Analisis forense : ¿Alguien sabe que puede ser este bicho?

Iniciado por BDS, 14 Marzo 2020, 12:40 PM

0 Miembros y 1 Visitante están viendo este tema.

BDS

Bunos díqs,

Estoy hqciendo un qnqlisis forense de un Windows 7 que estaba en un contexto industrial y me he topado con algunos indicadores muy claros de que hay malware, pero no acabo de comprender que es y que hace.

Analizando la memoria he encontrado esto:

$ vol.py -f SATELLITE-PC-20200126-122740.raw --profile Win7SP1x86 ldrmodules | grep -v ".mui" | grep False
Volatility Foundation Volatility Framework 2.6.1
Pid      Process              Base       InLoad InInit InMem MappedPath
-------- -------------------- ---------- ------ ------ ----- ----------
    292 smss.exe             0x47f20000 True   False  True  \Windows\System32\smss.exe
    376 csrss.exe            0x49ff0000 True   False  True  \Windows\System32\csrss.exe
    424 wininit.exe          0x00d60000 True   False  True  \Windows\System32\wininit.exe
    432 csrss.exe            0x49ff0000 True   False  True  \Windows\System32\csrss.exe
    432 csrss.exe            0x000f0000 False  False  False \Windows\Fonts\vgasys.fon
    432 csrss.exe            0x01b30000 False  False  False \Windows\Fonts\cga80850.fon
    432 csrss.exe            0x01960000 False  False  False \Windows\Fonts\ega40850.fon
    432 csrss.exe            0x00b70000 False  False  False \Windows\Fonts\vga850.fon
    432 csrss.exe            0x00b80000 False  False  False \Windows\Fonts\app850.fon
    432 csrss.exe            0x01b20000 False  False  False \Windows\Fonts\cga40850.fon
    476 winlogon.exe         0x002a0000 True   False  True  \Windows\System32\winlogon.exe
    504 services.exe         0x00590000 True   False  True  \Windows\System32\services.exe
    524 lsass.exe            0x00d30000 True   False  True  \Windows\System32\lsass.exe
    532 lsm.exe              0x00f70000 True   False  True  \Windows\System32\lsm.exe
    648 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    724 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    772 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    772 svchost.exe          0x00580000 False  False  False \Windows\System32\services.exe
    896 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    940 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    972 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
   1068 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
   1220 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
   1304 AvastSvc.exe         0x00c90000 True   False  True  \Program Files\AVAST Software\Avast\AvastSvc.exe
   1488 spoolsv.exe          0x00f60000 True   False  True  \Windows\System32\spoolsv.exe
   1564 taskhost.exe         0x00260000 True   False  True  \Windows\System32\taskhost.exe
   1608 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
   1732 dwm.exe              0x00d90000 True   False  True  \Windows\System32\dwm.exe
   1752 explorer.exe         0x002c0000 True   False  True  \Windows\explorer.exe
   1752 explorer.exe         0x07820000 False  False  False \Windows\System32\imageres.dll
   1752 explorer.exe         0x04330000 False  False  False \Windows\System32\oleaccrc.dll
   1812 armsvc.exe           0x00e70000 True   False  True  \Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
   1832 agrsmsvc.exe         0x01000000 True   False  True  \Program Files\LSI SoftModem\agrsmsvc.exe
   1856 SkypeC2CAutoUp       0x00d90000 True   False  True  \Program Files\Skype\Toolbars\AutoUpdate\SkypeC2CAutoUpdateSvc.exe
   1908 SkypeC2CPNRSvc       0x00980000 True   False  True  \Program Files\Skype\Toolbars\PNRSvc\SkypeC2CPNRSvc.exe
   1972 taskeng.exe          0x004e0000 True   False  True  \Windows\System32\taskeng.exe
   2000 MMSserve.exe         0x00400000 True   False  True  \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe
    312 MMSserve.exe         0x00400000 True   False  True  \Program Files\MELSOFT\MSF\Common\MMS\MMSserve.exe
    936 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
    936 svchost.exe          0x7f6f0000 False  False  False
   1392 TeamViewer_Ser       0x00ff0000 True   False  True  \Program Files\TeamViewer\Version9\TeamViewer_Service.exe
   2328 unsecapp.exe         0x00a10000 True   False  True  \Windows\System32\wbem\unsecapp.exe
   2532 GoogleUpdate.e       0x00990000 True   False  True  \Program Files\Google\Update\GoogleUpdate.exe
   2668 SearchIndexer.       0x002d0000 True   False  True  \Windows\System32\SearchIndexer.exe
   3040 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
   3692 svchost.exe          0x00630000 True   False  True  \Windows\System32\svchost.exe
   3756 wmpnetwk.exe         0x00030000 True   False  True  \Program Files\Windows Media Player\wmpnetwk.exe
   3136 avastui.exe          0x010b0000 True   False  True  \Program Files\AVAST Software\Avast\avastui.exe
   2116 audiodg.exe          0x00310000 True   False  True  \Windows\System32\audiodg.exe
   1140 WUDFHost.exe         0x00b30000 True   False  True  \Windows\System32\WUDFHost.exe
   1688 DumpIt.exe           0x00910000 True   False  True  \DumpIt.exe
   3352 conhost.exe          0x00440000 True   False  True  \Windows\System32\conhost.exe

He hecho un dump de la memoria y la he analizado en VT y parece estar limpio además de que no veo nada en la extracción del assembly.

¿Alguien tiene una idea de que puede ser esto? ¿Es normal que svchost llame a services? Esto último me parece muy extraño.

Actualizo: Ni Bitdefender 2020, ni Avast detectan el malware (si lo hubiere, que tiene pinta de que si).

Gracias de antemano!


ace99

Buenas, siento no poder ayudarte pero me surge una pregunta respecto a tu consulta.

Tengo windows 10 y quiero hacer el mismo análisis que tu para comprobar que mi ordenador está limpio. Para ver la lista de procesos ejecuto el comando tasklist en la terminal pero no obtengo exactamente lo mismo.
¿Qué debería hacer para obtenerlo?

Muchas gracias de antemano y saludos.

BDS

haz un git clone de esto:
https://github.com/volatilityfoundation/volatility.git

Para hacer el dump de memoria yo utilicé DumpIt.exe (una búsqueda de google y lo encontrarás).

XKC

Busca el binario. Los eventos del sistema de win

Mira la rutas de registro de arranque, los servicios instalados el el sistema, y wmic, el bicho tiene que tener persistencia y es probable que use alguno de esos metodos(aunque pudiera ser que use otros más complejos, como secuestros com etc.)

A si a simple vista, no has pensado que puede que sea files, y por eso ni salta y todo va 'normal'.

Un saludo
Para poder atacar y vencer con seguridad, ataca donde ellos no puedan defenderse.
Para defenderte y resistir firme, defiéndete en donde ellos no atacarán.


e

Hola,

svchost es un proceso muy utilizado por los troyanos, como por ejemplo Kronos, generalmente se crea como un porceso suspendido se inyecta código y se continua con este. Mira los programas que están configurados para ejecutarse al inicio y si ese proceso se está conectando a algún servidor.
e