Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

[DESAFIO] Análise de malware

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    [DESAFIO] Análise de malware

    Olá pessoas. Esta semana o membro *MaLaGueTa me enviou um arquivo suspeito para que eu o analisasse, porém, o arquivo é meio estranho, e não consegui muitas informações. Deixarei abaixo tudo que consegui sobre o arquivo, e desafio vocês a descobrir a finalidade para qual esse arquivo foi desenvolvido e o que ele faz, exatamente, no sistema em que é executado.

    O nome original do arquivo é HSILlzCw.exe, e foi feito em Visual Basic.net, mas tá criptografado com Morphine v1.2, que é um packer não muito usado, e processo de descompactação é bem longo e chato.

    Quanto ao registro, encontrei algumas modificações suspeitas:


    Valores relacionados à função RegOpenKey:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ins taller\Managed\S-1-5-21-3605902739-3415621230-353122165-1000\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
    HKCU\Software\Microsoft\Installer\Assemblies\C:|Us ers|AnaMalw|Desktop|image4124_46247.scr
    HKCR\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
    HKCU\Software\Microsoft\Installer\Assemblies\C:|Us ers|AnaMalw|Desktop|image4124_46247.scr
    HKCR\Installer\Assemblies\C:|Users|AnaMalw|Desktop |image4124_46247.scr
    HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\image4124_46247.scr
    HKLM\System\CurrentControlSet\Control\ComputerName
    HKCR\AppID\image4124_46247.scr

    Porém, nenhuma delas foi concluída, todas retornaram o erro "NAME NOT FOUND". Talvez por ter sido executado em uma VM.

    Também notei que o arquivo usa a função "RegSetInfoKey" na chave abaixo. Pelo nome eu imagino que seja uma função para modificar o conteúdo da chave, mas não encontrei nenhuma documentação sobre ela.


    HKLM\System\CurrentControlSet\Control\ComputerName
    Logo em seguida o arquivo retorna o valor desta chave, e após isso ela é deletada.

    Não encontrei nada além disso na análise dinâmica. Tentei usar o Process Monitor pra ver as strings dele na memória, mas ao abrir o arquivo, ele fecha quase que instantaneamente, e não consigo fazer nada. Tentei também enviar o arquivo ao Olly pra tentar fazer a mesma coisa, mas ele é fechado assim que tento rodar. Talvez - e muito provável - ele use alguma forma de anti-debugger.

    Por fim eu mandei ele pra sandbox analisar e confirmar o que eu havia encontrado, e ela detectou que o arquivo interage com alguns arquivos, tais como:

    C:\WINDOWS\system32\smss.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\System32\alg.exe
    C:\Python27\pythonw.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\msco rsvw.exe
    C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe

    Não sei se é um falso positivo, afinal, não encontrei nada disso na análise.

    A sandbox retornou também que o arquivo mexe na chave "CurrentVersion/Run", mas também não encontrei nada lá.
    Boa sorte!


    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

    Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...
    Last edited by Nickguitar.dll; 10-05-2015, 13:40. Motivo: Download
    .

    - PHP & VB C0d3r.

    Nickguitar.dll@hotmail.com

    http://www.youtube.com/user/superskate56 <~ Hacking tuts =)

    Quando aprendemos a ouvir, também aprendemos a falar..
    Quando aprendemos a ler, também aprendemos a escrever.
    Então, quando aprendemos a usar um computador, por que não aprender a programa-lo ?


    I'm C0ding for $$$

    #~: Just $this :~#
    Similar Threads

  • Font Size
    #2
    Amigo, não consegui fazer download do arquivo. Abre o site do Mega, fica lá na nuvem começando, mas nada acontece.

    Comment


    • Font Size
      #3
      Postado Originalmente por HiHackThis Ver Post
      Amigo, não consegui fazer download do arquivo. Abre o site do Mega, fica lá na nuvem começando, mas nada acontece.

      Upei no sendspace também.
      .

      - PHP & VB C0d3r.

      Nickguitar.dll@hotmail.com

      http://www.youtube.com/user/superskate56 <~ Hacking tuts =)

      Quando aprendemos a ouvir, também aprendemos a falar..
      Quando aprendemos a ler, também aprendemos a escrever.
      Então, quando aprendemos a usar um computador, por que não aprender a programa-lo ?


