Título: Analisis forense : ¿Alguien sabe que puede ser este bicho? Publicado por: BDS en 14 Marzo 2020, 12:40 pm Bunos díqs,
Estoy hqciendo un qnqlisis forense de un Windows 7 que estaba en un contexto industrial y me he topado con algunos indicadores muy claros de que hay malware, pero no acabo de comprender que es y que hace. Analizando la memoria he encontrado esto: $ vol.py -f SATELLITE-PC-20200126-122740.raw --profile Win7SP1x86 ldrmodules | grep -v ".mui" | grep False Volatility Foundation Volatility Framework 2.6.1 Pid Process Base InLoad InInit InMem MappedPath -------- -------------------- ---------- ------ ------ ----- ---------- 292 smss.exe 0x47f20000 True False True \Windows\System32\smss.exe 376 csrss.exe 0x49ff0000 True False True \Windows\System32\csrss.exe 424 wininit.exe 0x00d60000 True False True \Windows\System32\wininit.exe 432 csrss.exe 0x49ff0000 True False True \Windows\System32\csrss.exe 432 csrss.exe 0x000f0000 False False False \Windows\Fonts\vgasys.fon 432 csrss.exe 0x01b30000 False False False \Windows\Fonts\cga80850.fon 432 csrss.exe 0x01960000 False False False \Windows\Fonts\ega40850.fon 432 csrss.exe 0x00b70000 False False False \Windows\Fonts\vga850.fon 432 csrss.exe 0x00b80000 False False False \Windows\Fonts\app850.fon 432 csrss.exe 0x01b20000 False False False \Windows\Fonts\cga40850.fon 476 winlogon.exe 0x002a0000 True False True \Windows\System32\winlogon.exe 504 services.exe 0x00590000 True False True \Windows\System32\services.exe 524 lsass.exe 0x00d30000 True False True \Windows\System32\lsass.exe 532 lsm.exe 0x00f70000 True False True \Windows\System32\lsm.exe 648 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 724 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 772 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 772 svchost.exe 0x00580000 False False False \Windows\System32\services.exe 896 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 940 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 972 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 1068 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 1220 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 1304 AvastSvc.exe 0x00c90000 True False True \Program Files\AVAST Software\Avast\AvastSvc.exe 1488 spoolsv.exe 0x00f60000 True False True \Windows\System32\spoolsv.exe 1564 taskhost.exe 0x00260000 True False True \Windows\System32\taskhost.exe 1608 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 1732 dwm.exe 0x00d90000 True False True \Windows\System32\dwm.exe 1752 explorer.exe 0x002c0000 True False True \Windows\explorer.exe 1752 explorer.exe 0x07820000 False False False \Windows\System32\imageres.dll 1752 explorer.exe 0x04330000 False False False \Windows\System32\oleaccrc.dll 1812 armsvc.exe 0x00e70000 True False True \Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe 1832 agrsmsvc.exe 0x01000000 True False True \Program Files\LSI SoftModem\agrsmsvc.exe 1856 SkypeC2CAutoUp 0x00d90000 True False True \Program Files\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe 1908 SkypeC2CPNRSvc 0x00980000 True False True \Program Files\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe 1972 taskeng.exe 0x004e0000 True False True \Windows\System32\taskeng.exe 2000 MMSserve.exe 0x00400000 True False True \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe 312 MMSserve.exe 0x00400000 True False True \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe 936 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 936 svchost.exe 0x7f6f0000 False False False 1392 TeamViewer_Ser 0x00ff0000 True False True \Program Files\TeamViewer\Version9\TeamViewer_Service.exe 2328 unsecapp.exe 0x00a10000 True False True \Windows\System32\wbem\unsecapp.exe 2532 GoogleUpdate.e 0x00990000 True False True \Program Files\Google\Update\GoogleUpdate.exe 2668 SearchIndexer. 0x002d0000 True False True \Windows\System32\SearchIndexer.exe 3040 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 3692 svchost.exe 0x00630000 True False True \Windows\System32\svchost.exe 3756 wmpnetwk.exe 0x00030000 True False True \Program Files\Windows Media Player\wmpnetwk.exe 3136 avastui.exe 0x010b0000 True False True \Program Files\AVAST Software\Avast\avastui.exe 2116 audiodg.exe 0x00310000 True False True \Windows\System32\audiodg.exe 1140 WUDFHost.exe 0x00b30000 True False True \Windows\System32\WUDFHost.exe 1688 DumpIt.exe 0x00910000 True False True \DumpIt.exe 3352 conhost.exe 0x00440000 True False True \Windows\System32\conhost.exe He hecho un dump de la memoria y la he analizado en VT y parece estar limpio además de que no veo nada en la extracción del assembly. ¿Alguien tiene una idea de que puede ser esto? ¿Es normal que svchost llame a services? Esto último me parece muy extraño. Actualizo: Ni Bitdefender 2020, ni Avast detectan el malware (si lo hubiere, que tiene pinta de que si). Gracias de antemano! Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho? Publicado por: ace99 en 14 Marzo 2020, 15:15 pm Buenas, siento no poder ayudarte pero me surge una pregunta respecto a tu consulta.
Tengo windows 10 y quiero hacer el mismo análisis que tu para comprobar que mi ordenador está limpio. Para ver la lista de procesos ejecuto el comando tasklist en la terminal pero no obtengo exactamente lo mismo. ¿Qué debería hacer para obtenerlo? Muchas gracias de antemano y saludos. Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho? Publicado por: BDS en 14 Marzo 2020, 19:23 pm haz un git clone de esto:
https://github.com/volatilityfoundation/volatility.git Para hacer el dump de memoria yo utilicé DumpIt.exe (una búsqueda de google y lo encontrarás). Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho? Publicado por: XKC en 27 Marzo 2020, 01:04 am Busca el binario. Los eventos del sistema de win
Mira la rutas de registro de arranque, los servicios instalados el el sistema, y wmic, el bicho tiene que tener persistencia y es probable que use alguno de esos metodos(aunque pudiera ser que use otros más complejos, como secuestros com etc.) A si a simple vista, no has pensado que puede que sea files, y por eso ni salta y todo va 'normal'. Un saludo Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho? Publicado por: B€T€B€ en 29 Marzo 2020, 21:56 pm > https://www.elespanol.com/omicrono/software/20170415/svchostexe-siempre-abierto-windows/208729496_0.html Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho? Publicado por: e en 15 Abril 2020, 00:28 am Hola,
svchost es un proceso muy utilizado por los troyanos, como por ejemplo Kronos, generalmente se crea como un porceso suspendido se inyecta código y se continua con este. Mira los programas que están configurados para ejecutarse al inicio y si ese proceso se está conectando a algún servidor. |