки может оказаться непростой задачей, и позже в этой главе мы рассмотрим его более подробно. А на этом этапе мы воспользуемся автоматическим инструментом OllyDump, который является плагином к OllyDbg.

OllyDump поддерживает два варианта распаковки: он может сбросить на диск память текущего процесса или найти ОТВ для упакованного исполняемого файла.

Выберите в OllyDbg пункт меню Plugins OllyDump Find OEP by Section Hop

(Плагины OllyDump Найти ОТВ по границе раздела). Программа столкнется с точкой останова прямо перед выполнением ОТВ.

При срабатывании точки останова весь код распаковывается в память. После этого исходная программа будет готова к запуску, а ее код станет доступным для просмотра и изучения. Единственное, что остается сделать, — это подогнать PEзаголовок под этот код, чтобы наши инструменты для анализа смогли его корректно интерпретировать.

Отладчик остановится на инструкции, которая играет роль ОТВ. Запишите ее значение, но не закрывайте OllyDbg.

Теперь мы воспользуемся плагином OllyDump, чтобы сбросить исполняемый файл на диск. Выберите пункт меню Plugins OllyDump Dump Debugged Process (Плаги­ ны OllyDump Сбросить на диск отлаживаемый процесс). На экране можно увидеть несколько вариантов выполнения данной процедуры.

Если отладчик OllyDbg сбросит программу на диск без каких-либо изменений, она будет содержать PE-заголовок упакованного исполняемого файла, а это не то же самое, что PE-заголовок распакованной программы. Нам придется внести два изменения.

1.Восстановить таблицу импорта.

2.Связать точку входа в PE-заголовке с ОТВ.

Если не трогать параметры в окне сброса, OllyDump выполнит эти действия автоматически. Точка входа в исполняемый файл будет вести к указателю на текущую инструкцию, которой в данном случае является ОТВ, а таблица импорта будет перестроена. Нажмите кнопку Dump (Сбросить), чтобы завершить распаковку этого исполняемого файла. Нам удалось распаковать данную программу всего за несколько простых шагов, поскольку была найдена оригинальная точка входа и плагин OllyDump смог автоматически восстановить таблицу импорта. При работе с более сложными распаковщиками вы столкнетесь с дополнительными трудностями. Оставшаяся часть главы посвящена ситуации, когда OllyDump не в состоянии выдать корректный результат.

Реконструкция таблицы импорта с помощью Import Reconstructor

Реконструкция таблицы импорта — сложный процесс, и OllyDump не всегда с ним справляется. Заглушка-распаковщик должна найти импорты, чтобы приложение могло запуститься, но ей не нужно восстанавливать исходную таблицу. Если

OllyDbg не дает нужного результата, имеет смысл воспользоваться утилитой Import Reconstructor (ImpRec).

С помощью ImpRec можно восстановить таблицу импорта упакованной программы. Запустите эту утилиту и щелкните на выпадающем списке в верхней части окна. Вы должны увидеть перечень активных процессов. Выберите упакованный исполняемый файл. Затем введите значение RVA для ОТВ (не весь адрес целиком) в поле OEP справа. Например, если базовый адрес равен 0x400000, а ОТВ ведет к 0x403904, вы должны ввести 0x3904. Теперь нажмите кнопку IAT autosearch (Автопоиск IAT). На экране должно появиться окно с сообщением о том, что утилита ImpRec нашла исходную таблицу адресов импорта (import address table, IAT). Нажмите кнопку GetImports. В левой части главного окна должен появиться список всех файлов с импортированными функциями. Если функция GetImports завершилась успешно, все импорты будут помечены как valid:YES. Если что-то пошло не так, это означает, что ImpRec не может исправить таблицу импорта автоматически.

Стратегии ручного восстановления таблицы будут рассмотрены позже в этой главе. Пока мы исходим из того, что у нас получилось найти все импорты. Нажмите кнопку Fix Dump (Исправить файл). Вас попросят указать путь к файлу, который вы сбросили на диск ранее, используя OllyDump. После этого ImpRec запишет новый файл, к имени которого будет добавлен знак подчеркивания.

Если вы не уверены, что результат получился корректным, можете запустить этот файл и убедиться в том, что все прошло как положено. Эта простая процедура распаковки подходит для большинства программ, и ее стоит использовать в первую очередь.

Как упоминалось ранее, самой сложной частью ручной распаковки является поиск ОТВ. Этим мы и займемся далее.

Поиск ОТВ

Существует множество стратегий поиска ОТВ, но ни одна из них не является универсальной. У аналитиков безопасности обычно вырабатываются личные предпочтения, поэтому они сначала пробуют свои любимые методики. Но на случай, если они не сработают, вы должны быть знакомы со множеством подходов: это залог вашего успеха. Выбор неподходящей методики может стать большим разочарованием

иотнять много времени. Поиск ОТВ — это навык, который приобретается с опытом. Данный раздел содержит различные стратегии, которые помогут вам развить свои умения, но единственный способ действительно чему-то научиться — применять их на практике.

