domingo, 6 de octubre de 2013

CyberGate: El ataque de los RAT

En esta oportunidad les traigo un caso de un falso documento que apela a la ingeniería social para tratar de infectar a las victimas con un RAT (remote administration tool). Con esta tool se obtiene un control total del equipo infectado, desde grabaciones de voz y video, captura de tecleo y de pantalla de la victima, entre otros.

Mi Amigo Raul me alcanzo esta muestra por lo que le estoy muy agradecido.

Correo Falso.



Link Falso http://urlquery.net/report.php?id=6273753

Certificado y Calificacion Tributaria certificaciones para fiscales del a±o 2013 21256977855558514488554884544 966464.exe 

Análisis en VT indice de detecciones 4/48  





https://www.virustotal.com/es-ar/file/ada89207c999fe66f7e480ea238132b3a5b075d9b351e9b8e889b5fcbdb2bf5c/analysis/1380807573/

Propiedades del ejecutable que se encuentra dentro de un ZIP,




Protección anti Debugging con IsDebuggerPresent


Al correrlo, me daba un error, faltaba una dll en el sistema y el Crypter fallaba... XD por lo que tuve que registrarla para continuar con el análisis estático en OllyDbg.



Dump de la muestra, con el clasico BP en WriteProcessMemory, aquí se puede observar que esta empaquetado con UPX.



Durante el análisis dinámico, el trafico de red revela la comunicación con el C&C

 Llaves del registro modificadas para asegurarse la permanencia en el sistema infectado,





Strings del dump sin UPX.



