En esta oportunidad les traigo un caso de un falso documento que apela a la ingeniería social para tratar de infectar a las victimas con un RAT (remote administration tool). Con esta tool se obtiene un control total del equipo infectado, desde grabaciones de voz y video, captura de tecleo y de pantalla de la victima, entre otros.
Mi Amigo Raul me alcanzo esta muestra por lo que le estoy muy agradecido.
Correo Falso.
Link Falso http://urlquery.net/report.php?id=6273753
Certificado y Calificacion Tributaria certificaciones para fiscales del a±o 2013 21256977855558514488554884544 966464.exe
Análisis en VT indice de detecciones 4/48
https://www.virustotal.com/es-ar/file/ada89207c999fe66f7e480ea238132b3a5b075d9b351e9b8e889b5fcbdb2bf5c/analysis/1380807573/
Propiedades del ejecutable que se encuentra dentro de un ZIP,
Protección anti Debugging con IsDebuggerPresent
Al correrlo, me daba un error, faltaba una dll en el sistema y el Crypter fallaba... XD por lo que tuve que registrarla para continuar con el análisis estático en OllyDbg.
Dump de la muestra, con el clasico BP en WriteProcessMemory, aquí se puede observar que esta empaquetado con UPX.
Durante el análisis dinámico, el trafico de red revela la comunicación con el C&C
Strings del dump sin UPX.
Análisis del dump en Virus Total
Strings interesantes
Parte del Keylogger
00C855CC MOV EDX,DumpedXT.00C85D64 UNICODE "[Numpad +]"
00C855DD MOV EDX,DumpedXT.00C85D80 UNICODE "[Backspace]"
00C855EE MOV EDX,DumpedXT.00C85D9C UNICODE "[Numpad .]"
00C855FF MOV EDX,DumpedXT.00C85DB8 UNICODE "[Numpad /]"
00C85610 MOV EDX,DumpedXT.00C85DD4 UNICODE "[Esc]"
00C85621 MOV EDX,DumpedXT.00C85DE4 UNICODE "[Execute]"
00C85632 MOV EDX,DumpedXT.00C85DFC UNICODE "[Numpad *]"
00C856ED MOV EDX,DumpedXT.00C85E68 UNICODE "[Back Tab]"
00C856FE MOV EDX,DumpedXT.00C85E84 UNICODE "[Copy]"
00C8570F MOV EDX,DumpedXT.00C85E98 UNICODE "[Finish]"
00C85720 MOV EDX,DumpedXT.00C85EB0 UNICODE "[Reset]"
00C85731 MOV EDX,DumpedXT.00C85EC4 UNICODE "[Play]"
00C85742 MOV EDX,DumpedXT.00C85ED8 UNICODE "[Process]"
00C85753 MOV EDX,DumpedXT.00C85EF0 UNICODE "
"
00C85764 MOV EDX,DumpedXT.00C85EFC UNICODE "[Select]"
00C85775 MOV EDX,DumpedXT.00C85F14 UNICODE "[Separator]"
00C85797 MOV EDX,DumpedXT.00C85F38 UNICODE "[Numpad -]"
00C857A8 MOV EDX,DumpedXT.00C85F54 UNICODE "[Tab]"
00C857B9 MOV EDX,DumpedXT.00C85F64 UNICODE "[Zoom]"
00C857CA MOV EDX,DumpedXT.00C85F78 UNICODE "[Accept]"
00C857DB MOV EDX,DumpedXT.00C85F90 UNICODE "[Context Menu]"
00C857EC MOV EDX,DumpedXT.00C85FB4 UNICODE "[Caps Lock]"
00C857FD MOV EDX,DumpedXT.00C85FD0 UNICODE "[Delete]"
00C8580E MOV EDX,DumpedXT.00C85FE8 UNICODE "[Arrow Down]"
00C8581F MOV EDX,DumpedXT.00C86008 UNICODE "[End]"
00C85830 MOV EDX,DumpedXT.00C86018 UNICODE "[F1]"
00C85841 MOV EDX,DumpedXT.00C86028 UNICODE "[F10]"
00C85852 MOV EDX,DumpedXT.00C86038 UNICODE "[F11]"
