hace un par de semanas lei algo interesante acerca de Bifrost y Poison... tratando de resumirles decia que estas dos "bestias" (en el buen sentido), estaban programadas de tal forma que al colarlos en nuestra mákina para el estudio o curiosidad d saber como funcionan. Tambien era beneficiado el programador de éstos ya que el programa en si convertia a todos los usuarios de estos en victimas. Como digo parece tratarce de un mito y como todo mito tiene nalgo de verdad y de mentira... espero que sean ustedes los que opinen
Eso es algo complejo de saber la verdad, cualquier troyano donde se libere su codigo y se haga público, un tercero puede cogerlo, modificarlo y recompilarlo haciendo que el propio cliente infecte al usuario que lo ejecute.
Si hay un cliente como se suele decir "troyanizado" no quiere decir que sea obra del autor si su codigo es libre.
Hace años, hubo uno muy famoso, el Darkmoon. No se si habran oído hablar. El creador del Darkmoon lo programó en delphi y durante tiempo se decia que su troyano estaba infectado. Yo durante años, antes y despues de ese "incidente" lo conocía y hablábamos de programación en delphi y estoy casi seguro que el no lo troyanizó.
De hecho, sacó mas tarde una versión privada que la vendia a un precio (no opinaré sobre ello) y todo el mundo alegó que esa no estaba infectada, claro que su código nunca fue público en esa versión.
Cada un que saque sus conclusiones, pero no es un mito, es una realidad y un tercero puede recompilar codigo infectado sin problemas.
bueno corrijanme si estoy ekivocado pero creo que las unicas versiones de estos troyanos que podemos en algo modificar (me refiero al bifrost) es la version desempaquetada, poque en sí codigo fuente de estos troyanos no hay...
pero si te refieres a que dentro del cliente de bifros un tercero bindeo un server.... eso ya es otra cosa.... yo me refiero al codigo fuente como tal
Yo también me refiero al codigo fuente, si está liberado, se coge y se modifica...añadiendo funciones o modificando funciones y se recompila.
Añadir malware con un binder nunca me referí, eso es para gente que lo maximo que ha hecho de programación en su vida es resolver un sistema de 1 equación. :xD :rolleyes:
Pero es tan simple con un debugger ver como trabaja :B . al igual que visualizar las conexiones establecidas. Saludos
Cita de: .:UND3R:. en 18 Febrero 2012, 18:44 PM
Pero es tan simple con un debugger ver como trabaja :B . al igual que visualizar las conexiones establecidas. Saludos
Claro, con eso te puedo decir que Bifrost por lo menos no tiene nada malo, yo no lo analice nunca pero si llego a ser tan usado es porque no contenia nada raro, sino alguien hubiera publicado que estaba troyanizado mostrando alguna prueba y nadie lo usaria mas.
Yo una vez vi un articulo completo sobre el analisis del bifrost... por ahí debe estar en la red, si lo encuentro lo publico
ademas esta pregunta yo la hice hace unos meses :xD
ah! lo sabia que por aquí cerca tenia el enlace esta en la pagina del moderador de ing inversa, Shaddy:
http://abssha.blogspot.com/2009/06/analisis-de-bifrost-v12-exahustivo.html
@Edu:
Edu, por lo visto falto un poco mas :xD al parecer el server SI esta infectado ::):
Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado)
Me he leído la primera parte y por el momento no se comenta nada no se ve nada extraño, desgraciadamente no logro encontrar la parte #2
Es falso, al menos las versiones oficiales que conozco.
Cita de: .:UND3R:. en 26 Febrero 2012, 18:21 PM
Me he leído la primera parte y por el momento no se comenta nada no se ve nada extraño, desgraciadamente no logro encontrar la parte #2
No existe la parte dos... como todos, lo que más falta es tiempo, y nunca se hizo la parte 2 =/.
Nox.
Yo hablo de las oficiales no copias..
No creo que Shaddy haya hecho pruebas en una no oficial...
y escribi lo que estaba en el tuto eh! ( Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado )
Cita de: RHL en 28 Febrero 2012, 01:20 AM
No creo que Shaddy haya hecho pruebas en una no oficial...
y escribi lo que estaba en el tuto eh! ( Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado )
En esa parte del tutorial se da a entender que efectivamente está infectado al ser un troyano y ser un servidor, cualquier servidor debe poseer un código malicioso que se encargue de establecer conexiones a un cliente remoto esperando acciones. Luego comenta que no se conecta a ningún lado es decir que no genera alguna conexión adicional hacia otro cliente distinto al configurado.
Cita de: Иōҳ en 27 Febrero 2012, 15:12 PM
No existe la parte dos... como todos, lo que más falta es tiempo, y nunca se hizo la parte 2 =/.
Nox.
Lo entiendo más que claro jaja
no hizo parte 2 porque uso inctrl (algo como sandiebox y fue muy claro pillar los datos)
antes de:
CitarAhí va recién salido del horno.
