Kurz vorgestellt: PEStudio

Malware-Diagnostik mit PEStudio

| Autor / Redakteur: Ralph Dombach / Peter Schmitz

PEStudio ist ein geniales und kostenloses Analyse-Tool, das in keiner Werkzeugsammlung fehlen sollte. Die Pro-Version bietet für wenig Geld zusätzlliche Analysefunktionen.
PEStudio ist ein geniales und kostenloses Analyse-Tool, das in keiner Werkzeugsammlung fehlen sollte. Die Pro-Version bietet für wenig Geld zusätzlliche Analysefunktionen. (© Gajus - stock.adobe.com)

Seit vielen Jahren gehört Malware zu den Top-Bedrohungen der IT. Die Schadenspalette reicht dabei von der missbräuchlichen Ressourcennutzung über Datenspionage bis hin zur zerstörerischen Dateiaktivitäten. Für Sicherheitsexperten, die sich mit der Analyse potenziell schädlicher Dateien beschäftigen, gehört das Security-Tool PEStudio unbedingt in die Werkzeugkiste, denn der Funktionsumfang dieses tollen Werkzeugs orientiert sich klar am tatsächlichen Bedarf.

Zur Abwehr von Schadsoftware setzen die Verantwortlichen bevorzugt auf Virenscanner und Next-Gen-Tools, die eine erweiterte Verhaltensanalyse nutzen oder auf Whitelisting, bei dem nur definierte Programme ausgeführt werden können. Für den Fall, dass man jedoch wissen möchte, wie es um das Bedrohungspotential einer Datei steht, bei der noch kein Virenscanner anspricht benötigt, man andere Tools. Viele Security-Administratoren greifen in diesem Fall zu PEStudio.

PEStudio ist ein frei verfügbares Tool von Marc Ochsenmeier, der seine mehrjährige Expertise als Malware-Analyst in das Utility gepackt hat. PEStudio ist aktuell in der Version 8.x verfügbar, läuft via DOS-Prompt und als Windows-Applikation und supportet die statistische Untersuchung von ausführbaren Dateien. Wie der Name vermuten lässt, kann mit PEStudio jede Datei untersucht werden, die im PE-Dateiformat vorliegt. Das „Portable Executable“-Dateiformat findet man in ausführbaren Dateien, wie der klassische .EXE-Programmdatei, einer .DLL-Datei oder auch einem Bildschirmschoner der als .SCR-Datei genutzt wird. PEStudio kann aber auch nicht PE-Dateien verarbeiten, allerdings fällt dann die Diagnostik deutlich geringer aus – der Tipp: Einfach selbst ausprobieren.

PEStudio ist kein Virenscanner, der nach Malware sucht! Das Tool analysiert Dateien und gibt Informationen wieder, die sich aus der Datei extrahieren lassen. Dieser werden einem automatisierten Basisrating unterzogen, bei denen über die Farbcodes Schwarz (Normal), Rot (Verdächtig, Fehler) und Orange (Warnung) die PEStudio-Einschätzung mitgeteilt wird. Diese umfassenden Informationen dienen dabei, in den Händen eines routinierten Analysten, als Grundlage für eine Diagnose des Bedrohungspotentials einer Datei. Aber auch der Security-Admin, wird in den Informationen die ihm PEStudio liefert, einen Mehrwert sehen, der im Idealfall das Unternehmen vor Attacken durch nicht erkannte Malware-Files schützt.

Das PE-Format

Mit diesem Format, welches für 32bit und 64bit verfügbar ist, beschreibt Microsoft den formalen Aufbau eines ausführbaren Programms. Auf den obligatorischen DOS-Header folgt der PE-Header, der aus dem File-Header und einem Optionalen-Header besteht. Wie dies im Detail aussieht, ist in zahlreichen Dokumenten beschreiben, die ausführlich die umfangreiche Struktur erklären. Doch dank PEStudio muss man sich damit nicht im Detail auseinandersetzen, da das Tool die Struktur kennt und die relevanten Daten aus dem zu untersuchenden Programm ermittelt.

Einrichten von PEStudio

Die Installation von PEStudio besteht im Wesentlichen aus dem entpacken einer Archivdatei. Eine klassische Installation ist für die Windows-GUI nicht erforderlich. Daher hinterlässt PEStudio auch keine bleibenden Spuren im System, wie verstreute Dateien oder Registry-Einträge. Alles bleibt in dem Verzeichnis, in dem es entpackt wurde (Stichwort: Zero Footprint) Die (englischsprachige) Windows-GUI ist frei von Ballast und reduziert die angebotenen Funktionen auf das wesentliche und ist selbsterklärend. So kann man auch nach dem Programmaufruf von PEStudio.exe sofort per Drag&Drop eine Datei zur Diagnostik „einreichen“ oder per „Open File“ über das File-Menu laden.

Arbeiten mit PEStudio

Nachdem eine Datei an PEStudio zur Analyse übergeben wurde, startet das Utility sofort die Diagnostik und stellt die Erkenntnisse in einem zweigeteilten Fenster dar. Im linken Fensterbereich werden die Objekte dargestellt und im Rechten die dazugehörigen Eigenschaften. Je nach Komplexität der Datei und Internet-Geschwindigkeit, kann es einige Sekunden andauern, bis alle Analysen durchgeführt wurde. Man erkennt dies daran, dass hinter einem Objekt in Klammern der Hinweis „(Wait)“ erscheint.

