elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Programación
| |-+  Programación General
| | |-+  Cómo depurar Malware en VBS o JScript con Visual Studio (Tutorial)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Cómo depurar Malware en VBS o JScript con Visual Studio (Tutorial)  (Leído 3,486 veces)
El_Andaluz


Desconectado Desconectado

Mensajes: 4.179



Ver Perfil
Cómo depurar Malware en VBS o JScript con Visual Studio (Tutorial)
« en: 29 Febrero 2016, 04:27 am »

¿Qué es depurar?

Es el proceso que permite la ejecución controlada de un programa o código, para seguir paso a paso cada instrucción ejecutada; este proceso es normalmente utilizado por desarrolladores de software para encontrar bugs o fallas en sus proyectos.

Paso a paso con Visual Studio


Para llevar a cabo esta técnica necesitaremos una máquina virtual con el sistema operativo Windows 7 y el IDE Microsoft Visual Studio. Es una herramienta que generalmente es utilizada para el desarrollo de software. Para el realizar la práctica, la versión gratuita es más que suficiente.

Luego de haber instalado Visual Studio, debemos configurar la herramienta para lograr depurar los ­archivos maliciosos, que son interpretados por el “wscript.exe” de Microsoft. Desde la pantalla principal nos situaremos en “Tools” y luego “External Tools…”, como se indica en la siguiente imagen:


Al hacer esto se abrirá una ventana en donde agregaremos y configuraremos la herramienta haciendo clic en el botón “Add”:


A continuación completaremos los siguientes campos con los datos que se pueden apreciar en la imagen; cabe destacar que en el campo “Arguments” establecemos “//d” para que active el modo depurador y “//x” para iniciar la secuencia de comandos en el depurador. Por último, haciendo clic en “OK” guardaremos la configuración.


Ahora sí, manos a la obra. Para esta demostración utilizaremos una amenaza desarrollada en javascript, que ESET detecta bajo la firma de JS/Bondat.A. Al abrir el archivo observaremos el código ofuscado por el cibercriminal para disimular la verdadera intención del código malicioso. Del lado izquierdo de las líneas de código se pueden establecer breakpoints, que están simbolizados con un círculo de color rojo para indicar al depurador en qué instrucción queremos que se detenga el flujo habitual del programa:


Iniciaremos la depuración situándonos en la pestaña “Tools” y haremos clic en “Wscript”, que es el nombre que le establecimos a nuestra herramienta:


Aquí observaremos que el banner que está al final de Visual Studio es de color naranja, esto nos indica que hemos logrado ejecutar correctamente nuestro debugger. A su vez, observaremos una determinada cantidad de botones, con los que podremos controlar de qué forma nos gustaría ejecutar el código malicioso. Otro punto importante es el que está señalizado en la siguiente imagen: veremos todo tipo de datos, que pueden ser el valor de una variable, contadores, arrays, los métodos o funciones que utiliza el programa, argumentos, etc.


A medida que continuamos con la depuración del código malicioso, comenzaremos a contemplar que los valores cambian. Por ejemplo, en la siguiente imagen las variables a1, a2, a3, a4 han adquirido valores de tipo string. También observamos que el código hace uso de “ISWbemServicesEx”, lo que quiere decir que el malware utiliza WMI (Windows Management Instrumentation), lo cual es utilizado por los cibercriminales para extraer información de la víctima.

Además se pueden ver a simple vista las cadenas de texto “%VMware%” y “%VBOX%”, como se indica en la imagen que está a continuación. Este un claro ejemplo de una técnica de anti-virtualización, para evitar que el código sea ejecutado en potenciales ambientes de análisis virtuales.


Este es uno más de los métodos que empleamos en el Laboratorio de ESET para analizar paso a paso un archivo javascript, Visual Basic Script o cualquier lenguaje que sea ejecutado por el intérprete Wscript y de esta manera, combatir los códigos maliciosos que intentan obtener alguna ventaja de los usuarios. A través de este tipo de procesos y herramientas se puede estudiar cómo es el paso a paso de una posible infección de malware, entender sus objetivos y obtener el código original de muestras que están fuertemente ofuscadas.

Autor: DIEGO PEREZ PUBLICADO 19 ENE 2016

Espero que os sirva. ;)


« Última modificación: 1 Marzo 2016, 02:39 am por El_Andaluz » En línea

ThunderCls


Desconectado Desconectado

Mensajes: 455


Coder | Reverser | Gamer


Ver Perfil WWW
Re: Cómo depurar Malware en VBS o JScript con Visual Studio (Tutorial)
« Respuesta #1 en: 1 Marzo 2016, 00:12 am »

Gracias por la info, se agradece  ;)
Saludos


En línea

-[ "…I can only show you the door. You're the one that has to walk through it." – Morpheus (The Matrix) ]-
http://reversec0de.wordpress.com
https://github.com/ThunderCls/
El_Andaluz


Desconectado Desconectado

Mensajes: 4.179



Ver Perfil
Re: Cómo depurar Malware en VBS o JScript con Visual Studio (Tutorial)
« Respuesta #2 en: 1 Marzo 2016, 02:38 am »

Gracias por la info, se agradece  ;)
Saludos

De nada amigo a ti por comentar y si te sirve mucho mejor creía que se iba quedar en olvido el post.:xD
En línea

Arnaldo Otegi

Desconectado Desconectado

Mensajes: 160


Q290aWxsYVhEDQo=


Ver Perfil
Re: Cómo depurar Malware en VBS o JScript con Visual Studio (Tutorial)
« Respuesta #3 en: 1 Marzo 2016, 20:16 pm »

Mui buena andaluz se agradece la info.
En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.866



Ver Perfil
Re: Cómo depurar Malware en VBS o JScript con Visual Studio (Tutorial)
« Respuesta #4 en: 11 Marzo 2016, 01:45 am »

¿Ahora te has vuelto programador? xD, ¡buen aporte!.

Lo muevo al foro indicado puesto que la depuración de código fuente es depuración sin más, se puede enfocar al Malware si la herramienta/script en cuestión está relacionado con el malware.

Saludos!
En línea



Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Manual tutorial Interfaz puerto paralelo LPT Visual Studio Express « 1 2 »
Electrónica
Meta 15 21,863 Último mensaje 3 Agosto 2010, 00:52 am
por Meta
como Manejar visual studio 2010
.NET (C#, VB.NET, ASP)
LUCKEM 2 3,334 Último mensaje 21 Marzo 2012, 00:55 am
por ABDERRAMAH
(Petición) Tutorial de ASM usando C++ (compilador el de Visual Studio v12.0)
ASM
Seyro97 5 5,578 Último mensaje 9 Julio 2015, 08:40 am
por Eternal Idol
[TUTORIAL] Lecturas de entradas digitales con Arduino y Visual Studio .net 2015
Electrónica
Meta 0 3,302 Último mensaje 21 Febrero 2016, 04:11 am
por Meta
¿Como depurar un PE en Linux?
Ingeniería Inversa
4v1dy4 0 2,439 Último mensaje 13 Enero 2023, 18:20 pm
por 4v1dy4
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines