Aggiunte nuove euristiche

Author: seekbytes

CHANGELOG

@@ -1,5 +1,15 @@
 Versione 0.0.2-alpha:
 - Risolti fix
+- Aggiunte euristiche sul nome della sezione
+- Aggiunte euristiche per le risorse
+- Migliorate euristiche delle stringhe per ransomware
+- Aumentato threshold al valore 150
+- Risolto un problema sui valori di export
+- Aggiunto il campo Timestamp alla risorsa
+- Aggiunte euristiche per file .NET
+- Risolto problema di calcolo errato della dimensione dell'intestazione
+- Aggiunta conversione UUID/Path
+- Risolto problema degli apici all'interno del file TXT di output
 
 Versione 0.0.1-alpha:
 - Prima versione

analysis/analysis.go

@@ -43,34 +43,7 @@ func PrintResult(Analyzed *formats.FileAnalyzed) {
 	}
 
 	if Analyzed.OutputFormat == "txt" {
-
-		// carica un template .txt e popolalo con la struttura fileAnalyzed
-		t := template.Must(template.New("output_template.txt").Funcs(funcMap).Parse(OutputTemplateTXT))
-		var processed bytes.Buffer
-
-		err := t.Execute(&processed, Analyzed)
-		if err != nil {
-			fmt.Println("Non è stato possibile eseguire il template per questo motivo: " + err.Error())
-			return
-		}
-		outputPath := "./results/" + Analyzed.Name + "_analysis.txt"
-		f, err := os.Create(outputPath)
-		if err != nil {
-			fmt.Println("Impossibile creare nuovo file.")
-			return
-		}
-		w := bufio.NewWriter(f)
-		_, err = w.WriteString(string(processed.Bytes()))
-		if err != nil {
-			fmt.Println("Impossibile scrivere il template sul file per il seguente errore: " + err.Error())
-			return
-		}
-		err = w.Flush()
-		if err != nil {
-			fmt.Println("Impossibile rimuovere il contenuto dell'IOBuffer.")
-			return
-		}
-
+		printTxt(*Analyzed)
 	} else if Analyzed.OutputFormat == "html" {
 
 		// carica un template html e popolalo con la struttura fileAnalyzed
@@ -215,13 +188,13 @@ func isPEBinary(content [FILE_HEADER_PHASE_1]byte) bool {
 	// e il successivo controllo sulla signature PE
 
 	// Controlla lo stub per Microsoft MS-DOS (i primi due byte devono essere MZ dal nome del creatore del formato)
-	if content[0] == byte('M') || content[1] == byte('Z') {
+	if content[0] == byte('M') && content[1] == byte('Z') {
 		return true
 	}
 
 	// Esistono anche binari che hanno la sigla "MZ" invertita
 
-	if content[0] == byte('Z') || content[0] == byte('M') {
+	if content[0] == byte('Z') && content[0] == byte('M') {
 		return true
 	}
 

analysis/strings.go

@@ -46,7 +46,3 @@ func ExtractStrings(file *os.File, min, max int, ascii bool) []string {
 		str = append(str, ch)
 	}
 }
-
-func ExtractHTTPAddress() {
-
-}

analysis/text_template.go

@@ -0,0 +1,57 @@
+package analysis
+
+import (
+	"bufio"
+	"bytes"
+	"fmt"
+	"microscope/formats"
+	"microscope/formats/elf"
+	"microscope/formats/pe"
+	"os"
+	"text/template"
+	"time"
+)
+
+func printTxt(Analyzed formats.FileAnalyzed) {
+
+	// lista delle funzioni passate al template
+	funcMap := template.FuncMap{
+		"now":                          time.Now,
+		"divide":                       divide,
+		"PEprintArchitecture":          pe.PrintArchitecture,
+		"PEprintResource":              pe.PrintResource,
+		"PEprintSubsystem":             pe.PrintSubsystem,
+		"PEprintMajorOperatingVersion": pe.PrintMajorOperatingSystemVersion,
+		"PEprintCharacteristics":       pe.PrintCharacteristic,
+		"ELFprintMachine":              elf.PrintMachine,
+		"ELFprintSectionType":          elf.PrintSectionType,
+		"ELFprintFileType":             elf.PrintFileType,
+	}
+
+	// carica un template .txt e popolalo con la struttura fileAnalyzed
+	t := template.Must(template.New("output_template.txt").Funcs(funcMap).Parse(OutputTemplateTXT))
+	var processed bytes.Buffer
+
+	err := t.Execute(&processed, Analyzed)
+	if err != nil {
+		fmt.Println("Non è stato possibile eseguire il template per questo motivo: " + err.Error())
+		return
+	}
+	outputPath := "./results/" + Analyzed.Name + "_analysis.txt"
+	f, err := os.Create(outputPath)
+	if err != nil {
+		fmt.Println("Impossibile creare nuovo file.")
+		return
+	}
+	w := bufio.NewWriter(f)
+	_, err = w.WriteString(string(processed.Bytes()))
+	if err != nil {
+		fmt.Println("Impossibile scrivere il template sul file per il seguente errore: " + err.Error())
+		return
+	}
+	err = w.Flush()
+	if err != nil {
+		fmt.Println("Impossibile rimuovere il contenuto dell'IOBuffer.")
+		return
+	}
+}

