Título: Analisis de stub.dll con Java Publicado por: rub'n en 16 Enero 2018, 15:30 pm Buenas que tal? alguna sugerencia de como podria decompilar este stub.dll ? no esta ofuscado se carga desde
Código
para luego cifrar las clases que contiene con DES y crear un server, quiero saber su funcionamiento bueno si alguien me da una sugerencia pues bien, otra cosa no posee runPE, No pareciera estar con JNA O JNI. La imagen de abajo no me muestra nada ojo uso este soft solo para motivos de exploración. (http://i68.tinypic.com/23t4mzs.jpg) https://drive.google.com/open?id=1JpTcaZ9NDUG3I1lnQSY4CxMzKLhfuP0v Título: Re: Analisis de stub Publicado por: fary en 16 Enero 2018, 15:37 pm ¿De donde sacaste este Stub? ¿Es de algún cripter? ¿En que lenguaje esta creado?
Título: Re: Analisis de stub Publicado por: rub'n en 16 Enero 2018, 15:46 pm ¿De donde sacaste este Stub? ¿Es de algún cripter? ¿En que lenguaje esta creado? Como esta jefe gracias por la pronta respuesta,
pues casi me infectan con Unrecom RAT ese stub esta en su source, que se usa para crear el server en runtime se cifran esas clases que contiene con RSA y AES, el caso de arriba el cifrado DES lo usa una version anterior a este Unrecom segun el source se parece bastante. Esta ofuscado el cliente con allatori demo 4.7 pero el stub es otra cosa se cifra desde el propio cliente aparte (http://i68.tinypic.com/qyifib.jpg) Título: Re: Analisis de stub Publicado por: fary en 16 Enero 2018, 16:23 pm Pero... si mal no recuero JAVA no compila sus archivos :xD quizás baste con renombrar el Stub.dll a la extensión que tenga java y abrirlo con el editor de JAVA....
Título: Re: Analisis de stub Publicado por: rub'n en 16 Enero 2018, 16:31 pm Pero... si mal no recuero JAVA no compila sus archivos :xD quizás baste con renombrar el Stub.dll a la extensión que tenga java y abrirlo con el editor de JAVA.... Aun nada ni con extensión .java ni .class wtf el .class al querer decompilar javap -c stub.class arroja error y el .java igual, bueno ese stub.dll salen codificados de manera extraña, pero viendo bien en una de esas palabras al final del archivo salen nombres de algunas clases, clases que como mencione arriba, son usadas para generar el server, y que analizando el server o sea, descomprimiendo el .jar, aparacen dichas clases cifradas Título: Re: Analisis de stub Publicado por: fary en 16 Enero 2018, 16:45 pm Entonces sigue depurando a partir de la línea donde se carga:
Código
Y mira que hace con el archivo, quizás te de mas información acerca de su extensión o de como esta cifrado. saludos. Título: Re: Analisis de stub Publicado por: rub'n en 3 Febrero 2019, 21:24 pm Entonces sigue depurando a partir de la línea donde se carga: Código
Y mira que hace con el archivo, quizás te de mas información acerca de su extensión o de como esta cifrado. saludos. Hola Fary que estés bien dog, sabes que en unos de esos días logre solucionar, pues resulta que el stub.dll en realidad es un .jar(pero no funciona con solo renombrarlo a .jar y ya), algún método se uso para comprimir los bytecode dentro de una .dll, lo desconozco pero si se que hay la forma, el codigo para extraer el stub.dll es el siguiente, lo que hace es leerlo completamente y guardarlo en un .jar Código
Salida linea 23 del método init() Código
Aquí esta la main class, el servidor lee el password contenido en un .xml, para descifrar los bytecodes en runtime y cargarlos en memoria por medio del custom classloader, se ven otras versiones de arabes donde esa contraseña esta alojada en un json (http://2.bp.blogspot.com/-SvuOMg-oBpQ/XFdPi3vNEfI/AAAAAAAADgM/uqCYW_BtvJop5kDlcs5VdmVnpeCptO_mwCK4BGAYYCw/s980/ClasePrincipal.png) Clase que descifra contenida solo en el servidor, la linea 19, en el método init() se le setea un dos es decir Cipher.DECRYPT_MODE Código
Update Try/catch con BufferedOutputStream Título: Re: Analisis de stub Publicado por: fary en 3 Febrero 2019, 22:30 pm Enhorabuena rub'n!!! Me alegro de que pudieses resolverlo :)
saludos!! Título: Re: Analisis de stub.dll con Java Publicado por: colcrt en 8 Febrero 2019, 01:14 am rub'n muy interesante, una pregunta como hace para detectar ese tipo de malware?? Título: Re: Analisis de stub.dll con Java Publicado por: rub'n en 8 Febrero 2019, 23:21 pm rub'n muy interesante, una pregunta como hace para detectar ese tipo de malware?? Pues obviamente por el código, siempre y cuando no este ofuscado, cifrado etc, incluso ofuscado algunas veces puedes llegar a interpretar, pero no es lo ideal, A parte debes conocer el lenguaje de dicho malware, te ayudara mas rápido a su entendimiento. Título: Re: Analisis de stub.dll con Java Publicado por: colcrt en 12 Febrero 2019, 00:08 am pero como lo detecta en tiempo de ejecución? o como hace para darse cuenta que es un malware?
Título: Re: Analisis de stub.dll con Java Publicado por: MCKSys Argentina en 12 Febrero 2019, 00:31 am pero como lo detecta en tiempo de ejecución? o como hace para darse cuenta que es un malware? Revisa ésto (https://www.google.com/search?q=heuristic+malware+detection). Saludos! Título: Re: Analisis de stub.dll con Java Publicado por: rub'n en 15 Febrero 2019, 22:54 pm Lee la info que da el jefe sobre, heuristica
pero como lo detecta en tiempo de ejecución? o como hace para darse cuenta que es un malware? dog, es un tipo de malware, malware es el concepto digamos abstracto, y el tipo es troyano, en este caso toco hacer un análisis estático(para no infectarnos), es decir sin ejecutar ese .dll o .jar en tal caso. Teniendo conocimiento puedes, por ejemplo descifrar esos .class contenidos en ese stub.dll con python y cualquier otro lenguaje siempre que sepas lo que haces. El tema aquí es ese stub.dll, el contiene los códigos fuentes aka (.class/bytecode) que se descomprimirán en memoria, método que en su tiempo permitía bypasear los Av o sea, era FUD(Fully undetectable). Versiones de este troyano, son anti virtual machine, anti vmware, y mas , aquí muestro algunos .exe que este malware bloquea, que en realidad el codigo que ejecuta dichas acciones esta cifrado y es lo que el servidor descomprime aka (bytecode) para ejecutar dependiendo su configuración. (http://1.bp.blogspot.com/-GCW5SG38HA4/XGc3XCnrOLI/AAAAAAAADiA/BibMhzZ3hpIzJXXilH8XxK4IjAazOM-kgCK4BGAYYCw/s1600/adwin1.png) Al tu ver, que ese software hace modificaciones en el registro de Guindow$, realiza conexión vía SSL/TLS, bloquea antiviruz, y mas aun como por ejemplo (http://3.bp.blogspot.com/-ry5Pzut_rx8/XGc3W1L6-KI/AAAAAAAADh8/OfiW0fWIVtQFSDbAkmH_SYXDOE-xNwPHQCK4BGAYYCw/s1600/adwin2.png) con eso recontra basta para no dudar de que sea un malware |