Análisis del dump en Virus Total



Strings interesantes


Parte del Keylogger

00C855CC   MOV EDX,DumpedXT.00C85D64                 UNICODE "[Numpad +]"
00C855DD   MOV EDX,DumpedXT.00C85D80                 UNICODE "[Backspace]"
00C855EE   MOV EDX,DumpedXT.00C85D9C                 UNICODE "[Numpad .]"
00C855FF   MOV EDX,DumpedXT.00C85DB8                 UNICODE "[Numpad /]"
00C85610   MOV EDX,DumpedXT.00C85DD4                 UNICODE "[Esc]"
00C85621   MOV EDX,DumpedXT.00C85DE4                 UNICODE "[Execute]"
00C85632   MOV EDX,DumpedXT.00C85DFC                 UNICODE "[Numpad *]"
00C856ED   MOV EDX,DumpedXT.00C85E68                 UNICODE "[Back Tab]"
00C856FE   MOV EDX,DumpedXT.00C85E84                 UNICODE "[Copy]"
00C8570F   MOV EDX,DumpedXT.00C85E98                 UNICODE "[Finish]"
00C85720   MOV EDX,DumpedXT.00C85EB0                 UNICODE "[Reset]"
00C85731   MOV EDX,DumpedXT.00C85EC4                 UNICODE "[Play]"
00C85742   MOV EDX,DumpedXT.00C85ED8                 UNICODE "[Process]"
00C85753   MOV EDX,DumpedXT.00C85EF0                 UNICODE "
"
00C85764   MOV EDX,DumpedXT.00C85EFC                 UNICODE "[Select]"
00C85775   MOV EDX,DumpedXT.00C85F14                 UNICODE "[Separator]"
00C85797   MOV EDX,DumpedXT.00C85F38                 UNICODE "[Numpad -]"
00C857A8   MOV EDX,DumpedXT.00C85F54                 UNICODE "[Tab]"
00C857B9   MOV EDX,DumpedXT.00C85F64                 UNICODE "[Zoom]"
00C857CA   MOV EDX,DumpedXT.00C85F78                 UNICODE "[Accept]"
00C857DB   MOV EDX,DumpedXT.00C85F90                 UNICODE "[Context Menu]"
00C857EC   MOV EDX,DumpedXT.00C85FB4                 UNICODE "[Caps Lock]"
00C857FD   MOV EDX,DumpedXT.00C85FD0                 UNICODE "[Delete]"
00C8580E   MOV EDX,DumpedXT.00C85FE8                 UNICODE "[Arrow Down]"
00C8581F   MOV EDX,DumpedXT.00C86008                 UNICODE "[End]"
00C85830   MOV EDX,DumpedXT.00C86018                 UNICODE "[F1]"
00C85841   MOV EDX,DumpedXT.00C86028                 UNICODE "[F10]"
00C85852   MOV EDX,DumpedXT.00C86038                 UNICODE "[F11]"
00C85863   MOV EDX,DumpedXT.00C86048                 UNICODE "[F12]"
00C85874   MOV EDX,DumpedXT.00C86058                 UNICODE "[F13]"
00C85885   MOV EDX,DumpedXT.00C86068                 UNICODE "[F14]"
00C85896   MOV EDX,DumpedXT.00C86078                 UNICODE "[F15]"
00C858A7   MOV EDX,DumpedXT.00C86088                 UNICODE "[F16]"
00C858B8   MOV EDX,DumpedXT.00C86098                 UNICODE "[F17]"
00C858C9   MOV EDX,DumpedXT.00C860A8                 UNICODE "[F18]"
00C858DA   MOV EDX,DumpedXT.00C860B8                 UNICODE "[F19]"
00C858EB   MOV EDX,DumpedXT.00C860C8                 UNICODE "[F2]"
00C858FC   MOV EDX,DumpedXT.00C860D8                 UNICODE "[F20]"
00C8590D   MOV EDX,DumpedXT.00C860E8                 UNICODE "[F21]"
00C8591E   MOV EDX,DumpedXT.00C860F8                 UNICODE "[F22]"
00C8592F   MOV EDX,DumpedXT.00C86108                 UNICODE "[F23]"
00C85940   MOV EDX,DumpedXT.00C86118                 UNICODE "[F24]"
00C85951   MOV EDX,DumpedXT.00C86128                 UNICODE "[F3]"
00C85962   MOV EDX,DumpedXT.00C86138                 UNICODE "[F4]"
00C85973   MOV EDX,DumpedXT.00C86148                 UNICODE "[F5]"
00C85984   MOV EDX,DumpedXT.00C86158                 UNICODE "[F6]"
00C85995   MOV EDX,DumpedXT.00C86168                 UNICODE "[F7]"
00C859A6   MOV EDX,DumpedXT.00C86178                 UNICODE "[F8]"
00C859B7   MOV EDX,DumpedXT.00C86188                 UNICODE "[F9]"
00C859C8   MOV EDX,DumpedXT.00C86198                 UNICODE "[Help]"
00C859D9   MOV EDX,DumpedXT.00C861AC                 UNICODE "[Home]"
00C859EA   MOV EDX,DumpedXT.00C861C0                 UNICODE "[Insert]"
00C859FB   MOV EDX,DumpedXT.00C861D8                 UNICODE "[Mail]"
00C85A0C   MOV EDX,DumpedXT.00C861EC                 UNICODE "[Media]"
00C85A1D   MOV EDX,DumpedXT.00C86200                 UNICODE "[Left Ctrl]"
00C85A2E   MOV EDX,DumpedXT.00C8621C                 UNICODE "[Arrow Left]"
00C85A3F   MOV EDX,DumpedXT.00C8623C                 UNICODE "[Left Alt]"
00C85A50   MOV EDX,DumpedXT.00C86258                 UNICODE "[Next Track]"
00C85A61   MOV EDX,DumpedXT.00C86278                 UNICODE "[Play / Pause]"
00C85A72   MOV EDX,DumpedXT.00C8629C                 UNICODE "[Previous Track]"
00C85A83   MOV EDX,DumpedXT.00C862C4                 UNICODE "[Stop]"
00C85A94   MOV EDX,DumpedXT.00C862D8                 UNICODE "[Mode Change]"
00C85AA5   MOV EDX,DumpedXT.00C862F8                 UNICODE "[Page Down]"
00C85AB6   MOV EDX,DumpedXT.00C86314                 UNICODE "[Num Lock]"
00C85AC7   MOV EDX,DumpedXT.00C86330                 UNICODE "[Pause]"
00C85AD8   MOV EDX,DumpedXT.00C86344                 UNICODE "[Print]"
00C85AE9   MOV EDX,DumpedXT.00C86358                 UNICODE "[Page Up]"
00C85AFA   MOV EDX,DumpedXT.00C86370                 UNICODE "[Right Ctrl]"
00C85B08   MOV EDX,DumpedXT.00C86390                 UNICODE "[Arrow Right]"
00C85B16   MOV EDX,DumpedXT.00C863B0                 UNICODE "[Right Alt]"
00C85B24   MOV EDX,DumpedXT.00C863CC                 UNICODE "[Scrol Lock]"
00C85B32   MOV EDX,DumpedXT.00C863EC                 UNICODE "[Sleep]"
00C85B40   MOV EDX,DumpedXT.00C86400                 UNICODE "[Print Screen]"
00C85B4E   MOV EDX,DumpedXT.00C86424                 UNICODE "[Arrow Up]"
00C85B5C   MOV EDX,DumpedXT.00C86440                 UNICODE "[Volume Down]"
00C85B6A   MOV EDX,DumpedXT.00C86460                 UNICODE "[Volume Mute]"
00C85B78   MOV EDX,DumpedXT.00C86480                 UNICODE "[Volume Up]"
00C85BA8   MOV EAX,DumpedXT.00C864A4                 UNICODE "Numpad"
00C85BBA   MOV EDX,DumpedXT.00C864B8                 UNICODE "KeyDelBackspace"



Archivo de configuración (.svr) y archivo del keylogger (.dat) que se envían al C&C, ambos se encuentran codificados.

