Leandro Fróes Postado Dezembro 1, 2018 em 01:58 Compartilhar Postado Dezembro 1, 2018 em 01:58 Fala galera, tudo certo? Segue o nosso segundo desafio da série AnalyseMe. Outra coisa, lembram daquele modelo de relatório do AnalyseMe - Nível 00? Aquele é um padrão para vocês manterem o foco, para saberem que aquilo é importante dar uma olhada. Caso não consigam encontrar todos os campos fiquem a vontade para postar o que acharam, a idea aqui é aprendermos juntos e ajudar quem precisa. Se você ainda não postou sua análise porque alguém já postou antes, posta lá!! Não esqueça que cada um tem seu ponto de vista e isso é muito importante! ? Queria também agradecer à todos que fizeram o primeiro tópico movimentar. Para aqueles que ainda não fizeram/postaram o desafio, tá esperando o que?!?!?! ? AnalyseMe-01.exe Link para o comentário Compartilhar em outros sites More sharing options...
Aof Postado Dezembro 1, 2018 em 07:55 Compartilhar Postado Dezembro 1, 2018 em 07:55 muito bom @Leandro Fróes esse sample. só o que ta faltando e influenciar o pessoal, a postar seus resultados mesmo que já tenha sido resolvido. Com suas próprias palavras. Spoiler Tipo de arquivo: PE EXECompilador/linguagem: Microsoft Visual C/C++(-)[-]Protector/packer: NenhumSHA-256: 52CC326E53906BFD2E5A371D3ADBDDB537CFD2F231BB7420E66C46C2EC4C9810Strings interessantes: "http://2016.eicar.org/download/eicar.com", "\windowsupdate.exe" , "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0"Funções locais maliciosas: 004011A0 (faz as requisições ao site)chamadas à API Windows e outras libs: InternetOpenUrlA,InternetOpenA, InternetReadFile, WININET.dll,WriteFile, GetTempPathA, CreateFileA, ExitProcess, lstrcpynA, HeapAlloc, GetProcessHeap, lstrlenA, GetCommandLineADlls importadas: KERNEL32.dll, WININET.dll Atividades de rede: acessa um site ("supostor C&C") e baixa mais um artefatos.O que o binário faz em linhas gerais: baixa 2 arquivos chamados "eicar.com" e "windowsupdate.exe", estes logo contem caracteres para testar o anti-virus.O que foi modificado no sistema: nada Link para o comentário Compartilhar em outros sites More sharing options...
Leandro Fróes Postado Dezembro 1, 2018 em 10:57 Autor Compartilhar Postado Dezembro 1, 2018 em 10:57 Concordo plenamente @Aof, obrigado pelo feedback!! Muito legal sua análise por sinal ?. Link para o comentário Compartilhar em outros sites More sharing options...
rcimatti Postado Dezembro 11, 2018 em 16:12 Compartilhar Postado Dezembro 11, 2018 em 16:12 Boa tarde Leandro, Sei que já está resolvido mas segue minha análise abaixo: Spoiler Tipo de arquivo: PE EXE Compilador/linguagem: Visual Studio C/C++ Protector/packer: Nenhum SHA-256: 4263a62d41f13ff00d730fbf25bcfbccef9387cec2c5dff1cb8404efceade3e7 Strings interessantes: "http://2016.eicar.org/download/eicar.com", "\\windowsupdate.exe" e "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0"; Funções locais maliciosas: 4011A0 (download e escrita do arquivo); Chamadas à API do Windows e outras bibliotecas: InternetOpenA, InternetOpenUrlA, InternetReadFile, CreateFileA, WriteFile, GetTempPathA; Atividades de rede: Baixa o arquivo em "http://2016.eicar.org/download/eicar.com" usando o user-agent do Firefox; O que o binário faz em linhas gerais: Salva o arquivo baixado na pasta temporária do sistema com o nome "windowsupdate.exe"; O que foi modificado no sistema: O arquivo windowsupdate.exe foi criado dentro da pasta temporária do usuário; Valeu pelo sample! Abs, Rafael Link para o comentário Compartilhar em outros sites More sharing options...
