 Autor
|
Tema: Pc infectado con un malware de mineria de Moneros (Leído 16,961 veces)
|
|
M3LiNdR1
|
Hola,
El router de mi red esta bloqueando una connexion a la ip: X.X.X.X por la razon siguiente: MISC Cryptocurrency monero mining activity. Si hago una peticion web a esa ip, efectivamente devuelve un codigo indicando que es una pool de monero.
Tengo identificado el pc de mi red que realiza esta actividad sospechosa. Es un windows con un antivirus McAfee instalado, pero parece que McAfee no detecta el malware de mineria. Como podria identificar el proceso que realiza estas connexiones? Conoceis alguna herramienta de analisis util para este tipo de malware?
Muchas gracias
EDITO: He quitado la IP, porque no recuerdo si hay alguna politica en este foro
|
|
|
|
« Última modificación: 25 Febrero 2024, 11:45 am por M3LiNdR1 »
|
En línea
|
Va baixar davant dels meus...ulls molt suaument...sense alterar la quietud de la nit,amb un somriure ple de confiança com sino se li escapes res...  C/C++ - Prolog - Java - PHP - Python - SQL - ASP.NET - C# - javascript |
|
|
Parado_larga_duracion_ESP
 Desconectado
Mensajes: 49
|
En Linux sería algo así, por ejemplo: #!/bin/bash echo "Puertos TCP abiertos:" netstat -tuln | grep "tcp" | while read line; do port=$(echo $line | awk '{print $4}' | awk -F ':' '{print $NF}') pid=$(echo $line | awk '{print $7}' | awk -F '/' '{print $1}') process=$(ps -p $pid -o comm=) exe=$(readlink /proc/$pid/exe) cwd=$(readlink /proc/$pid/cwd) cmdline=$(cat /proc/$pid/cmdline) status=$(cat /proc/$pid/status | grep "State:" | awk '{print $2}') cpu_usage=$(top -b -n 1 -p $pid | grep $pid | awk '{print $9}') memory_usage=$(pmap -x $pid | tail -n 1 | awk '{print $3}') user=$(awk -F: '$3 == '$(stat -c %u /proc/$pid/exe)' { print $1 }' /etc/passwd) echo "Puerto: $port - Proceso: $process (PID: $pid) - Archivo: $exe - Directorio de trabajo: $cwd - Comando: $cmdline - Estado: $status - Uso de CPU: $cpu_usage% - Uso de memoria: $memory_usage - Usuario: $user" echo "Archivos abiertos por el proceso:" ls -l /proc/$pid/fd echo "Árbol de procesos:" pstree -s $pid echo "----------------------------------------------------" done echo "Puertos UDP abiertos:" netstat -uln | grep "udp" | while read line; do port=$(echo $line | awk '{print $4}' | awk -F ':' '{print $NF}') pid=$(echo $line | awk '{print $7}' | awk -F '/' '{print $1}') process=$(ps -p $pid -o comm=) exe=$(readlink /proc/$pid/exe) cwd=$(readlink /proc/$pid/cwd) cmdline=$(cat /proc/$pid/cmdline) status=$(cat /proc/$pid/status | grep "State:" | awk '{print $2}') cpu_usage=$(top -b -n 1 -p $pid | grep $pid | awk '{print $9}') memory_usage=$(pmap -x $pid | tail -n 1 | awk '{print $3}') user=$(awk -F: '$3 == '$(stat -c %u /proc/$pid/exe)' { print $1 }' /etc/passwd) echo "Puerto: $port - Proceso: $process (PID: $pid) - Archivo: $exe - Directorio de trabajo: $cwd - Comando: $cmdline - Estado: $status - Uso de CPU: $cpu_usage% - Uso de memoria: $memory_usage - Usuario: $user" echo "Archivos abiertos por el proceso:" ls -l /proc/$pid/fd echo "Árbol de procesos:" pstree -s $pid echo "----------------------------------------------------" done
En Windows parece que algo así. En Powershell, que no encuentro el Código Geshi ese, he puesto el .NET como primo cercano: # Obtener información sobre los puertos TCP abiertos $tcpPorts = Get-NetTCPConnection | Where-Object { $_.State -eq 'Listen' } foreach ($port in $tcpPorts) { $pid = $port.OwningProcess $process = Get-Process -Id $pid $exePath = $process.Path $cwd = Split-Path -Path $exePath -Parent $cmdline = Get-WmiObject Win32_Process -Filter "ProcessId = $pid" | Select-Object -ExpandProperty CommandLine $status = Get-WmiObject Win32_Process -Filter "ProcessId = $pid" | Select-Object -ExpandProperty Status $cpuUsage = $process.CPU $memoryUsage = $process.WorkingSet $user = $process.GetOwner().User Write-Host "Puerto TCP: $($port.LocalPort) - Proceso: $($process.ProcessName) (PID: $pid) - Archivo: $exePath - Directorio de trabajo: $cwd - Comando: $cmdline - Estado: $status - Uso de CPU: $cpuUsage% - Uso de memoria: $memoryUsage - Usuario: $user" Write-Host "Archivos abiertos por el proceso:" Get-Process -Id $pid | Get-ProcessHandle Write-Host "Árbol de procesos:" Get-WmiObject Win32_Process -Filter "ParentProcessId=$pid" | Format-Table ProcessId, Name, CommandLine -AutoSize Write-Host "----------------------------------------------------" } # Obtener información sobre los puertos UDP abiertos $udpPorts = Get-NetUDPEndpoint | Where-Object { $_.State -eq 'Listen' } foreach ($port in $udpPorts) { $pid = $port.OwningProcess $process = Get-Process -Id $pid $exePath = $process.Path $cwd = Split-Path -Path $exePath -Parent $cmdline = Get-WmiObject Win32_Process -Filter "ProcessId = $pid" | Select-Object -ExpandProperty CommandLine $status = Get-WmiObject Win32_Process -Filter "ProcessId = $pid" | Select-Object -ExpandProperty Status $cpuUsage = $process.CPU $memoryUsage = $process.WorkingSet $user = $process.GetOwner().User Write-Host "Puerto UDP: $($port.LocalPort) - Proceso: $($process.ProcessName) (PID: $pid) - Archivo: $exePath - Directorio de trabajo: $cwd - Comando: $cmdline - Estado: $status - Uso de CPU: $cpuUsage% - Uso de memoria: $memoryUsage - Usuario: $user" Write-Host "Archivos abiertos por el proceso:" Get-Process -Id $pid | Get-ProcessHandle Write-Host "Árbol de procesos:" Get-WmiObject Win32_Process -Filter "ParentProcessId=$pid" | Format-Table ProcessId, Name, CommandLine -AutoSize Write-Host "----------------------------------------------------" }
|
|
|
|
|
En línea
|
|
|
|
takeover
Desconectado
Mensajes: 1
|
yo no se mucho de este tema pero te puedo decir que segun lo que puedo apreciar en tu router esta unido a una red zombie de mineo de criptomoneda por eso lo primero que creo que tienes que hacer es revisar que tanto en tu pc como en tu router no haya un puerto abierto por el cual se este comunicando tu pc con el server zombie. Revisa la configuracion de tus firewall no sea que sea la optima para tu red. Ponle una contraseña robusta de 12 digitos o mas ya que se le pones una muy simple atraves de un ataque de fuerza bruta con kali linux pueden dar con tu contraseña y ademas que atraves de un ataque de phising te maten una aplicacion dañina dentro de una foto o un video con lo cual pueden comprometer la red.
Y por ultimo te voy a decir porque estas 2 aplicaciones me han dado muy buenos resultados:
avast antivirus con firewall muy bueno y con una alta tasa de deteccion
nod32 eset smart sequrity que tiene un buen firewall muy robusto
hermano solo te doy mi opinion y ojala y resuelvas.
|
|
|
|
|
En línea
|
|
|
|
BloodSharp
Desconectado
Mensajes: 815
¡ Hiperfoco !
|
Como podria identificar el proceso que realiza estas connexiones? Buen día, como admin ejecutá lo siguiente: netstat -anob
B#
|
|
|
|
|
En línea
|
|
|
|
|
M3LiNdR1
|
Muchas gracias por las respuestas, @BloodSharp, he ejecutado el comando que me has dicho y he cazado la conexión:  Es la que apunta al puerto destino 5555. Por lo que acabo de descubrir Dwm.exe es un proceso genuino de windows que significa Desktop Windows Manager. Parece que el malware se esta ejecutando inyectado dentro de este proceso. Como podria seguir tirando del hilo ahora? Como se ha emmascardo el malware dentro del proceso dwm.exe, a partir de un archivo ejectuable? Como podria encontrarlo? Por otro lado, en la imagen también se aprecia un servicio llamado CryptSvc con conexiones establecidas a una ip por el puerto ochenta que me hacen dudar muchísimo de su legitimidad. Tampoco estoy seguro de si este malware solo es para la minación de monero o realiza alguna otra acción fraudulenta. |
|
|
|
|
En línea
|
Va baixar davant dels meus...ulls molt suaument...sense alterar la quietud de la nit,amb un somriure ple de confiança com sino se li escapes res... C/C++ - Prolog - Java - PHP - Python - SQL - ASP.NET - C# - javascript |
|
|
|
el-brujo
|
Si quieres analizarlo adelante, pero si realmente lo que quieres hacer es limpiarlo de verdad, reinstala Windows o formatea y empieza de 0..
