|
Título: Análisis de la muestra de Neutrino Bot. Publicado por: r32 en 3 Enero 2019, 19:34 pm Análisis
1. cargador 1.1. Embalador de primera etapa 1.2. Segunda etapa, embalador / inyector personalizado. 1.2.1. Trucos Antidebug 1.2.1.1. Antidebug trucos: ofuscación API 1.2.1.2. Trucos Antidebug: Trucos del tiempo 1.2.1.3. Trucos Antidebug: HKCU \ Software \ Microsoft \ Windows \ Identifier 1.2.1.3. Trucos Antidebug: cheques CPUID 1.2.1.4. Trucos Antidebug: Camina ejecutando procesos buscando nombres conocidos 1.2.1.5. Trucos Antidebug: Camina los módulos del propio proceso buscando nombres conocidos 1.2.1.6. Trucos Antidebug: IsDebuggerPresent / CheckRemoteDebuggerPresent 1.2.2. Inyección 1.2.3. Otros detalles 1.2.3.1. BotId y mutex 1.2.3.2. PRNG 2. módulo banquero 2.1. WebInjects 2.2. Ganchos del navegador 2.3. Otras capacidades de ladrón 3. Similitudes con el código fuente filtrado NukeBot 3.1. Función InjectDll en el módulo de banquero 3.2. Hollow-process explorer.exe 3.3. BotId aleatorio 4. Conclusiones Link: http://www.peppermalware.com/2019/01/analysis-of-neutrino-bot-sample-2018-08-27.html Saludos. |