comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

The Hunting-by fudmario

  • 2 Respuestas
  • 2852 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 193
  • Actividad:
    0%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« en: Febrero 04, 2014, 02:45:53 am »
The Hunting - by fudmario [1/2]

Análisis de Malware parte III



Hola a todos, hoy vamos a ver algunas tecnicas más para el Análisis de Malware, asi de alguna u otra forma no depender tanto de los Antivirus y como siempre tratando de sea lo mas comprensible.

Si no viste los dos anteriores aqui les dejo los links:

No tienes permisos para ver links. Registrate o Entra con tu cuenta

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Recordaran que en los dos talleres sobre "Análisis de Malware", obtuvimos toda la informacion del server(nJrat v0.6.4) y procedimos quitar al malware tan solo Redireccionado las conexiones a localhost y como no tenia Contraseña ese RAT fue bien sencillo quitarlo, bueno por ahi me preguntaron: Y si tiene contraseña el server? se puede? ...tambien se puede cuando tiene Contraseña, hoy veremos una forma.
 
En general muchos siempre cuando descargan aplicaciones lo primero que hacen es ejecutarlo sin antes revisarlo,grave error, antes se debe tratar de obtener información acerca de lo que ejecutemos en nuestra PC, para así evitar perdida de información, a continuacion veremos que es lo que hariamos en este Caso.

Malware Sample #1

 
Accidentalmente ejecute una aplicación en una maquina virtual, Ahora bien debemos determinar si el archivo es malicioso, si realiza conexiones, registros,etc... lo de siempre, asi que vamos a probar con los RATs más comunes, utilizaremos el "Scan-Rat by fudmario", pueden obtenerlo No tienes permisos para ver links. Registrate o Entra con tu cuenta.

"Como no tengo .NetFrameWork instalado en la virtual, lo ejecutaré en mi PC Real en una SandBox para sacar la información necesaria con el Scan Rat"


Observamos que se trata del "Spynet v2.6", ahora que sabemos donde se ha instalado, Registro para su ejecucion despues del Reinicio, lo que nos queda será matar el proceso(Aqui dejo el link de No tienes permisos para ver links. Registrate o Entra con tu cuenta que hice) y borrar todo rastro de este RAT, pero les mostraré una forma mas interesante de hacerlo, ¿Comó? mediante un "Volcado de Memoria".

Bueno Explico, si el archivo no estuviese encryptado esto sería un poco más Fácil, lo hariamos con un editor HexaDecimal mirando las Strings del archivo, ahora con el "Volcado de Memoria" intentaremos obtener informacion que no pueda ayudar.

Utilizaremos "DumpIt" para el volcado de memoria, utilizado para Análsis Forense, es pequeño, portable y fácil de usar, si ustedes quieren pueden probar a usar otros.
depende de la memoria puede tomar algo de tiempo al momento del Volcado.

Una vez que haya finalizado, el archivo lo pasaremos al Editor Hexadecimal(), y buscaremos cadenas de texto que nos pueda dar informacion útil.
Para no buscar y buscar en todo el archivo solo extraje poca información usando esos 2 filtros, pero en el archivo(.raw) encotraras más información.


Filtrando un poco más  nos encontramos con esto.


Reportes:

[ 1 ] Reporte de Scan-Rat by fudmario:
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
[Info]
    [+] SpyNet 
    [+] Version - v2.6
    [+]  Found Malicious Files
¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬
[Dropped - File]
    [+]  C:\Program Files\updater\servercito.exe
    [+]  C:\Users\fudmario\AppData\Roaming\logs.dat
[StartUp]
    [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
    [+]  HKLM\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
    [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Run => C:\Program Files\updater\servercito.exe
[Active Setup]
[+]  StubPath -> C:\Program Files\updater\servercito.exe

   
[ 2 ] Reporte del Volcado de Memoria:

Filtrando todo el archivo(.raw), obtuvimos lo siguiente:

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
- FileName: servercito.exe
- Pass: abcd1234
- Host: adobe-updaterx300.no-ip.biz
- Port: 667



Ya sabiendo de que Rat se trata y conociendo el Host, puerto, y la contraseña lo que haremos será redireccionar todas las conexiones a localhost mediante ApateDNS y des-instalarlo con el propio Spynet(Otra vez como no tengo .NetFrameWork no podré ejecutar el ApateDNS así que solo les mostraré como sería desde  Win7).