|
|
|
|
|
En línea
|
|
|
|
|
M3LiNdR1
|
Si quieres analizarlo adelante, pero si realmente lo que quieres hacer es limpiarlo de verdad, reinstala Windows o formatea y empieza de 0..
Pues creo que lo mas sensato será hacer borrón y cuenta nueva. Pero quizas me haga una imagen del SO antes de formatear para correrla en una màquina virtual, sabeis de algun programa FOSS o gratuito para hacer eso?
|
|
|
|
|
En línea
|
Va baixar davant dels meus...ulls molt suaument...sense alterar la quietud de la nit,amb un somriure ple de confiança com sino se li escapes res... C/C++ - Prolog - Java - PHP - Python - SQL - ASP.NET - C# - javascript |
|
|
|
|
|
M3LiNdR1
|
Lo he probado y tampoco me ha detectado software malicioso. Voy a tener que formatear el pc, pero ya me he hecho una copia de seguridad del disco duro con el programa disk2vhd. https://learn.microsoft.com/es-es/sysinternals/downloads/disk2vhdVoy a probar a analizar el malware y haber que sale. Muchas gracias a todos por vuestras respuestas! 
|
|
|
|
|
En línea
|
Va baixar davant dels meus...ulls molt suaument...sense alterar la quietud de la nit,amb un somriure ple de confiança com sino se li escapes res... C/C++ - Prolog - Java - PHP - Python - SQL - ASP.NET - C# - javascript |
|
|
D3s0rd3n
Desconectado
Mensajes: 97
Tu Mente es mi arma. Entregame tu mente
|
Muchas gracias por las respuestas, @BloodSharp, he ejecutado el comando que me has dicho y he cazado la conexión: Es la que apunta al puerto destino 5555. Por lo que acabo de descubrir Dwm.exe es un proceso genuino de windows que significa Desktop Windows Manager. Parece que el malware se esta ejecutando inyectado dentro de este proceso. Como podria seguir tirando del hilo ahora? Como se ha emmascardo el malware dentro del proceso dwm.exe, a partir de un archivo ejectuable? Como podria encontrarlo? Por otro lado, en la imagen también se aprecia un servicio llamado CryptSvc con conexiones establecidas a una ip por el puerto ochenta que me hacen dudar muchísimo de su legitimidad. Tampoco estoy seguro de si este malware solo es para la minación de monero o realiza alguna otra acción fraudulenta. Lo mas seguro es que es un secuestro de proceso, que versión de windows tienes?
|
|
|
|
|
En línea
|
Gobiernos del Mundo Industrial, ustedes, cansados gigantes de carne y acero
vengo del Ciberespacio, el nuevo hogar de la Mente. En nombre del futuro, les
pido en el pasado que nos dejen en paz. No son bienvenidos entre nosotros.
No tienen ninguna soberania sobre el lugar donde nos reunimos.
|
|
|
|
| Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
|
He sido infectado por un Malware
Seguridad
|
fjve
|
1
|
2,567
|
11 Mayo 2012, 10:37 am
por r32
|
|
|
|
Unique Vintage fue hackeada, el servidor había sido infectado con malware ...
Noticias
|
wolfbcn
|
0
|
1,777
|
27 Septiembre 2013, 13:38 pm
por wolfbcn
|
|
|
|
Última moda en malware: aprovecharse del infectado para minar Bitcoins
Noticias
|
wolfbcn
|
0
|
1,852
|
9 Enero 2014, 19:40 pm
por wolfbcn
|
|
|
|
WordPress sigue infectado con malware
Noticias
|
wolfbcn
|
0
|
2,279
|
21 Noviembre 2017, 21:38 pm
por wolfbcn
|
|
|
|
C# mineria
.NET (C#, VB.NET, ASP)
|
Jeezy
|
1
|
2,564
|
22 Abril 2018, 22:27 pm
por Yuki
|
 |
