Foro de elhacker.net

Seguridad Informática => Análisis y Diseño de Malware => Mensaje iniciado por: BDS en 14 Marzo 2020, 12:40 pm


Título: Analisis forense : ¿Alguien sabe que puede ser este bicho?
Publicado por: BDS en 14 Marzo 2020, 12:40 pm
Bunos díqs,

Estoy hqciendo un qnqlisis forense de un Windows 7 que estaba en un contexto industrial y me he topado con algunos indicadores muy claros de que hay malware, pero no acabo de comprender que es y que hace.

Analizando la memoria he encontrado esto:

$ vol.py -f SATELLITE-PC-20200126-122740.raw --profile Win7SP1x86 ldrmodules | grep -v ".mui" | grep False
Volatility Foundation Volatility Framework 2.6.1
Pid      Process              Base       InLoad InInit InMem MappedPath
-------- -------------------- ---------- ------ ------ ----- ----------
     292 smss.exe             0x47f20000 True   False  True  \Windows\System32\smss.exe
     376 csrss.exe            0x49ff0000 True   False  True  \Windows\System32\csrss.exe
     424 wininit.exe          0x00d60000 True   False  True  \Windows\System32\wininit.exe
     432 csrss.exe            0x49ff0000 True   False  True  \Windows\System32\csrss.exe
     432 csrss.exe            0x000f0000 False  False  False \Windows\Fonts\vgasys.fon
     432 csrss.exe            0x01b30000 False  False  False \Windows\Fonts\cga80850.fon
     432 csrss.exe            0x01960000 False  False  False \Windows\Fonts\ega40850.fon
     432 csrss.exe            0x00b70000 False  False  False \Windows\Fonts\vga850.fon
     432 csrss.exe            0x00b80000 False  False  False \Windows\Fonts\app850.fon
     432 csrss.exe            0x01b20000 False  False  False \Windows\Fonts\cga40850.fon
     476 winlogon.exe         0x002a0000 True   False  True  \Windows\System32\winlogon.exe
     504 services.exe         0x00590000 True   False  True  \Windows\System32\services.exe
     524 lsass.exe            0x00d30000 True   False  True  \Windows\System32\lsass.exe
     532 lsm.exe              0x00f70000 True   False  True  \Windows\System32\lsm.exe
     648 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     724 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     772 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    772 svchost.exe          0x00580000 False  False  False \Windows\System32\services.exe
     896 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     940 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     972 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    1068 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    1220 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    1304 AvastSvc.exe         0x00c90000 True   False  True  \Program Files\AVAST Software\Avast\AvastSvc.exe
    1488 spoolsv.exe          0x00f60000 True   False  True  \Windows\System32\spoolsv.exe
    1564 taskhost.exe         0x00260000 True   False  True  \Windows\System32\taskhost.exe
    1608 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    1732 dwm.exe              0x00d90000 True   False  True  \Windows\System32\dwm.exe
    1752 explorer.exe         0x002c0000 True   False  True  \Windows\explorer.exe
    1752 explorer.exe         0x07820000 False  False  False \Windows\System32\imageres.dll
    1752 explorer.exe         0x04330000 False  False  False \Windows\System32\oleaccrc.dll
    1812 armsvc.exe           0x00e70000 True   False  True  \Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
    1832 agrsmsvc.exe         0x01000000 True   False  True  \Program Files\LSI SoftModem\agrsmsvc.exe
    1856 SkypeC2CAutoUp       0x00d90000 True   False  True  \Program Files\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe
    1908 SkypeC2CPNRSvc       0x00980000 True   False  True  \Program Files\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe
    1972 taskeng.exe          0x004e0000 True   False  True  \Windows\System32\taskeng.exe
    2000 MMSserve.exe         0x00400000 True   False  True  \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe
     312 MMSserve.exe         0x00400000 True   False  True  \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe
     936 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     936 svchost.exe          0x7f6f0000 False  False  False
    1392 TeamViewer_Ser       0x00ff0000 True   False  True  \Program Files\TeamViewer\Version9\TeamViewer_Service.exe
    2328 unsecapp.exe         0x00a10000 True   False  True  \Windows\System32\wbem\unsecapp.exe
    2532 GoogleUpdate.e       0x00990000 True   False  True  \Program Files\Google\Update\GoogleUpdate.exe
    2668 SearchIndexer.       0x002d0000 True   False  True  \Windows\System32\SearchIndexer.exe
    3040 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    3692 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    3756 wmpnetwk.exe         0x00030000 True   False  True  \Program Files\Windows Media Player\wmpnetwk.exe
    3136 avastui.exe          0x010b0000 True   False  True  \Program Files\AVAST Software\Avast\avastui.exe
    2116 audiodg.exe          0x00310000 True   False  True  \Windows\System32\audiodg.exe
    1140 WUDFHost.exe         0x00b30000 True   False  True  \Windows\System32\WUDFHost.exe
    1688 DumpIt.exe           0x00910000 True   False  True  \DumpIt.exe
    3352 conhost.exe          0x00440000 True   False  True  \Windows\System32\conhost.exe

He hecho un dump de la memoria y la he analizado en VT y parece estar limpio además de que no veo nada en la extracción del assembly.

¿Alguien tiene una idea de que puede ser esto? ¿Es normal que svchost llame a services? Esto último me parece muy extraño.

Actualizo: Ni Bitdefender 2020, ni Avast detectan el malware (si lo hubiere, que tiene pinta de que si).

Gracias de antemano!


Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho?
Publicado por: ace99 en 14 Marzo 2020, 15:15 pm
Buenas, siento no poder ayudarte pero me surge una pregunta respecto a tu consulta.

Tengo windows 10 y quiero hacer el mismo análisis que tu para comprobar que mi ordenador está limpio. Para ver la lista de procesos ejecuto el comando tasklist en la terminal pero no obtengo exactamente lo mismo.
¿Qué debería hacer para obtenerlo?

Muchas gracias de antemano y saludos.

Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho?
Publicado por: BDS en 14 Marzo 2020, 19:23 pm
haz un git clone de esto:
https://github.com/volatilityfoundation/volatility.git

Para hacer el dump de memoria yo utilicé DumpIt.exe (una búsqueda de google y lo encontrarás).

Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho?
Publicado por: XKC en 27 Marzo 2020, 01:04 am
Busca el binario. Los eventos del sistema de win

Mira la rutas de registro de arranque, los servicios instalados el el sistema, y wmic, el bicho tiene que tener persistencia y es probable que use alguno de esos metodos(aunque pudiera ser que use otros más complejos, como secuestros com etc.)

A si a simple vista, no has pensado que puede que sea files, y por eso ni salta y todo va 'normal'.

Un saludo

Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho?
Publicado por: B€T€B€ en 29 Marzo 2020, 21:56 pm



> https://www.elespanol.com/omicrono/software/20170415/svchostexe-siempre-abierto-windows/208729496_0.html

Título: Re: Analisis forense : ¿Alguien sabe que puede ser este bicho?
Publicado por: e en 15 Abril 2020, 00:28 am
Hola,

svchost es un proceso muy utilizado por los troyanos, como por ejemplo Kronos, generalmente se crea como un porceso suspendido se inyecta código y se continua con este. Mira los programas que están configurados para ejecutarse al inicio y si ese proceso se está conectando a algún servidor.


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines