elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


  Mostrar Temas
Páginas: [1]
1  Seguridad Informática / Análisis y Diseño de Malware / Analisis forense : ¿Alguien sabe que puede ser este bicho? en: 14 Marzo 2020, 12:40 pm
Bunos díqs,

Estoy hqciendo un qnqlisis forense de un Windows 7 que estaba en un contexto industrial y me he topado con algunos indicadores muy claros de que hay malware, pero no acabo de comprender que es y que hace.

Analizando la memoria he encontrado esto:

$ vol.py -f SATELLITE-PC-20200126-122740.raw --profile Win7SP1x86 ldrmodules | grep -v ".mui" | grep False
Volatility Foundation Volatility Framework 2.6.1
Pid      Process              Base       InLoad InInit InMem MappedPath
-------- -------------------- ---------- ------ ------ ----- ----------
     292 smss.exe             0x47f20000 True   False  True  \Windows\System32\smss.exe
     376 csrss.exe            0x49ff0000 True   False  True  \Windows\System32\csrss.exe
     424 wininit.exe          0x00d60000 True   False  True  \Windows\System32\wininit.exe
     432 csrss.exe            0x49ff0000 True   False  True  \Windows\System32\csrss.exe
     432 csrss.exe            0x000f0000 False  False  False \Windows\Fonts\vgasys.fon
     432 csrss.exe            0x01b30000 False  False  False \Windows\Fonts\cga80850.fon
     432 csrss.exe            0x01960000 False  False  False \Windows\Fonts\ega40850.fon
     432 csrss.exe            0x00b70000 False  False  False \Windows\Fonts\vga850.fon
     432 csrss.exe            0x00b80000 False  False  False \Windows\Fonts\app850.fon
     432 csrss.exe            0x01b20000 False  False  False \Windows\Fonts\cga40850.fon
     476 winlogon.exe         0x002a0000 True   False  True  \Windows\System32\winlogon.exe
     504 services.exe         0x00590000 True   False  True  \Windows\System32\services.exe
     524 lsass.exe            0x00d30000 True   False  True  \Windows\System32\lsass.exe
     532 lsm.exe              0x00f70000 True   False  True  \Windows\System32\lsm.exe
     648 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     724 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     772 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    772 svchost.exe          0x00580000 False  False  False \Windows\System32\services.exe
     896 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     940 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     972 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    1068 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    1220 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    1304 AvastSvc.exe         0x00c90000 True   False  True  \Program Files\AVAST Software\Avast\AvastSvc.exe
    1488 spoolsv.exe          0x00f60000 True   False  True  \Windows\System32\spoolsv.exe
    1564 taskhost.exe         0x00260000 True   False  True  \Windows\System32\taskhost.exe
    1608 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    1732 dwm.exe              0x00d90000 True   False  True  \Windows\System32\dwm.exe
    1752 explorer.exe         0x002c0000 True   False  True  \Windows\explorer.exe
    1752 explorer.exe         0x07820000 False  False  False \Windows\System32\imageres.dll
    1752 explorer.exe         0x04330000 False  False  False \Windows\System32\oleaccrc.dll
    1812 armsvc.exe           0x00e70000 True   False  True  \Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
    1832 agrsmsvc.exe         0x01000000 True   False  True  \Program Files\LSI SoftModem\agrsmsvc.exe
    1856 SkypeC2CAutoUp       0x00d90000 True   False  True  \Program Files\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe
    1908 SkypeC2CPNRSvc       0x00980000 True   False  True  \Program Files\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe
    1972 taskeng.exe          0x004e0000 True   False  True  \Windows\System32\taskeng.exe
    2000 MMSserve.exe         0x00400000 True   False  True  \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe
     312 MMSserve.exe         0x00400000 True   False  True  \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe
     936 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
     936 svchost.exe          0x7f6f0000 False  False  False
    1392 TeamViewer_Ser       0x00ff0000 True   False  True  \Program Files\TeamViewer\Version9\TeamViewer_Service.exe
    2328 unsecapp.exe         0x00a10000 True   False  True  \Windows\System32\wbem\unsecapp.exe
    2532 GoogleUpdate.e       0x00990000 True   False  True  \Program Files\Google\Update\GoogleUpdate.exe
    2668 SearchIndexer.       0x002d0000 True   False  True  \Windows\System32\SearchIndexer.exe
    3040 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    3692 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    3756 wmpnetwk.exe         0x00030000 True   False  True  \Program Files\Windows Media Player\wmpnetwk.exe
    3136 avastui.exe          0x010b0000 True   False  True  \Program Files\AVAST Software\Avast\avastui.exe
    2116 audiodg.exe          0x00310000 True   False  True  \Windows\System32\audiodg.exe
    1140 WUDFHost.exe         0x00b30000 True   False  True  \Windows\System32\WUDFHost.exe
    1688 DumpIt.exe           0x00910000 True   False  True  \DumpIt.exe
    3352 conhost.exe          0x00440000 True   False  True  \Windows\System32\conhost.exe

He hecho un dump de la memoria y la he analizado en VT y parece estar limpio además de que no veo nada en la extracción del assembly.

¿Alguien tiene una idea de que puede ser esto? ¿Es normal que svchost llame a services? Esto último me parece muy extraño.

Actualizo: Ni Bitdefender 2020, ni Avast detectan el malware (si lo hubiere, que tiene pinta de que si).

Gracias de antemano!

Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines