Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Análise de Vírus e Rastreamento de Invasores.

Collapse
X
 
  • Filter
  • Tempo
  • Show
Clear All
new posts

  • Font Size
    #1

    Dica Análise de Vírus e Rastreamento de Invasores.

    Bom, inspirado no Nickguitar.dll e nesse tópico: Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... eu resolvi montar uma VM e sair análisando alguns vírus por ai pela internet a fora, vou postar os resultados e gostaria de pedir para que tiver afim me enviar links de vírus de qualquer tipo da internet aqui no tópico para que possa análisar (não tenho criatividade para achar vírus) obviamente que algo muito pesado não irá rolar devido a potência da VM não ser das melhores e nem sempre será possível rastrear o autor devido a complexidade de alguns que rolam por ai.

    Segue:

    Investigação 1 - Peguei uns bem fáceis para começar

    Engenharia usada pelo cara: [ame]http://www.youtube.com/watch?v=wB6hET240Sk[/ame]

    Ao executar neutralbot.exe ele cria um executavel em C:\Users\sn3f4\AppData\Local\Temp\ chamado Service.exe
    esse tenta se camuflar em um arquivo com nome legitimo chamado svchost.exe

    Cria essa chave no registro:

    HKUS\S-1-5-21-1996187947-4073372060-2745092542-1000\Software\Microsoft\Windows\CurrentVersion\Run \System Service

    Cria o executavel svchost.exe de forma oculta em C:\Users\sn3f4\AppData\Local\Temp\plugtemp\svchost .exe

    Abre uma conexão direta com IP: 217.210.194.210 na Porta 1604

    Chegando no IP do autor:

    <-- Encontrando No-IP | harizande.no-ip.org

    <-- Mostrando o arquivo criado chamado Service.exe, esse foi criado no dia 02/08/2013 2:34

    <-- Mostrando a configuração do sistema com o nome que ele se inicia

    <-- Comparando svchost.exe real e modificado.

    <-- Mostrando o diretório e o executavel que faz a conexão de forma oculta

    <-- Ping no No-IP do cara para confirmar o primeiro IP capturado.

    Resultado.. ou é uma máquina alugada ou proxy.

    Investigação 2

    Engenharia usada pelo cara: [ame]http://www.youtube.com/watch?v=11s5Wsat5LQ[/ame]

    Ao executar magebot.exe cria arquivo chamado winini.exe

    Diretório:
    C:\Users\sn3f4\AppData\winini.exe

    winini.exe cria um executavel chamado cvtres.exe de modo oculto em C:\Users\sn3f4\AppData\Local\Temp\cvtres.exe e abre uma
    conexão com IP: 85.228.19.53 Porta 1604 Conexão:

    Inicia nas Configuraçoes do Sistema um executavel com nome Windows live falso com está chave no Registro: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run


    IP do cara

    Colaborem ai com links com executaveis suspeitos ou coisas do tipo, mas alertem antes para que desavisados não cliquem ou baixem.

  • Font Size
    #2
    @Phin3as Phr3ak

    Respondendo suas perguntas, Virtual Box last version - SO Windows 7 Ultimate x86, não usei nenhuma distribuição Linux porque é bem mais dificil achar vírus para ele mas também da pra fazer as mesmas coisas que no Windows e até com uma maior facilidade.

    Eu não garanto nada sobre resultados positivos até porque não sou expert nessa área que fique claro para todos, eu diria que requer um conhecimento de nível iniciante ou então intermediário, usei alguns programas para auxiliar na rapidez e ilustração de algumas coisas, mas tudo que foi feito é possível fazer apenas com os recursos do Windows.

    @Tópico
    Quem não tiver afim de mandar link por aqui pelo tópico pode mandar através de mensagem privada, esqueçi de comentar isso no primeiro post.

    Também consegui alguns resultados de um vírus bem mais complexo, logo eu posto.

    Comment


    • Font Size
      #3
      Esse aqui é mais um que um cara posto no fórum que esqueçi de postar aqui, vou postar o link as informações estão lá para quem tiver curiosidade.

      Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar...

      Comment


      • Font Size
        #4
        Parabéns pela iniciativa man, também gosto de fazer essas análises, apesar de não ser expert também.

