miércoles, 4 de mayo de 2016

Campaña de Ransomware: Locky - Parte III

Nueva campaña, esta vez se utiliza un documento  .docm que es un Documento Microsoft Word con macros.







El Indice de detecciones del documento es muy baja.



Al habilitar las macros en el docm, se produce la descarga e infección de la computadora.




Desempaquetado de la capa de ofuscación (crypter del binario)

https://virustotal.com/es/file/ed8390885a6bcdda11cb51f8d3c2553625d1c567f221a490450f44d2ac3cec3a/analysis/

BP en IsDebuggerPresent /ResumeThread/WriteProcessMemory y luego dumpear con Pe-TOOL




Locky...




Exenciones de archivo que busca para cifrar.



Probando el binario en forma dinámica.

Conexión con el C&C, eh visto que si no hay conexión a Internet o no puede encontrar vía dns los sitios de C&C, Locky no comienza con el proceso de cifrado de la PC.




El infame cartel de que nuestros datos fueron cifrados.







Muestras: https://www.dropbox.com/s/105s5umnmpm8cj8/Locky-03-05-16.zip?dl=0


Eso es todo por el momento @Dkavalanche 2016


jueves, 10 de marzo de 2016

Campaña de Ransomware: Locky - Parte II

Continúan con las campañas de infección en forma masiva, esta vez el Ransomware se encuentra alojado en un servidor nacional demostrando que esta amenaza llego para quedarse y atacar a usuarios de Argentina.

Asunto: : Shipping Information - Your Order #396-7972


Dear Customer,

Your order will be shipped shortly, we apologize for the troubles. Please, review the invoice in the attached file.


Sincerely,

Xxxxx..





JavaScript downloader ofuscado dentro de un archivo .zip








Trafico de red de la descarga.








Icono del malware Descargado



Baja detección por parte de los Antivirus.







El binario tiene una capa de Cripter igual al caso anterior, con un Bp en ResumeThread y dumpeando con PEtools obtenemos la muestra limpia.