00C85863 MOV EDX,DumpedXT.00C86048 UNICODE "[F12]"
00C85874 MOV EDX,DumpedXT.00C86058 UNICODE "[F13]"
00C85885 MOV EDX,DumpedXT.00C86068 UNICODE "[F14]"
00C85896 MOV EDX,DumpedXT.00C86078 UNICODE "[F15]"
00C858A7 MOV EDX,DumpedXT.00C86088 UNICODE "[F16]"
00C858B8 MOV EDX,DumpedXT.00C86098 UNICODE "[F17]"
00C858C9 MOV EDX,DumpedXT.00C860A8 UNICODE "[F18]"
00C858DA MOV EDX,DumpedXT.00C860B8 UNICODE "[F19]"
00C858EB MOV EDX,DumpedXT.00C860C8 UNICODE "[F2]"
00C858FC MOV EDX,DumpedXT.00C860D8 UNICODE "[F20]"
00C8590D MOV EDX,DumpedXT.00C860E8 UNICODE "[F21]"
00C8591E MOV EDX,DumpedXT.00C860F8 UNICODE "[F22]"
00C8592F MOV EDX,DumpedXT.00C86108 UNICODE "[F23]"
00C85940 MOV EDX,DumpedXT.00C86118 UNICODE "[F24]"
00C85951 MOV EDX,DumpedXT.00C86128 UNICODE "[F3]"
00C85962 MOV EDX,DumpedXT.00C86138 UNICODE "[F4]"
00C85973 MOV EDX,DumpedXT.00C86148 UNICODE "[F5]"
00C85984 MOV EDX,DumpedXT.00C86158 UNICODE "[F6]"
00C85995 MOV EDX,DumpedXT.00C86168 UNICODE "[F7]"
00C859A6 MOV EDX,DumpedXT.00C86178 UNICODE "[F8]"
00C859B7 MOV EDX,DumpedXT.00C86188 UNICODE "[F9]"
00C859C8 MOV EDX,DumpedXT.00C86198 UNICODE "[Help]"
00C859D9 MOV EDX,DumpedXT.00C861AC UNICODE "[Home]"
00C859EA MOV EDX,DumpedXT.00C861C0 UNICODE "[Insert]"
00C859FB MOV EDX,DumpedXT.00C861D8 UNICODE "[Mail]"
00C85A0C MOV EDX,DumpedXT.00C861EC UNICODE "[Media]"
00C85A1D MOV EDX,DumpedXT.00C86200 UNICODE "[Left Ctrl]"
00C85A2E MOV EDX,DumpedXT.00C8621C UNICODE "[Arrow Left]"
00C85A3F MOV EDX,DumpedXT.00C8623C UNICODE "[Left Alt]"
00C85A50 MOV EDX,DumpedXT.00C86258 UNICODE "[Next Track]"
00C85A61 MOV EDX,DumpedXT.00C86278 UNICODE "[Play / Pause]"
00C85A72 MOV EDX,DumpedXT.00C8629C UNICODE "[Previous Track]"
00C85A83 MOV EDX,DumpedXT.00C862C4 UNICODE "[Stop]"
00C85A94 MOV EDX,DumpedXT.00C862D8 UNICODE "[Mode Change]"
00C85AA5 MOV EDX,DumpedXT.00C862F8 UNICODE "[Page Down]"
00C85AB6 MOV EDX,DumpedXT.00C86314 UNICODE "[Num Lock]"
00C85AC7 MOV EDX,DumpedXT.00C86330 UNICODE "[Pause]"
00C85AD8 MOV EDX,DumpedXT.00C86344 UNICODE "[Print]"
00C85AE9 MOV EDX,DumpedXT.00C86358 UNICODE "[Page Up]"
00C85AFA MOV EDX,DumpedXT.00C86370 UNICODE "[Right Ctrl]"
00C85B08 MOV EDX,DumpedXT.00C86390 UNICODE "[Arrow Right]"
00C85B16 MOV EDX,DumpedXT.00C863B0 UNICODE "[Right Alt]"
00C85B24 MOV EDX,DumpedXT.00C863CC UNICODE "[Scrol Lock]"
00C85B32 MOV EDX,DumpedXT.00C863EC UNICODE "[Sleep]"
00C85B40 MOV EDX,DumpedXT.00C86400 UNICODE "[Print Screen]"
00C85B4E MOV EDX,DumpedXT.00C86424 UNICODE "[Arrow Up]"
00C85B5C MOV EDX,DumpedXT.00C86440 UNICODE "[Volume Down]"
00C85B6A MOV EDX,DumpedXT.00C86460 UNICODE "[Volume Mute]"
00C85B78 MOV EDX,DumpedXT.00C86480 UNICODE "[Volume Up]"
00C85BA8 MOV EAX,DumpedXT.00C864A4 UNICODE "Numpad"
00C85BBA MOV EDX,DumpedXT.00C864B8 UNICODE "KeyDelBackspace"
Archivo de configuración (.svr) y archivo del keylogger (.dat) que se envían al C&C, ambos se encuentran codificados.