formats/elf/sections.go

@@ -161,7 +161,7 @@ func parseSectionHeaders32(endianness binary.ByteOrder, numberSections uint16, o
 		}
 		err = binary.Read(reader, endianness, sectionsHeaders[i])
 		if err != nil {
-			fmt.Println("Impossibile leggere il SectionHeader")
+			fmt.Println("Impossibile leggere il SectionHeader " + err.Error())
 			return nil
 		}
 	}

heuristics/dotnet_heuristics.go

@@ -12,10 +12,23 @@ func CalculatePointsStringDOTNET(extractedStrings []string) {
 		"get_FileSystem":          2,
 		"SpecialDirectoriesProxy": 10,
 		"setShowInTaskBar":        20,
-		"AESEncryptFile":          10,
-		"AESDecryptFile":          10,
-		"AESEncryptBytes":         10,
-		"AESDecryptBytes":         10,
+	}
+
+	cryptoImports := map[string]int{
+		"AESEncryptFile":               40,
+		"AESDecryptFile":               40,
+		"AESEncryptBytes":              20,
+		"AESDecryptBytes":              20,
+		"CryptoStream":                 20,
+		"SymmetricAlgorithm":           20,
+		"CreateEncryptor":              20,
+		"System.Security.Cryptography": 30,
+		"RijndaelManaged":              30,
+		"set_KeySize":                  30,
+		"set_BlockSize":                30,
+		"get_KeySize":                  30,
+		"set_IV":                       30,
+		"CipherMode":                   30,
 	}
 
 	for i := 0; i < len(extractedStrings); i++ {
@@ -24,6 +37,17 @@ func CalculatePointsStringDOTNET(extractedStrings []string) {
 				InsertAnomalyString("La stringa "+extractedStrings[i]+" indica una funzione strettamente correlata ad un ransomware codificato in .NET.", pointsToAdd)
 			}
 		}
+
+		for stringToCompare, pointsToAdd := range cryptoImports {
+			if strings.Contains(extractedStrings[i], stringToCompare) {
+				InsertAnomalyString("La stringa \""+extractedStrings[i]+"\" indica una funzione della Crypto API di DotNet.", pointsToAdd)
+			}
+		}
+
+		if strings.Contains(extractedStrings[i], "Confuser.Core") {
+			InsertAnomalyString("La stringa\""+"\" indica che molto probabilmente il programma è stato offuscato con Confuser.Core", 30)
+		}
+
 	}
 
 	//AESEncryptFile, AESDecryptFile, AESEncryptBytes,AESDecryptBytes,CheckPassword,GenerateKey 20 per ognuno tranne gli ultimi due

heuristics/elf_headers_heuristics.go

@@ -31,7 +31,11 @@ func CheckELFHeader() {
 		}
 
 		if len(sections) < int(elfHeader32.SectionEntryNumbers) {
-			InsertAnomalyFileFormat("Non possono esserci sezioni \"nascoste\" ", 40)
+			InsertAnomalyFileFormat("Il numero di sezioni non combacia con il numero di sezioni trovate all'interno dell'intestazione. ", 40)
+		}
+
+		if len(sections) == 0 {
+			InsertAnomalyFileFormat("Il binario non contiene alcuna sezione.", 20)
 		}
 
