Unpacking malware #2

Iniciado por lucky1234, Mayo 16, 2018, 06:32:31 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Mayo 16, 2018, 06:32:31 AM Ultima modificación: Mayo 16, 2018, 08:57:55 AM por lucky1234

Análisis estático(Nivel 1)

Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.


Una vez localizado el fichero lo guardamos con click derecho


Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente


Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza


Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo


Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.


Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido :D



Nota: se aceptan criticas constructivas, apenas me estoy iniciando en esto

DOWNLOAD:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
PASS:infected

Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos
Mi blog: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Si necesitas ayuda, no dudes en mandar MP

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos

Muchas gracias ahora estoy con esto y muy probablemente siga en la misma linea :D tienes toda la razon, no es polymoric ya que el codigo no varia jajajaj he cambiado el titulo,joder esq es tan bonita esa palabra, polimorfico >:D

Me gustó y eso que vas por la segunda entrega,me gustaría que sigas con este tipos de post,saludos.