elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Análisis y Diseño de Malware (Moderador: fary)
| | |-+  Recopilar infromación de malware
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: Recopilar infromación de malware  (Leído 8,446 veces)
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Recopilar infromación de malware
« en: 9 Enero 2013, 15:47 pm »

Encontre un usuario en otro lugar que publico troyanos y decia que era una hacktool para hackear facebook, y era un verdadero troyano.

Quería llegar un paso más lejos y quería obtener la ip del atacante, pense en poner una maquina virtual y con netstat mirar que puerto estaba abierto pero antes querñia preguntar si hay alguna web o programa que ayude en esta tarea.

Mchas grcias pr todo.
En línea

r32
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: Recopilar infromación de malware
« Respuesta #1 en: 9 Enero 2013, 15:55 pm »

Ponlo en máquina virtual y coloca un snifer tipo Wireshark, con netstat verás hacia donde conecta pero no si va descargando nuevos ficheros o lo que se le ocurra, a parte de ver la IP.

Wireshark: http://www.wireshark.org/download.html

Si tienes un equipo para estas tareas puedes utilizar el programa "SysAnalyzer", infectará tu sistema pero lo verás todo a tiempo real. Si la muestra de malware lleva "antisandbox", no se ejecutará y no realizará ninguna modificación ni conexión.
Sysanalyzer:
http://sandsprite.com/tools.html
http://sandsprite.com/CodeStuff/SysAnalyzer_Setup.exe

Saludos.
En línea

0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Recopilar infromación de malware
« Respuesta #2 en: 9 Enero 2013, 15:59 pm »

Si te gusta la ingenieria inversa podrias tratar de hacerlo tu mismo, con un debugger, paciencia y cuidado quiza puedas averiguar la IP a la que se conecta.

Saludos.
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: Recopilar infromación de malware
« Respuesta #3 en: 9 Enero 2013, 16:02 pm »

Si te gusta la ingenieria inversa podrias tratar de hacerlo tu mismo, con un debugger, paciencia y cuidado quiza puedas averiguar la IP a la que se conecta.

Saludos.

Mire un poco los strings, y en los strings se puee ver que se copia el registro, intenta escalar privilegios, tiene una password y que detecta el sistema operativo y crea shels... Pero no sale la ip.
En línea

0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Recopilar infromación de malware
« Respuesta #4 en: 9 Enero 2013, 16:45 pm »

Mire un poco los strings, y en los strings se puee ver que se copia el registro, intenta escalar privilegios, tiene una password y que detecta el sistema operativo y crea shels... Pero no sale la ip.

Seguramente estara cifrada, si no podrias pillarlo solo mirando los strings  :xD Por eso el debugger, en algun momento la tiene que descifrar para usarla.

Saludos.
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: Recopilar infromación de malware
« Respuesta #5 en: 9 Enero 2013, 17:29 pm »

Seguramente estara cifrada, si no podrias pillarlo solo mirando los strings  :xD Por eso el debugger, en algun momento la tiene que descifrar para usarla.

Saludos.

Ya lo supuse pero no tengo tanto tiempo XD

En la maquina virtual el troyano no se ejecuta,supongo que es para evitar que lo estudien.
En línea

0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Recopilar infromación de malware
« Respuesta #6 en: 9 Enero 2013, 17:52 pm »

Ya lo supuse pero no tengo tanto tiempo XD

En la maquina virtual el troyano no se ejecuta,supongo que es para evitar que lo estudien.

Si, por lo que he visto no es muy dificil detectar cuando estas corriendo en una VM o sandbox.
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
Stakewinner00


Desconectado Desconectado

Mensajes: 1.426



Ver Perfil WWW
Re: Recopilar infromación de malware
« Respuesta #7 en: 9 Enero 2013, 18:07 pm »

Supongo que tocara hacer correr el virus en un windows sin maquina virtual o intentar hacerle reversing
En línea

0xDani


Desconectado Desconectado

Mensajes: 1.077



Ver Perfil
Re: Recopilar infromación de malware
« Respuesta #8 en: 9 Enero 2013, 18:31 pm »

Supongo que tendra que descifrar la IP antes de conectarse, asi que puedes ir buscando con el debugger el punto en el que la desencripte y luego sacar los strings, luego matar el proceso y destruirlo para que no envie nada ni llegue a conectar.

Saludos.
En línea

I keep searching for something that I never seem to find, but maybe I won't, because I left it all behind!

I code for $$$
Hago trabajos en C/C++
Contactar por PM
ahaugas

Desconectado Desconectado

Mensajes: 70



Ver Perfil
Re: Recopilar infromación de malware
« Respuesta #9 en: 9 Enero 2013, 21:45 pm »

has probado con un firewall que te avise las conexiones con las alertas?
por ejemplo comodo firewall, configuralo para que cualquier tipo de conexion se te avise, te digo porque este firewall es muy bueno.

o como dicen mas arriba wireshark, puedes hacer un filtro de tcpip de tu maquina para descartar conexiones locales y despues por http ftp o ssh... u tros...o optaria por http.

otra opcion seria el resource hacker o el win32dasm ya que CASI NADIE LE PROGRAMA ANTIS...

si el resource hacker te dice que el ejecutable esta protegido con compresores de EXE usa el upx para descomprimirlo...

como puedes ver hay un monton de tecnicas muy sencillas...... y muchas mas
En línea

no subestimar al mas debil ya que tendra otras experiencias
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Alguien me ayuda a recopilar datos sobre el tema de las Orange-xxxx ? « 1 2 »
Wireless en Windows
El_Andaluz 13 20,365 Último mensaje 17 Agosto 2013, 23:24 pm
por GOolden
La Agencia de Seguridad de Estados Unidos, acusada de recopilar datos de los ...
Noticias
wolfbcn 0 1,605 Último mensaje 31 Julio 2012, 21:47 pm
por wolfbcn
Tu PS4 empezará a recopilar datos
Noticias
wolfbcn 0 1,493 Último mensaje 17 Abril 2018, 14:10 pm
por wolfbcn
Atacame, Recopilar informacion « 1 2 »
Bugs y Exploits
wfelipew 10 8,043 Último mensaje 8 Junio 2018, 18:47 pm
por #!drvy
Como puedo ver la infromacion de un red wifi?
Hacking Wireless
Panic0 1 3,027 Último mensaje 12 Agosto 2020, 13:33 pm
por Machacador
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines