Esta entrada se venía labrando
desde el partido contra Uruguay, y es que va a ser cierto que los
hombres no sabemos hacer dos cosas a la vez, eso de descargar software
pirata para la preparatoria de un curso y ver a Neymar tirando besos voladores con el rabillo del ojo… puede traer serios problemas, y más si vamos con prisas.
Mientras buscaba mi aplicación, llegué a
una página la cual me inspiró total confianza para realizar la descarga
e instalarla. Según el proceso de instalación iba marcando su barra de
progreso, me alarmó un error Run-time 5, de los de toda la vida… ósea, en Visual Basic. Me quedé petrificado y no es por decorar el texto, sino que en ese momento deduje que un malware bindeado al ejecutable de instalación saltaba en añicos, con lo que posiblemente me hubiesen colado cualquier otra cosa.
Aprovechando el tiempo de mi paja
mental, hubo suerte en que el desarrollador del supuesto malware,
pusiera el mismo nombre al ejecutable que al título del proyecto, y es
que en estas ventanas de error, se muestra el título del formulario
principal de las aplicaciones. Dirigiéndome al administrador de tareas,
botón derecho y “Abrir la ubicación del archivo”, llegué hasta una
carpeta ubicada en AppData del usuario actual, donde no es necesario
otros permisos para alertar al usuario. Me encontré con el siguiente
panorama…
En ese momento supe que debería de dejar al futbol de lado y tirar del hilo… así que como no disponía de mi Cuckoo Sandbox hasta más tarde, podría ayudarme de Malwr.com. Entre las cosas que más llamaron mi atención al subir el instalador, fueron lógicamente las conexiones.
Inevitablemente fui al navegador y
tecleé la URL que aparecía de vuelta del Cuckoo. Para mi grata sorpresa,
sin control de acceso ni ostias.
Lo más gracioso es cuando vi el nombre
de mi máquina en una de sus carpetas y una imagen de mi escritorio
subida en su interior. Para más inri, soy el típico capullo que tiene
una foto carnet en el escritorio jajajajPensé en buscar la URL en
Google, para encontrar algún tipo de pista que me diese algo más de
información. Por suerte un scanner en Virustotal mostraba que un malware de nombre Project1.exe, compilado en Visual Basic 6 conectaba
con ese mismo dominio. En este caso, el malware era totalmente
diferente al que tenía en mi poder además, de que se utilizaba para
realizar denegaciones de servicio con una consola abierta en segundo
plano sobre las víctimas, en este caso el tarjet era sobre el sitio de seguridad informática colombiano www.buggly.com.co.
¿Qué hacemos aparte de matar los procesos? Pues bien, Cuckoo provee
al auditor de la opción de realizar volcados de memoria, además de la
posibilidad de guardar la captura de red sobre un fichero pcap. Así que echándole un vistazo a todo lo que ocurría en la red mientras el malware se ejecutaba, di con lo siguiente.
¡Menuda fiesta! Por
otra parte, me llamó mucho la atención el comportamiento del malware.
Pues la gran mayoría de ejecutables eran descargados por FTP desde uno
de los ejecutables bindeados al instalador. Con lo que evitaban que el
tamaño de la aplicación no fuese lo suficientemente grande.
Con
toda esta información en mis manos, tan solo me quedaría eliminar mi
captura de pantalla de su listado. Con lo que Filezilla y el usuario del
pcap me abrieron la puerta.
Me hizo recordar a mi entrada sobre Espionaje, cuerpos sexys y datos robados, pues el propio desarrollador de la botnet, se encontraba infectado a sí mismo…
La siguiente imagen muestra como el tipo realiza un Control+V, para pegar la contraseña de acceso sobre la aplicación WinHTTrack Website Copier, así descargar el contenido a su equipo personal. Además de tener el navegador de Firefox abierto para acceder desde el mismo.
Divirtiéndome estos días mientras veía las capturas de su equipo en el FTP, seguí tirando del hilo para estudiar los ejecutables que tenía en mi poder. Supuse que el origen de que todos ellos se tratasen de Visual Basic 6, era debido a que utilizaría un Crypter, con lo que sería más tedioso ver de qué se trataban. ¡Pero no! El tipo no cifró ni lo más mínimo, y pude identificar de forma rápida, que realizaba cada uno de ellos. El ejecutable Java.exe, se encargaba de descargar el resto de ejecutables del FTP, ejecutarlos en el sistema y de matar sus procesos desde la consola.
El ejecutable de Javax.exe, realizaba tareas muy similares, también realizando las ejecuciones del conjunto de aplicaciones de la botnet, que se encontraban en la carpeta java en AppData del usuario.
El ejecutable de Spoolsrv.exe, tenía tan solo la acción de captura de teclas y eventos para la funcionalidad de Keylogger. La siguiente imagen muestra las declaraciones de las Apis más comunes para estas capturas.
Por otro lado, aparecían en el mismo ejecutable todo el listado de caracteres que era capaz de capturar y cuál era el archivo de texto destinado al almacenamiento de los mismos.
Separada la acción de subida al FTP de las capturas de teclas, se encontraba bajo el ejecutable splsrtnet.exe, el cual era encargado de generar un nombre único a la captura basado en la fecha y hora de subida.
El otro ejecutable llamado Snaps.exe, se encarga de generar las capturas de pantalla y de subirlas al FTP.
Así que con toda esta información en plano, se me ocurrió la idea de parchear los ejecutables y hacerme con la botnet para mi uso personal… al menos para mostrarlos en futuros cursos…La siguiente imagen muestra como el malware, se conecta y sube una imagen de mi escritorio a mi FTP en localhost con usuario admin y contraseña admin.
Por otro lado, si sois consumidores habituales de la revista Hakin9 Magazine, os dejo el enlace de este mes, en el cual he redactado el artículo Identification and Exploitation of the Most Common Vulnerabilities in Web Applications.
Fuente: http://www.flu-project.com/destripando-una-botnet.html
No hay comentarios.:
Publicar un comentario