Unpacking malware #1

Iniciado por lucky1234, Mayo 11, 2018, 05:06:29 PM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Mayo 11, 2018, 05:06:29 PM Ultima modificación: Mayo 12, 2018, 05:01:36 PM por lucky1234

Muy buenas en este POST quiero mostrar como podemos encontrar y extraer malware en aplicaciones .net, buscando por internet me encontre esta herramienta maravillosa que permite "hackear wifi", empecemos.

Análisis estático(Nivel 0)

Abrimos el ejecutable con dnspy, vemos que el codigo no esta cifrado, por lo que buscamos a ver si encontramos algo,observamos algo raro ahi, "server.exe" mmmm sospechoso.


Seguimos buscando donde puede estar ese "server.exe" y viendo en referencias donde utliza fotos para el programa, iconos y demas, vemos el cantoso "server.exe"


Lo guardamos haciendo click derecho guardar, y al abrilo con dnspy vemos que el código esta ofuscado, por lo que utilizare la herramienta exeinfo PE, nos dice que esta utilizando Rummage v3.1 para ofuscar el codigo y que para desobfuscarlo utilicemos de4dot


Lo abrimos con de4dot y ya tendriamos nuestro ejecutable desobfuscado


Al abrirlo con dnspy vemos el Host y el puerto donde el malware conectara, que es la informacion que realmente nos interesa :D


En las aproximaciones se ve la profesión, yo lo habría encontrado capturando el tráfico de red. Pero muy interesante.

Enviado desde mi Moto G (4) mediante Tapatalk


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
En las aproximaciones se ve la profesión, yo lo habría encontrado capturando el tráfico de red. Pero muy interesante.

Enviado desde mi Moto G (4) mediante Tapatalk

Si pero entonces seria dinámico y no estático, se que en muchas ocasiones no queda otra que ejecutar pero cuando hay otras opciones, este tipo de análisis me parece mas bonito =D