Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Analizar malware con Anubis

  • 5 Respuestas
  • 3958 Vistas

0 Usuarios y 3 Visitantes están viendo este tema.

Desconectado Stiuvert

  • *
  • Underc0der
  • Mensajes: 2674
  • Actividad:
    0%
  • Reputación 15
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« en: Agosto 05, 2015, 12:26:14 pm »
En la última semana hemos recibido en nuestro laboratorio unos binarios provenientes de campañas de phishing y envío de malware, que hemos procedido a analizar de una forma muy práctica y bastante efectiva por el resultado de dicho análisis, que nos permite rápidamente extraer unas primeras contramedidas por si ha habido alguna infección. Vamos a analizar malware con Anubis.


El último de los ficheros lo hemos recibido esta misma mañana y es el que usaremos en este artículo.


Concretamente se trata de un fichero adjunto en este mensaje que “generosamente” Bobby nos envía y que se le había olvidado adjuntar en un correo anterior. Todo un detalle.





Un primer paso era analizar el fichero con el antivirus instalado en uno de los equipos usados como sandbox, con antivirus Avira actualizado hasta el día. En ese primer análisis no salió ninguna detección. Acto seguido, decidimos probar con los 57 motores de análisis de VirusTotal (donde pudimos comprobar que el motor de Avira no lo detectaba), obteniendo en un primer análisis sólo 7 detecciones de los 57 motores, y al cabo de 2 horas un resultado de 12 detecciones.





Aunque nuestro antivirus Avira no lo había detectado, gracias a VirusTotal pudimos comprobar que efectivamente se trata de malware, concretamente el troyano Trojan.Upatre.Gen.3.


Como desconocemos lo que este troyano es capaz de hacer, y queremos saber posibles contramedidas por si ha habido alguna infección, procedemos a subir el archivo a Anubis, donde además de un análisis del binario, lo desplegará y ejecutará en una máquina Windows propia, nos indicará las modificaciones en el sistema de ficheros, posibles entradas de registro y lo que es muy interesante también, nos facilitará una captura del tráfico generado por este malware tras su ejecución.





Como podemos ver en la imagen anterior, tras subir el fichero a Anubis y ser analizado, tenemos a nuestra disposición el informe del análisis en varios formatos, y en la parte inferior un enlace al fichero pcap resultante de la captura de tráfico realizada.


Veamos qué tiene ese fichero si lo abrimos con Wireshark:





Si filtramos los paquetes por tráfico http podemos ver algunas cosas interesantes. Por ejemplo que hace una petición a la IP 91.198.22.70. ¿Qué habrá en ese recurso?





¡Anda qué curioso! Es para saber desde qué IP pública nos hemos infectado. Sigamos. Podemos ver también varias peticiones para descarga de supuestos ficheros PDF, que seguro que no lo son y a su vez realizarán otro tipo de acciones maliciosas como descarga de otros binarios necesarios para lanzar su ataque, que tiene toda la pinta de CryptoLocker.


Como podéis ver, haciendo uso de servicios online totalmente gratuitos podemos de forma rápida y sencilla hacer un análisis del malware y sacar unas primeras conclusiones, y lo que es más importante, aplicar unas contramedidas que mitiguen o reduzcan el riesgo que esta amenaza pueda suponer para los sistemas de información de cualquier organización.


¿Contramedidas? Obviamente en primer lugar realizar un análisis de los posibles equipos infectados, concienciar al usuario de no abrir archivos adjuntos en correos de remitentes desconocidos y aplicar algunas reglas en la seguridad perimetral, por ejemplo, denegar el tráfico desde / hacia las direcciones IP observadas en la captura de tráfico. Se ha comprobado que están reportadas como servidores maliciosos.


Por cierto, en una de esas direcciones IP nos espera un bonito RouterOS de MikroTik.



Como siempre, espero que sea de vuestro interés, y nos leemos en siguientes artículos.

¡Saludos!

Fuente: hacking-etico.com
« Última modificación: Agosto 05, 2015, 12:48:52 pm por blackdrake »

Conectado blackdrake

  • *
  • Moderator
  • Mensajes: 1919
  • Actividad:
    3.33%
  • Reputación 15
    • Ver Perfil
« Respuesta #1 en: Agosto 05, 2015, 12:50:47 pm »
Muy buen aporte, sobre todo para la gente que aún no conoce Anubis.

@Stiuvert, te he movido el post a Análisis y desarrollo de malwares.

Saludos.



Desconectado Thereldor

  • *
  • Underc0der
  • Mensajes: 33
  • Actividad:
    0%
  • Reputación 0
  • Estudiando día con día
    • Ver Perfil
  • Skype: Thereldor
« Respuesta #2 en: Agosto 12, 2015, 03:00:17 am »
Muy bueno pero recuerda que también esta cuckoo y esta en linea tanto el codigo como el servicio

Desconectado dellarts

  • *
  • Underc0der
  • Mensajes: 39
  • Actividad:
    1.67%
  • Reputación 0
    • Ver Perfil
« Respuesta #3 en: Enero 22, 2019, 11:47:10 am »
El link de anubis esta caido, ¿aún hay una pagina online que haga esa funcionalidad?

Desconectado KiddArabic

  • *
  • Underc0der
  • Mensajes: 267
  • Actividad:
    18.33%
  • Reputación 1
  • Vivir sin sueño no es vivir.
    • Ver Perfil
« Respuesta #4 en: Febrero 13, 2019, 09:24:29 pm »
link de anubis caido :C

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 197
  • Actividad:
    0%
  • Reputación 13
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #5 en: Febrero 13, 2019, 09:46:03 pm »
Desde hace tiempo que cerraron, alternativas similares:
« Última modificación: Febrero 13, 2019, 09:49:16 pm por fudmario »


 

¿Te gustó el post? COMPARTILO!



Malware "con" CriptoWall

Iniciado por blackdrake

Respuestas: 11
Vistas: 8205
Último mensaje Junio 16, 2018, 03:09:02 pm
por KiddArabic
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 2870
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's
Antiguo malware: FACELIKER. Nuevamente operativo en FaceBook

Iniciado por Gabriela

Respuestas: 0
Vistas: 2163
Último mensaje Septiembre 28, 2017, 03:36:18 pm
por Gabriela
Faking network para Análisis Dinámico de Malware.

Iniciado por cnfs

Respuestas: 3
Vistas: 2980
Último mensaje Enero 30, 2015, 02:32:23 pm
por cnfs
Tutoriales de análisis de malware: un enfoque de ingeniería inversa

Iniciado por Jean Grey

Respuestas: 0
Vistas: 2964
Último mensaje Diciembre 13, 2017, 05:18:08 pm
por Jean Grey