Leandro Fróes Postado Dezembro 7, 2018 em 20:13 Compartilhar Postado Dezembro 7, 2018 em 20:13 Faaala galera, planos pro fds? Espero que não pois aqui está o nosso terceiro desafio da série AnalyseMe. Para aqueles que ainda não fizeram os desafios anteriores eu indico fortemente fazer e postar para a galera se ajudar e aprender junto. Qualquer dúvida fique a vontade para perguntar também. Lembrando que é pra postar a solução usando o modelo e entre tags spoiler (): Spoiler Tipo de arquivo: PE EXE Compilador/linguagem: Borland C++ Protector/packer: Nenhum SHA-256: 9f86d081884c7d659a2feaa0c55ad015a3bf4f1b2b0b822cd15d6c15b0f00a08 Strings interessantes: X, Y, Z Funções locais maliciosas: 405040 (faz tal coisa), 403570 (faz coisa e tal) Chamadas à API do Windows e outras bibliotecas: CreateWindowExA(parâmetros), InternetOpenFileA(parâmetros)... Atividades de rede: resolve o domínio X, baixa Y da URL Z O que o binário faz em linhas gerais: Rouba as senhas armazenadas no browser. O que foi modificado no sistema: o arquivo X é criado e uma chave de registro é adicionada em HKLM\Microsoft\Windows\CurrentVersion\Run com o valor c:\binario.exe Abraços! AnalyseMe-02.exe Link para o comentário Compartilhar em outros sites More sharing options...
Aof Postado Dezembro 8, 2018 em 01:02 Compartilhar Postado Dezembro 8, 2018 em 01:02 Muito legal esses samples que vc posta @Leandro Fróes parabéns. Link para o comentário Compartilhar em outros sites More sharing options...
rcimatti Postado Dezembro 11, 2018 em 16:18 Compartilhar Postado Dezembro 11, 2018 em 16:18 Boa tarde Leandro, Abaixo minha análise desse sample. Spoiler Tipo de arquivo: PE EXE Compilador/linguagem: Visual Studio C/C++ Protector/packer: Nenhum SHA-256: cfbfa910884ffc3daa1708290597ca89d4104289284a0ed3fe1e90919c60dff7 Strings interessantes: "http://2016.eicar.org/download/eicar.com" (ofuscada como "3//+attikjmu>28:)u4)<t?4,574:?t>28:)u846"), "\\windowsupdate.exe" (ofuscada como ",25?4,(.+?:/>u>#>" e "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0" (ofuscada também); Funções locais maliciosas: 4011A0 (reconstrói as strings, faz o download e escrita do arquivo); Chamadas à API do Windows e outras bibliotecas: InternetReadFile, InternetOpenA, InternetOpenUrlA, WriteFile, GetTempPathA, CreateFileA; Atividades de rede: Baixa o arquivo em "http://2016.eicar.org/download/eicar.com" usando o user-agent do Firefox; O que o binário faz em linhas gerais: Reconstrói as strings ofuscadas fazendo um XOR byte a byte com 0x5B, salva o arquivo baixado na pasta temporária do usuário com o nome "windowsupdate.exe" para passar despercebido; O que foi modificado no sistema: O arquivo windowsupdate.exe foi criado dentro da pasta temporária do usuário; Valeu e abs! Rafael Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble Euler Neto Postado Dezembro 16, 2018 em 22:18 Apoiador Nibble Compartilhar Postado Dezembro 16, 2018 em 22:18 Bom... Spoiler Passei um bom tempo tentando entender esse trecho que fica logo no início de 4011A0 mas depois de um tempo percebi que mais abaixo havia o XOR 5B. push ebx mov ebx, esp sub esp, 8 and esp, 0FFFFFFF0h add esp, 4 push ebp mov ebp, [ebx+4] mov [esp+0Ch+var_8], ebp mov ebp, esp sub esp, 208h movups xmm0, ds:xmmword_402040 push esi push edi mov al, ds:byte_402068 lea edi, [ebp-0B0h] mov ecx, 13h mov [ebp-38h], al mov esi, offset unk_402070 mov ax, ds:word_4020D0 rep movsd movups xmmword ptr [ebp-60h], xmm0 lea ecx, [ebp-0B0h] mov dword ptr [ebp-4], 0 movups xmm0, ds:xmmword_402050 movsw xor esi, esi mov dword ptr [ebp-0Ch], 0 movups xmmword ptr [ebp-50h], xmm0 lea edi, [ecx+1] mov [ebp-20h], ax movq xmm0, ds:qword_402060 xor edx, edx movq qword ptr [ebp-40h], xmm0 movups xmm0, ds:xmmword_4020C0 movups xmmword ptr [ebp-30h], xmm0 nop dword ptr [eax] Depois disso minha análise ficou conforme descrito por @rcimatti Link para o comentário Compartilhar em outros sites More sharing options...
Apoiador Nibble anderson_leite Postado Dezembro 27, 2018 em 00:43 Apoiador Nibble Compartilhar Postado Dezembro 27, 2018 em 00:43 Spoiler Tipo de arquivo: PE EXE Compilador/linguaguem: Microsoft Visual C/C++ - C/C++ Protector/packer: Nenhum SHA-256: cfbfa910884ffc3daa1708290597ca89d4104289284a0ed3fe1e90919c60dff7 Strings interessantes: "C:\Users\IEUser\Desktop\Project1\Release\Project1.pdb"(path para projeto do sample) , "3//+attikjmu>28:)u4)<t?4,574:?t>28:)u846"(url eicar encodada via xor),"4!277:tnuk{s25?4,({{muj`{25mo`{#mo`{)-aolukr{>804tikjkkjkj{2)>=4#toluk,25?4,(.+?:/>u>#>"(User agent firefox, encodada via xor) Funções locais maliciosas: 00401001(Pega atual diretorio para usar como base), 004011A0 (Decripta strings codificadas via XOR usando a chave 0x5B e faz uso da lib WinNet para criar um downloader usando as headers do firefox, para poder baixar o sample eicar na maquina e escrever em um arquivo temporario com o nome de windowsupdate.exe) Chamadas à API do Windows e outras bibliotecas: Chamadas notaves: Kernel32 - GetCommandLineA, lstrlenA, WriteFile, GetTempPathA, CreateFileA. WinNet - InternetReadFile, InternetOpenA, InternetOpenUrlA Atividades de rede: request HTTP para download do código malicioso em "http://2016.eicar.org/download/eicar.com" O que o binário faz em linhas gerais: Age como um dropper, baixa um codigo malicioso (eicar) e escreve nos arquivos temporarios como windowsupdate.exe, porém as strings referentes a URL do sample eicar, nome do arquivo escrito e user agent estão encriptadas usando XOR, na função 004011A0 é feito o tratamento da string e a decodificação com a chave 0x5B além da execução do download do sample eicar. Simples codigo para decifrar, em python: >>> def xor(string, key): ... out = "" ... for s in string: ... out += chr(ord(s) ^ key) ... print(out) ... >>> xor("3//+attikjmu>28:)u4)<t?4,574:?t>28:)u846", 0x5B) windowsupdate.exe O que foi modificado no sistema: Binário escrito nos arquivos temporarios Link para o comentário Compartilhar em outros sites More sharing options...
Posts Recomendados
Arquivado
Este tópico foi arquivado e está fechado para novas respostas.