PE-bearを触ってみたら、色々勉強になった話

はじまり・・

TrickBotを調査している時に、PE-bearというtoolに興味をもちました。

数多くあるPEtoolですが、CIAが利用しているとは!!!是非操作を覚えたい!で、youtubeにPE-bearの作者の解析動画があったので、まねっこして理解を深めます。

個人的にはすごい良いビデオと思う。それでも再生回数1000回。ニッチなセ界にいる事を自覚してしまう。

準備物

1.Windows7x64とstrongOD.dllとかいうOllyDBGのプラグイン

https://github.com/romanzaikin/OllyDbg-v1.10-With-Best-Plugins-And-Immunity-Debugger-theme-/blob/master/StrongOD.dll

2.Ursnif(別名DreamBot)のサンプル

a51f24f534c3db9851fc3bea661c8b1aead926eba918c722d58a31693defb13a

https://www.malware-traffic-analysis.net/2017/02/23/index.html

Do It !

OllyにUrsnifをよませた後、Optionからdll呼び出し時にBreakする設定を入れます。

ちょっとずつ、実行していき、ここでSTOP

周辺のMemory mapを確認していき、メモリ内のpeを探し、Dumpします。

ちなみにStrongODが無いとここが上手く動かなかったです。

DumpしたファイルのMZまでの部分を消して、保存し直します。

保存し直したファイルをPE-bearで読み込ませ、Resizeします。

動画では、もう一度Ollyに読ませ、Unpackできてるぜーってなってます。

まとめ

PE-Bearは見やすい。比較とかの機能も使えそう。

strongODを初めて知った。自分知らないだけで、有名っぽい。AntiDBG回避ツールの入り口になりそう。