Administración de sistemas

Analizando Wannacry (Part2). Extraer el ejecutable .

Print Friendly, PDF & Email

Extrayendo el ejecutable del wannacry

En nuestro primer post sobre el análisis del Wannacry, hemos estado analizando nuestro ejecutable en virus total para hacernos una idea, con un editor hexadecimal para olisquear un poquillo.

Vale ahora toca tratar de extraerlo.

Para empezar vamos a pasarlo a dos máquinas virtuales en virtualbox, una kali y una Windows 10 Home.

Ambas sin red.

Normalmente soy más partidaria de tener nuestra distro custom sólo con las herramientas.

El caso es que tenemos un exe que queremos ver su contenido sin infectarnos a ser posible 😉

Googleando encontraremos variedad de programas que dicen extraer ejecutables, otros son conocidos y se usan en laboratorio para ello.

No queremos una pócima mágica, pero veamos que encontramos, como funcionan, que hacen y que no.

1 Sys Analicer

A raíz de este artículo decidí probarlo, parece como una navaja suiza que extrae el ejecutable, analiza y genera un informe todo en uno a botón gordo.

Hay que decir que ejecuta en memoria el Malware, la máquina virtual continua siendo usable pero tiene claros indicios de no funcionar normalmente.

El sandboxing no parece completo, aunque muy  probablemente por necesidad.

sys analicer extrayecdo ejecutable wannacry
SysAnalizer extrayendo ejecutable wannacry

En cuanto a utilización me recuerda a cualquier herramienta de botón gordo o a una navaja suiza, analiza procesos, memoria, conexiones…etc.

Le pasas un ejecutable y te lo extrae, genera un informe y deja una carpeta oculta en el directorio con los fichero extraídos.

Nada mal la verdad.

Archivos extraídos con SysAnalizer del WannaCry
Archivos extraídos con SysAnalizer del WannaCry
Descarga de los reportes

A continuación adjunto los logs más significativos del reporte para que podáis sacar vuestras conclusiones.

@WanaDecryptor@_strings.log #Strings log análisis

Decrypt_4.16am.log

Report_5.55am.log

Veremos que ocurre con ida y radare en los siguientes post, de paso intentaremos aprender a manejalos.

Un saludo

 

 

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *