fudmario Posted February 12, 2014 Share Posted February 12, 2014 The Hunting - by fudmario [1/2] Análisis de Malware [parte III] Hola a todos, hoy vamos a ver algunas tecnicas más para el Análisis de Malware, asi de alguna u otra forma no depender tanto de los Antivirus y como siempre tratando de que sea lo mas comprensible. This is the hidden content, please Sign In or Sign Up Análisis de Malware(Dynamic Analysis) [Parte 2] by fudmario Recordaran que en los dos talleres sobre "Análisis de Malware", obtuvimos toda la informacion del server(nJrat v0.6.4) y procedimos quitar al malware tan solo Redireccionado las conexiones a localhost y como no tenia Contraseña ese RAT fue bien sencillo quitarlo, bueno por ahi me preguntaron: Y si tiene contraseña el server? se puede? ...tambien se puede cuando tiene Contraseña, hoy veremos una forma. En general muchos siempre cuando descargan aplicaciones lo primero que hacen es ejecutarlo sin antes revisarlo,grave error, antes se debe tratar de obtener información acerca de lo que ejecutemos en nuestra PC, para así evitar perdida de información, a continuacion veremos que es lo que hariamos en este Caso. Malware Sample #1 Accidentalmente ejecute una aplicación en una maquina virtual, Ahora bien debemos determinar si el archivo es malicioso, si realiza conexiones, registros,etc... lo de siempre, asi que vamos a probar con los RATs más comunes, utilizaremos el "Scan-Rat by fudmario", pueden obtenerlo This is the hidden content, please Sign In or Sign Up . "Como no tengo .NetFrameWork instalado en la virtual, lo ejecutaré en mi PC Real en una SandBox para sacar la información necesaria con el Scan Rat" This is the hidden content, please Sign In or Sign Up Observamos que se trata del "Spynet v2.6", ahora que sabemos donde se ha instalado, Registro para su ejecucion despues del Reinicio, lo que nos queda será matar el proceso(Aqui dejo el link de This is the hidden content, please Sign In or Sign Up ) y borrar todo rastro de este RAT, pero les mostraré una forma mas interesante de hacerlo, ¿Comó? mediante un "Volcado de Memoria". Bueno Explico, si el archivo no estuviese encryptado esto sería un poco más Fácil, lo hariamos con un editor HexaDecimal mirando las Strings del archivo, ahora con el "Volcado de Memoria" intentaremos obtener informacion que no pueda ayudar. Utilizaremos "DumpIt" para el volcado de memoria, utilizado para Análsis Forense, es pequeño, portable y fácil de usar, si ustedes quieren pueden probar a usar otros. depende de la memoria puede tomar algo de tiempo al momento del Volcado. This is the hidden content, please Sign In or Sign Up Una vez que haya finalizado, el archivo lo pasaremos al Editor Hexadecimal, y buscaremos cadenas de texto que nos pueda dar informacion útil. Para no buscar y buscar en todo el archivo solo extraje poca información usando esos 2 filtros, pero en el archivo(.raw) encotraras más información. This is the hidden content, please Sign In or Sign Up Filtrando un poco más nos encontramos con esto. This is the hidden content, please Sign In or Sign Up Reportes: [ 1 ] Reporte de Scan-Rat by fudmario: This is the hidden content, please Sign In or Sign Up [ 2 ] Reporte del Volcado de Memoria: Filtrando todo el archivo(.raw), obtuvimos lo siguiente: This is the hidden content, please Sign In or Sign Up Ya sabiendo de que Rat se trata y conociendo el Host, puerto, y la contraseña lo que haremos será redireccionar todas las conexiones a localhost mediante ApateDNS y des-instalarlo con el propio Spynet(Otra vez como no tengo .NetFrameWork no podré ejecutar el ApateDNS así que solo les mostraré como sería desde Win7). This is the hidden content, please Sign In or Sign Up ------------------------------------------------------------------------------------------ Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar. ------------------------------------------------------------------------------------------ Autor: Fudmario. PD: "Si alguien decide llevar este tutorial a otros lados,se pide respetar el Autor y la Fuente de la misma". Link to comment Share on other sites More sharing options...
fudmario Posted February 12, 2014 Author Share Posted February 12, 2014 Malware Sample #2 Malware Sample #2 Ahora tenemos otro archivo para revisar. This is the hidden content, please Sign In or Sign Up Viendo con el RDG Packer Detector, se puede notar que se trata de una aplicacion que esta creada en VB.NET y ademas esta protegido por "Confuser v1.9". This is the hidden content, please Sign In or Sign Up El método para limpiarlo ya lo habiamos visto en el taller 1,así que voy a omitir el paso. Una vez quitado esa proteccion, lo pasaremos a el reflector. Vemos un enlace a una Aplicación y que al parecer descarga y copia en "C:\" luego lo ejecuta(en la imagen me equivoque y no cambie el modo "Visual Basic" pero se entiende). con esto quedá claro que se trata de un Downloader. This is the hidden content, please Sign In or Sign Up Ahora vamos a ir a esa direccion a descargar esa aplicacion, para ver que que es lo que hace ese ejecutable. This is the hidden content, please Sign In or Sign Up Pues nada igual que el otro protegido por Confuser, lo limpiamos y ahi obtenemos lo siguiente: This is the hidden content, please Sign In or Sign Up Se trata de nJRat v0.7d, y con eso tenemos todos los datos del server(host,puerto,ruta de instalación, etc...) podemos ejecutar para probar, pero para no ser tan repetitivos usando una y otra vez ApateDNS, vamos a hacer otra cosa interesante. como el archivo lo tenemos Cargado en el .NetReflector, vamos a usar un plugin para el Reflector de Red Gate, se llama Reflexil(más información This is the hidden content, please Sign In or Sign Up ) Nos Vamos a la Pestaña Tools -> Add-Ins y ahi cargamos el Reflexil y luego procederemos a usarlo. This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up En la parte de abajo vemos que se puede visualizar igualmente que sin cargarlo, lo interesante de esto es que con esto podemos modificarlo de tal forma que en vez de que se Conecte a ese sitio re-direccionaremos a localhost, ¿comó?, fácil le damos click derecho al host donde se conecta y luego le daremos en Edit. ("Tambien podemos modificar el puerto y otras cosass más") Ahi podremos Cambiarlo una vez modificado le damos a "UPDATE". This is the hidden content, please Sign In or Sign Up This is the hidden content, please Sign In or Sign Up Para guardar lo que modificamos, de la misma forma. This is the hidden content, please Sign In or Sign Up Con esto ya podemos ejecutar si temor a que conecte a algun host maligno, o descargue otros Malwares. ------------------------------------------------------------------------------------------ Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar. ------------------------------------------------------------------------------------------ Autor: Fudmario. Link to comment Share on other sites More sharing options...
.webp.8407a83ac96563f75e1c428a1f0d4c3e.webp)
.webp.9a04cec050a656fab081ac190f971c3f.webp)
Hack Tools Resurrection
Recommended Posts