Чтобы найти ОТВ, нужно запустить вредоносную программу в отладчике с использованием пошагового выполнения и точек останова. Вспомним разные виды точек останова из главы 8, которые срабатывают в разных условиях. OllyDbg поддерживает четыре из них: это стандартные точки останова (на основе прерывания INT 3), размещаемые в памяти (предоставляются отладчиком), аппаратные точки

итрассировка выполнения с остановкой по условию.

Упакованный код и заглушка-распаковщик — это не совсем то, с чем отладчики обычно имеют дело. Упакованный код часто умеет сам себя менять, он содержит инструкции call, которые ничего не возвращают, блоки, которые не помечены как исполняемые, и другие странности. Эти особенности могут запутать отладчик и сделать так, что точка останова не сработает.

Использование автоматизированного инструмента для поиска ОТВ является самым простым вариантом, но, как и с автоматической распаковкой, это не всегда помогает. Иногда ОТВ приходится искать вручную.

Использование автоматизированных инструментов для поиска ОТВ

В предыдущем примере мы искали ОТВ с помощью автоматической утилиты. Самым популярным инструментом для этой задачи является плагин OllyDump для OllyDbg, который вызывается из меню Find OEP by Section Hop(Найти ОТВ по границе раздела). Обычно заглушка-распаковщик и сам исполняемый файл находятся в разных разделах. OllyDbg распознает переход от одного раздела к другому и останавливает выполнение в этом месте, используя шаг с обходом или входом. Шаг с обходом пропустит любые инструкции call; они часто используются для выполнения кода из другого раздела, и данный способ не дает OllyDbg ошибочно принять эти вызовы за ОТВ. Но если инструкция call ничего не возвращает, OllyDbg не сможет найти точку входа.

Вредоносные упаковщики часто вставляют инструкции call без возвращаемого значения, чтобы запутать аналитика и отладчик. Шаг со входом попадает внутрь каждого вызова call, что дает больше шансов найти ОТВ, но при этом повышает риск ложных срабатываний. В реальных условиях следует испробовать оба варианта.

Поиск ОТВ вручную

Если автоматизированный поиск ОТВ не дает результата, вам придется делать все вручную. Простейшая стратегия состоит в поиске хвостовой рекурсии. Как упоминалось ранее, эта операция выполняет переход из заглушки-распаковщика в ОТВ. Обычно для этого используется инструкция jmp, но некоторые авторы вредоносного ПО прибегают к команде ret, чтобы избежать обнаружения.

Хвостовая рекурсия часто оказывается последним корректным блоком кода перед последовательностью байтов, которая не складывается в нормальные инструкции. Эти байты нужны для выравнивания раздела, чтобы тот имел правильный сдвиг. Как правило, для поиска хвостовой рекурсии в упакованном исполняемом файле используется IDA Pro. В листинге 18.1 показан простой пример.

Листинг 18.1. Простая хвостовая рекурсия

В этом примере по адресу 0x00416C43 находится хвостовая рекурсия . Это можно определить по двум четким признакам: она стоит в конце кода и ведет к адресу, который расположен слишком далеко. Если исследовать этот переход в отладчике, можно увидеть, что за ним идут сотни байтов 0x00, что довольно странно: переход обычно заканчивается возвращением значения, но в данном случае за ним нет никакого внятного кода.

У этого перехода есть еще одно необычное свойство — его размер. Переходы, как правило, используются в условных выражениях и циклах, ведя к адресу на расстоянии нескольких сотен байт, но эта инструкция ведет к участку, до которого 0x15C43 байт. Это не похоже на нормальную инструкцию jmp.

Хвостовую рекурсию часто легко выявить в графическом представлении IDA Pro, как это показано на рис. 18.5. Если среда IDA Pro не может определить, куда ведет переход, она выделяет его красным цветом. Обычно переходы выполняются

впределах одной функции, и IDA Pro соединяет стрелкой инструкцию jmp и конечную точку. Но хвостовая рекурсия воспринимается как ошибка и выделяется красным.

Хвостовая рекурсия переводит выполнение в исходную программу, которая упакована на диске. Следовательно, она переходит к адресу, который на момент вызова заглушки-распаковщика не содержит корректных инструкций, но готов к выполнению при запуске программы. В листинге 18.2 показан ассемблерный код участка,

вкоторый происходит переход, когда программа загружена в OllyDbg. Инструкция DD BYTE PTR DS:[EAX],AL соответствует двум байтам 0x00. Они не представляют собой корректный код, но OllyDbg все равно их дизассемблирует.

Листинг 18.2. Байты инструкции, хранящиеся в ОТВ до распаковки оригинальной программы

00401000 ADD BYTE PTR DS:[EAX],AL

00401002 ADD BYTE PTR DS:[EAX],AL

00401004 ADD BYTE PTR DS:[EAX],AL

00401006 ADD BYTE PTR DS:[EAX],AL

00401008 ADD BYTE PTR DS:[EAX],AL

0040100A ADD BYTE PTR DS:[EAX],AL

0040100C ADD BYTE PTR DS:[EAX],AL

0040100E ADD BYTE PTR DS:[EAX],AL