comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Unpacking malware #2

  • 3 Respuestas
  • 2813 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado lucky1234

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Mayo 16, 2018, 06:32:31 am »

Análisis estático(Nivel 1)

Abrimos el malware con dnspy,vemos que hace la llamada al archivo server.exe desde Resources.


Una vez localizado el fichero lo guardamos con click derecho


Abrimos el fichero server con dnspy y vemos que el contenido esta obfuscado,pero lo que llama la atención es que hay 4 ficheros que los vuelve a llamar desde resources como anteriormente


Aquí encontramos la clave con la que lo cifra el tipo de cifrado que utiliza


Vamos a copiar el contenido de los ficheros en un notepad para poder desobfuscar el codigo


Copiamos todo el contenido, lo pegamos, copiamos la clave que habiamos encontrado anteriormente, seleccionamos el algoritmo y le damos a build, y listo ya tenemos nuestro server construido.


Lo abrimos con dnspy de nuevo y vemos que no esta obfuscado y nada por lo que ha resultado facil y rapido :D



Nota: se aceptan criticas constructivas, apenas me estoy iniciando en esto

DOWNLOAD:https://mega.nz/#!TH5xFIgR!6isei9lGCW5CTFTOm0TF533uH-BYbDA7-OZ76BT81d0
PASS:infected
« Última modificación: Mayo 16, 2018, 08:57:55 am por lucky1234 »

Desconectado sadfud

  • *
  • Moderator
  • Mensajes: 181
  • Actividad:
    1.67%
  • Reputación 9
    • Ver Perfil
    • Blog
  • Skype: SadFud
« Respuesta #1 en: Mayo 16, 2018, 07:27:24 am »
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos
Si necesitas ayuda, no dudes en mandar MP

Desconectado lucky1234

  • *
  • Underc0der
  • Mensajes: 22
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #2 en: Mayo 16, 2018, 08:59:41 am »
Buenas

Me gusta ver neuvos post de analisis por la seccion.  :D
Solo un apunte; Que el desarrollador llame a esa rutina de cifrado (muy probablemente base64 modificando X bytes) "PolymorPhicDec" no convierte el malware en polimorfico.

Saludos

Muchas gracias ahora estoy con esto y muy probablemente siga en la misma linea :D tienes toda la razon, no es polymoric ya que el codigo no varia jajajaj he cambiado el titulo,joder esq es tan bonita esa palabra, polimorfico >:D

Desconectado O.oZhewino.O

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #3 en: Agosto 10, 2018, 12:44:21 am »
Me gustó y eso que vas por la segunda entrega,me gustaría que sigas con este tipos de post,saludos.

 

¿Te gustó el post? COMPARTILO!



Malware "con" CriptoWall

Iniciado por blackdrake

Respuestas: 11
Vistas: 5803
Último mensaje Junio 16, 2018, 03:09:02 pm
por KiddArabic
Tutoriales de análisis de malware: un enfoque de ingeniería inversa

Iniciado por Jean Grey

Respuestas: 0
Vistas: 1321
Último mensaje Diciembre 13, 2017, 05:18:08 pm
por Jean Grey
theZoo - Repositorio de malware para análisis e investigación

Iniciado por ANTRAX

Respuestas: 5
Vistas: 2213
Último mensaje Febrero 19, 2018, 08:34:57 pm
por Lautaro Culic'
Otra modalidad malware para conocer de PowerPoint

Iniciado por xhc1

Respuestas: 2
Vistas: 2133
Último mensaje Agosto 23, 2017, 12:58:51 pm
por M03's
FlareVM - Maquina Virtual para analizar Malware

Iniciado por xyz

Respuestas: 1
Vistas: 1369
Último mensaje Enero 07, 2018, 12:43:25 pm
por K A I L