Ya llevaba la idea desde hace tiempo y de momento sale la parte 1... el archivo adjunto contiene.
"Bifrost_core.dll" -> .DLL con cabecera reparada y descomprimida (de UPX), y tabla IAT arreglada que contiene el núcleo del troyano.
"PE_Header.Bifrost_core.txt" -> Copia de la Información del PE Header de la librería que se crea en memoria.
"Server.exe_INFECTED" -> Servidor que se ha analizado (Infectado, aunque no conecta a ningún lado).
En ésta parte se ve solamente hasta lo que es extraer la .dll de la memoria, en la segunda parte haré el análisis Estático con IDA (que tengo casi terminado) y escribiré el funcionamiento sobre como se Instala en el SO, Protocolos de comunicación, Desinstalación y Contra-Ataques que se puedan hacer...
Si hay alguien que le interese saber como reparé la .dll una vez volcada que me escriba al privado y haré una Parte III o un Anexo.
Un saludo.
Shaddy.
Citar2. Pues si os llegáis a infectar, habría que mirar...
Installation Report: server
Generated by InCtrl5, version 1.0.0.0
Install program: C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe
6/13/2009 11:02 PM
------------------------------------------------------------
Registry
********
Keys ignored: 0
---------------
* (none)
Keys added: 5
-------------
HKEY_CURRENT_USER\Software\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\MediaResources\msvideo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\MediaResources\msvideo
Values added: 4
---------------
HKEY_CURRENT_USER\Software\Bifrost "klg"
Type: REG_BINARY
Data:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "C:\Documents and Settings\Admin\Escritorio\Bifrost v1.2\server.exe"
Type: REG_SZ
Data: server
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost "nck"
Type: REG_BINARY
Data: ED, 1B, E6, 27, B9, 28, D6, 32, 74, C3, CD, 74, FA, 93, 5B, 67
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s
Values deleted: 2
-----------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "0"
Type: REG_SZ
Data: SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}
Values changed: 5
-----------------
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG "Seed"
Old type: REG_BINARY
New type: REG_BINARY
Old data: EA, 91, EB, 59, D0, 7B, 42, 9D, 7E, 74, D6, 3A, 4F, FE, 8B, 98, BE, 41, 20, 27, 79, 90, F6, 07, EA, E3, 1B, 18, 10, 27, 0B, DB, B6, CE, 9A, F8, 6F, C5, BC, 51, 9D, 2F, 31, F5, 3B, 01, BB, 7C, 4A, 4E, F3, E0, 5B, B4, 60, 23, B1, 92, 81, 69, 06, 1B, BB, B6, A5, F0, 27, 6A, 4B, 3F, 02, A4, 28, 36, 65, 2B, 02, B9, 55, B1
New data: 25, EB, 9A, 4B, 8C, A8, 16, EE, CC, AA, 04, 54, 97, 6D, 02, 3D, FA, BE, 72, 21, AA, 56, 2E, 8A, C1, 30, EA, 02, 43, E0, 61, AD, B1, 6F, E2, 27, 5A, AA, D5, E9, AB, A5, 8E, D7, 24, 3B, 93, FC, BB, C2, 27, 7B, 18, 6F, BC, CD, D6, 51, 70, 3B, 11, D6, 3E, F4, D3, D6, 60, 9C, 34, D4, 89, B1, 76, F5, E2, CE, C9, AB, B9, 4A
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "Count"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kmixer\Enum "NextInstance"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 01, 00, 00, 00
New data: 00, 00, 00, 00
------------------------------------------------------------
Disk contents
*************
Drives tracked: 1
-----------------
* c:\
Folders added: 1
----------------
c:\Archivos de programa\Bifrost
Files added: 1
--------------
c:\Archivos de programa\Bifrost\server.exe
Date: 8/19/2004 5:42 PM
Size: 27.517 bytes
----
Eso es lo que hace x)..
Pero vamos, que es un bicho muy suavecito, además no conecta a ningún sitio.
Un saludo.
Shaddy.
Citarjoer, quería ponerla en negrita y no se ha puesto... otra vez.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836} "stubpath"
Type: REG_EXPAND_SZ
Data: C:\Archivos de programa\Bifrost\server.exe s
Ahí es donde se instala, mediante clave ActiveX, si cierras IEXPLORE.EXE y borras esa clave y el server.exe ya no hay bicho ni nada.
Un saludo.
Shaddy.
CitarLo que he hecho hasta ahora, es ir sacando pieles de la "cebolla" que tiene por encima, hasta dar con la .dll, de ésta forma se puede analizar en IDA con comidad y hacer un análisis más completo y general... eso irá en la segunda parte :).
Un saludo.
Shaddy.
Citar16/09/09
si.. todavía tengo la parte II del bifrost ahí en el pendrive a medias xD
Mas que mito, era como lo del 11m que algunas personas lo sabian y otras no y lo instalaban en una maquina virtual. Desconfía y acertaras, nadie da duros por cuatro pesetas, bueno si las ong (algunas) >:D