 	} else {
@@ -45,9 +49,14 @@ func CheckELFHeader() {
 			return
 		}
 
-		if len(sections) < int(elfHeader32.SectionEntryNumbers) {
-			InsertAnomalyFileFormat("Non possono esserci sezioni \"nascoste\" ", 40)
+		if len(sections) < int(elfHeader64.SectionEntryNumbers) {
+			InsertAnomalyFileFormat("Il numero di sezioni non combacia con il numero di sezioni trovate all'interno dell'intestazione. ", 40)
 		}
+
+		if len(sections) == 0 {
+			InsertAnomalyFileFormat("Il binario non contiene alcuna sezione.", 20)
+		}
+
 	}
 
 }

heuristics/pe_headers_heuristics.go

@@ -34,12 +34,16 @@ func CheckHeaders() {
 	}
 
 	CheckImageDataDirectories(dataDirectories, int(NumberOfRvaAndSizes))
+	var MajorVersionWin uint16
 	if FileAnalyzed.PEInterface.Is64bit {
 		CheckOptionalHeader(optionalHeader64)
+		MajorVersionWin = optionalHeader64.MajorOperatingSystemVersion
 	} else {
 		CheckOptionalHeader32(optionalHeader32)
+		MajorVersionWin = optionalHeader32.MajorOperatingSystemVersion
+
 	}
-	CheckCOFFHeader(&FileAnalyzed.PEInterface.COFFHeader)
+	CheckCOFFHeader(&FileAnalyzed.PEInterface.COFFHeader, MajorVersionWin)
 
 	// Controllo checksum
 	ExpectedChecksum := CalculateChecksum(FileAnalyzed.PEInterface.DosHeader.AddressExeOffset, uint32(len(FileAnalyzed.Raw)), FileAnalyzed.Raw)
@@ -161,7 +165,7 @@ func CheckOptionalHeader(header pe.PEPOptionalHeaderT) {
 
 }
 
-func CheckCOFFHeader(CoffHeader *pe.COFFHeaderT) {
+func CheckCOFFHeader(CoffHeader *pe.COFFHeaderT, MajorOperatingSystemVersion uint16) {
 	// Controlla il COFFHeader
 
 	// Numero di sezioni è un intero positivo minore di 96
@@ -203,6 +207,7 @@ func CheckCOFFHeader(CoffHeader *pe.COFFHeaderT) {
 
 	// Controlla se un timestamp è futuro
 	if unixTime.After(time.Now()) {
+		// if unixTime.After(time.Now()) && MajorOperatingSystemVersion < 10
 		unixTimeStr := fmt.Sprintf("%v", unixTime)
 		InsertAnomalyFileFormat("Il timestamp del programma punta al futuro: "+unixTimeStr, 10)
 	}

heuristics/resources_heuristics.go

@@ -10,6 +10,9 @@ func CalculatePointsResources(resources []pe.Resource) {
 	// Quante risorse incontriamo vuote (dimensione 0)?
 	blank := 0
 
+	// Quante risorse sono state
+	entropy := 0
+
 	for i := 0; i < len(resources); i++ {
 		if resources[i].ContentType == "binary/pe" {
 			binary++
@@ -20,10 +23,14 @@ func CalculatePointsResources(resources []pe.Resource) {
 		}
 
 		if resources[i].Entropy >= 6.6 {
-			InsertAnomalyOthers("Il binario contiene delle risorse offuscate", 20)
+			entropy++
 		}
 	}
 
+	if entropy > 0 {
+		InsertAnomalyOthers("Il binario contiene delle risorse offuscate.", 20*entropy)
+	}
+
 	if binary > 0 {
 		InsertAnomalyOthers("Il binario contiene dei file eseguibili inseriti come risorse.", 20*binary)
 	}

heuristics/sections_heuristics.go

@@ -18,7 +18,7 @@ func CalculatePointsEntropy(sections interface{}) int {
 
 		for i := 0; i < len(sectionsIterable); i++ {
 
-			if sectionsIterable[i].Name == ".text" {
+			if sectionsIterable[i].Name == ".text" || sectionsIterable[i].Name == "CODE" {
 				isTextSectionFound = true
 			}
 
@@ -28,7 +28,7 @@ func CalculatePointsEntropy(sections interface{}) int {
 				if sectionsIterable[i].Name == ".text" {
 					InsertAnomalySection("Le istruzioni sono offuscate.", 120)
 				} else {
-					InsertAnomalySection("La sezione "+sectionsIterable[i].Name+" è offuscata.", 20)
+					InsertAnomalySection("La sezione \""+sectionsIterable[i].Name+"\" è offuscata.", 20)
 				}
 			}
 