Strings




Text strings referenced in Dumped:.text
Address    Disassembly                               Text string
004019CA   MOV DWORD PTR SS:[EBP-4],Dumped.004138B4  ASCII "bad allocation"
00401B09   PUSH Dumped.004138D0                      UNICODE "0123456789ABCDEF"
00401B78   PUSH Dumped.004138C4                      UNICODE ".tmp"
00401D8D   PUSH Dumped.004138D0                      UNICODE "0123456789ABCDEF"
00401DF0   PUSH Dumped.004138F4                      UNICODE ".locky"
0040253B   PUSH Dumped.00413928                      ASCII "invalid string position"
0040255A   PUSH Dumped.00413918                      ASCII "string too long"
00402607   PUSH Dumped.00413918                      ASCII "string too long"
00402687   PUSH Dumped.00413918                      ASCII "string too long"
00402763   PUSH Dumped.00413904                      ASCII "vector too long"
00402832   PUSH Dumped.00413918                      ASCII "string too long"
004028C4   PUSH Dumped.00413918                      ASCII "string too long"
00402AE8   PUSH Dumped.00413928                      ASCII "invalid string position"
00402B64   PUSH Dumped.00413928                      ASCII "invalid string position"
00402D2E   ASCII "L~",0
00402D85   PUSH Dumped.00413918                      ASCII "string too long"
00403174   PUSH Dumped.00413940                      UNICODE "\_Locky_recover_instructions.txt"
0040326D   PUSH Dumped.004139BC                      ASCII "id="
00403281   PUSH Dumped.004139A8                      ASCII "&act=stats&path="
004032A8   PUSH Dumped.0041399C                      ASCII "&encrypted="
004032D2   PUSH Dumped.00413990                      ASCII "&failed="
004032F9   PUSH Dumped.00413984                      ASCII "&length="
00403575   MOV EDI,Dumped.004139C0                   ASCII "Windows 2000"
00403599   MOV EDI,Dumped.004139D0                   ASCII "Windows XP"
004035A7   MOV EDI,Dumped.004139DC                   ASCII "Windows 2003"
004035B1   MOV EDI,Dumped.004139EC                   ASCII "Windows 2003 R2"
004035D3   MOV EDI,Dumped.004139FC                   ASCII "Windows Vista"
004035DA   MOV EDI,Dumped.00413A0C                   ASCII "Windows Server 2008"
004035EA   MOV EDI,Dumped.00413A20                   ASCII "Windows 7"
004035F1   MOV EDI,Dumped.00413A2C                   ASCII "Windows Server 2008 R2"
00403602   MOV EDI,Dumped.00413A44                   ASCII "Windows 8"
00403609   MOV EDI,Dumped.00413A50                   ASCII "Windows Server 2012"
0040361A   MOV EDI,Dumped.00413A64                   ASCII "Windows 8.1"
00403621   MOV EDI,Dumped.00413A70                   ASCII "Windows Server 2012 R2"
0040363E   MOV EDI,Dumped.00413A88                   ASCII "Windows 10"
00403645   MOV EDI,Dumped.00413A94                   ASCII "Windows Server 2016 Technical Preview"
0040364C   MOV EDI,Dumped.00413ABC                   ASCII "unknown"
004036C5   PUSH Dumped.00413CF4                      ASCII "IsWow64Process"
004036CA   PUSH Dumped.00413CE4                      ASCII "kernel32.dll"
0040376F   PUSH Dumped.004139BC                      ASCII "id="
0040377E   PUSH Dumped.00413AF4                      ASCII "&act=getkey&affid="
004037A5   PUSH Dumped.00413AEC                      ASCII "&lang="
004037CB   PUSH Dumped.00413AE4                      ASCII "&corp="
004037F7   PUSH Dumped.00413ADC                      ASCII "&serv="
00403820   PUSH Dumped.00413AD4                      ASCII "&os="
00403847   PUSH Dumped.00413ACC                      ASCII "&sp="
0040386E   PUSH Dumped.00413AC4                      ASCII "&x64="
00403A33   PUSH Dumped.00413B08                      ASCII "Tahoma"
00403DB4   MOV DWORD PTR SS:[ESP],Dumped.00413940    UNICODE "\_Locky_recover_instructions.txt"
00403DC5   PUSH Dumped.00413B10                      UNICODE "\_Locky_recover_instructions.bmp"
00403E75   PUSH Dumped.00413B54                      ASCII "Control Panel\Desktop"
00403F17   MOV ECX,Dumped.00413B70                   ASCII "WallpaperStyle"
00403F9B   MOV ECX,Dumped.00413B80                   ASCII "TileWallpaper"
00403FE6   MOV EDI,Dumped.00413B90                   UNICODE "open"
004040A9   PUSH Dumped.00413CC4                      ASCII "Wow64DisableWow64FsRedirection"
004040AE   PUSH Dumped.00413CE4                      ASCII "kernel32.dll"
004040DA   MOV ESI,Dumped.004137EF                   ASCII "185.92.220.35,46.108.39.18,192.71.213.69,192.121.16.196,109.237.111.168,212.47.223.19,89.108.85.163"
004041E3   PUSH Dumped.00413B9C                      ASCII "Software\Locky"
0040422D   PUSH Dumped.00413BAC                      ASCII "id"
00404288   MOV EBX,Dumped.00413BB0                   ASCII "pubkey"
004042E2   PUSH Dumped.00413BB8                      ASCII "paytext"
00404355   PUSH Dumped.00413BC0                      ASCII "completed"
004043ED   PUSH Dumped.00413BCC                      UNICODE "svchost.exe"
0040448A   MOV ECX,Dumped.00413BAC                   ASCII "id"
004044E1   PUSH Dumped.00413BE4                      UNICODE ":Zone.Identifier"
004045C6   PUSH Dumped.004139BC                      ASCII "id="
004045DC   PUSH Dumped.00413C08                      ASCII "&act=gettext&lang="
0040468D   PUSH Dumped.00413BB8                      ASCII "paytext"
004047B5   PUSH Dumped.00413C20                      UNICODE "vssadmin.exe Delete Shadows /All /Quiet"
004047E2   PUSH Dumped.00413C70                      ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
0040486B   PUSH Dumped.00413BC0                      ASCII "completed"
004048AD   PUSH Dumped.00413CAC                      ASCII "Locky"
00404993   PUSH Dumped.00413904                      ASCII "vector too long"
00404A78   PUSH Dumped.00413904                      ASCII "vector too long"
00404EE1   PUSH Dumped.00413CA0                      UNICODE "Locky"
00404F81   PUSH Dumped.00413928                      ASCII "invalid string position"
00404FA0   PUSH Dumped.00413918                      ASCII "string too long"
00405041   PUSH Dumped.00413918                      ASCII "string too long"
004050BB   PUSH Dumped.00413918                      ASCII "string too long"
004051B4   PUSH Dumped.00413918                      ASCII "string too long"
00405409   PUSH Dumped.00413918                      ASCII "string too long"
004055C2   PUSH Dumped.00413928                      ASCII "invalid string position"
0040563A   PUSH Dumped.00413928                      ASCII "invalid string position"
004057E6   PUSH Dumped.00413918                      ASCII "string too long"
00405AAC   MOV EDX,Dumped.00413CB4                   UNICODE "/\"
00406393   MOV EDX,Dumped.00413CB4                   UNICODE "/\"
004064A2   PUSH Dumped.00413D0C                      UNICODE "cmd.exe /C del /Q /F ""
004064DE   PUSH Dumped.00413D04                      UNICODE "sys"
004069CA   PUSH Dumped.00413D50                      ASCII "HTTP/1.1"
004069D6   PUSH Dumped.00413D8C                      ASCII "POST"
004071D5   PUSH Dumped.00413D84                      ASCII "http://"
004071E5   PUSH Dumped.00413D78                      ASCII "/main.php"
0040753F   PUSH Dumped.00413904                      ASCII "vector too long"
0040759C   PUSH Dumped.00413904                      ASCII "vector too long"
0040778B   PUSH Dumped.00413918                      ASCII "string too long"
004078CA   PUSH Dumped.00413928                      ASCII "invalid string position"
00407CBA   PUSH Dumped.004147A0                      UNICODE "\*"
004087B9   PUSH Dumped.00413904                      ASCII "vector too long"
0040880F   PUSH Dumped.00413904                      ASCII "vector too long"
00408866   PUSH Dumped.00413904                      ASCII "vector too long"
004088C6   PUSH Dumped.00413904                      ASCII "vector too long"
004089C4   PUSH Dumped.00413904                      ASCII "vector too long"
00408AC0   PUSH Dumped.00413904                      ASCII "vector too long"
00409CF7   MOV EAX,Dumped.00411344                   ASCII "Unknown exception"
00409E56   MOV DWORD PTR SS:[EBP-4],Dumped.004138B4  ASCII "bad allocation"
0040AB74   CALL Dumped.0040D1F9                      (Initial CPU selection)
0040ADAC   PUSH Dumped.00411D44                      UNICODE "Runtime Error!

