Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Análisis Estático Spy-Net

  • 4 Respuestas
  • 3509 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« en: Enero 06, 2015, 04:16:16 am »
Análisis Estático Spy-Net

Mis mas allegados saben que hace un tiempo he empezado a aumentar mis fronteras en Desarrollo y Análisis de Malware, y me parecio interesante analizar de forma estática el conocido Spy-Net, y ver si podía lograr una desinfección exitosa. El resultado fue mucho mas satisfactorio de lo que esperaba.

Escenario: La victima ejecuta un binario de Spy-Net que prometía ser un juego en su pc, este no nota nada inusual nisiquiera una ventana de instalación en su pc,intenta nuevamente la ejecución pero nuevamente nada sucede y antes de decidirse a borrar el archivo se pregunta, estaré siendo victima de un malware. Y pone manos a la obra para Análisar Estaticamente el binario, y ver si entre sus strings, revelan alguna modificación al Sistema Operativo

Primero, intenta abrir el binario con un editor hexadecimal:


Al bajar unas pocas lineas de codigo se encuentra con que el binario tiene algunos sectores comprimidos con UPX.
Intenta visualizar sin exito algún string desofucado con OllyDBG:

(En la imagen se puede apreciar que todos los Strings del archivo estan ofuscados)

Para asegurar su idea Analiza RDG Packer Detector:


Esto confirma que detrás del binario hay algo empaquetado y protegido con UPX, además el resultado no denota que el binario este bindeado, por lo que cierra la coincidencia que luego de la ejecución del binario no apareciera ninguna ventana de instalación

Se prepara para desempaquetar una copia del archivo para poder Análizar mas profundamente los Strings del binario


Luego de esto analiza nuevamente el fichero con RDG Packer Detector:


Esto confirma que efectivamente fue victima de un malware, en este caso Spy-Net, el mismo esta programado en Delphi y su binario esta protegido por Private Exe Protector. Luego de una busqueda sin resultados por un Desofucador de Private Exe Protector y por darse a la caza con un Análisis Dinámico, decide pasar el archivo por DeDe (Delphi Decompiler) con el fin de lograr ver algo que haya quedado sin Ofuscar.


Al bajar un poco, resalta una linea que todo aquel que ha desarrollado un malware en su vida, reconoce...

Software\Microsoft\Windows\CurrentVersion\

Esta famosa linea con alguna que otra variante, indica la posible ejecución de un programa al momento del inicio del sistema.

Preocupado la victima decide Analizar mas profundamente las strings del binario con OllyDBG


Entre las lineas que encuentra resaltan las siguientes:

Software\Microsoft\Windows\CurrentVersion\Run
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Luego de esto pasa a buscar que hay en el registro (regedit.exe) de Windows en esas direcciones


Encuentra la "coincidencia" que en ambas las rutas, encuentra un registro que apunta hacia "C:\Windows\EIS\update.exe".

Acto seguido ejecuta el explorador de archivos y se dirige hacia esa dirección


Encuentra el famoso archivo update.exe y al no estar seguro si este archivo realmente es o no parte del Sistema Operativo, realiza una serie de comprobaciones.

Una muy basica, compara el peso de "update.exe" con el peso del archivo original que descargo


Se sorprende un poco y ve que ambos archivos pesan EXACTAMENTE lo mismo. Pero antes de dar fe ciega de que este archivo es el troyano oculto de Spy-Net, decide hacer una comprobación binaria profunda con Hex Workshop para asegurar de que ambos archivos son binariamente iguales, y no solo una coincidencia de peso.

Ambos archivos son binariamente iguales, lo que garantiza que update.exe es el binario oculto de Spy-Net.

La Victima se alegra un poco, y decide realizar una desinfección manual.

Desinfeccion:
Elimina ambos binarios.
Elimina las claves en el registro de windows.
Destildar todo lo que apunte a update desde msconfig.

(Esto es para eliminar las entradas destildadas en el msconfig)
Elimina todas las carpetas del registro que hagan referencias al binario en las rutas:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder"
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg"

Para esto debe iniciar su pc en Modo Seguro al inicio.

Inicio Modo Seguro

Elimino Binarios

Elimino Entradas de Registro

Destildo entradas relacionadas en MSCONFIG

Borro Claves de configuración de MSCONFIG

Luego reinicia y puede garantizar una desinfección correcta por medio de un Análisis Dinámico.
En este caso dejo una imagen del Panel de Control, antes y después del Análisis.

Antes del Análisis:

Después del Análisis:


Happy Hunting!


« Última modificación: Enero 06, 2015, 04:26:50 am por hdbreaker »

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Desconectado ASM

  • *
  • Underc0der
  • Mensajes: 31
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: asm
« Respuesta #1 en: Enero 06, 2015, 06:46:03 am »
tambien solo bloqueas la IP por el firewall o por hosts y adios rat

Desconectado blackdrake

  • *
  • Moderator
  • Mensajes: 1918
  • Actividad:
    0%
  • Reputación 15
    • Ver Perfil
« Respuesta #2 en: Enero 06, 2015, 07:27:27 am »
Como siempre un trabajo increíble, bien explicado y con buenas imágenes.

Ahí va mi +1.

Saludos.



Desconectado MagoAstral

  • *
  • Underc0der
  • Mensajes: 115
  • Actividad:
    0%
  • Reputación 0
  • Nada resulta más engañoso que un hecho evidente.
    • Ver Perfil
« Respuesta #3 en: Enero 06, 2015, 01:32:32 pm »
Excelente, para la próxima vez para no tener que utilizar el editor hexadecimal en la comprobación de que es una copia del archivo original podrías mirar el MD5 si ambos coinciden ya lo tienes, podrías también mostrado cómo utilizar un sniffer para localizar el C&C o hacer un volcado de memíria, pero te ha quedado excelente.
Un saludo!!!
Lo que sabemos es una gota de agua; lo que ignoramos es el océano.

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #4 en: Enero 06, 2015, 03:12:23 pm »
Excelente, para la próxima vez para no tener que utilizar el editor hexadecimal en la comprobación de que es una copia del archivo original podrías mirar el MD5 si ambos coinciden ya lo tienes, podrías también mostrado cómo utilizar un sniffer para localizar el C&C o hacer un volcado de memíria, pero te ha quedado excelente.
Un saludo!!!
Es un análisis estático por eso sólo destripe el binario sin analizar conexiones y demás, se me paso lo de comparar los hashes

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

 

¿Te gustó el post? COMPARTILO!



Análisis de Malware: Enfoque y caso práctico | Seguridad Informática

Iniciado por Expermicid

Respuestas: 2
Vistas: 3800
Último mensaje Agosto 21, 2014, 10:43:22 pm
por WhiZ
Análisis de Malware(Dynamic Analysis) [Parte 2]

Iniciado por fudmario

Respuestas: 1
Vistas: 3111
Último mensaje Febrero 04, 2014, 01:11:24 pm
por hikari
Análisis de Malware(Static Analysis) [Parte 1]

Iniciado por fudmario

Respuestas: 4
Vistas: 3645
Último mensaje Marzo 20, 2014, 02:13:04 pm
por pimeo
Análisis de un malware que detecta el entorno virtual

Iniciado por Gabriela

Respuestas: 3
Vistas: 2892
Último mensaje Agosto 18, 2016, 12:08:20 pm
por Unname
Ransomware: Análisis de Malware by fudmario

Iniciado por fudmario

Respuestas: 1
Vistas: 2702
Último mensaje Junio 29, 2014, 08:39:24 pm
por blackdrake