@@ -42,15 +42,15 @@ func CalculatePointsEntropy(sections interface{}) int {
 
 			//
 			if sectionsIterable[i].SizeOfRawData == 0 && sectionsIterable[i].VirtualSize == 0 {
-				InsertAnomalySection("La sezione "+sectionsIterable[i].Name+" ha dimensione fisica e virtuale pari a 0.", 20)
+				InsertAnomalySection("La sezione \""+sectionsIterable[i].Name+"\" ha dimensione fisica e virtuale pari a 0.", 20)
 			}
 
 			if sectionsIterable[i].SizeOfRawData-sectionsIterable[i].VirtualSize > 40000 {
-				InsertAnomalySection("La sezione "+sectionsIterable[i].Name+" ha una discrepanza importante tra la dimensione dichiarata e la dimensione virtuale.", 10)
+				InsertAnomalySection("La sezione \""+sectionsIterable[i].Name+"\" ha una discrepanza importante tra la dimensione dichiarata e la dimensione virtuale.", 10)
 			}
 
 			if sectionsIterable[i].VirtualSize == 0 {
-				InsertAnomalySection("La sezione "+sectionsIterable[i].Name+" ha una dimensione virtuale pari a 0.", 20)
+				InsertAnomalySection("La sezione \""+sectionsIterable[i].Name+"\" ha una dimensione virtuale pari a 0.", 20)
 			}
 		}
 
@@ -71,7 +71,7 @@ func CalculatePointsEntropy(sections interface{}) int {
 				if sectionsIterable[i].Name == ".text" {
 					InsertAnomalySection("Le istruzioni sono offuscate.", 120)
 				} else {
-					InsertAnomalySection("La sezione "+sectionsIterable[i].Name+" è offuscata.", 20)
+					InsertAnomalySection("La sezione \""+sectionsIterable[i].Name+"\" è offuscata.", 20)
 				}
 			}
 
@@ -88,7 +88,7 @@ func CalculatePointsEntropy(sections interface{}) int {
 				if sectionsIterable[i].Name == ".text" {
 					InsertAnomalySection("Le istruzioni sono offuscate.", 120)
 				} else {
-					InsertAnomalySection("La sezione "+sectionsIterable[i].Name+" è offuscata.", 20)
+					InsertAnomalySection("La sezione \""+sectionsIterable[i].Name+"\" è offuscata.", 20)
 				}
 			}
 
@@ -128,6 +128,24 @@ func checkSectionName(name string, isElf bool) {
 			".gnu.hash",
 			".gnu.version",
 			".gnu.version_r",
+			".rela.dyn",
+			".rela.plt",
+			".init",
+			".plt",
+			".text",
+			".fini",
+			".rodata",
+			".eh_frame_hdr",
+			".eh_frame",
+			".tbss",
+			".ctors",
+			".dtors",
+			".dynamic",
+			".got.plt",
+			".data",
+			".bss",
+			".comment",
+			".shstrtab",
 		}
 		defaultSectionName = defaultSectionsName
 	} else {
@@ -143,22 +161,31 @@ func checkSectionName(name string, isElf bool) {
 			".pdata",
 			".reloc",
 			".symtab",
+			".tls",
+			".eh_fram",
+			".imrsiv",
+			".CRT",
+			"CODE",
+			"BSS",
+			"DATA",
+			".didat",
+			".gfids",
 		}
 		defaultSectionName = defaultSectionsName
 	}
 
-	// Conta quante sezioni sono valide, se esistono meno di 1 sezione valida allora inserisci l'anomalia
 	isFound := false
 	for i := 0; i < len(defaultSectionName); i++ {
 		if name == defaultSectionName[i] {
 			isFound = true
+			// Conta quante sezioni sono valide, se esistono meno di 1 sezione valida allora inserisci l'anomalia
 			sectionsStandards++
 			break
 		}
 	}
 
 	if !isFound {
-		InsertAnomalySection("La sezione \""+name+"\" non è standard.", 10)
+		InsertAnomalySection("La sezione \""+name+"\" non è una sezione standard.", 10)
 	}
 
 }