        Comment


        • Font Size
          #5
          Fiquei curioso com sua capacidade, muito legal, show de bola ^^

          Comment


          • Font Size
            #6
            Você usou o Wireshark não é ? Então vc localizou o ip do emissor do virus você poderia me mandar algum tutorial/aula do Wireshark ? Porque já mechi bem pouco com o Wireshark: qui nem eu tenho 2 computadores em uma LAN, dae eu fique dando ping (cmd) no outro pc que tinha o Wireshark, e apareceu na minha tela a origem e o destino do ip, bem fodinha.

            Comment


            • Font Size
              #7
              Postado Originalmente por Tiagui99 Ver Post
              Você usou o Wireshark não é ? Então vc localizou o ip do emissor do virus você poderia me mandar algum tutorial/aula do Wireshark ? Porque já mechi bem pouco com o Wireshark: qui nem eu tenho 2 computadores em uma LAN, dae eu fique dando ping (cmd) no outro pc que tinha o Wireshark, e apareceu na minha tela a origem e o destino do ip, bem fodinha.
              Então, não sou capacitado para dar aulas de Wireshark, mas eu filtro por protocolos acaba sendo mais fácil. Capture > Interface > Options > em Capture Filter coloca o protocolo TCP ou o que vc quer filtrar, no seu caso do ping vc filtra procotolo icmp > Start

              Mas se vc quer aprender mais sobre Wireshark procura no Youtube ou em torrent se há alguma video aula de algum professor explicando sobre sniffing, aqui tem um video ensinando mais sobre os filtros da uma conferida [ame]http://www.youtube.com/watch?v=CxhNM9pFSbE[/ame] sempre vc acha um que vc não sabia.

              Se fosse pegar o IP sem nenhum tipo de programa poderia usar o Prompt com comando netstat -an | netstat -b e outros comandos similares.

              Comment


              • Font Size
                #8
                RASTREAMENTO DO AUTOR SEM NENHUMA TOOL (PROGRAMA) de auxílio.

                Imagem 01 - Engenharia



                Imagem 02 - Código Fonte



                Imagem 03 - Página falsa para captura das contas do jogo



                Imagem 04 - Vasculhando código fonte atraz de informações e falhas no código



                Imagem 05 - Falha encontrada que nos permite ver, acessar e listar diretórios.



                Imagem 06 - Após Manipulações na URL conseguimos acesso a raiz do Site



                Imagem 07 - Descobrimos um código enorme (resumi) em javaScript e análisamos o código fonte de uma nova URL através da falha anterior descobrindo o E-mail do autor da página.



                Imagem 08 - Através do E-mail fomos pesquisar primeiro nas redes sociais e encontramos fotos e informações, autor identificado mas vamos continuar.



                Imagem 09 - Para encerrar a busca pelo autor (vida real), um Fatality.. Imagem dele em 2005 (não é do Facebook).



                Imagem 010 - Não basta identifica-lo na vida real.. vamos identifica-lo Ingame (no jogo).



                Imagem 011 - Personagem principal no jogo descoberto.



                CONSIDERAÇÕES FINAIS

                Como prometi iria fazer um rastreamento sem usar ferramentas, fiz com uma página fake mas depois prometo fazer de um vírus local também.

                Ninguém precisa ser um especialista em nada para que consiga os dois lados, o da engenharia para pescar vítimas e também para engenharia reversa, só tomem cuidado quando forem fazer o primeiro.

                Espero que tenham gostado.

                OBS: Apaguei o rosto de todos que não tem haver com isso e NÃO QUIS postar o endereço dele aqui, pois consegui todos os dados Endereço, RG, CPF, placa de carro e afins.

                By sn3f4.

                Comment


                • Font Size
                  #9
                  Bônus!

                  Bônus!



                  Depois de um ataque de leve:

                  Comment


                  • Font Size
                    #10
                    Tirando a Página Falsa do ar



                    Comment


                    • Font Size
                      #11
                      Bom dia, trabalho em uma empresa e estamos com um virus conficker na rede, meu antivirus detecta e elimina ele porem ele volta a aparecer, isso pq deve ter uma maquina na rede q esta fazendo a distribuição do virus pela rede. minha pergunta, teria como eu rastrear de que maquina esta vindo esse virus ???
                      minha rede é bem grande nao seria viavel fazer a verificação maquina por maquina !!!
                      vc pode me ajudar ?

