comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Analizar malware con Anubis

  • 2 Respuestas
  • 1886 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado Stiuvert

  • *
  • Colaborador
  • *
  • Mensajes: 2668
  • Actividad:
    1.67%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« en: Agosto 05, 2015, 12:26:14 pm »
En la última semana hemos recibido en nuestro laboratorio unos binarios provenientes de campañas de phishing y envío de malware, que hemos procedido a analizar de una forma muy práctica y bastante efectiva por el resultado de dicho análisis, que nos permite rápidamente extraer unas primeras contramedidas por si ha habido alguna infección. Vamos a analizar malware con Anubis.


El último de los ficheros lo hemos recibido esta misma mañana y es el que usaremos en este artículo.


Concretamente se trata de un fichero adjunto en este mensaje que “generosamente” Bobby nos envía y que se le había olvidado adjuntar en un correo anterior. Todo un detalle.


No tienes permisos para ver links. Registrate o Entra con tu cuenta


Un primer paso era analizar el fichero con el antivirus instalado en uno de los equipos usados como sandbox, con antivirus Avira actualizado hasta el día. En ese primer análisis no salió ninguna detección. Acto seguido, decidimos probar con los 57 motores de análisis de No tienes permisos para ver links. Registrate o Entra con tu cuenta (donde pudimos comprobar que el motor de Avira no lo detectaba), obteniendo en un primer análisis sólo 7 detecciones de los 57 motores, y al cabo de 2 horas un resultado de 12 detecciones.


No tienes permisos para ver links. Registrate o Entra con tu cuenta


Aunque nuestro antivirus Avira no lo había detectado, gracias a VirusTotal pudimos comprobar que efectivamente se trata de malware, concretamente el troyano Trojan.Upatre.Gen.3.


Como desconocemos lo que este troyano es capaz de hacer, y queremos saber posibles contramedidas por si ha habido alguna infección, procedemos a subir el archivo a No tienes permisos para ver links. Registrate o Entra con tu cuenta, donde además de un análisis del binario, lo desplegará y ejecutará en una máquina Windows propia, nos indicará las modificaciones en el sistema de ficheros, posibles entradas de registro y lo que es muy interesante también, nos facilitará una captura del tráfico generado por este malware tras su ejecución.


No tienes permisos para ver links. Registrate o Entra con tu cuenta


Como podemos ver en la imagen anterior, tras subir el fichero a Anubis y ser analizado, tenemos a nuestra disposición el informe del análisis en varios formatos, y en la parte inferior un enlace al fichero pcap resultante de la captura de tráfico realizada.


Veamos qué tiene ese fichero si lo abrimos con Wireshark:


No tienes permisos para ver links. Registrate o Entra con tu cuenta


Si filtramos los paquetes por tráfico http podemos ver algunas cosas interesantes. Por ejemplo que hace una petición a la IP 91.198.22.70. ¿Qué habrá en ese recurso?


No tienes permisos para ver links. Registrate o Entra con tu cuenta


¡Anda qué curioso! Es para saber desde qué IP pública nos hemos infectado. Sigamos. Podemos ver también varias peticiones para descarga de supuestos ficheros PDF, que seguro que no lo son y a su vez realizarán otro tipo de acciones maliciosas como descarga de otros binarios necesarios para lanzar su ataque, que tiene toda la pinta de CryptoLocker.


Como podéis ver, haciendo uso de servicios online totalmente gratuitos podemos de forma rápida y sencilla hacer un análisis del malware y sacar unas primeras conclusiones, y lo que es más importante, aplicar unas contramedidas que mitiguen o reduzcan el riesgo que esta amenaza pueda suponer para los sistemas de información de cualquier organización.


¿Contramedidas? Obviamente en primer lugar realizar un análisis de los posibles equipos infectados, concienciar al usuario de no abrir archivos adjuntos en correos de remitentes desconocidos y aplicar algunas reglas en la seguridad perimetral, por ejemplo, denegar el tráfico desde / hacia las direcciones IP observadas en la captura de tráfico. Se ha comprobado que están reportadas como servidores maliciosos.


Por cierto, en una de esas direcciones IP nos espera un bonito RouterOS de MikroTik.


No tienes permisos para ver links. Registrate o Entra con tu cuenta
Como siempre, espero que sea de vuestro interés, y nos leemos en siguientes artículos.

¡Saludos!

Fuente: hacking-etico.com
« Última modificación: Agosto 05, 2015, 12:48:52 pm por blackdrake »

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1914
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #1 en: Agosto 05, 2015, 12:50:47 pm »
Muy buen aporte, sobre todo para la gente que aún no conoce Anubis.

@No tienes permisos para ver links. Registrate o Entra con tu cuenta, te he movido el post a Análisis y desarrollo de malwares.

Saludos.



Desconectado Thereldor

  • *
  • Underc0der
  • Mensajes: 33
  • Actividad:
    0%
  • Reputación 0
  • Estudiando día con día
    • Ver Perfil
  • Skype: Thereldor
« Respuesta #2 en: Agosto 12, 2015, 03:00:17 am »
Muy bueno pero recuerda que también esta cuckoo y esta en linea tanto el codigo como el servicio

 

¿Te gustó el post? COMPARTILO!



Malware "con" CriptoWall

Iniciado por blackdrake

Respuestas: 11
Vistas: 5593
Último mensaje Junio 16, 2018, 03:09:02 pm
por KiddArabic
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 2077
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's
Antiguo malware: FACELIKER. Nuevamente operativo en FaceBook

Iniciado por Gabriela

Respuestas: 0
Vistas: 1408
Último mensaje Septiembre 28, 2017, 03:36:18 pm
por Gabriela
Faking network para Análisis Dinámico de Malware.

Iniciado por cnfs

Respuestas: 3
Vistas: 2327
Último mensaje Enero 30, 2015, 02:32:23 pm
por cnfs
Tutoriales de análisis de malware: un enfoque de ingeniería inversa

Iniciado por Jean Grey

Respuestas: 0
Vistas: 1148
Último mensaje Diciembre 13, 2017, 05:18:08 pm
por Jean Grey