      I'm C0ding for $$$

      #~: Just $this :~#

      Comment


      • Font Size
        #4
        Ogied

        Otimo desafio nick....

        sigpic


        "A REALIDADE É LIQUIDA! O UNIVERSO holográfico e a matéria ELÉTRICA"
        hackeando Mentes

        Comment


        • Font Size
          #5
          Olá, Nick

          Não entendo muito de programas de Análise de Malware então na parte prática não tenho muito a contribuir.

          Quanto ao aplicativo fechar quase que instantaneamente, criei algo parecido (em Delpi) que segue a seguinte lógica:

          Captura o diretório que o arquivo está sendo executado.

          Se diretório = C:\Windows\system32\diretorio_de_instalação:
          executa o malware normalmente, criando registros e executando as funções.

          Se não:
          tenta se autocopiar para o local apropriado, executa a cópia e fecha.

          Ou seja, o malware só funciona se estiver sendo executado naquele diretório específico, caso contrário ele tenta autocopiar e fecha em seguida (leva menos de 1 segundo).

          Comment


          • Font Size
            #6
            Postado Originalmente por C0d3r_Burn Ver Post
            Olá, Nick

            Não entendo muito de programas de Análise de Malware então na parte prática não tenho muito a contribuir.

            Quanto ao aplicativo fechar quase que instantaneamente, criei algo parecido (em Delpi) que segue a seguinte lógica:

            Captura o diretório que o arquivo está sendo executado.

            Se diretório = C:\Windows\system32\diretorio_de_instalação:
            executa o malware normalmente, criando registros e executando as funções.

            Se não:
            tenta se autocopiar para o local apropriado, executa a cópia e fecha.

            Ou seja, o malware só funciona se estiver sendo executado naquele diretório específico, caso contrário ele tenta autocopiar e fecha em seguida (leva menos de 1 segundo).
            Eu pensei nisso também, mas isso aí só aconteceria se o arquivo fosse fruto de um downloader, e não é... Esse arquivo aí é típico dos caras que ficam passando keyloggers na steam como se fosse print. O cara desavisado baixa, vê o .scr e o ícone, e pensa que é uma imagem.

            =/
            .

            - PHP & VB C0d3r.

            Nickguitar.dll@hotmail.com

            http://www.youtube.com/user/superskate56 <~ Hacking tuts =)

            Quando aprendemos a ouvir, também aprendemos a falar..
            Quando aprendemos a ler, também aprendemos a escrever.
            Então, quando aprendemos a usar um computador, por que não aprender a programa-lo ?


            I'm C0ding for $$$

            #~: Just $this :~#

            Comment


            • Font Size
              #7
              Postado Originalmente por Nickguitar.dll Ver Post
              Eu pensei nisso também, mas isso aí só aconteceria se o arquivo fosse fruto de um downloader, e não é... Esse arquivo aí é típico dos caras que ficam passando keyloggers na steam como se fosse print. O cara desavisado baixa, vê o .scr e o ícone, e pensa que é uma imagem.

              =/
              No meu caso, não é downloader... ele se autocopia entendeu!?
              Dessa forma ñ é possível análise dinâmica se ele for executado de um local qualquer, porque ele só funciona na pasta específica, independentemente de conseguir criar ou não a pasta certa e autocopiar ele fecha.


              Mas pelo que você escreveu, provavelmente tem algum tipo de anti-debugger (que não deixa ele funcionar em VM) ou então ele tenta executar alguma função tipo a que eu citei e fechar logo em seguida...

              O ideal seria executar em uma máquina real com Win7 e ver o que ele faz, mas é arriscado...

              Comment


              • Font Size
                #8
                If olly is shutting down immediately before or after attempting to decompile, or you are having difficulty getting the program running in a Virtual Environment, it's been done intentionally.

                Anti debugging is understandable to some degree, but if you hit an anti-VM routine, be highly suspicious. Anti-VM implementation is a little harder to detect if it's present, I usually just keep an eye out for any open strings looking for virtual disks when analysing something i'm pretty sure is infected (there is no reason for a "clean" program to be scanning for the registry to virtual hard drives refernces - strings like “SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual" showing up are dead giveaway).

                Sounds suspicious as shit to me. If you want someone else to take a look at it, I'm all set up for static/network analysis, just need some free time. Let me know if you want me to take a look.

                Comment

                X
                Working...
                X