Unpacking malware #2

  • 3 Respuestas
  • 6636 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado lucky1234

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Unpacking malware #2

  • en: Mayo 16, 2018, 06:32:31 am

Análisis estático(Nivel 1)

Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.


Una vez localizado el fichero lo guardamos con click derecho


Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente


Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza


Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo


Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.


Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido :D



Nota: se aceptan criticas constructivas, apenas me estoy iniciando en esto

DOWNLOAD:You are not allowed to view links. Register or Login
PASS:infected
« Última modificación: Mayo 16, 2018, 08:57:55 am por lucky1234 »

Desconectado sadfud

  • *
  • Moderator
  • Mensajes: 214
  • Actividad:
    0%
  • Country: cl
  • Reputación 11
  • Skype: SadFud75
    • Ver Perfil
    • Blog

Re:Unpacking polymorphic malware #2

  • en: Mayo 16, 2018, 07:27:24 am
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos
Mi blog: You are not allowed to view links. Register or Login
Si necesitas ayuda, no dudes en mandar MP

Desconectado lucky1234

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Unpacking polymorphic malware #2

  • en: Mayo 16, 2018, 08:59:41 am
You are not allowed to view links. Register or Login
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos

Muchas gracias ahora estoy con esto y muy probablemente siga en la misma linea :D tienes toda la razon, no es polymoric ya que el codigo no varia jajajaj he cambiado el titulo,joder esq es tan bonita esa palabra, polimorfico >:D

Desconectado O.oZhewino.O

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Unpacking malware #2

  • en: Agosto 10, 2018, 12:44:21 am
Me gustó y eso que vas por la segunda entrega,me gustaría que sigas con este tipos de post,saludos.