miércoles, 29 de enero de 2014

CyberGate: En febrero nuestra aerolínea te obsequia...


Hace unos días un supuesto hacker (camushackers), habría robado y tomado vía webcam, fotos comprometedoras de distintas personalidades del espectáculo local,  para luego ser posteadas en su cuenta de Twitter. Muchos preguntaban como lo hizo, bueno esta es una de las formas.

En esta oportunidad se envía un correo falso simulando provenir de una conocida aerolínea internacional ofreciendo un obsequio espectacular, en el enlace se apunta a un troyano Cybergate RAT (remote administration tool). 

Mi Amigo Raul me envió esta muestra por lo que le estoy muy agradecido.

Correo Falso.




Indice de detecciones moderado en VirusTotal 



Contiene una capa de Crypter en Visual Basic y luego el ejecutable esta compactado con UPX

Para obtener el Dump BP en IsDebuggerPresent / ZwWriteVirtualMemory /ZwResumeThread

Sin la capa del Crypter el número de detecciones obviamente cambia.







Persistencia en el sistema del malware.


Strings Interesantes.......

008B5021   MOV EDX,dump3.008BF71C                    ASCII "finalizarconexao"
008B514C   PUSH dump3.008BF738                       ASCII "listarportas|finalizarconexao|"
008B5161   PUSH dump3.008BF760                       ASCII "TRUE"
008B5191   PUSH dump3.008BF738                       ASCII "listarportas|finalizarconexao|"
008B51A6   PUSH dump3.008BF770                       ASCII "FALSE"
008B520C   MOV EDX,dump3.008BF780                    ASCII "finalizarprocessoportas"
008B529B   PUSH dump3.008BF7A0                       ASCII "listarportas|finalizarprocessoportas|Y|"
008B52E2   PUSH dump3.008BF7D0                       ASCII "listarportas|finalizarprocessoportas|N|"
008B535F   MOV EDX,dump3.008BF800                    ASCII "listdevices"
008B5379   PUSH dump3.008BF814                       ASCII "listdevices|listadedispositivospronta|"
008B540C   MOV EDX,dump3.008BF844                    ASCII "listextradevices"
008B5474   MOV EDX,dump3.008BF860                    ASCII "listextradevices|listadedispositivosextraspronta|"
008B54C1   MOV EDX,dump3.008BF89C                    ASCII "configuracoesdoserver"
008B54DE   MOV EDX,dump3.008BF8BC                    ASCII "configuracoesdoserver|configuracoesdoserver|"
008B552B   MOV EDX,dump3.008BF8F4                    ASCII "executarcomandos"
008B5620   MOV EDX,dump3.008BF91C                    ASCII "openwebpage"
008B56A3   MOV EDX,dump3.008BF0BC                    ASCII "open"
008B56FA   MOV EDX,dump3.008BF930                    ASCII "openweb"
008B57CB   MOV EDX,dump3.008BF0BC                    ASCII "open"
008B582B   MOV EDX,dump3.008BF940                    ASCII "openwebhidden"
008B58E2   PUSH dump3.008BF950                       ASCII "URL_VISITOR"
008B5989   MOV EDX,dump3.008BF964                    ASCII "downexec"
008B5AA3   MOV EDX,dump3.008BF0BC                    ASCII "open"
008B5AD6   MOV EDX,dump3.008BF0BC                    ASCII "open"
008B5B2D   MOV EDX,dump3.008BF984                    ASCII "obterclipboard"
008B5B54   MOV EDX,dump3.008BF99C                    ASCII "obterclipboard|obterclipboard|"

Uso de Webcam de la victima:

008B797C   MOV EDX,dump3.008BFFBC                    ASCII "webcaminactive|"
008B7994   MOV EDX,dump3.008BFFD4                    ASCII "webcamdllloaded|"
008B79AC   MOV EDX,dump3.008BFFBC                    ASCII "webcaminactive|"
008B79C4   MOV EDX,dump3.008BFFBC                    ASCII "webcaminactive|"
008B79FD   MOV EDX,dump3.008BFFF0                    ASCII "webcamsettings"
008B7B01   MOV EDX,dump3.008C0008                    ASCII "checkwebcamfile"



