Underc0de

[In]Seguridad Informática => Análisis y desarrollo de malwares => Tutoriales y Manuales de Malwares => Mensaje iniciado por: fudmario en Febrero 04, 2014, 02:45:53 AM

Título: The Hunting-by fudmario
Publicado por: fudmario en Febrero 04, 2014, 02:45:53 AM
The Hunting - by fudmario [1/2]

Análisis de Malware parte III



Hola a todos, hoy vamos a ver algunas tecnicas más para el Análisis de Malware, asi de alguna u otra forma no depender tanto de los Antivirus y como siempre tratando de sea lo mas comprensible.

Si no viste los dos anteriores aqui les dejo los links:

http://underc0de.org/foro/malware/analisis-de-malware(static-analysis)-(parte-1)/

http://underc0de.org/foro/malware/analisis-de-malware(dynamic-analysis)-(parte-2)/

Recordaran que en los dos talleres sobre "Análisis de Malware", obtuvimos toda la informacion del server(nJrat v0.6.4) y procedimos quitar al malware tan solo Redireccionado las conexiones a localhost y como no tenia Contraseña ese RAT fue bien sencillo quitarlo, bueno por ahi me preguntaron: Y si tiene contraseña el server? se puede? ...tambien se puede cuando tiene Contraseña, hoy veremos una forma.

En general muchos siempre cuando descargan aplicaciones lo primero que hacen es ejecutarlo sin antes revisarlo,grave error, antes se debe tratar de obtener información acerca de lo que ejecutemos en nuestra PC, para así evitar perdida de información, a continuacion veremos que es lo que hariamos en este Caso.

Malware Sample #1

 
Accidentalmente ejecute una aplicación en una maquina virtual, Ahora bien debemos determinar si el archivo es malicioso, si realiza conexiones, registros,etc... lo de siempre, asi que vamos a probar con los RATs más comunes, utilizaremos el "Scan-Rat by fudmario", pueden obtenerlo Aquí (http://underc0de.org/foro/seguridad/scan-rat-v1-0by-fudmario/).

"Como no tengo .NetFrameWork instalado en la virtual, lo ejecutaré en mi PC Real en una SandBox para sacar la información necesaria con el Scan Rat"

(http://i.imgur.com/Wl7UItK.png)

Observamos que se trata del "Spynet v2.6", ahora que sabemos donde se ha instalado, Registro para su ejecucion despues del Reinicio, lo que nos queda será matar el proceso(Aqui dejo el link de Kill Process (http://underc0de.org/foro/seguridad/kill-process-v1-0-by-fudmario/) que hice) y borrar todo rastro de este RAT, pero les mostraré una forma mas interesante de hacerlo, ¿Comó? mediante un "Volcado de Memoria".

Bueno Explico, si el archivo no estuviese encryptado esto sería un poco más Fácil, lo hariamos con un editor HexaDecimal mirando las Strings del archivo, ahora con el "Volcado de Memoria" intentaremos obtener informacion que no pueda ayudar.

Utilizaremos "DumpIt" para el volcado de memoria, utilizado para Análsis Forense, es pequeño, portable y fácil de usar, si ustedes quieren pueden probar a usar otros.
depende de la memoria puede tomar algo de tiempo al momento del Volcado.

(http://i.imgur.com/uBE8m23.png)
Una vez que haya finalizado, el archivo lo pasaremos al Editor Hexadecimal(), y buscaremos cadenas de texto que nos pueda dar informacion útil.
Para no buscar y buscar en todo el archivo solo extraje poca información usando esos 2 filtros, pero en el archivo(.raw) encotraras más información.

(http://i.imgur.com/Y08Zi7W.png)

Filtrando un poco más  nos encontramos con esto.