                      Comment


                      • Font Size
                        #12
                        Postado Originalmente por mesquiary Ver Post
                        Bom dia, trabalho em uma empresa e estamos com um virus conficker na rede, meu antivirus detecta e elimina ele porem ele volta a aparecer, isso pq deve ter uma maquina na rede q esta fazendo a distribuição do virus pela rede. minha pergunta, teria como eu rastrear de que maquina esta vindo esse virus ???
                        minha rede é bem grande nao seria viavel fazer a verificação maquina por maquina !!!
                        vc pode me ajudar ?
                        Posso tentar ajudar até onde eu conseguir, mas preciso que vc passe mais informações.

                        Quais problemas o vírus anda causando? Os sistemas operacionais das máquinas na rede são originais e estão atualizados?

                        Há compartilhamento entre as máquinas de impressora ou conexão remota, ou compartilhamento de pastas?

                        Quantos computadores tem a sua rede? Tente verificar a inicialização de programas das máquinas (caso forem Windows) --> Iniciar --> Digita [/b]msconfig[/b] --> aba Inicialização de Programas, desmarca os que forem desconhecidos e verifique se não tem algum nome suspeito, após isso reinicie a máquina.

                        Se não for possível fazer essa verificação máquina por máquina, coloque o computador que vc utiliza como DMZ no roteador e baixe Wireshark Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... e filtre as conexões TCP.

                        Para que localize o autor é necessário que no mínimo saiba o IP que anda fazendo conexão com o vírus, para isso pode usar o comando no Prompt --> Iniciar --> Digita cmd.exe e aperta Enter, após isso digita netstat -an e checa a parte de Endereço Externos verifica se tem alguma Porta com alguma conexão no estado ESTABLISHED que seja suspeita, de preferência faça isso sem estar com navegador aberto ou rodando algo que use a Internet assim fica mais difícil de se confundir. Também pode fazer o mesmo procedimento com comando netstat -b só que nesse comando vc vai checar os processos.

                        Comment


                        • Font Size
                          #13
                          sn3f4 vc owna muito, gostei da maneira como vc achou aquele rapaz através duma pagina fake powa deu uma ligeira inveja kkkk

                          Comment


                          • Font Size
                            #14
                            Muito Bom!, parabéns pelos tutorias ae, isso vai ser de otima ajuda para quem não sabe como fazer uma analise de malwares!
                            sigpic


                            Patati Patacula, la vem o pato para ver o que Ha!!

                            Comment


                            • Font Size
                              #15
                              Postado Originalmente por andreol263 Ver Post
                              Muito Bom!, parabéns pelos tutorias ae, isso vai ser de otima ajuda para quem não sabe como fazer uma analise de malwares!
                              É fácil dependendo do vírus lógicamente, eu já peguei um em java que não consegui saber nada sobre o autor, se o cara tiver os mínimos cuidados já dificulta muito. A maioria dos caras usa o mesmo "nick pessoal" para a hora de disseminar o vírus, não se preocupa em usar proxy na hora de espalhar a engenharia deixam rastros básicos como e-mails, cache, ou algo do tipo, fazem conexões direta com a vítima sem nenhum tipo de proteção que dificulte a identidade, colocam nomes sugestivos, não tentam forjar a assinatura do fabricante de um software oficial.

                              Descobrir de onde vem a conexão com o vírus é fácil, o problema sempre começa para descobrir o autor, pesquisas no Google, Registro.br, Whois e redes sociais vc acaba encontrando.

                              Por exemplo tem vezes que vc descobre de onde vem a conexão, pesquisa sobre o IP e descobre um domínio rodando sobre aquele IP e apartir disso procura saber o dono do domínio, acha e consegue Nome, CPF, E-mail, apartir disso procura em alguma rede social e acha fotos do autor. Eu não tenho muita criatividade para procurar onde tem uns vírus legais que da para fazer este tipo de coisa, quando eu achar um vou mostrar o processo de busca do autor mais detalhado e os programas que pode auxiliar.

                              Comment

                              X
                              Working...
                              X