An die zwanzig unterschiedlichen Objekte zeigt PEStudio im linken Fensterbereich an. Am interessantesten, ist dabei „indicators“, als „Übersichtsobjekt“. Klickt man das Objekt mit der Maus an, werden im rechten Fensterbereich die entsprechenden Eigenschaften bzw. Details aller entdeckten „Anomalien“ angezeigt. PEStudio bewertet dabei jede Anomalie“ mit einer eigenen „Severity“. Diese „Schwere“ der entdeckten Anomalie beruht dabei auf den Möglichkeiten, die sich durch die Nutzung ergeben. Eingebettete Objekte beispielsweise, die dazu dienen Code zu verschleiern sind als höchste „Severity 1“ eingestuft, ebenso wie die Nutzung von „verdächtigen Bibliotheken, die einen RPC-Aufruf (Remote Procedure Call) ermöglichen.

Insgesamt nutzt PEStudio neun Severity-Werte, bei denen 1 die höchste Gefährdung bedeutet und 9 die geringste. Stark vereinfacht lässt sich sagen, je mehr „indicators“ PEStudio entdeckt hat und umso höher die Severity ist, desto wahrscheinlicher ist es, dass eine Malware vorliegt. Doch bekanntlich liegt der Teufel im Detail.

Analysiert man beispielsweise die Installationsdatei der Kaspersky Internet Security-Suite (KIS), erhält man 28 Indikatoren, davon fünf Mal 1, sechs Mal 2 und die restlichen Indikatoren mit 5, 7 und 9. Nur handelt es sich bei dieser Datei nicht um Malware, sondern um ein Anti-Malware-Tool, welches eben auch teilweise Funktionen nutzt, die denen entspricht, die auch Schadsoftware verendet. Hier ist der Blick für das Detail erforderlich, bei dem aber PEStudio den Nutzer auch unterstützt! Über das Objekt „virustotal“, das der bekannten Online-Malware-Prüfseite VirusTotal entspricht, kann man die Ergebnisse abrufen, die dort zu der Datei vorliegen.

Geniale Toolbox für Virenjäger

Kurz vorgestellt: VirusTotal

Geniale Toolbox für Virenjäger

05.09.17 - Schadsoftware wie Viren, Würmer, Keylogger und Ransomware, sind aus Firmennetzwerken kaum mehr fern zu halten. Will man AV-Tools nicht blind vertrauen, sondern Malware selbst enttarnen, braucht man das richtige Werkzeug. VirusTotal ist als Tool seit Jahren aus dem Arsenal der Virenjäger nicht mehr wegzudenken. Den meisten IT-Experten ist es nur als Multi-Antivirus-Maschine ein Begriff, aber der Service bietet so viel mehr! lesen

Der Informationsabruf erfolgt dabei über den Hashwert der Datei. PEStudio macht keinen File-Upload, sondern übermittelt nur den Hashwert der zu analysierenden Datei und referenziert auf die zu diesem Hash passenden Ergebnisse. Generell gilt, das PEStudio kein zu analysierendes Programm ausführt, sondern nur Werte ausliest und mit diesen arbeitet! Eine versehentliche Aktivierung eines (ggf.) gefährlichen Programms ist dadurch ausgeschlossen! Sofern keine Ergebnisse bei VirusTotal zu dieser Datei vorliegen, signalisiert PEStudio dies mit dem Hinweis „virustotal (n/a)“ (Not Available) in der Objekt-Übersicht. Falls dies der Fall ist, sollte man die verdächtige Datei zu VirusTotal hochladen, um dort testen zu lassen, ob ggf. bereits eines der sechzig unterschiedlichen Tools eine Malware erkannt hat.

Die Diagnostik der KIS-Datei ergibt aber keinen konkreten Malware-Hinweis. Ein gutes Zeichen, aber der Indikator „virustotal“ ist eben nur einer unter vielen. Im Objekt „imports“ werden 77 Anomalien entdeckt, davon 49 schwere (Rot angemerkt). Hier wird vor allem darauf hingewiesen, dass viele Funktionen aus der Systembibliothek kernel32.dll genutzt werden, mit denen sich auch allerlei Schaden anrichten lässt, wie: SetEndOfFile, WriteFile, GetTempPathW, TerminateProcess oder IsDebuggerPresent. Bei einem als Taschenrechner angekündigten Programm sollten hier die Alarmglocken schrillen, bei der KIS-Anwendung ist dies hingegen zu erwarten, da Virenscanner aller Hersteller ein breites Funktionsspektrum nutzten.

Weitere Objekte, bei denen PEStudio Anomalien entdeckt sind „resources“, „strings“, „debug“ und „Version“ – hier gilt es, analog zu den anderen Objekten, die Details zu analysieren und zu bewerten. Wie eingangs erwähnt, ist PEStudio kein Malware-Scanner, aber ein sehr effektives Werkzeug, um Programme zu analysieren.