(http://i.imgur.com/0bt6FlJ.png)

Reportes:

[ 1 ] Reporte de Scan-Rat by fudmario:

[Info]
    [+] SpyNet 
    [+] Version - v2.6
    [+]  Found Malicious Files
¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬
[Dropped - File]
    [+]  C:\Program Files\updater\servercito.exe
    [+]  C:\Users\fudmario\AppData\Roaming\logs.dat
[StartUp]
    [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
    [+]  HKLM\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
    [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Run => C:\Program Files\updater\servercito.exe
[Active Setup]
[+]  StubPath -> C:\Program Files\updater\servercito.exe


   
[ 2 ] Reporte del Volcado de Memoria:

Filtrando todo el archivo(.raw), obtuvimos lo siguiente:

- FileName: servercito.exe
- Pass: abcd1234
- Host: adobe-updaterx300.no-ip.biz
- Port: 667




Ya sabiendo de que Rat se trata y conociendo el Host, puerto, y la contraseña lo que haremos será redireccionar todas las conexiones a localhost mediante ApateDNS y des-instalarlo con el propio Spynet(Otra vez como no tengo .NetFrameWork no podré ejecutar el ApateDNS así que solo les mostraré como sería desde  Win7).


(http://i.imgur.com/HR0p82P.png)



------------------------------------------------------------------------------------------
Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar.
------------------------------------------------------------------------------------------


Autor: Fudmario.


PD: "Si alguien decide llevar este tutorial a otros lados,se pide respetar el Autor y la Fuente de la misma".
Título: Re:The Hunting-by fudmario
Publicado por: fudmario en Febrero 04, 2014, 11:00:22 AM

Malware Sample #2

Ahora tenemos otro archivo para revisar.

(http://i.imgur.com/CsgzVIJ.png)

Viendo con el RDG Packer Detector, se puede notar que se trata de una aplicacion que esta creada en VB.NET y ademas esta protegido por "Confuser v1.9".


(http://i.imgur.com/m9damc1.png)

El método  para limpiarlo ya lo habiamos visto en el taller 1,así que voy a omitir el paso. Una vez quitado esa proteccion, lo pasaremos a el reflector.
Vemos un enlace a una Aplicación y que al parecer descarga y copia en "C:\" luego lo ejecuta(en la imagen me equivoque y no cambie el modo "Visual Basic" pero se entiende).

con esto quedá claro que se trata de un Downloader.

(http://i.imgur.com/eciEzZu.png)
Pues ahora vamos a ir a esa direccion a descargar esa aplicacion, para ver que  que es lo que hace ese ejecutable.

(http://i.imgur.com/jy38xoE.png)

Pues nada igual que el otro protegido por Confuser, lo limpiamos y ahi obtenemos lo siguiente:

(http://i.imgur.com/dmkGzKQ.png)


Pues se trata de nJRat v0.7d, y con eso tenemos todos los datos del server(host,puerto,ruta de instalación, etc...) podemos ejecutar para probar, pero para no ser tan repetitivos usando una y otra vez ApateDNS, vamos a hacer otra cosa interesante.

como el archivo lo tenemos Cargado en el .NetReflector, vamos a usar un plugin para el Reflector de Red Gate, se llama Reflexil(más información Aqui) http://sourceforge.net/projects/reflexil/

Nos Vamos a la Pestaña Tools -> Add-Ins y ahi cargamos el Reflexil y luego procederemos a usarlo.

(http://i.imgur.com/xOnsoz2.png)

(http://i.imgur.com/Fd2NVz4.png)

En la parte de abajo vemos que se puede visualizar igualmente que sin cargarlo, lo interesante de esto es que con esto podemos modificarlo de tal forma que en vez de que se Conecte a ese sitio re-direccionaremos a localhost, ¿comó?, fácil le damos click derecho al host donde se conecta y luego le daremos en Edit.
("Tambien podemos modificar el puerto y otras cosass más")

Ahi podremos Cambiarlo una vez modificado le damos a "UPGRADE".

(http://i.imgur.com/vo8dqXJ.png)

(http://i.imgur.com/3Ht85dg.png)

Para guardar lo que modificamos, de la misma forma.

(http://i.imgur.com/lW0qhJ6.png)


Con esto ya podemos ejecutar si temor a que conecte a algun host maligno, o descargue otros Malwares.
Título: Re:The Hunting-by fudmario
Publicado por: ANTRAX en Febrero 04, 2014, 11:02:29 AM
Excelente aporte fudmario! Esta fenomenal!