Pular para conteúdo

Empacotadores / Packers

Os Packers, ou Empacotadores, são uma estratégia antiga de compartilhamento de malwares que usa a estratégia de comprimir seu conteúdo o máximo possível.

Isso acontece porque antigamente não se tinha muita proteção contra malwares, então os criadores de malware se preocupavam bem mais com a velocidade de infecção a atuação dos malware do que de fato se eram ou não detectados e barrados pelos sistemas-alvo. Quanto menor o payload do malware, mais rápido ele era transferido.

Seu funcionamento se baseia em: - Comprimir o malware executável. - Ao ser executado, o malware é descomprimido na memória, sem conhecimento do usuário. - Pouca perda de desempenho na descompressão.

Empacotadores Modernos já usam a compressão como subtécnica de obfuscação, escondendo o código do malware no empacotador. O empacotador moderno pode não só compactar o malware, como também embaralhar o código do malware, encriptar as strings e até mesmo adquirir parte do código online. Assim, o malware de fato só é construído na forma como será executado durante o tempo de execução. Os empacotadores modernos dificultam a análise estática e podem até mesmo impedir a análise dinâmica com pré análises antes de montar o malware.

Empacotadores não só dificultam a análise do código de fato, como também da estrutura e metadados disponíveis nos cabeçalhos do programa. Empacotadores podem ser vistos em uma análise binária como um verdeiro encapsulamento. O cabeçalho e meta informações que aparecem no programa são os do próprio empacotador e as informações e metadados do malware de fato estão escondidos nas outras seções binárias do malware.

Identificadores de Empacotadores

Os empacotadores são um dos recursos que os atacantes podem usar para dificultar todas as etapas de análise do malware. Por esse motivo é comum utilizarmos primeiro ferramentas que identifiquem se há um empacotador ou embutido no malware. Mesmo sabendo que o há um empacotador e qual o empacotador, pode continuar sendo difícil analiar o malware em questão de estrutura e bytes mágicos. Por isso muitas ferramentas que detectam empacotadores já fazem o trabalho de identificar qual a extensão real do malware, sua estrutura e algumas propriedades.

Entre as principais ferramentas, estão:

Exeinfo PE

Ferramenta GUI ou CLI que analisa e procura por cabeçalhos de executáveis do Windows. A ferramenta pode dizer quais compiladores foram usados para construir a aplicação, assim como identificar executáveis criados por empacotadores e dizer qual que foi usado. Por fim, a ferramenta ainda lhe dá dicas de como desempacotar o executável.

Detect it Easy

Identifica propriedades e características do binário, além de detectar possíveis packers embutidos.