Die Pro-Version

PEStudio lässt sich bezüglich der Arbeitsweise mit einer medizinischen Computertomographie oder einem MRT vergleichen. Die dabei genutzten High-Tech-Geräte liefern die Daten, aber es erfordert Erfahrungswerte, um diese zu interpretieren und daraus Rückschlüsse zu ziehen.

Die kostenlose Version von PEStudio entspricht dabei einem Gerät, dass schon etwas älter ist und weniger Daten und Details liefert, als ein topaktuelles Gerät. Mit der Pro-Version werden mehr Detaildaten geliefert und das Handling ist optimiert. Dies sind Features, die dem „Anti-Malware-Analysten“ eine verbesserte Diagnostik erlauben.

Der Preis der PEStudio Pro-Version ist abhängig von der Lizenzmenge und Lizenzart, rangiert aber für einen Einzelplatz (1 Jahr Laufzeit, inkl. Updates) unter 100 Euro. Details findet man in den PEStudio-Lizenzinformation (pdf).

Malware-Check mit der Pro-Version

Das erste Anwendungsbeispiel basierte auf einer harmlosen Datei. Der Arbeitsprozess mit der Pro-Version und einer echten Malware ist identisch. Man übergibt die Software an PEStudio zur Analyse und verifiziert die entdeckten Anomalien.

Im vorliegenden Fall kommt eine alte Malware mit dem Namen „Bitzatch“ zum Einsatz, die vor vielen Jahren vom Programmierer „Quantum“ der australischen Virengruppe VLAD (Virus Laboratory And Distribution) erstellt wurde. PEStudio entdeckt auch hier eine Vielzahl an Anomalien, die auf einen Virusverdacht hinweisen. Der Blick auf „indicators“ bringt diesmal neunzehn Hinweise. Darunter so eindeutige wie:

  • The entry-point is located in a section (name: vlad) that is not executable
  • The file references (10) blacklisted string(s)
  • The compiler time stamp (Year:2071) reached the max (Year:2018) threshold
  • The file imports (4) blacklisted function(s)
  • The file ignores Data Execution Prevention (DEP)

Ungeachtet der Tatsache, das 51 von 56 VirusTotal-Programmen Malware entdecken, gibt es hier zahlreiche Hinweise, die einen aufhorchen lassen. Ebenso zeigt auch ein Blick in die Details zu „strings“, was hier gerade diagnostiziert wird. Allerdings sind derartige Nachrichten und eindeutige Hinweise heute nicht mehr üblich. Die Virenschreiber agieren lieber unerkannt und hinterlassen Ihre Signaturen nur sehr minimalistisch – wenn überhaupt.

In beiden PEStudio-Varianten können die Diagnostik-Ergebnisse in einem XML-Report geschrieben werden. Bei Bedarf, kann dieser Report dann für weitere Analysen oder zur Dokumentation genutzt werden. Die Leistungsübersicht (pdf) der Pro-Version im Vergleich zur Free-Versionen ist auch über die Webseite von Marc Ochsenmeier abrufbar.

Aktuelle Malware

Derzeitige Bedrohungen, wie die Ransomware Petya / oder Spora, können auch mit PEStudio aufgespürt werden. Bei Petya, sind es 15 Indikatoren die den PEStudio-Nutzer auf die Spur bringen. Vor allem das die Datei „selbstmodifizierenden Code“ enthält und die eingebettete URL sind recht kritisch zu sehen.

Auch bei Spora, gibt es Indizien, die auf die risikoreiche Nebenwirkung hindeuten. Hier ist die Auflistung der in Programmcode definierten Dateinamen-Erweiterungen, die von der Ransomware verschlüsselt werden. Da hier Text-Dateien, Bilder, Datenbank-Files und andere Dateitypen definiert sind, ist der Verdacht nahe, dass es sich bei der Programmdatei um eine Ransomware handeln könnte und die beschriebenen Extensionen die potentiellen Verschlüsselungsopfer festlegt.

Fazit des Autors

Zweifelsfrei gehört PEStudio in die Tool-Sammlung eines jeden Security-Admins, der mit Malware zu tun hat! Der Funktionsumfang dieses Werkzeugs orientiert sich am täglichen Bedarf und wurde nicht am grünen Tisch entworfen, sondern von Marc Ochsenmeier über Jahre hinweg entwickelt. Dies sieht man auch daran, dass PEStudio immer wieder von Toolswatch als eine der Top Security-Anwendungen bewertet wird.

Der Mehrwert der Pro-Version mag angesichts der reichhaltigen Free-Funktionen gering erscheinen. Aber wer einmal entscheiden muss, ob man das Risiko eingehen soll, eine Anwendung zuzulassen oder nicht, wird um jede additive Pro-Information dankbar sein. Wer PEStudio noch nicht kennt, dem sei dieses Tool wärmstens empfohlen! Denn der Ernstfall, dass man eine Datei analysieren muss, kommt oft schneller als man denkt!

Neue Features und Änderungen bei PEStudio kommuniziert der Entwickler übrigens auch über den Twitter-Account „@ochsenmeier“.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44928883 / Tools)