dumpしまくってpayloadを取得した話

きっかけ

それはtwitterでの出来事。yaraはメモリ内のmalwareに対してもscanできる事を知った僕のつぶやきが発端。

メモリに展開されたmalwareを検知するyaraを素早く書くために、unpackを手軽にしたいな〜と、コメントを下さったフォロワーの方とあーだこーだ呟いていたら閃いた。

マニュアルアンパックに時間を浪費せずに、payloadを取得するには、dumpしまくれば良い!なんだか作れそう。

既に存在していた

作ろうと思いましたが、ググると存在していました。しかも最近個人的にチェックしだした@hasherezadeさんが作ったtoolでした。この方はTrickBotのデコンパイルツールも作られています!この方は、ちょうどTrickBot調べている時に知りました。

https://github.com/hasherezade/hollows_hunter

試してみた

このHollows_Hunterをmalware実行前から/loopオプションで動かしておくと、ひたすらdumpしまくってくれる。さらに、/imp オプションで、生成ファイルのIATも解決してくれる。

>hollows_hunter.exe /pname Megacore.exe /loop /imp

こちらのBlogで紹介されているMegacortexでやってみた。

実行すると以下のようになる。

IATも解決されてそう。しつこくinjectionしまくる悪い子には、同じ作業を繰り返せば、payloadにたどり着く。

結論

最高です、Hollows_Hunter。でも、上手くアンパックできないのがあった。

アンパック出来たらラッキーだけど、マニュアルアンパックは、やっぱり必要なスキルですね。