Muy buenas Underc0ders.
En el día de hoy voy a enseñar como se podría hacer un análisis de un malware analizando el tráfico que este genera. ¿Por qué vamos a analizar el trafico? Simplemente porque es rápido y muchos tipos de malwares son faciles de identificar analizando el tráfico.
En esta ocasión es un malware que he preparado yo, el malware podría estar mejor hecho para que no lo detectaran los antivirus y podría tener el icono de una imagen o algo similar, pero como es solo para una prueba eso me daba igual.
Partimos de este malware, el cual vamos a abrir desde una máquina virtual.
(https://i.gyazo.com/ddf133341468cd7c7cfd2118f0766bdf.png)
Yo lo primero que voy a hacer va a ser darle una ojeada rápida al regedit de Windows para ver si este malware a modificado algo en relación a las claves que contienen la información de lo que se inicia con Windows. Para ello hay que tener en cuenta las siguientes rutas.
CitarHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Hkey_current_user\software\microsoft\windows\currentversion\runonce
Entonces en una de estas rutas se ve que se ha añadido un valor que antes no estaba.
(https://i.gyazo.com/d8272da3fb6407518023c44846fb0558.png)
Es muy sospechoso ese tal Tembak.exe, por lo tanto voy a tomar ese ejecutable para hacer el análisis de trafico de datos, para ello voy a abrir la consola y voy a escribir el siguiente comando, el cual me da de una forma muy general las conexiones que hace cada programa.
Citarnetstat -nb
Allí puedo ver que hay una IP con la que se comunica por el puerto 21, es decir ftp, vamos a usar Wireshark (https://www.wireshark.org/) para poder analizar lo que hace.
(https://i.gyazo.com/47c4eaffa0019afac71b390c33383edc.png)
En este caso vamos a analizar lo que hace a través del protocolo comentado, pero también es muy típico que se use SMTP, por si acaso dejo aquí (https://underc0de.org/foro/hacking/sniffing-con-wireshark/) un tutorial sobre Wireshark. El filtro que yo voy a usar es el siguiente.
Citarip.dst== "ip" && ftp
Ahora puedo ver mucha información sobre lo que está pasando, archivos que se envían y demás cosas, pero me voy a centrar en esto. Veo que se conecta a un server de hosting ftp, y tengo el usuario y contraseña.
(https://i.gyazo.com/6fd9a22e771a397122c3b8485beab493.png)
Aunque con todas las conexiones se puede sacar mucha información, simplemente me voy a conectar al ftp a ver que hay.
(https://i.gyazo.com/78918dd42bb058659d7acee82fc24bd4.png)
Aja
@blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972) , te pille.
Esto es solo una prueba para tener una idea de como se podría analizar facilmente, el resto es imaginación.
También me pueden seguir en Twitter si les hace ilusión: @RoloMijan (https://twitter.com/RoloMijan)
Saludos.
Muy buena
@rollth (https://underc0de.org/foro/index.php?action=profile;u=30952), espero seguir viendo más posts tuyos por esta zona ^^
PD:
(http://cdn.memegenerator.es/imagenes/memes/thumb/19/16/19168954.jpg)
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Me encantó tu post @rollth (https://underc0de.org/foro/index.php?action=profile;u=30952).
Sencillo y útil.
@blackdrake (https://underc0de.org/foro/index.php?action=profile;u=24972) :0
No tienes permitido ver los links.
Registrarse o Entrar a mi cuenta
Muy buena @rollth (https://underc0de.org/foro/index.php?action=profile;u=30952), espero seguir viendo más posts tuyos por esta zona ^^
PD:
(http://cdn.memegenerator.es/imagenes/memes/thumb/19/16/19168954.jpg)
Muchas gracias a los dos por comentar :D
Me alegra que os haya gustado.
Como siempre Rolo, de excelencia! :) Un gusto que compartas el conocimiento con todos. (Y obviamente esto va twitteado)