help_outline
Ayudanos!
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Unpacking malware #1

  • 2 Respuestas
  • 2594 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado lucky1234

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Mayo 11, 2018, 05:06:29 pm »

Muy buenas en este POST quiero mostrar como podemos encontrar y extraer malware en aplicaciones .net, buscando por internet me encontre esta herramienta maravillosa que permite "hackear wifi", empecemos.

Análisis estático(Nivel 0)

Abrimos el ejecutable con dnspy, vemos que el codigo no esta cifrado, por lo que buscamos a ver si encontramos algo,observamos algo raro ahi, "server.exe" mmmm sospechoso.


Seguimos buscando donde puede estar ese "server.exe" y viendo en referencias donde utliza fotos para el programa, iconos y demas, vemos el cantoso "server.exe"


Lo guardamos haciendo click derecho guardar, y al abrilo con dnspy vemos que el código esta ofuscado, por lo que utilizare la herramienta exeinfo PE, nos dice que esta utilizando Rummage v3.1 para ofuscar el codigo y que para desobfuscarlo utilicemos de4dot


Lo abrimos con de4dot y ya tendriamos nuestro ejecutable desobfuscado


Al abrirlo con dnspy vemos el Host y el puerto donde el malware conectara, que es la informacion que realmente nos interesa :D

« Última modificación: Mayo 12, 2018, 05:01:36 pm por lucky1234 »

Desconectado Gliph0

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Mayo 13, 2018, 11:45:21 am »
En las aproximaciones se ve la profesión, yo lo habría encontrado capturando el tráfico de red. Pero muy interesante.

Enviado desde mi Moto G (4) mediante Tapatalk


Desconectado lucky1234

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Mayo 16, 2018, 09:20:35 am »
En las aproximaciones se ve la profesión, yo lo habría encontrado capturando el tráfico de red. Pero muy interesante.

Enviado desde mi Moto G (4) mediante Tapatalk

Si pero entonces seria dinámico y no estático, se que en muchas ocasiones no queda otra que ejecutar pero cuando hay otras opciones, este tipo de análisis me parece mas bonito =D

 

¿Te gustó el post? COMPARTILO!



Malware "con" CriptoWall

Iniciado por blackdrake

Respuestas: 11
Vistas: 6149
Último mensaje Junio 16, 2018, 03:09:02 pm
por KiddArabic
Antiguo malware: FACELIKER. Nuevamente operativo en FaceBook

Iniciado por Gabriela

Respuestas: 0
Vistas: 1697
Último mensaje Septiembre 28, 2017, 03:36:18 pm
por Gabriela
Tutoriales de análisis de malware: un enfoque de ingeniería inversa

Iniciado por Jean Grey

Respuestas: 0
Vistas: 1571
Último mensaje Diciembre 13, 2017, 05:18:08 pm
por Jean Grey
theZoo - Repositorio de malware para análisis e investigación

Iniciado por ANTRAX

Respuestas: 5
Vistas: 2490
Último mensaje Febrero 19, 2018, 08:34:57 pm
por Lautaro Culic'
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 2216
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's