Sólo texto | Texto con Imágenes

Underc0de - La Casa de los Informáticos

[In]Seguridad Informática => Análisis y desarrollo de malwares => Mensaje iniciado por: lucky1234 en Mayo 16, 2018, 06:32:31 AM

Título: Unpacking malware #2
Publicado por: lucky1234 en Mayo 16, 2018, 06:32:31 AM
(https://i.imgur.com/VRDi8CX.png)

Análisis estático(Nivel 1)

Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.

(https://i.imgur.com/XQcVfJS.png)

Una vez localizado el fichero lo guardamos con click derecho

(https://i.imgur.com/p7WFQ99.png)

Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente

(https://i.imgur.com/um7Unov.png)

Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza

(https://i.imgur.com/dRKKmji.png)

Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo

(https://i.imgur.com/ZoAfIxr.png)

Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.

(https://i.imgur.com/Tafkz5J.png)
Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido :D

(https://i.imgur.com/jeqB1p7.png)


Nota: se aceptan criticas constructivas, apenas me estoy iniciando en esto

DOWNLOAD:https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0 (https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0)
PASS:infected
Título: Re:Unpacking polymorphic malware #2
Publicado por: sadfud en Mayo 16, 2018, 07:27:24 AM
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos
Título: Re:Unpacking polymorphic malware #2
Publicado por: lucky1234 en Mayo 16, 2018, 08:59:41 AM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos

Muchas gracias ahora estoy con esto y muy probablemente siga en la misma linea :D tienes toda la razon, no es polymoric ya que el codigo no varia jajajaj he cambiado el titulo,joder esq es tan bonita esa palabra, polimorfico >:D
Título: Re:Unpacking malware #2
Publicado por: O.oZhewino.O en Agosto 10, 2018, 12:44:21 AM
Me gustó y eso que vas por la segunda entrega,me gustaría que sigas con este tipos de post,saludos.
Sólo texto | Texto con Imágenes