Analizaremos el caso que alerto hoy Raul en su Twitter, se trata de un correo phishing que descarga un troyano Citadel.
Analisis en VT con un indice bajo en detecciones.
Descargado el troyano (payment.exe), vemos con un editor que contiene un RAR...
Con el editor cortamos y pegamos desde el comienzo de la cabezera Rar! hasta el final del archivo y obtenemos otro file, que seria un rar.
En el se encuentra un .bat y otro ejecutable que es un SFX de Rar.
Se puede observar el comando de extracción... mmm... tiene password....
Con el sfx hacemos lo mismo y extraemos el rar, que contiene un ejecutable protegido con password.....
Y extraemos el soft.exe con la password que esta en el bat....
Enviamos a V.T la muestra y vemos que se trata de Zeus/Citadel
Lo ejecutamos en una maquina virtual y vemos que se inyecta en el proceso explorer.exe.
Chequeamos la comunicación con un sniffer y podemos ver la conexión con el Gate.
Hacemos un dump de la memoria de la maquina con Dumpit! de Moonsols.
Este dump lo podemos cargar en Volatility o utilizar Strings de Sysinternals para enumerar strings utilizados por Citadel.
strings dumpdememoria.dmp | grep -i http
http://newsamplesproduct.com/css/styles/4/2/3/2/2/3/a/s/d/f/doc/file.php|file=soft.exe#N
http://newsamplesproduct.com/css/styles/4/2/3/2/2/3/a/s/d/f/doc/gate.php2N
http://newsamplesproduct.com/css/styles/4/2/3/2/2/3/a/s/d/f/doc/file.php$N
http://reserve-host1/fold
ile.php|
=con
g.bin
hostname
tasklist
ipconfig /all
netsh firewall set opmode disable
#*wellsfargo.com/*
@*payment.com/*
!http://*.com/*.jpg
*facebook.com/*
http://newsamplesproduct.com/css/styles/4/2/3/2/2/3/a/s/d/f/doc/gate.php
Citadel Panel C&C
Panel inseguro, no controla session.
Podemos observar en el Zeustracker la actividad del C&C.
Muestra :https://dl.dropboxusercontent.com/u/80008916/Citadel%20-%2014-11.13.rar
Eso es todo por el momento.
@Dkavalanche 2013