Análisis de la muestra de Neutrino Bot.

Iniciado por r32, 3 Enero 2019, 19:34 PM

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario

r32

3 Enero 2019, 19:34 PM
Análisis

1. cargador
1.1. Embalador de primera etapa
1.2. Segunda etapa, embalador / inyector personalizado.
1.2.1. Trucos Antidebug
1.2.1.1. Antidebug trucos: ofuscación API
1.2.1.2. Trucos Antidebug: Trucos del tiempo
1.2.1.3. Trucos Antidebug: HKCU \ Software \ Microsoft \ Windows \ Identifier
1.2.1.3. Trucos Antidebug: cheques CPUID
1.2.1.4. Trucos Antidebug: Camina ejecutando procesos buscando nombres conocidos
1.2.1.5. Trucos Antidebug: Camina los módulos del propio proceso buscando nombres conocidos
1.2.1.6. Trucos Antidebug: IsDebuggerPresent / CheckRemoteDebuggerPresent
1.2.2. Inyección
1.2.3. Otros detalles
1.2.3.1. BotId y mutex
1.2.3.2. PRNG
2. módulo banquero
2.1. WebInjects
2.2. Ganchos del navegador
2.3. Otras capacidades de ladrón
3. Similitudes con el código fuente filtrado NukeBot
3.1. Función InjectDll en el módulo de banquero
3.2. Hollow-process explorer.exe
3.3. BotId aleatorio
4. Conclusiones

Link: http://www.peppermalware.com/2019/01/analysis-of-neutrino-bot-sample-2018-08-27.html

Saludos.
Imprimir
Ir Arriba Páginas1
Acciones del Usuario