NathanUchoa Postado Dezembro 11, 2018 em 16:24 Compartilhar Postado Dezembro 11, 2018 em 16:24 Boa tarde, Lá vai minha primeira análise, Spoiler Tipo de arquivo: PE EXE Compilador/linguagem: Visual C/C++ (14.00.27.023) Protector/packer: Nenhum SHA-256: 4263A62D41F13FF00D730FBF25BCFBCCEF9387CEC2C5DFF1CB8404EFCEADE3E7 Strings interessantes: windowsupdate.exe C:\Users\IEUser\Desktop\Project1\Release\Project1.pdbhttp://2016.eicar.org/download/eicar.com Funções locais maliciosas: 4011A0 Faz o download do arquivo e escreve na pasta temporária em AppData\Local\Temp\\"windowsupdate.exe" Chamadas à API do Windows e outras bibliotecas: - WININET.DLL 1. InternetOpenA (Inicializa o uso de um aplicativo das funções do WinINet) 2. InternetOpenUrlA (Abre um recurso especificado por uma URL completa de FTP ou HTTP). FLAG = INTERNET_FLAG_RAW_DATA - KERNEL32.DLL 1. GetTempPathA ( 260, 0x0018fe1c ) 2. CreateFileA ( "C:\Users\ADMINI~1\AppData\Local\Temp\\windowsupdate.exe") FLAG = GENERIC_READ | GENERIC_WRITE, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL 3. WriteFile ( 0x00000324, 0x0018ff20, 68, 0x0018ff64, NULL ) 4. ExitProcess ( 0 ) Atividades de rede: Acessa a URL http://2016.eicar.org/download/eicar.com e faz download do arquivo windowsupdate.exe O que o binário faz em linhas gerais: Salva em uma pasta temporária do sistema, ... "AppData\Local\Temp\\windowsupdate.exe", o executável contém scripts para detecção do Antivirus. O que foi modificado no sistema: Nada Estou aberto a todo tipo de crítica. Um abraço a todos. Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble Euler Neto Postado Dezembro 14, 2018 em 23:41 Apoiador Nibble Compartilhar Postado Dezembro 14, 2018 em 23:41 Tou meio atrasado porque tava sem PC mas enfim consegui um tempo pra analisar o executável. O problema que tive foi que Spoiler quando InternetOpenUrl("http://2016.eicar.org/download/eicar") era chamado, travava o windbg. Tentei baixar pelo browser na VM mas mesmo o download era barrado, então tive que baixar no Linux pra poder ver o arquivo. Observando o conteúdo imaginei que fosse pra testar o antivírus como mencionado. PS: O Firewall está desabilitado. Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble anderson_leite Postado Dezembro 24, 2018 em 01:18 Apoiador Nibble Compartilhar Postado Dezembro 24, 2018 em 01:18 Spoiler Tipo de arquivo: PE EXE Compilador/linguaguem: Microsoft Visual C/C++ - C/C++ Protector/packer: Nenhum SHA-256: 4263a62d41f13ff00d730fbf25bcfbccef9387cec2c5dff1cb8404efceade3e7 Strings interessantes: "http://2016.eicar.org/download/eicar.com"(url para download do artefato) , "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0" (User agent), \windowsupdate.exe (Arquivo criado para "dropar" o binário baixado), "C:\Users\IEUser\Desktop\Project1\Release\Project1.pdb" path para o arquivo de debugger do projeto do criador do sample (Nome do escritor) Funções locais maliciosas: 004010t89 (Pega atual diretorio para usar como base), 004011A0 (Faz uso da lib WinNet para criar um downloader usando as headers do firefox, para poder baixar o sample eicar na maquina e escrever em um arquivo temporario com o nome de windowsupdate.exe) Chamadas à API do Windows e outras bibliotecas: Chamadas notaves: Kernel32 - GetCommandLineA, lstrlenA, WriteFile, GetTempPathA, CreateFileA. WinNet - InternetReadFile, InternetOpenA, InternetOpenUrlA Atividades de rede: request HTTP para download do código malicioso em "http://2016.eicar.org/download/eicar.com" O que o binário faz em linhas gerais: Age como um dropper, baixa um codigo malicioso (eicar) e escreve nos arquivos temporarios como windowsupdate.exe, porem não executa O que foi modificado no sistema: Binário escrito nos arquivos temporarios Link para o comentário Compartilhar em outros sites More sharing options...
andersongomes001 Postado Janeiro 18, 2019 em 00:53 Compartilhar Postado Janeiro 18, 2019 em 00:53 Spoiler Tipo de arquivo: PE EXECompilador/linguagem: Microsoft Visual C/C++(-)[-]Protector/packer: NenhumSHA-256: 4263A62D41F13FF00D730FBF25BCFBCCEF9387CEC2C5DFF1CB8404EFCEADE3E7Strings interessantes: "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0","http://2016.eicar.org/download/eicar.com","\\windowsupdate.exe"Funções locais maliciosas: 004011A0 (função que faz download de arquivo malicioso para a maquina)Chamadas à API do Windows e outras bibliotecas:WININET.dll InternetReadFile InternetOpenUrlA InternetOpenA KERNEL32.dll WriteFile GetTempPathA CreateFileA ExitProcess Atividades de rede: acessa um host e baixa um arquivos.O que o binário faz em linhas gerais: faz uma conexão com o host "http://2016.eicar.org/download/eicar.com" passando um user-agent: "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0" cria um arquivo na pasta AppData\Local\Temp com o nome de windowsupdate.exeO que foi modificado no sistema: cria um arquivo windowsupdate.exe na pasta temporária do usuário. Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.