Program: "
0040ADED   PUSH Dumped.00411D14                      UNICODE ""
0040AE2E   PUSH Dumped.00411D0C                      UNICODE "..."
0040AE43   PUSH Dumped.00411D04                      UNICODE "

"
0040AE74   PUSH Dumped.00411CB8                      UNICODE "Microsoft Visual C++ Runtime Library"
0040B4F9   PUSH Dumped.00411D88                      UNICODE "mscoree.dll"
0040B508   PUSH Dumped.00411D78                      ASCII "CorExitProcess"
0040C47C   PUSH Dumped.004120F0                      UNICODE "KERNEL32.DLL"
0040C6E9   PUSH Dumped.004120F0                      UNICODE "KERNEL32.DLL"
0040C70A   PUSH Dumped.0041212C                      ASCII "FlsAlloc"
0040C712   PUSH Dumped.00412120                      ASCII "FlsGetValue"
0040C71F   PUSH Dumped.00412114                      ASCII "FlsSetValue"
0040C72C   PUSH Dumped.0041210C                      ASCII "FlsFree"
0040D7DD   PUSH Dumped.004129E8                      UNICODE "USER32.DLL"
0040D7F8   PUSH Dumped.004129DC                      ASCII "MessageBoxW"
0040D811   PUSH Dumped.004129CC                      ASCII "GetActiveWindow"
0040D821   PUSH Dumped.004129B8                      ASCII "GetLastActivePopup"
0040D831   PUSH Dumped.0041299C                      ASCII "GetUserObjectInformationW"
0040D84A   PUSH Dumped.00412984                      ASCII "GetProcessWindowStation"

0040FD27   MOV DWORD PTR SS:[EBP+8],Dumped.004147BC  ASCII "bad exception"



Comunicación con el sitio de C&C





PC Cifrada






Shell en sito comprometido donde se aloja el Ransomware.