00C88393 MOV EDX,DumpedXT.00C88638 UNICODE ".svr"
00C883CA MOV EDX,DumpedXT.00C88644 UNICODE ".dat"
00C8848D PUSH DumpedXT.00C88654 UNICODE "http://"
00C884D9 PUSH DumpedXT.00C88678 UNICODE ".functions"
00C885A4 PUSH DumpedXT.00C88698 UNICODE "open"
00C88800 DD DumpedXT.00C886E4 UNICODE "%USECRYPTER%"
00C88808 DD DumpedXT.00C886BC UNICODE "%DEFAULTBROWSER%"
00C88810 DD DumpedXT.00C886A8 UNICODE "restart"
00C88814 PUSH EBP (Initial CPU selection)
00C88894 PUSH DumpedXT.00C89794 UNICODE "open"
00C888A7 PUSH DumpedXT.00C897A0 UNICODE "CYBERGATEUPDATE"
00C88901 MOV ECX,DumpedXT.00C897C0 UNICODE "SETTINGSPASS"
00C88915 PUSH DumpedXT.00C897DC UNICODE "SOFTWARE\CyberGate"
00C88929 MOV EDX,DumpedXT.00C89804 UNICODE "\Microsoft\Windows\"
00C8896A MOV EDX,DumpedXT.00C89830 UNICODE ".nfo"
00C88999 MOV EDX,DumpedXT.00C89830 UNICODE ".nfo"
00C889E0 MOV ECX,DumpedXT.00C8983C UNICODE "CYBERGATEPASS"
00C88A64 MOV ECX,DumpedXT.00C8983C UNICODE "CYBERGATEPASS"
00C88AAC MOV ECX,DumpedXT.00C8983C UNICODE "CYBERGATEPASS"
00C88BD7 MOV EAX,DumpedXT.00C89858 UNICODE "SOFTWARE\"
00C88BE3 MOV ECX,DumpedXT.00C8986C UNICODE "ServerStarted"
00C88DE1 MOV EAX,DumpedXT.00C89858 UNICODE "SOFTWARE\"
00C88DED MOV ECX,DumpedXT.00C8988C UNICODE "InstalledServer"
00C88E6A MOV EDX,DumpedXT.00C898AC UNICODE ".svr"
00C88EE3 MOV EAX,DumpedXT.00C898B8 UNICODE "svchost.exe"
00C8912A MOV EAX,DumpedXT.00C898D0 UNICODE "explorer.exe"
00C89169 MOV EDX,DumpedXT.00C898AC UNICODE ".svr"
00C891C2 MOV EAX,DumpedXT.00C898EC UNICODE "local"
00C891D4 MOV ECX,DumpedXT.00C898F8 UNICODE "CYBERGATE"
00C89217 MOV EDX,DumpedXT.00C89910 UNICODE "SOFTWARE\"
00C8922E MOV ECX,DumpedXT.00C89924 UNICODE "Mutex"
00C892DF MOV EAX,DumpedXT.00C898EC UNICODE "local"
00C89318 MOV ECX,DumpedXT.00C898F8 UNICODE "CYBERGATE"
00C8935B MOV EDX,DumpedXT.00C89910 UNICODE "SOFTWARE\"
00C89372 MOV ECX,DumpedXT.00C89924 UNICODE "Mutex"
00C893D9 MOV EDX,DumpedXT.00C89938 ASCII "lsass.exe"
00C894AF MOV EDX,DumpedXT.00C8994C ASCII "svchost.exe"
Muestra: https://dl.dropboxusercontent.com/u/80008916/Cybergate-03-10-13.rar
Password = infected
Es todo por el momento.
@Dkavalanche 2013
No hay comentarios:
Publicar un comentario