Ingeniería Inversa.

 

Fin del taller.

Felicitaciones !!!! El laboratorio ha concluido, todos los registros y notas que ha obtenido a lo largo del talles, se simplifican en una imagen.

Underc0de - ingenieria inversa fin del taller

Un simple reporte.

Resumen.

El archivo crea copias de si mismo en la ruta %APPDATA%, generando mecanismos persistentes y envía avisos a definitely-not-evil.com.

Los avisos son exitosos, abrirá un cuadro de dialogos, luego de desencriptar el recurso para lanzar una shell al sitio.

Características generales.

El archivo empaquetado es UPX.

Funciones importadas:

  • GetEnvironmentVariable (ObtenerAmbitoVariable)
  • CopyFile (CopiarArchivo)
  • DeleteFile (BorrarArchivo)
  • InternetOpen (ArchivoDeInternet)
  • InternetConnect (ConexionAInternet)
  • HttpOpenRequest (AbrirSolicitudHttp)
  • HttpSendRequest (EnviarSolicitudHttp)
  • MessageBox (CajaDeMensaje)
  • FindResource (EncontrarRecurso)
  • CryptStringToBinary (EncriptarCadenaABinario)
  • CreateFile (CrearArchivo)
  • ShellExecute (EjecutarShell)
  • CreateProcess (CrearProceso)
IOC Archivo de sistema.

IOC Network.

IOC del registro.

Comportamiento y controles de flujo.

El proceso creado: dope.exe

  1. Inicia decodificando cadenas xor.
  2. Verifica si dope.exe existe en %APPDATA%
  3. Si no existe, crea una copia de si mismo en %APPDATA% como dope.exe
  4. Escribe una entrada en el registro.
  5. Inicia la nueva copia de dope.exe como proceso.
  6. Borra el archivo original.
  7. Dope.exe verificará si está inyectado en el registro.
  8. Realiza una llamada a definitely-not-evil.com
  9. Si el resultado es “lmao” mostrará un mensaje y extraerá el recurso.
  10. Base64 decodifica el recurso.
  11. Guarda el recurso decodificado como icon.gif
  12. Lanza shellexecute para abrir icon.gif

Les agradecemos el tiempo invertido en éste taller de ingeniería inversa a malwares.

Repasando los capítulos, fundamentos, revisión de un malware, herramientas, tiempo invertido, análisis estático y análisis dinámico.

Posts Relacionados

Comments

comments

Deja una respuesta

Tu email no será publicado. Los campos requeridos estan marcados con *
Puedes usar tags HTML y los atributos: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">