Esta entrada se venía labrando
desde el partido contra Uruguay, y es que va a ser cierto que los
hombres no sabemos hacer dos cosas a la vez, eso de descargar software
pirata para la preparatoria de un curso y ver a Neymar tirando besos voladores con el rabillo del ojo… puede traer serios problemas, y más si vamos con prisas.
Mientras buscaba mi aplicación, llegué a
una página la cual me inspiró total confianza para realizar la descarga
e instalarla. Según el proceso de instalación iba marcando su barra de
progreso, me alarmó un error Run-time 5, de los de toda la vida… ósea, en Visual Basic. Me quedé petrificado y no es por decorar el texto, sino que en ese momento deduje que un malware bindeado al ejecutable de instalación saltaba en añicos, con lo que posiblemente me hubiesen colado cualquier otra cosa.
Aprovechando el tiempo de mi paja
mental, hubo suerte en que el desarrollador del supuesto malware,
pusiera el mismo nombre al ejecutable que al título del proyecto, y es
que en estas ventanas de error, se muestra el título del formulario
principal de las aplicaciones. Dirigiéndome al administrador de tareas,
botón derecho y “Abrir la ubicación del archivo”, llegué hasta una
carpeta ubicada en AppData del usuario actual, donde no es necesario
otros permisos para alertar al usuario. Me encontré con el siguiente
panorama…
En ese momento supe que debería de dejar al futbol de lado y tirar del hilo… así que como no disponía de mi Cuckoo Sandbox hasta más tarde, podría ayudarme de Malwr.com. Entre las cosas que más llamaron mi atención al subir el instalador, fueron lógicamente las conexiones.
Inevitablemente fui al navegador y
tecleé la URL que aparecía de vuelta del Cuckoo. Para mi grata sorpresa,
sin control de acceso ni ostias.
Lo más gracioso es cuando vi el nombre
de mi máquina en una de sus carpetas y una imagen de mi escritorio
subida en su interior. Para más inri, soy el típico capullo que tiene
una foto carnet en el escritorio jajajajPensé en buscar la URL en
Google, para encontrar algún tipo de pista que me diese algo más de
información. Por suerte un scanner en Virustotal mostraba que un malware de nombre
Project1.exe, compilado en
Visual Basic 6 conectaba
con ese mismo dominio. En este caso, el malware era totalmente
diferente al que tenía en mi poder además, de que se utilizaba para
realizar denegaciones de servicio con una consola abierta en segundo
plano sobre las víctimas, en este caso el
tarjet era sobre el sitio de seguridad informática colombiano www.buggly.com.co.
¿Qué hacemos aparte de matar los procesos? Pues bien, Cuckoo provee
al auditor de la opción de realizar volcados de memoria, además de la
posibilidad de guardar la captura de red sobre un fichero pcap. Así que echándole un vistazo a todo lo que ocurría en la red mientras el malware se ejecutaba, di con lo siguiente.
¡Menuda fiesta! Por
otra parte, me llamó mucho la atención el comportamiento del malware.
Pues la gran mayoría de ejecutables eran descargados por FTP desde uno
de los ejecutables bindeados al instalador. Con lo que evitaban que el
tamaño de la aplicación no fuese lo suficientemente grande.
Con
toda esta información en mis manos, tan solo me quedaría eliminar mi
captura de pantalla de su listado. Con lo que Filezilla y el usuario del
pcap me abrieron la puerta.
Otra de las cosas destacables, me la encontré al mirar que tipo de
acciones realizaba el malware sobre el FTP. Entre ellas se encontraban a
parte de la captura de pantalla, la de captura de teclas a modo
Keylogger, que desde la propia página no era posible la lectura del
contenido de los ficheros de texto por prohibición del servidor… pero al
tener acceso vía FTP
Me hizo recordar a mi entrada sobre Espionaje, cuerpos sexys y datos robados, pues el propio desarrollador de la botnet, se encontraba infectado a sí mismo…
La siguiente imagen muestra como el tipo realiza un
Control+V, para pegar la contraseña de acceso sobre la aplicación
WinHTTrack Website Copier, así descargar el contenido a su equipo personal. Además de tener el navegador de Firefox abierto para acceder desde el mismo.
Divirtiéndome estos días mientras veía las capturas de su equipo en
el FTP, seguí tirando del hilo para estudiar los ejecutables que tenía
en mi poder. Supuse que el origen de que todos ellos se tratasen de
Visual Basic 6, era debido a que utilizaría un
Crypter, con lo que sería más tedioso ver de qué se trataban.
¡Pero no! El tipo no cifró ni lo más mínimo, y pude identificar de forma rápida, que realizaba cada uno de ellos. El ejecutable
Java.exe, se encargaba de descargar el resto de ejecutables del FTP, ejecutarlos en el sistema y de matar sus procesos desde la consola.
El ejecutable de
Javax.exe, realizaba tareas muy
similares, también realizando las ejecuciones del conjunto de
aplicaciones de la botnet, que se encontraban en la carpeta
java en
AppData del usuario.
El ejecutable de
Spoolsrv.exe, tenía tan solo la acción de captura de teclas y eventos para la funcionalidad de
Keylogger. La siguiente imagen muestra las declaraciones de las Apis más comunes para estas capturas.
Por
otro lado, aparecían en el mismo ejecutable todo el listado de
caracteres que era capaz de capturar y cuál era el archivo de texto
destinado al almacenamiento de los mismos.
Separada la acción de subida al FTP de las capturas de teclas, se encontraba bajo el ejecutable
splsrtnet.exe, el cual era encargado de generar un nombre único a la captura basado en la fecha y hora de subida.
El otro ejecutable llamado
Snaps.exe, se encarga de generar las capturas de pantalla y de subirlas al FTP.
Así que con toda esta información en plano, se me ocurrió la idea
de parchear los ejecutables y hacerme con la botnet para mi uso
personal… al menos para mostrarlos en futuros cursos…La siguiente imagen
muestra como el malware, se conecta y sube una imagen de mi escritorio a
mi FTP en
localhost con usuario
admin y contraseña
admin.
Por
otro lado, si sois consumidores habituales de la revista Hakin9
Magazine, os dejo el enlace de este mes, en el cual he redactado el
artículo
Identification and Exploitation of the Most Common Vulnerabilities in Web Applications.
Fuente: http://www.flu-project.com/destripando-una-botnet.html