|
Título: Recopilar infromación de malware Publicado por: Stakewinner00 en 9 Enero 2013, 15:47 pm Encontre un usuario en otro lugar que publico troyanos y decia que era una hacktool para hackear facebook, y era un verdadero troyano.
Quería llegar un paso más lejos y quería obtener la ip del atacante, pense en poner una maquina virtual y con netstat mirar que puerto estaba abierto pero antes querñia preguntar si hay alguna web o programa que ayude en esta tarea. Mchas grcias pr todo. Título: Re: Recopilar infromación de malware Publicado por: r32 en 9 Enero 2013, 15:55 pm Ponlo en máquina virtual y coloca un snifer tipo Wireshark, con netstat verás hacia donde conecta pero no si va descargando nuevos ficheros o lo que se le ocurra, a parte de ver la IP.
Wireshark: http://www.wireshark.org/download.html Si tienes un equipo para estas tareas puedes utilizar el programa "SysAnalyzer", infectará tu sistema pero lo verás todo a tiempo real. Si la muestra de malware lleva "antisandbox", no se ejecutará y no realizará ninguna modificación ni conexión. Sysanalyzer: http://sandsprite.com/tools.html http://sandsprite.com/CodeStuff/SysAnalyzer_Setup.exe Saludos. Título: Re: Recopilar infromación de malware Publicado por: 0xDani en 9 Enero 2013, 15:59 pm Si te gusta la ingenieria inversa podrias tratar de hacerlo tu mismo, con un debugger, paciencia y cuidado quiza puedas averiguar la IP a la que se conecta.
Saludos. Título: Re: Recopilar infromación de malware Publicado por: Stakewinner00 en 9 Enero 2013, 16:02 pm Si te gusta la ingenieria inversa podrias tratar de hacerlo tu mismo, con un debugger, paciencia y cuidado quiza puedas averiguar la IP a la que se conecta. Saludos. Mire un poco los strings, y en los strings se puee ver que se copia el registro, intenta escalar privilegios, tiene una password y que detecta el sistema operativo y crea shels... Pero no sale la ip. Título: Re: Recopilar infromación de malware Publicado por: 0xDani en 9 Enero 2013, 16:45 pm Mire un poco los strings, y en los strings se puee ver que se copia el registro, intenta escalar privilegios, tiene una password y que detecta el sistema operativo y crea shels... Pero no sale la ip. Seguramente estara cifrada, si no podrias pillarlo solo mirando los strings :xD Por eso el debugger, en algun momento la tiene que descifrar para usarla. Saludos. Título: Re: Recopilar infromación de malware Publicado por: Stakewinner00 en 9 Enero 2013, 17:29 pm Seguramente estara cifrada, si no podrias pillarlo solo mirando los strings :xD Por eso el debugger, en algun momento la tiene que descifrar para usarla. Saludos. Ya lo supuse pero no tengo tanto tiempo XD En la maquina virtual el troyano no se ejecuta,supongo que es para evitar que lo estudien. Título: Re: Recopilar infromación de malware Publicado por: 0xDani en 9 Enero 2013, 17:52 pm Ya lo supuse pero no tengo tanto tiempo XD En la maquina virtual el troyano no se ejecuta,supongo que es para evitar que lo estudien. Si, por lo que he visto no es muy dificil detectar cuando estas corriendo en una VM o sandbox. Título: Re: Recopilar infromación de malware Publicado por: Stakewinner00 en 9 Enero 2013, 18:07 pm Supongo que tocara hacer correr el virus en un windows sin maquina virtual o intentar hacerle reversing
Título: Re: Recopilar infromación de malware Publicado por: 0xDani en 9 Enero 2013, 18:31 pm Supongo que tendra que descifrar la IP antes de conectarse, asi que puedes ir buscando con el debugger el punto en el que la desencripte y luego sacar los strings, luego matar el proceso y destruirlo para que no envie nada ni llegue a conectar.
Saludos. Título: Re: Recopilar infromación de malware Publicado por: ahaugas en 9 Enero 2013, 21:45 pm has probado con un firewall que te avise las conexiones con las alertas?
por ejemplo comodo firewall, configuralo para que cualquier tipo de conexion se te avise, te digo porque este firewall es muy bueno. o como dicen mas arriba wireshark, puedes hacer un filtro de tcpip de tu maquina para descartar conexiones locales y despues por http ftp o ssh... u tros...o optaria por http. otra opcion seria el resource hacker o el win32dasm ya que CASI NADIE LE PROGRAMA ANTIS... si el resource hacker te dice que el ejecutable esta protegido con compresores de EXE usa el upx para descomprimirlo... como puedes ver hay un monton de tecnicas muy sencillas...... y muchas mas Título: Re: Recopilar infromación de malware Publicado por: Stakewinner00 en 9 Enero 2013, 22:17 pm ahaugas
Pero yo lo que no quiero es infectarme. XD Lo que ya prove es en una maquina virtual, pero en ella el tryoano no corre. Bueno quizás pruebe lo del firewall que dices Título: Re: Recopilar infromación de malware Publicado por: 0x3c en 10 Enero 2013, 16:47 pm bueno... 1- si solo tienes Windows entoces te recomendaria que te descargues * QEMU [http://wiki.qemu.org/Download] * Bosch [http://bochs.sourceforge.net/getcurrent.html] ambos son buenos emuladores... 2- si lo que quieres es algo mejor o algo que acerque mas a un laboratorio...entonces: 1- descargate VirtualBox o VMWare 2- instala una version ligera de Windows XP 32/64 Bits 3- descarga/istala la suite de programas Sysinternals[http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx] 4- descarga un anti rootkit *gmer.net *antirootkit.com/software/RootKit-Unhooker.htm ***te recomendaria que uses un liveCD si no te sientes muy seguro de lo que estas haciendo.. saludos te recomiendo la opcion de hacerle reverse engineering en un entorno LiveCD saludos Título: Re: Recopilar infromación de malware Publicado por: Buster_BSA en 10 Enero 2013, 23:48 pm Si tienes un equipo para estas tareas puedes utilizar el programa "SysAnalyzer", infectará tu sistema pero lo verás todo a tiempo real. Si la muestra de malware lleva "antisandbox", no se ejecutará y no realizará ninguna modificación ni conexión. Sysanalyzer: http://sandsprite.com/tools.html http://sandsprite.com/CodeStuff/SysAnalyzer_Setup.exe SysAnalyzer es un proyecto muerto y acabado. ¿No conoces el Buster Sandbox Analyzer? http://bsa.isoftware.nl/ Supongo que no, sino no recomendarías el SysAnalyzer. ;) |