Gastbeitrag von BlackBerry
Malware mit eigenen Waffen schlagen
Mit Emotet war eine Form von Schadsoftware auf dem Radar von Securityspezialisten aufgetaucht, die das Grundprinzip von Kommunikation aushebelt: zwischenmenschliches Vertrauen. Selbst nach der Zerschlagung der Emotet-Infrastruktur ist die Bedrohung noch nicht gebannt. Als kommerzielle Malware untergräbt Emotet weiterhin die Regeln des E-Mail-Verkehrs, nistet sich auf den Computern von Usern ein und missbraucht sie als Einfallstor für weitere Malware. Parallel dazu breitet sich die Schadsoftware immer weiter in anderen Systemen aus. Mit dem Open-Source-Tool PE Tree steht ein effektiver Ansatz zur Verfügung, der das Reverse Engineering von Ransomware-Payloads im Speicher sowie die Durchführung von Pivot-Suchen zur Unterstützung bei der Identifizierung und Informationsbeschaffung erleichtert. Es bildet die Grundlage für die Beschleunigung und Vereinfachung des zeitaufwändigen und notwendigen Verfahrens. Dadurch wird es einfacher, Malware wie Emotet zu disassemblieren und zu dekonstruieren.
Die Attacken von Cyberkriminellen sind immer raffinierter und zugleich wächst ihr Schadenspotenzial. Vor diesem Hintergrund entsteht bei Security-Experten ein dringender Bedarf nach neuen Werkzeugen, um Unternehmen, Mitarbeiter und Endverbraucher besser zu schützen. Genau hier kann sich Reverse Engineering von Malware als wertvolle Unterstützung erweisen, wenngleich es mit relativ hohem Zeitaufwand verknüpft ist – ein Nachteil, den man bislang in Kauf nehmen musste. Hier leistet das kostenlose Open-Source-Tool PE Tree, das Experten für Sicherheitssoftware und -dienstleistungen für das IoT bei BlackBerry entwickelt haben, effektive Hilfe. Die Lösung trägt dazu bei, Reverse-Engineering-Abläufe zu beschleunigen und Cybersicherheitsexperten bei dieser Aufgabe zu entlasten. Zunächst für den internen Gebrauch entwickelt, können IT-Experten das Tool nun frei zugänglich nutzen, um Cyberkriminelle mit eigenen Waffen zu schlagen.
Integrationsstark und aufmerksam für auffälligen Code
Mit Reverse Engineering gelingt es, Entwicklern einen umfassenden und ganzheitlichen Überblick über den Code und die Daten zu verschaffen, die sich in einer Portable-Executable-Datei (PE) befinden. Indem sie Anomalien im Code frühzeitig erkennen und ihn stoppen können, sind sie den Hackern voraus. Insofern ebnet PE Tree einen einfachen und intelligenten Weg, PE-Dateien zu analysieren, denn die relevanten Informationen lassen sich in einer Baumansicht unter Verwendung von Pefile und PyQt5 darstellen. Zielgruppe von PE Tree ist die wachsende Reverse-Engineering-Community. Um eine einfache Navigation in PE-Strukturen zu ermöglichen, PE-Dateien zu speichern und Importrekonstruktion durchzuführen, lässt sich das Tool auch in den IDA-Pro-Dekompilierer von HexRays integrieren.
Entwickelt hat man PE Tree in Python und es unterstützt Windows-, Linux- und Mac-Betriebssysteme. Die Software kann entweder als Standalone-Anwendung oder als IDAPython-Plugin installiert und ausgeführt sein. Mit Hilfe des Pefile-Moduls von Ero Carrera lassen sich die PE-Dateien analysieren und anschließend in einer Baumansicht abbilden. Das Ergebnis ist eine Zusammenfassung der folgenden Oberkategorien: MZ-Header, DOS-Stub, Rich Headers, NT/File/Optional Headers, Datenverzeichnisse (Data Directories), Abschnitte (Sections), Importe, Exporte, Debug-Information, Load Config, TLS, Ressourcen, Versionsinformationen, Zertifikate, Overlays (Überlagerungen). Dabei liefert Reverse Engineering aussagekräftige Detailinformationen zu Problemen, die Pefile während des Parsens erkennt. User der PE-Tree-Plattform können per Mausklick auf Details zugreifen und eine Suche in VirusTotal anstoßen, einschließlich File Hashes, PDB-Pfad, Timestamps, Ausschnittsname (Section Hash / Name), Import Hash / Name, Resource Hash sowie Certificate Serial.
Bei Bedarf lassen sich Elemente der PE-Datei ohne großen Aufwand speichern oder zur weiteren Verarbeitung in CyberChef exportieren, etwa DOS Stub, Sections, Ressourcen oder Zertifikate. Je nach gewählter Darstellungsoption beziehungsweise Ansicht können User in wenigen einfachen Schritten die gewünschte Option ausführen. Unter anderem bietet beispielsweise eine Regenbogenkarte eine nützliche visuelle Unterstützung bei der Verarbeitung eines Verzeichnisses von PE-Dateien, indem sie es erleichtert, ähnliche Dateizusammensetzungen zu erkennen und mögliche Beziehungen zwischen Mustern zu bestimmen.
Wertvolle Zusatzfeatures dank IDAPython-Plugin
Ein IDAPython-Plugin ermöglicht die IDA-Pro-Integration von HeyRays inklusive erweiterter Funktionen. Dazu gehören etwa die Optionen, PE-Dateien aus einer IDA-Datenbank (IDB) herauszufiltern und zu dumpen oder Importe zu rekonstruieren. Im Fall eines Dumpings von In-Memory-PE-Dateien erweitert PE Tree die IDB um grundlegende Kommentare zu Dateistrukturen und führt eine Umbenennung von Offsets in IAT-Funktionen aus. Dadurch lassen sich injizierte oder entpackte PEs von einer einzigen IDB aus leichter untersuchen und analysieren. Ein weiteres Anwendungsfeld von PE Tree ist die Rekonstruktion von Importen.
Entscheidet sich der Nutzer, Importe neu aufzubauen, durchsucht PE Tree die IDA-Disassemblierung nach allen möglichen IAT-Referenzen und baut eine neue IAT-, IDT- und Hinweisnamentabelle. Demgegenüber versucht PE Tree im Zuge einer Verwendung vorhandener Importe, diese auf der Grundlage der über „Directory_Entry_Import“ angegebenen IAT zu rekonstruieren.
Aufgrund der kontinuierlichen Bemühungen, PE Tree weiterzuentwickeln, ist auch zukünftig mit einer Zunahme von Funktionen zu rechnen. Das kommende Update konzentriert sich auf die Unterstützung von Rekall und bietet die Möglichkeit, Prozesse entweder von einem Speicherauszug oder einem Live-System aus anzuzeigen und zu dumpen. Bei allem Potenzial des Tools mit dem frei zugänglichen Quellcode für das Reverse Engineering bleiben auch Vorbereitung, akribische Aufmerksamkeit für Details und Geschicklichkeit weiterhin unverzichtbare Faktoren im Kampf gegen Malware und die Rückkehr zu vertrauenswürdiger E-Mail-Kommunikation.
Tom Bonner ist Distinguished Threat Researcher bei BlackBerry, www.blackberry.com.
Lesen Sie mehr zum Thema
