Detectar malware con 4n4lDetector

¿Qué es la navidad sin detectar algún malware en el pavo asado?

¿Qué es 4n4ldetector?

Es una aplicación creada en VB por EnelPC para detectar malware en archivos ejecutables .exe y así lo define su creador:

Es una herramienta para el análisis de los archivos ejecutables de Windows, con el fin de identificar rápidamente si esto es o no es un malware. La mayoría de los análisis se basan en la extracción de las cadenas “ANSI” y “UNICODE” en el disco, sino que también trabaja con “volcados de memoria”. Obviamente, esta última opción podría poner en peligro la seguridad de su equipo al ejecutar las muestras, por lo que a hacer esto en sistemas de laboratorio recomendadas.

Al final recomienda hacerlo siempre en un entorno controlado, debido a que la aplicación será ejecutado para su análisis. Por ello nosotros vamos a crear una máquina virtual con Windows 7.

¿Cómo funciona?

La aplicación es de muy fácil uso. Dispone de un sistema Drag&Drop que simplemente arrastrando el archivo a la ventana de la aplicación automáticamente realizará el análisis.

• Información de la aplicación: peso, md5 hash, fecha de creación, compilador, fecha de creación, etc
• Una descripción con el siguiente contenido: versión del archivo, nombre de la compañía, nombre del archivo, nombre interno, etc
• Inusual punto de entrada
• Funciones del import table y export table
• Archivos a los que accede
• Consultas SQL
• Urls
• Búsqueda e identificación de payloads
• Detección de Joiner o Binder o Crypter
• Extra análisis que permite ver el porcentaje de código ASCII y el número de bytes nulos

También la aplicación nos permite listar todos los strings que obtiene del archivo analizado. Incluso permitiéndonos hacer búsquedas avanzadas.

PRUEBA DE LA APLICACIÓN

Para probar la aplicación hemos pensado en analizar 2 de las herramientas que son muy utilizas por muchos usuarios para realizar inyecciones de SQL, independiente de sus conocimientos técnicos y su ética. Es importante decir que, el objetivo de todo esto es ver como funciona la herramienta, no sacar ninguna conclusión de los archivos a analizar.

Evidentemente estamos siendo imprudentes si confiamos que un post en Taringa nos va a facilitar estas herramientas sin nada a cambio.

Cuando descargamos el archivo comprimido con formato .rar encontraremos un ejecutable llamado “SQLi(buscador)”. Esta aplicación nos ayuda a extraer las tablas en una inyección SQL. Gracias a 4n4ldetector podemos averiguar que el creador usaba un Windows, Visual Basic 6.0  y se llamaba Jesús debido a que, una de las rutas de la aplicación es absoluta y el creador no debió de cambiarlas.

Ahora vamos a analizar el Havij pro 1.6 y veremos como 4n4ldetector encuentra patrones de shellcode, un enlace sospechoso, inusuales puntos de entrada y algunos strings que nos pueden hacer sospechar que existe un código malicioso dentro de este ejecutable.

De hecho si lo ejecutamos la aplicación nunca funciona y siempre nos dará un error.

Si nos descargamos el Havij desde su web encontraremos un resultado muy diferente:

Encontramos unos resultados de las consultas SQL que hace la aplicación, los archivos que accede, las urls coinciden con la empresa que ha desarrollado la aplicación y no es otra diferente, además de no encontrar ningún payload, etc.

Para terminar me gustaría recomendar esta aplicación ya que nos permite de forma fácil detectar un malware y adelantar que @enelPC nos ha contado que en la próxima versión 1.4 también nos devolverá el análisis de Virus Total. Por lo demás espero que os guste la herramienta y tengáis unas ¡felices fiestas!

Puedes descargar la aplicación en el siguiente enlace del autor: http://www.enelpc.com/p/4n4ldetector.html