Grabación de Audio:

008B8300   MOV EDX,dump3.008C010C                    ASCII "audiogetbuffer"
008B84A5   MOV EDX,dump3.008C0124                    ASCII "audiostop"


File Manager:

008B8529   MOV EDX,dump3.008C0138                    ASCII "listardrives"
008B8551   MOV EDX,dump3.008C0150                    ASCII "filemanager|listardrives|"
008B85A3   MOV EDX,dump3.008C0174                    ASCII "listararquivos"
008B860F   PUSH dump3.008C018C                       ASCII "filemanager|dirmanagererror|"
008B8631   MOV EDX,dump3.008C01B4                    ASCII "filemanager|listararquivos|"
008B8683   MOV EDX,dump3.008C01D8                    ASCII "execnormal"
008B8749   MOV EDX,dump3.008BF0BC                    ASCII "open"
008B875A   PUSH dump3.008C01EC                       ASCII "filemanager|mensagens|"

Keylogger:

008C3315   PUSH dump3.008C3490                       ASCII "[START CLIPBOARD] "
008C331D   PUSH dump3.008C34AC                       ASCII " [END CLIPBOARD]"
008C3322   PUSH dump3.008C3484                       ASCII "
"
008C3347   MOV EDX,dump3.008C34C8                    ASCII "njgnjvejvorenwtrnionrionvironvrnvcg117"
008C334C   MOV EAX,dump3.008C34F8                    ASCII "[LogFile]
"
008C3359   MOV EDX,dump3.008C350C                    ASCII "####"
008C337A   PUSH dump3.008C351C                       ASCII "[ "
008C3385   PUSH dump3.008C3528                       ASCII " ] ---> [ DATE/TIME: "
008C33B5   PUSH dump3.008C3554                       ASCII " -- "
008C33D5   PUSH dump3.008C3570                       ASCII " ]"
008C33DA   PUSH dump3.008C3484                       ASCII "
"
008C33DF   PUSH dump3.008C3484                       ASCII "
"
008C33EA   PUSH dump3.008C357C                       ASCII "  "
008C33EF   PUSH dump3.008C3484                       ASCII "
"
008C33F4   PUSH dump3.008C3484                       ASCII "
"
008C3413   MOV EDX,dump3.008C34C8                    ASCII "njgnjvejvorenwtrnionrionvironvrnvcg117"
008C3429   MOV ECX,dump3.008C350C                    ASCII "####"



Aquí es donde se graban los tecleos (ofuscados)

08C4ADB   PUSH dump3.008C4D98      ASCII "v1.18.0 - Trial version"
008C4AE0  PUSH dump3.008C4DB8      ASCII "log.dat"







En el análisis dinámico podemos hacer una adquisición de la memoria RAM del sistema con Dumpit! para luego buscar strings que nos pueden revelar algo mas.

Por ejemplo aquí podemos ver los datos capturados por el Keylogger antes de ser ofuscados y guardados en el archivo de logging del troyano. (También se observa el NO-IP utilizado como Comando y Control)



Disco local (C:)
14:01:45
h&?
proyectofinal.no-ip.biz:3461
ENERO 3
TRUE
c:\
install
winlogionfire.exe

{2D31547I-7FY4-71H4-1N57-IG605J8MI5SL}



Muestra + Dumps: https://www.dropbox.com/s/mbilwo8oueyqaaz/CyberGate28-01-14.rar




Es todo por el momento.

@Dkavalanche 2014



4 comentarios:

Unknown dijo...

Excelente análisis de este RAT!

@Dkavalanche dijo...

Gracias Patricio!

aleja dijo...

como puedo borrar ese maldito virus que me tiene loca, es seguro borrarlo con un antivirus?

@Dkavalanche dijo...

Hola aleja, te recomiendo que utilices malwarebytes para remover este tipo de troyanos.


Saludos.

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!