Conociendo sobre malware V - The Hunting

1 comment
Ahora con esta 3 entrega de parte de Fudmario en la cual nos inmersa en el proceso de análisis de malware por medio de técnicas de análisis para poder detectar estas entradas que vaya realizando fudmario iremos traendolas es por ello que cada una se realizara un recopilatorio de las entradas relacionadas.

LISTA DE ENTRADAS:

1.- Análisis de Malware (Static Analysis I)
2.- Análisis de Malware (Static Analysis II)



Hola a todos, hoy vamos a ver algunas tecnicas más para el Análisis de Malware, asi de alguna u otra forma no depender tanto de los Antivirus y como siempre tratando de sea lo mas comprensible.

Recordaran que en los dos talleres sobre "Análisis de Malware", obtuvimos toda la informacion del server(nJrat v0.6.4) y procedimos quitar al malware tan solo Redireccionado las conexiones a localhost y como no tenia Contraseña ese RAT fue bien sencillo quitarlo, bueno por ahi me preguntaron: Y si tiene contraseña el server? se puede? ...tambien se puede cuando tiene Contraseña, hoy veremos una forma.


En general muchos siempre cuando descargan aplicaciones lo primero que hacen es ejecutarlo sin antes revisarlo,grave error, antes se debe tratar de obtener información acerca de lo que ejecutemos en nuestra PC, para así evitar perdida de información, a continuacion veremos que es lo que hariamos en este Caso.



Malware Sample #1



  
Accidentalmente ejecute una aplicación en una maquina virtual, Ahora bien debemos determinar si el archivo es malicioso, si realiza conexiones, registros,etc... lo de siempre, asi que vamos a probar con los RATs más comunes, utilizaremos el "Scan-Rat by fudmario", pueden obtenerlo Aquí.



"Como no tengo .NetFrameWork instalado en la virtual, lo ejecutaré en mi PC Real en una SandBox para sacar la información necesaria con el Scan Rat"




Observamos que se trata del "Spynet v2.6", ahora que sabemos donde se ha instalado, Registro para su ejecución después del Reinicio, lo que nos queda será matar el proceso (Aquí dejo el link de Kill Process que hice) y borrar todo rastro de este RAT, pero les mostraré una forma mas interesante de hacerlo, ¿Comó? mediante un "Volcado de Memoria".


Bueno Explico, si el archivo no estuviese cifrado esto sería un poco más Fácil, lo haríamos con un editor HexaDecimal mirando las Strings del archivo, ahora con el "Volcado de Memoria" intentaremos obtener información que no pueda ayudar.



Utilizaremos "DumpIt" para el volcado de memoria, utilizado para Análisis Forense, es pequeño, portable y fácil de usar, si ustedes quieren pueden probar a usar otros.
depende de la memoria puede tomar algo de tiempo al momento del Volcado.




Una vez que haya finalizado, el archivo lo pasaremos al Editor Hexadecimal(), y buscaremos cadenas de texto que nos pueda dar informacion útil.
Para no buscar y buscar en todo el archivo solo extraje poca información usando esos 2 filtros, pero en el archivo(.raw) encotraras más información.


Filtrando un poco más  nos encontramos con esto.


Reportes:

[ 1 ] Reporte de Scan-Rat by fudmario:

Código:
[Info]
    [+] SpyNet 
    [+] Version - v2.6
    [+]  Found Malicious Files
¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬¬
[Dropped - File]
    [+]  C:\Program Files\updater\servercito.exe
    [+]  C:\Users\fudmario\AppData\Roaming\logs.dat
[StartUp]
    [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
    [+]  HKLM\Software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run => C:\Program Files\updater\servercito.exe
    [+]  HKCU\Software\microsoft\Windows\CurrentVersion\Run => C:\Program Files\updater\servercito.exe
[Active Setup]
[+]  StubPath -> C:\Program Files\updater\servercito.exe

   
[ 2 ] Reporte del Volcado de Memoria:

Filtrando todo el archivo(.raw), obtuvimos lo siguiente:

Código:
- FileName: servercito.exe
- Pass: abcd1234
- Host: adobe-updaterx300.no-ip.biz
- Port: 667


Ya sabiendo de que Rat se trata y conociendo el Host, puerto, y la contraseña lo que haremos será redireccionar todas las conexiones a localhost mediante ApateDNS y des-instalarlo con el propio Spynet(Otra vez como no tengo .NetFrameWork no podré ejecutar el ApateDNS así que solo les mostraré como sería desde  Win7).





------------------------------------------------------------------------------------------
Eso es todo amigos,trate de ser lo más claro en la explicación y espero que sirva de ayuda, cualquier duda, sugerencia, critica, aqui estamos para ayudar.
------------------------------------------------------------------------------------------


Autor: Fudmario.

Regards,
Snifer

1 comentario

  1. como obtenes las cadenas en el volcado, si spynet usa rc4 ,en el dump deberian aparecer encryptadas?

    ResponderEliminar