Underc0de

[In]Seguridad Informática => Análisis y desarrollo de malwares => Mensaje iniciado por: lucky1234 en Mayo 16, 2018, 06:32:31 AM

Título: Unpacking malware #2
Publicado por: lucky1234 en Mayo 16, 2018, 06:32:31 AM
(https://i.imgur.com/VRDi8CX.png)

Análisis estático(Nivel 1)

Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.

(https://i.imgur.com/XQcVfJS.png)

Una vez localizado el fichero lo guardamos con click derecho

(https://i.imgur.com/p7WFQ99.png)

Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente

(https://i.imgur.com/um7Unov.png)

Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza

(https://i.imgur.com/dRKKmji.png)

Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo

(https://i.imgur.com/ZoAfIxr.png)

Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.

(https://i.imgur.com/Tafkz5J.png)
Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido :D

(https://i.imgur.com/jeqB1p7.png)


Nota: se aceptan criticas constructivas, apenas me estoy iniciando en esto

DOWNLOAD:https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0 (https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0)
PASS:infected
Título: Re:Unpacking polymorphic malware #2
Publicado por: sadfud en Mayo 16, 2018, 07:27:24 AM
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos
Título: Re:Unpacking polymorphic malware #2
Publicado por: lucky1234 en Mayo 16, 2018, 08:59:41 AM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos

Muchas gracias ahora estoy con esto y muy probablemente siga en la misma linea :D tienes toda la razon, no es polymoric ya que el codigo no varia jajajaj he cambiado el titulo,joder esq es tan bonita esa palabra, polimorfico >:D
Título: Re:Unpacking malware #2
Publicado por: O.oZhewino.O en Agosto 10, 2018, 12:44:21 AM
Me gustó y eso que vas por la segunda entrega,me gustaría que sigas con este tipos de post,saludos.