Muestra: https://www.dropbox.com/s/t4x9i8xu3up8zw4/Locky-07-03-16.rar?dl=0


Eso es todo por el momento @Dkavalanche 2016


miércoles, 2 de marzo de 2016

Campaña de Ransomware: Locky


Mi Amigo Raul me envió una muestra de este Ransomware que azota a miles de computadoras en el mundo.Como es común, llega por correos no solicitados con un adjunto .zip y un javascript codificado en su interior.

Emailing: MX62EDO 01.03.2016

En el momento del aviso de Raúl, en VT mostraba que era detectado por solo 3 de 55 Antivirus, ahora ya es detectado por 33.



Icono de la amenaza una ves ejecutado el .js,



La capa del crypter es fácil de quitar con un BP en ResumeThread y luego dumpeamos con PETools




String Interesantes


Text strings referenced in Dumped:.text
Address    Disassembly                               Text string
004019CA   MOV DWORD PTR SS:[EBP-4],Dumped.004138B4  ASCII "bad allocation"
00401B09   PUSH Dumped.004138D0                      UNICODE "0123456789ABCDEF"
00401B78   PUSH Dumped.004138C4                      UNICODE ".tmp"
00401D8D   PUSH Dumped.004138D0                      UNICODE "0123456789ABCDEF"
00401DF0   PUSH Dumped.004138F4                      UNICODE ".locky"
0040253B   PUSH Dumped.00413928                      ASCII "invalid string position"
0040255A   PUSH Dumped.00413918                      ASCII "string too long"
00402607   PUSH Dumped.00413918                      ASCII "string too long"
00402687   PUSH Dumped.00413918                      ASCII "string too long"
00402763   PUSH Dumped.00413904                      ASCII "vector too long"
00402832   PUSH Dumped.00413918                      ASCII "string too long"
004028C4   PUSH Dumped.00413918                      ASCII "string too long"
00402AE8   PUSH Dumped.00413928                      ASCII "invalid string position"
00402B64   PUSH Dumped.00413928                      ASCII "invalid string position"
00402D2E   ASCII "L~",0
00402D85   PUSH Dumped.00413918                      ASCII "string too long"
00403174   PUSH Dumped.00413940                      UNICODE "\_Locky_recover_instructions.txt"
0040326D   PUSH Dumped.004139BC                      ASCII "id="
00403281   PUSH Dumped.004139A8                      ASCII "&act=stats&path="
004032A8   PUSH Dumped.0041399C                      ASCII "&encrypted="
004032D2   PUSH Dumped.00413990                      ASCII "&failed="
004032F9   PUSH Dumped.00413984                      ASCII "&length="
00403575   MOV EDI,Dumped.004139C0                   ASCII "Windows 2000"
00403599   MOV EDI,Dumped.004139D0                   ASCII "Windows XP"
004035A7   MOV EDI,Dumped.004139DC                   ASCII "Windows 2003"
004035B1   MOV EDI,Dumped.004139EC                   ASCII "Windows 2003 R2"
004035D3   MOV EDI,Dumped.004139FC                   ASCII "Windows Vista"
004035DA   MOV EDI,Dumped.00413A0C                   ASCII "Windows Server 2008"
004035EA   MOV EDI,Dumped.00413A20                   ASCII "Windows 7"
004035F1   MOV EDI,Dumped.00413A2C                   ASCII "Windows Server 2008 R2"
00403602   MOV EDI,Dumped.00413A44                   ASCII "Windows 8"
00403609   MOV EDI,Dumped.00413A50                   ASCII "Windows Server 2012"
0040361A   MOV EDI,Dumped.00413A64                   ASCII "Windows 8.1"
00403621   MOV EDI,Dumped.00413A70                   ASCII "Windows Server 2012 R2"
0040363E   MOV EDI,Dumped.00413A88                   ASCII "Windows 10"
00403645   MOV EDI,Dumped.00413A94                   ASCII "Windows Server 2016 Technical Preview"
0040364C   MOV EDI,Dumped.00413ABC                   ASCII "unknown"
004036C5   PUSH Dumped.00413CF4                      ASCII "IsWow64Process"
004036CA   PUSH Dumped.00413CE4                      ASCII "kernel32.dll"
0040376F   PUSH Dumped.004139BC                      ASCII "id="
0040377E   PUSH Dumped.00413AF4                      ASCII "&act=getkey&affid="
004037A5   PUSH Dumped.00413AEC                      ASCII "&lang="
004037CB   PUSH Dumped.00413AE4                      ASCII "&corp="
004037F7   PUSH Dumped.00413ADC                      ASCII "&serv="
00403820   PUSH Dumped.00413AD4                      ASCII "&os="
00403847   PUSH Dumped.00413ACC                      ASCII "&sp="
0040386E   PUSH Dumped.00413AC4                      ASCII "&x64="
00403A33   PUSH Dumped.00413B08                      ASCII "Tahoma"
00403DB4   MOV DWORD PTR SS:[ESP],Dumped.00413940    UNICODE "\_Locky_recover_instructions.txt"
