Recopilar infromación de malware

Stakewinner00 · 9 Enero 2013, 15:47 PM

Encontre un usuario en otro lugar que publico troyanos y decia que era una hacktool para hackear facebook, y era un verdadero troyano.

Quería llegar un paso más lejos y quería obtener la ip del atacante, pense en poner una maquina virtual y con netstat mirar que puerto estaba abierto pero antes querñia preguntar si hay alguna web o programa que ayude en esta tarea.

Mchas grcias pr todo.

r32 · 9 Enero 2013, 15:55 PM

Ponlo en máquina virtual y coloca un snifer tipo Wireshark, con netstat verás hacia donde conecta pero no si va descargando nuevos ficheros o lo que se le ocurra, a parte de ver la IP.

Wireshark: http://www.wireshark.org/download.html

Si tienes un equipo para estas tareas puedes utilizar el programa "SysAnalyzer", infectará tu sistema pero lo verás todo a tiempo real. Si la muestra de malware lleva "antisandbox", no se ejecutará y no realizará ninguna modificación ni conexión.
Sysanalyzer:
http://sandsprite.com/tools.html
http://sandsprite.com/CodeStuff/SysAnalyzer_Setup.exe

Saludos.

0xDani · 9 Enero 2013, 15:59 PM

Si te gusta la ingenieria inversa podrias tratar de hacerlo tu mismo, con un debugger, paciencia y cuidado quiza puedas averiguar la IP a la que se conecta.

Saludos.

Stakewinner00 · 9 Enero 2013, 16:02 PM

Cita de: 0xDani en 9 Enero 2013, 15:59 PM
Si te gusta la ingenieria inversa podrias tratar de hacerlo tu mismo, con un debugger, paciencia y cuidado quiza puedas averiguar la IP a la que se conecta.

Saludos.

Mire un poco los strings, y en los strings se puee ver que se copia el registro, intenta escalar privilegios, tiene una password y que detecta el sistema operativo y crea shels... Pero no sale la ip.

0xDani · 9 Enero 2013, 16:45 PM

Cita de: Stakewinner00 en 9 Enero 2013, 16:02 PM
Mire un poco los strings, y en los strings se puee ver que se copia el registro, intenta escalar privilegios, tiene una password y que detecta el sistema operativo y crea shels... Pero no sale la ip.

Seguramente estara cifrada, si no podrias pillarlo solo mirando los strings

Por eso el debugger, en algun momento la tiene que descifrar para usarla.

Saludos.

Stakewinner00 · 9 Enero 2013, 17:29 PM

Cita de: 0xDani en 9 Enero 2013, 16:45 PM
Seguramente estara cifrada, si no podrias pillarlo solo mirando los strings Por eso el debugger, en algun momento la tiene que descifrar para usarla.

Saludos.

Ya lo supuse pero no tengo tanto tiempo XD

En la maquina virtual el troyano no se ejecuta,supongo que es para evitar que lo estudien.

0xDani · 9 Enero 2013, 17:52 PM

Cita de: Stakewinner00 en 9 Enero 2013, 17:29 PM
Ya lo supuse pero no tengo tanto tiempo XD

En la maquina virtual el troyano no se ejecuta,supongo que es para evitar que lo estudien.

Si, por lo que he visto no es muy dificil detectar cuando estas corriendo en una VM o sandbox.

Stakewinner00 · 9 Enero 2013, 18:07 PM

Supongo que tocara hacer correr el virus en un windows sin maquina virtual o intentar hacerle reversing

0xDani · 9 Enero 2013, 18:31 PM

Supongo que tendra que descifrar la IP antes de conectarse, asi que puedes ir buscando con el debugger el punto en el que la desencripte y luego sacar los strings, luego matar el proceso y destruirlo para que no envie nada ni llegue a conectar.

Saludos.

ahaugas · 9 Enero 2013, 21:45 PM

has probado con un firewall que te avise las conexiones con las alertas?
por ejemplo comodo firewall, configuralo para que cualquier tipo de conexion se te avise, te digo porque este firewall es muy bueno.

o como dicen mas arriba wireshark, puedes hacer un filtro de tcpip de tu maquina para descartar conexiones locales y despues por http ftp o ssh... u tros...o optaria por http.

otra opcion seria el resource hacker o el win32dasm ya que CASI NADIE LE PROGRAMA ANTIS...

si el resource hacker te dice que el ejecutable esta protegido con compresores de EXE usa el upx para descomprimirlo...

como puedes ver hay un monton de tecnicas muy sencillas...... y muchas mas