Tweet
En esta entrada del blog que le dará alguna información acerca de un malware que hemos analizado hace tiempo, pero sólo ahora he tenido tiempo de escribir el mensaje ..
El malware que voy a analizar es un HackTool utilizados para robar credenciales (nombre de usuario / contraseñas) de las máquinas infectadas.
El hash MD5 es: 77538c4e23983409f7cabfde51ad0e70 y sólo 28 de los 40 antivirus (VIRUS TOTAL)detectado la amenaza.
Para el análisis que he usado un marco automatizado que he desarrollado (RMA - tiempo de ejecución de malware Sistema de Análisis) y aquí a continuación algunos datos estáticos que RMAS guardado:
El malware ha sido empacado con UPX. Después del proceso de descomprimir el sistema ha detectado un sospechoso incrustado ejecutable en el directorio RSRC; a continuación algunas informaciones sobre el ejecutable incrustado.:
Algunas de las acciones llevadas a cabo por el malware son los siguientes:
- Uso de cacls (Cambio de Access Control List) para cambiar los permisos de archivos
- Creación de un archivo DLL (soapgian.dll) que se utilizarán para robar nombre de usuario y contraseña
- Modificar el tiempo de archivo de la DLL maliciosa para ocultar la información (mediante la marca de tiempo hal.dll)
- Configuración del valor de la clave GinaDLL en el registro, bajo HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
A continuación un pequeño informe sobre las acciones más interesantes llevadas a cabo por el malware
Nombre : malware.exe
Procid : 1972
cacls.exe C: \ WINDOWS \ system32 \ soapgian.dll / P "todos": F "Administradores": F "SISTEMA": F
Procid : 1972
cacls.exe C: \ WINDOWS \ system32 \ soapgian.dll / P "todos": F "Administradores": F "SISTEMA": F
Nombre : malware.exe
Procid : 1972
cacls.exe C: \ WINDOWS \ system32 \ msovgiqtr.dll / P "todos": F "Administradores": F "SISTEMA": F
Procid : 1972
cacls.exe C: \ WINDOWS \ system32 \ msovgiqtr.dll / P "todos": F "Administradores": F "SISTEMA": F
Nombre : malware.exe
Procid : 1972
Nombre del archivo: C: \ WINDOWS \ system32 \ soapgian.dll
Los derechos de acceso: Genérico Write (0x40000000).
Procid : 1972
Nombre del archivo: C: \ WINDOWS \ system32 \ soapgian.dll
Los derechos de acceso: Genérico Write (0x40000000).
Nombre : malware.exe
Procid : 1972
Función : Relación Marco
Valor: GinaDLL
Tipo REG_SZ
Datos: soapgian.dll
HKLM \ NT SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Winlogon
Procid : 1972
Función : Relación Marco
Valor: GinaDLL
Tipo REG_SZ
Datos: soapgian.dll
HKLM \ NT SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Winlogon
Por otra parte, el soapgian.dll, como podemos ver en la siguiente imagen, se ha cargado en la memoria del proceso winlogon.exe con el fin de robar información:
El HackTool utiliza el archivo msovgiqtr.dll para almacenar (de ahí para salvar a) nombre de usuario y contraseña. Este archivo contiene:
- NOMBRE DE USUARIO
- CONTRASEÑA
- COMPUTERNAME
contenido extraido de IDEAS IT
No hay comentarios:
Publicar un comentario