00403DC5   PUSH Dumped.00413B10                      UNICODE "\_Locky_recover_instructions.bmp"
00403E75   PUSH Dumped.00413B54                      ASCII "Control Panel\Desktop"
00403F17   MOV ECX,Dumped.00413B70                   ASCII "WallpaperStyle"
00403F9B   MOV ECX,Dumped.00413B80                   ASCII "TileWallpaper"
00403FE6   MOV EDI,Dumped.00413B90                   UNICODE "open"
004040A9   PUSH Dumped.00413CC4                      ASCII "Wow64DisableWow64FsRedirection"
004040AE   PUSH Dumped.00413CE4                      ASCII "kernel32.dll"
004040DA   MOV ESI,Dumped.004137EF                   ASCII "188.138.88.184,31.184.197.119,51.254.19.227,5.34.183.195,185.14.29.188"
004041E3   PUSH Dumped.00413B9C                      ASCII "Software\Locky"
0040422D   PUSH Dumped.00413BAC                      ASCII "id"
00404288   MOV EBX,Dumped.00413BB0                   ASCII "pubkey"
004042E2   PUSH Dumped.00413BB8                      ASCII "paytext"
00404355   PUSH Dumped.00413BC0                      ASCII "completed"
004043ED   PUSH Dumped.00413BCC                      UNICODE "svchost.exe"
0040448A   MOV ECX,Dumped.00413BAC                   ASCII "id"
004044E1   PUSH Dumped.00413BE4                      UNICODE ":Zone.Identifier"
004045C6   PUSH Dumped.004139BC                      ASCII "id="
004045DC   PUSH Dumped.00413C08                      ASCII "&act=gettext&lang="
0040468D   PUSH Dumped.00413BB8                      ASCII "paytext"
004047B5   PUSH Dumped.00413C20                      UNICODE "vssadmin.exe Delete Shadows /All /Quiet"
004047E2   PUSH Dumped.00413C70                      ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
0040486B   PUSH Dumped.00413BC0                      ASCII "completed"
004048AD   PUSH Dumped.00413CAC                      ASCII "Locky"
00404993   PUSH Dumped.00413904                      ASCII "vector too long"
00404A78   PUSH Dumped.00413904                      ASCII "vector too long"
00404EE1   PUSH Dumped.00413CA0                      UNICODE "Locky"
00404F81   PUSH Dumped.00413928                      ASCII "invalid string position"
00404FA0   PUSH Dumped.00413918                      ASCII "string too long"
00405041   PUSH Dumped.00413918                      ASCII "string too long"
004050BB   PUSH Dumped.00413918                      ASCII "string too long"
004051B4   PUSH Dumped.00413918                      ASCII "string too long"
00405409   PUSH Dumped.00413918                      ASCII "string too long"
004055C2   PUSH Dumped.00413928                      ASCII "invalid string position"
0040563A   PUSH Dumped.00413928                      ASCII "invalid string position"
004057E6   PUSH Dumped.00413918                      ASCII "string too long"
00405AAC   MOV EDX,Dumped.00413CB4                   UNICODE "/\"
00406393   MOV EDX,Dumped.00413CB4                   UNICODE "/\"
004064A2   PUSH Dumped.00413D0C                      UNICODE "cmd.exe /C del /Q /F ""
004064DE   PUSH Dumped.00413D04                      UNICODE "sys"
004069CA   PUSH Dumped.00413D50                      ASCII "HTTP/1.1"
004069D6   PUSH Dumped.00413D8C                      ASCII "POST"
004071D5   PUSH Dumped.00413D84                      ASCII "http://"
004071E5   PUSH Dumped.00413D78                      ASCII "/main.php"
0040753F   PUSH Dumped.00413904                      ASCII "vector too long"
0040759C   PUSH Dumped.00413904                      ASCII "vector too long"
0040778B   PUSH Dumped.00413918                      ASCII "string too long"
004078CA   PUSH Dumped.00413928                      ASCII "invalid string position"
00407CBA   PUSH Dumped.004147A0                      UNICODE "\*"
004087B9   PUSH Dumped.00413904                      ASCII "vector too long"
0040880F   PUSH Dumped.00413904                      ASCII "vector too long"
00408866   PUSH Dumped.00413904                      ASCII "vector too long"
004088C6   PUSH Dumped.00413904                      ASCII "vector too long"
004089C4   PUSH Dumped.00413904                      ASCII "vector too long"
00408AC0   PUSH Dumped.00413904                      ASCII "vector too long"
00409CF7   MOV EAX,Dumped.00411344                   ASCII "Unknown exception"
00409E56   MOV DWORD PTR SS:[EBP-4],Dumped.004138B4  ASCII "bad allocation"
0040AB74   CALL Dumped.0040D1F9                      (Initial CPU selection)
0040ADAC   PUSH Dumped.00411D44                      UNICODE "Runtime Error!