00C88393   MOV EDX,DumpedXT.00C88638                 UNICODE ".svr"
00C883CA   MOV EDX,DumpedXT.00C88644                 UNICODE ".dat"


00C8848D   PUSH DumpedXT.00C88654                    UNICODE "http://"
00C884D9   PUSH DumpedXT.00C88678                    UNICODE ".functions"
00C885A4   PUSH DumpedXT.00C88698                    UNICODE "open" 



00C887F8   DD DumpedXT.00C88704                      UNICODE "%ITSELF%"
00C88800   DD DumpedXT.00C886E4                      UNICODE "%USECRYPTER%"
00C88808   DD DumpedXT.00C886BC                      UNICODE "%DEFAULTBROWSER%"
00C88810   DD DumpedXT.00C886A8                      UNICODE "restart"
00C88814   PUSH EBP                                  (Initial CPU selection)
00C88894   PUSH DumpedXT.00C89794                    UNICODE "open"
00C888A7   PUSH DumpedXT.00C897A0                    UNICODE "CYBERGATEUPDATE"
00C88901   MOV ECX,DumpedXT.00C897C0                 UNICODE "SETTINGSPASS"
00C88915   PUSH DumpedXT.00C897DC                    UNICODE "SOFTWARE\CyberGate"
00C88929   MOV EDX,DumpedXT.00C89804                 UNICODE "\Microsoft\Windows\"
00C8896A   MOV EDX,DumpedXT.00C89830                 UNICODE ".nfo"
00C88999   MOV EDX,DumpedXT.00C89830                 UNICODE ".nfo"
00C889E0   MOV ECX,DumpedXT.00C8983C                 UNICODE "CYBERGATEPASS"
00C88A64   MOV ECX,DumpedXT.00C8983C                 UNICODE "CYBERGATEPASS"
00C88AAC   MOV ECX,DumpedXT.00C8983C                 UNICODE "CYBERGATEPASS"
00C88BD7   MOV EAX,DumpedXT.00C89858                 UNICODE "SOFTWARE\"
00C88BE3   MOV ECX,DumpedXT.00C8986C                 UNICODE "ServerStarted"
00C88DE1   MOV EAX,DumpedXT.00C89858                 UNICODE "SOFTWARE\"
00C88DED   MOV ECX,DumpedXT.00C8988C                 UNICODE "InstalledServer"
00C88E6A   MOV EDX,DumpedXT.00C898AC                 UNICODE ".svr"
00C88EE3   MOV EAX,DumpedXT.00C898B8                 UNICODE "svchost.exe"
00C8912A   MOV EAX,DumpedXT.00C898D0                 UNICODE "explorer.exe"
00C89169   MOV EDX,DumpedXT.00C898AC                 UNICODE ".svr"
00C891C2   MOV EAX,DumpedXT.00C898EC                 UNICODE "local"
00C891D4   MOV ECX,DumpedXT.00C898F8                 UNICODE "CYBERGATE"
00C89217   MOV EDX,DumpedXT.00C89910                 UNICODE "SOFTWARE\"
00C8922E   MOV ECX,DumpedXT.00C89924                 UNICODE "Mutex"
00C892DF   MOV EAX,DumpedXT.00C898EC                 UNICODE "local"
00C89318   MOV ECX,DumpedXT.00C898F8                 UNICODE "CYBERGATE"
00C8935B   MOV EDX,DumpedXT.00C89910                 UNICODE "SOFTWARE\"
00C89372   MOV ECX,DumpedXT.00C89924                 UNICODE "Mutex"
00C893D9   MOV EDX,DumpedXT.00C89938                 ASCII "lsass.exe"

00C894AF   MOV EDX,DumpedXT.00C8994C                 ASCII "svchost.exe"


Muestra: https://dl.dropboxusercontent.com/u/80008916/Cybergate-03-10-13.rar

Password = infected



Es todo por el momento.

@Dkavalanche 2013



No hay comentarios:

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!