"Hola todo el mundo lo sabe menos tu te están engañando abre los ojos"
Contiene tres links que descarga un ejecutable con el icono de adobe flash.
http://urlquery.net/report.php?id=1450312796496
http://urlquery.net/report.php?id=1450312974084
Icono
Contiene una capa de Crypter básica pero efectiva, solo 8 antivirus lo reconocían.
Dumpeamos con bp en WriteVirtualMemory
Ahora sin la capa del Crypter la cosa cambia y es detectado por mas A.V.
Strings Interesantes:
Anti-VM
00407AB3 MOV EAX,1.00407B40 ASCII "VBoxService.exe"
00407B40 ASCII "VBoxService.exe",0
00407B53 PUSH 1.00407B68 ASCII "SbieDll.dll"
00407B68 ASCII "SbieDll.dll",0
00407B77 PUSH 1.00407B8C ASCII "dbghelp.dll"
00407B8C ASCII "dbghelp.dll",0
00407BA6 PUSH 1.00407C00 ASCII "Software\Microsoft\Windows\CurrentVersion"
00407BCF PUSH 1.00407C2C ASCII "ProductId"
00407BE2 CMP EAX,1.00407C38 ASCII "55274-640-2673064-23950"
Anti-Debugging
00407EA6 PUSH 1.00407ED4 ASCII "IsDebuggerPresent"
00408798 MOV EDX,1.004089E0 ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
004087E1 MOV EDX,1.004089E0 ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
0040880F MOV EDX,1.004089E0 ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
00408858 MOV EDX,1.004089E0 ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
00408890 MOV EDX,1.00408A28 ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
004088D9 MOV EDX,1.00408A28 ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
00408911 MOV EDX,1.00408A28 ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
0040895A MOV EDX,1.00408A28 ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
004089D4 ASCII "\",0
En el analisis Dinámico vemos donde se conecta y su persistencia en el sistema.
Archivo Oculto:
Network Traffic
DNS Requests
unshowmas.ddns.net 181.131.80.198 Colombia
analaloca.chickenkiller.com 181.131.80.198 Colombia
unshowmas.no-ip.biz 181.131.80.198 Colombia
Contacted Hosts
191.90.223.133 3460 TCP Colombia
El RAT se inyecta en un proceso Firefox.exe, haciendo un dump de este proceso y luego volcando los strings encontramos lo siguiente:
(para esto podemos utilizar la suite de sysinternals)
unshowmas.no-ip.biz
ALOCA.CHICKENKILLER.COM
unshowmas.no-ip.biz
stem\CurrentControlSet\Services\Tcpip\Parameters
cybergate
CyberGate
v1.18.0 - Trial version
.txt
Ya sabemos que es el troyano RAT Cybergate, por lo que podemos correr un decoder del config para ver que datos obtenemos.
https://github.com/kevthehermit/RATDecoders/blob/master/CyberGate.py
Key: Activate Keylogger Value: TRUE
Key: Active X Startup Value: {O8WU086S-76RM-CBK3-8KVD-3P1LU050V080}
Key: Change Creation Date Value: TRUE
Key: CyberGate Version Value:
Key: Domain Value: analaloca.chickenkiller.com|unshowmas.ddns.net|unshowmas.no-ip.biz|
Key: Enable Message Box Value: FALSE
Key: FTP Address Value: ftp.server.com
Key: FTP Directory Value: ./logs
Key: FTP Interval Value: 30
Key: FTP Password Value: password
Key: FTP Port Value: 21
Key: FTP UserName Value: ftp_user
Key: Google Chrome Passwords Value:
Key: Hide File Value: TRUE
Key: Install Directory Value: install
Key: Install File Name Value: logonwindows.exe
Key: Install Flag Value: TRUE
Key: Install Message Box Value: Remote Administration anywhere in the world.
Key: Install Message Title Value: CyberGate
Key: Keylogger Backspace = Delete Value: TRUE
Key: Keylogger Enable FTP Value: FALSE
Key: Melt File Value: TRUE
Key: Message Box Button Value: 0
Key: Message Box Icon Value: 16
Key: Mutex Value: J00OO266V861S3
Key: P2P Spread Value:
Key: Password Value: cybergate
Key: Persistance Value: TRUE
Key: Port Value: 3460|3460|3460|
Key: Process Injection Value: Disabled
Key: REG Key HKCU Value: HKCU
Key: REG Key HKLM Value: HKLM
Key: ServerID Value: FOTO
Key: Startup Policies Value: Policies
Key: USB Spread Value:
La ingeniería social a la orden del día y los .... curiosos...
Muestra:
https://www.dropbox.com/s/xk35wu39i3v2n3k/Malware%20-%20cybergate-16-12-15.rar?dl=0
Eso es todo por el momento.