Destripando/ Analizando un ejecutable [By TokioDrift]

Iniciado por invisible_hack, 16 Mayo 2010, 20:20 PM

0 Miembros y 1 Visitante están viendo este tema.

invisible_hack

En esta primera parte vamos analizar el ejecutable con un editor Hexadecimal para ver como esta compuesto el mismo, en este caso el ejecutable aparenta ser un Keygen pero... Realmente lo Sera? Veamos.



Bueno Aca Tendremos 2 cuadros Son los mismo, represantan lo mismo con la unica diferencia que uno podremos leer xD, que es el de la derecha.



Los ExitProcess, Kernel32.dll, esos son offset que son fundamentales para el funcionamiento del archivo

Bien Comunmente un archivo malicioso se compone minimo de:

-Una IP o No-Ip que son para redireccionar a ellos
-Modificaciones en el Registro
-Procesos a Injectarse

Bien empezemos a Explorar el Archivo, vemos que no hay nada sospechoso. Seguimos Mirando.....



STOP!!!, Nos encontramos con esto:



Y Aca pensamos: para que queria un Supuesto keygen, tener una No-IP, crear entradas en el Registro y para que queria utilizar los archivos:

SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar y/o Crear

Ya con esto nos damos cuenta de que no es un simple "Keygen", Pero sigamos investigando

Vemos que crean 2 entradas mas Pero ¿Que Son?



Ya con esto podemos Sacar la conclusion de que no es un keygen y es solo un Troyano para poder manipularnos la pc.

Pero Con Estos Nombres:

SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar y/o Crear

¿Que sabremos que hace cada uno? Veamoslo, si todo lo que comprobamos es verdad.

En mi caso lo voy a ejecutar en mi pc, pero les recomiendo que lo ejecuten en una maquina virtual para que no les afecte en nada.

Archivo Ejecutado, Veamos en las carpetas System, System32 o otras comunes si se produjo un cambio:

Sorpresa!, 2 Archivos "SisNet" Aparecieron en C:\Windows

SisNet.exe <------------ Archivo A Crear
msnmsgr.exe <--------- Archivo a Injectar




Listo, pero si tenia el Msn cerrado en que proceso se injecto?

La mayoria de los RAT al fallar en el proceso de injeccion, se injectan en el iexplore, o FireFox. Miren:



Ahora Veamos si realmente Se inicia en Nuestro sistema para eso vamos a Inicio> Ejecutar y vamos a la ruta que nos indicaba el Editor Hexadecimal.



Y Si, nos encontramos con el mismo SisNet. que se nos habia creado.

Lo Ven? Ahora solo tendremos que entrar a modo seguro al sistema y elimar los 2 Archivos y las entradas Wink.

Ya Con la No-Ip en nuestras manos podemos denunciarla por abuso, para eso nos dirigimos a la pagina de no-ip.com para realizar la denuncia este es el enlace directo:

http://www.no-ip.com/company/contact-us



Luego Ya se eliminara esa cuenta de no-ip y la persona que nos controlaba con su troyano no podra hacerlo mas.

Autor: TokioDrift

Fuente: PortalHacker.net

[OFFTOPIC]
Estuve dudando si poner el tutorial aqui, o en la sección de seguridad...si algún Mod considera que está mejor en Seguridad, que lo mueva  ;)
[/OFFTOPIC]
"Si no visitas mi blog, Chuck te dará una patada giratoria"

[Zero]

Es el poison  :xD.

Ta bien el tuto, aunque en la mayoría de los casos el malware estaría cifrado y el archivo final empacado, no serviría con simplemente echar una ojeada con el editor hexadecimal.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

skapunky

Justamente lo que he pensado al mirar el tutorial, y si las cadenas están cifradas? De todas formas también en el tutorial se da como supuesto que el troyano se copia en claves de autoarranque...puede ser que la lea y no se copie y por eso sale el string, eso se debería justificar posteriórmente con el análisis dinámico que lo hace al final.

Por cierto, no sabia que se podían reportar cuentas no-Ip, me voy a pegar un jarton de reportes   :xD
Killtrojan Syslog v1.44: ENTRAR

dof

muy facil su deteccion, lo raro es que no este empaquetado /encritpado.

gpeer3hq

Bueno, el tuto esta bien redactado y aunque no era precisamente lo que andaba buscando. De cierto modo me impulso a investigar más sobre el tema. No cabe duda que siempre se aprende algo nuevo.

Por muy pequeña que sea la curiosidad, basta con seguir aportando al foro. Salu2
~*'¨¯¨'*~Encuentro la televisión muy educativa. cada vez que alguien la enciende, me retiro a otra habitación y leo un libro"~*'¨¯¨'*~


kHRYSTAL

#5
Cita de: Hacker_Zero en 16 Mayo 2010, 21:32 PM
Es el poison  :xD.

Ta bien el tuto, aunque en la mayoría de los casos el malware estaría cifrado y el archivo final empacado, no serviría con simplemente echar una ojeada con el editor hexadecimal.

Saludos
Cita de: skapunky en 16 Mayo 2010, 22:26 PM
Justamente lo que he pensado al mirar el tutorial, y si las cadenas están cifradas? De todas formas también en el tutorial se da como supuesto que el troyano se copia en claves de autoarranque...puede ser que la lea y no se copie y por eso sale el string, eso se debería justificar posteriórmente con el análisis dinámico que lo hace al final.

Por cierto, no sabia que se podían reportar cuentas no-Ip, me voy a pegar un jarton de reportes   :xD

La 3 parte la estoy haciendo pero se analiza con el Olly ;)
Ademas la hice en CPH LOL no hay tanto nivel para hacer algo exagerado xDDD

Ps. Hay 2da parte Tambien :F
"Vivo De Costado"