------------------------------------------------------------------------------------------
Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar.
------------------------------------------------------------------------------------------


Autor: Fudmario.


PD: "Si alguien decide llevar este tutorial a otros lados,se pide respetar el Autor y la Fuente de la misma".
« Última modificación: Noviembre 04, 2014, 06:54:01 am por blackdrake »


Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 193
  • Actividad:
    0%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #1 en: Febrero 04, 2014, 11:00:22 am »
Malware Sample #2

Ahora tenemos otro archivo para revisar.


Viendo con el RDG Packer Detector, se puede notar que se trata de una aplicacion que esta creada en VB.NET y ademas esta protegido por "Confuser v1.9".


El método  para limpiarlo ya lo habiamos visto en el taller 1,así que voy a omitir el paso. Una vez quitado esa proteccion, lo pasaremos a el reflector.
Vemos un enlace a una Aplicación y que al parecer descarga y copia en "C:\" luego lo ejecuta(en la imagen me equivoque y no cambie el modo "Visual Basic" pero se entiende).

con esto quedá claro que se trata de un Downloader.

Pues ahora vamos a ir a esa direccion a descargar esa aplicacion, para ver que  que es lo que hace ese ejecutable.

Pues nada igual que el otro protegido por Confuser, lo limpiamos y ahi obtenemos lo siguiente:



Pues se trata de nJRat v0.7d, y con eso tenemos todos los datos del server(host,puerto,ruta de instalación, etc...) podemos ejecutar para probar, pero para no ser tan repetitivos usando una y otra vez ApateDNS, vamos a hacer otra cosa interesante.

como el archivo lo tenemos Cargado en el .NetReflector, vamos a usar un plugin para el Reflector de Red Gate, se llama Reflexil(más información Aqui) No tienes permisos para ver links. Registrate o Entra con tu cuenta

Nos Vamos a la Pestaña Tools -> Add-Ins y ahi cargamos el Reflexil y luego procederemos a usarlo.




En la parte de abajo vemos que se puede visualizar igualmente que sin cargarlo, lo interesante de esto es que con esto podemos modificarlo de tal forma que en vez de que se Conecte a ese sitio re-direccionaremos a localhost, ¿comó?, fácil le damos click derecho al host donde se conecta y luego le daremos en Edit.
("Tambien podemos modificar el puerto y otras cosass más")

Ahi podremos Cambiarlo una vez modificado le damos a "UPGRADE".



Para guardar lo que modificamos, de la misma forma.


Con esto ya podemos ejecutar si temor a que conecte a algun host maligno, o descargue otros Malwares.


Desconectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5401
  • Actividad:
    36.67%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #2 en: Febrero 04, 2014, 11:02:29 am »
Excelente aporte fudmario! Esta fenomenal!


 

¿Te gustó el post? COMPARTILO!



Anti-Anti Virtuales by fudmario

Iniciado por fudmario

Respuestas: 6
Vistas: 3249
Último mensaje Mayo 29, 2015, 09:16:19 pm
por elshotta
Android: Análisis de Malware | by fudmario

Iniciado por fudmario

Respuestas: 2
Vistas: 2264
Último mensaje Agosto 14, 2014, 12:00:41 am
por fudmario
Downloader, ¿Qué es?, ¿Cómo Crearlo? by fudmario

Iniciado por fudmario

Respuestas: 11
Vistas: 5500
Último mensaje Febrero 13, 2018, 05:53:42 pm
por angrymasther
Ransomware: Análisis de Malware by fudmario

Iniciado por fudmario

Respuestas: 1
Vistas: 2301
Último mensaje Junio 29, 2014, 08:39:24 pm
por blackdrake