Program: "
0040ADED   PUSH Dumped.00411D14                      UNICODE ""
0040AE2E   PUSH Dumped.00411D0C                      UNICODE "..."
0040AE43   PUSH Dumped.00411D04                      UNICODE "

"
0040AE74   PUSH Dumped.00411CB8                      UNICODE "Microsoft Visual C++ Runtime Library"
0040B4F9   PUSH Dumped.00411D88                      UNICODE "mscoree.dll"
0040B508   PUSH Dumped.00411D78                      ASCII "CorExitProcess"
0040C47C   PUSH Dumped.004120F0                      UNICODE "KERNEL32.DLL"
0040C6E9   PUSH Dumped.004120F0                      UNICODE "KERNEL32.DLL"
0040C70A   PUSH Dumped.0041212C                      ASCII "FlsAlloc"
0040C712   PUSH Dumped.00412120                      ASCII "FlsGetValue"
0040C71F   PUSH Dumped.00412114                      ASCII "FlsSetValue"
0040C72C   PUSH Dumped.0041210C                      ASCII "FlsFree"
0040D7DD   PUSH Dumped.004129E8                      UNICODE "USER32.DLL"
0040D7F8   PUSH Dumped.004129DC                      ASCII "MessageBoxW"
0040D811   PUSH Dumped.004129CC                      ASCII "GetActiveWindow"
0040D821   PUSH Dumped.004129B8                      ASCII "GetLastActivePopup"
0040D831   PUSH Dumped.0041299C                      ASCII "GetUserObjectInformationW"
0040D84A   PUSH Dumped.00412984                      ASCII "GetProcessWindowStation"
0040FD27   MOV DWORD PTR SS:[EBP+8],Dumped.004147BC  ASCII "bad exception"

Archivos codificados con extension .locky



Comunicación con el C&C





El inesperado mensaje de que somos victimas de este maldito Ransomware.





Si no tenemos BACKUP de nuestros archivos, estamos en el HORNO!!!!!



Muestra: https://www.dropbox.com/s/6jk38tqjxh2qmb1/Locky-2-03-16.zip?dl=0
Pass= infected




Eso es todo por el momento @Dkavalanche 2016

jueves, 17 de diciembre de 2015

Campaña RAT Cybergate Falso correo:

"Hola todo el mundo lo sabe menos tu te están engañando abre los ojos‏"


Contiene tres links que descarga un ejecutable con el icono de adobe flash.



http://urlquery.net/report.php?id=1450312796496
http://urlquery.net/report.php?id=1450312974084





Icono


Contiene una capa de Crypter básica pero efectiva, solo 8 antivirus lo reconocían.



Dumpeamos con bp en WriteVirtualMemory



Ahora sin la capa del Crypter la cosa cambia y es detectado por mas A.V.






