|
Título: Destripando/ Analizando un ejecutable [By TokioDrift] Publicado por: invisible_hack en 16 Mayo 2010, 20:20 pm En esta primera parte vamos analizar el ejecutable con un editor Hexadecimal para ver como esta compuesto el mismo, en este caso el ejecutable aparenta ser un Keygen pero... Realmente lo Sera? Veamos.
(http://i30.tinypic.com/6fmqhk.png) Bueno Aca Tendremos 2 cuadros Son los mismo, represantan lo mismo con la unica diferencia que uno podremos leer xD, que es el de la derecha. (http://i27.tinypic.com/oqx4zk.png) Los ExitProcess, Kernel32.dll, esos son offset que son fundamentales para el funcionamiento del archivo Bien Comunmente un archivo malicioso se compone minimo de: -Una IP o No-Ip que son para redireccionar a ellos -Modificaciones en el Registro -Procesos a Injectarse Bien empezemos a Explorar el Archivo, vemos que no hay nada sospechoso. Seguimos Mirando..... (http://i30.tinypic.com/vgu2vq.png) STOP!!!, Nos encontramos con esto: (http://i30.tinypic.com/90zggp.png) Y Aca pensamos: para que queria un Supuesto keygen, tener una No-IP, crear entradas en el Registro y para que queria utilizar los archivos: SisNet.exe <------------ Archivo A Crear msnmsgr.exe <--------- Archivo a Injectar y/o Crear Ya con esto nos damos cuenta de que no es un simple "Keygen", Pero sigamos investigando Vemos que crean 2 entradas mas Pero ¿Que Son? (http://i27.tinypic.com/e7kk28.png) Ya con esto podemos Sacar la conclusion de que no es un keygen y es solo un Troyano para poder manipularnos la pc. Pero Con Estos Nombres: SisNet.exe <------------ Archivo A Crear msnmsgr.exe <--------- Archivo a Injectar y/o Crear ¿Que sabremos que hace cada uno? Veamoslo, si todo lo que comprobamos es verdad. En mi caso lo voy a ejecutar en mi pc, pero les recomiendo que lo ejecuten en una maquina virtual para que no les afecte en nada. Archivo Ejecutado, Veamos en las carpetas System, System32 o otras comunes si se produjo un cambio: Sorpresa!, 2 Archivos "SisNet" Aparecieron en C:\Windows SisNet.exe <------------ Archivo A Crear msnmsgr.exe <--------- Archivo a Injectar (http://i31.tinypic.com/s6lxn9.png) Listo, pero si tenia el Msn cerrado en que proceso se injecto? La mayoria de los RAT al fallar en el proceso de injeccion, se injectan en el iexplore, o FireFox. Miren: (http://i26.tinypic.com/a423ax.png) Ahora Veamos si realmente Se inicia en Nuestro sistema para eso vamos a Inicio> Ejecutar y vamos a la ruta que nos indicaba el Editor Hexadecimal. (http://i29.tinypic.com/2hgg2ns.png) Y Si, nos encontramos con el mismo SisNet. que se nos habia creado. Lo Ven? Ahora solo tendremos que entrar a modo seguro al sistema y elimar los 2 Archivos y las entradas Wink. Ya Con la No-Ip en nuestras manos podemos denunciarla por abuso, para eso nos dirigimos a la pagina de no-ip.com para realizar la denuncia este es el enlace directo: http://www.no-ip.com/company/contact-us (http://i31.tinypic.com/6r6ihj.png) Luego Ya se eliminara esa cuenta de no-ip y la persona que nos controlaba con su troyano no podra hacerlo mas. Autor: TokioDrift Fuente: PortalHacker.net [OFFTOPIC] Estuve dudando si poner el tutorial aqui, o en la sección de seguridad...si algún Mod considera que está mejor en Seguridad, que lo mueva ;) [/OFFTOPIC] Título: Re: Destripando/ Analizando un ejecutable [By TokioDrift] Publicado por: [Zero] en 16 Mayo 2010, 21:32 pm Es el poison :xD.
Ta bien el tuto, aunque en la mayoría de los casos el malware estaría cifrado y el archivo final empacado, no serviría con simplemente echar una ojeada con el editor hexadecimal. Saludos Título: Re: Destripando/ Analizando un ejecutable [By TokioDrift] Publicado por: skapunky en 16 Mayo 2010, 22:26 pm Justamente lo que he pensado al mirar el tutorial, y si las cadenas están cifradas? De todas formas también en el tutorial se da como supuesto que el troyano se copia en claves de autoarranque...puede ser que la lea y no se copie y por eso sale el string, eso se debería justificar posteriórmente con el análisis dinámico que lo hace al final.
Por cierto, no sabia que se podían reportar cuentas no-Ip, me voy a pegar un jarton de reportes :xD Título: Re: Destripando/ Analizando un ejecutable [By TokioDrift] Publicado por: dof en 18 Mayo 2010, 16:40 pm muy facil su deteccion, lo raro es que no este empaquetado /encritpado.
Título: Re: Destripando/ Analizando un ejecutable [By TokioDrift] Publicado por: gpeer3hq en 18 Mayo 2010, 23:33 pm Bueno, el tuto esta bien redactado y aunque no era precisamente lo que andaba buscando. De cierto modo me impulso a investigar más sobre el tema. No cabe duda que siempre se aprende algo nuevo.
Por muy pequeña que sea la curiosidad, basta con seguir aportando al foro. Salu2 Título: Re: Destripando/ Analizando un ejecutable [By TokioDrift] Publicado por: kHRYSTAL en 7 Junio 2010, 04:50 am Es el poison :xD. Ta bien el tuto, aunque en la mayoría de los casos el malware estaría cifrado y el archivo final empacado, no serviría con simplemente echar una ojeada con el editor hexadecimal. Saludos Justamente lo que he pensado al mirar el tutorial, y si las cadenas están cifradas? De todas formas también en el tutorial se da como supuesto que el troyano se copia en claves de autoarranque...puede ser que la lea y no se copie y por eso sale el string, eso se debería justificar posteriórmente con el análisis dinámico que lo hace al final. Por cierto, no sabia que se podían reportar cuentas no-Ip, me voy a pegar un jarton de reportes :xD La 3 parte la estoy haciendo pero se analiza con el Olly ;) Ademas la hice en CPH LOL no hay tanto nivel para hacer algo exagerado xDDD Ps. Hay 2da parte Tambien :F |