Analizando malware y encontrando al atacante.
Hola todos, como todos sabemos, los malwares de hoy en día, son mucho más peligrosos, más difíciles de detectar y con mayor capacidad de destrucción. Por lo que os voy a "enseñar" a analizar algún archivo del que desconfieis.
Cabe destacar, que todo el contenido del post, está realizado por mi, (menos los dos archivos, que como menciono más adelante, encontré por internet.), el post fué realizado en un entorno controlado (sandbox) ya que estaba 100% seguro de que se trataba de malware.
Navegando por internet, encontré dos archivos, cuyos nombres eran: taskab.exe y taskaa.exe, puesto a que los nombres no me transmitían demasiada confianza decidí descargarlos y analizarlos con mi antivirus.
Como ya se esperaba, saltó el mensaje "NO SE HA DETECTADO AMENAZA", pero como bien sabemos, los antivirus no son infalibles.
El siguiente paso, era abrirlos con el editor hexadecimal, buscando palabras claves como: no-ip etc..., como no se encontraron resultados y leer todo el código desde el editor es un follón, y no tenía mi cuckoo a mano, decidí subirlos a www.malwr.com, que nos proporciona un gran servicio y nos muestra todos los movimientos del malware.
Resultados del fichero taskaa.exe
Resultados del fichero taskab.exe
Como podemos observar, se crean varios archivos entre otras cosas.
Llegados a este punto, es hora de ejecutar los ficheros, no sin antes, controlar los procesos con una herramienta.
El resultado de ejecutar estos dos archivos fué el siguiente:
Justo después de esa acción, saltaron 2 o 3 avisos más y se reinició automáticamente la máquina, después del reinicio, continué con el análisis...
Basándome en los resultados de malwr y de la última screen, busqué el directorio uWr90Eb
Accedí a la ruta que me mostraba "C:\Users\Blackdrake" pero no encontré el directorio que buscaba, pensé que podía estar oculto, por lo que ejecuté el siguiente comando en el cmd: attrib -r -s -h *.* /s /d
Ahora ya podía visualizar el directorio y los archivos que habían en su interior.
Allí había otro ejecutable, mftRy.exe, de la misma manera que antes, lo subí a malwr para ver los movimientos, acto seguido, ejecuté el fichero, no habían cambios aparentes, por ese motivo, inicié WireShark, para poder visualizar la ip donde enviaba el malware los datos.
Después de ver varias conexiones, encontré esta:
Como ya tenía la IP a la que se enviaban los datos, accedí a ella pero como casi de costumbre, me encontré con esta web:
El siguiente paso, era buscar el dominio al que tenía asociado esa IP:
Si accedía al nombre de dominio que me proporcionaba el comando nslookup acababa en la misma web que antes, ya que no era el dominio, si no el dns del hosting :/
Se me ocurrió, buscar la IP por google, a ver si tenía más suerte y encontraba algo...
En el tercer o cuarto enlace, encontré algo bastante interesante:
Ya tenía el dominio asociado a la IP, el siguiente paso era acceder para ver si me reedirigia a la misma página o no... Este es el contenido que pude visualizar.
Supuse que los diferentes directorios, eran infectados, asi que empecé a visualizar uno por uno.
Al llegar al segundo enlace, esto es lo que encontré:
En su interior contenía lo poco que había conseguido de mi máquina.
Como pueden comprobar era mi máquina ya que la IP, versión, antivirus eran los mismos.
Autor: Blackdrake