Strings Interesantes:


Anti-VM


00407AB3   MOV EAX,1.00407B40                        ASCII "VBoxService.exe"
00407B40   ASCII "VBoxService.exe",0
00407B53   PUSH 1.00407B68                           ASCII "SbieDll.dll"
00407B68   ASCII "SbieDll.dll",0
00407B77   PUSH 1.00407B8C                           ASCII "dbghelp.dll"
00407B8C   ASCII "dbghelp.dll",0



00407BA6   PUSH 1.00407C00                           ASCII "Software\Microsoft\Windows\CurrentVersion"
00407BCF   PUSH 1.00407C2C                           ASCII "ProductId"
00407BE2   CMP EAX,1.00407C38                        ASCII "55274-640-2673064-23950"


Anti-Debugging


00407EA6   PUSH 1.00407ED4                           ASCII "IsDebuggerPresent"



00408798   MOV EDX,1.004089E0                        ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
004087E1   MOV EDX,1.004089E0                        ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
0040880F   MOV EDX,1.004089E0                        ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
00408858   MOV EDX,1.004089E0                        ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
00408890   MOV EDX,1.00408A28                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
004088D9   MOV EDX,1.00408A28                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
00408911   MOV EDX,1.00408A28                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
0040895A   MOV EDX,1.00408A28                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
004089D4   ASCII "\",0

En el analisis Dinámico vemos donde se conecta y su persistencia en el sistema.


Archivo Oculto:









Network Traffic

DNS Requests

unshowmas.ddns.net 181.131.80.198 Colombia
analaloca.chickenkiller.com 181.131.80.198 Colombia
unshowmas.no-ip.biz 181.131.80.198 Colombia
Contacted Hosts

191.90.223.133 3460 TCP Colombia


El RAT se inyecta en un proceso Firefox.exe, haciendo un dump de este proceso y luego volcando los strings encontramos lo siguiente:

(para esto podemos utilizar la suite de sysinternals)


unshowmas.no-ip.biz
ALOCA.CHICKENKILLER.COM
unshowmas.no-ip.biz
stem\CurrentControlSet\Services\Tcpip\Parameters
cybergate

CyberGate 
v1.18.0 - Trial version
.txt



Ya sabemos que es el troyano RAT Cybergate, por lo que podemos correr un decoder del config para ver que datos obtenemos.

https://github.com/kevthehermit/RATDecoders/blob/master/CyberGate.py



Key: Activate Keylogger Value: TRUE
Key: Active X Startup Value: {O8WU086S-76RM-CBK3-8KVD-3P1LU050V080}
Key: Change Creation Date Value: TRUE
Key: CyberGate Version Value: 
Key: Domain Value: analaloca.chickenkiller.com|unshowmas.ddns.net|unshowmas.no-ip.biz|
Key: Enable Message Box Value: FALSE
Key: FTP Address Value: ftp.server.com
Key: FTP Directory Value: ./logs
Key: FTP Interval Value: 30
Key: FTP Password Value: password
Key: FTP Port Value: 21
Key: FTP UserName Value: ftp_user
Key: Google Chrome Passwords Value: 
Key: Hide File Value: TRUE
Key: Install Directory Value: install
Key: Install File Name Value: logonwindows.exe
Key: Install Flag Value: TRUE
Key: Install Message Box Value: Remote Administration anywhere in the world.
Key: Install Message Title Value: CyberGate
Key: Keylogger Backspace = Delete Value: TRUE
Key: Keylogger Enable FTP Value: FALSE
Key: Melt File Value: TRUE
Key: Message Box Button Value: 0
Key: Message Box Icon Value: 16
Key: Mutex Value: J00OO266V861S3
Key: P2P Spread Value: 
Key: Password Value: cybergate
Key: Persistance Value: TRUE
Key: Port Value: 3460|3460|3460|
Key: Process Injection Value: Disabled
Key: REG Key HKCU Value: HKCU
Key: REG Key HKLM Value: HKLM
Key: ServerID Value: FOTO
Key: Startup Policies Value: Policies
Key: USB Spread Value: 


La ingeniería social a la orden del día y los .... curiosos...
Muestra: 
https://www.dropbox.com/s/xk35wu39i3v2n3k/Malware%20-%20cybergate-16-12-15.rar?dl=0

Eso es todo por el momento.

@Dkavalanche 2015