En el
anterior post vimos cómo habíamos descubierto que existía malware instalado en nuestro ordenador
. En el artículo siguiente, podremos llegar a entender qué está haciendo dicho malware para llegar a descubrir tanto su funcionamiento, como su origen.
El siguiente paso lógico tras lo visto en el post anterior, será revisar con autoruns las aplicaciones que se ejecutan con el inicio de Windows.
Podemos observar como existe una entrada con nombre WindowsUpdate creada por la ejecución del ejecutable rundll32.exe en la ruta “c:usersdefault.pcdocumentsprueba”.
Será a dicho ejecutable “rundll32.exe” al que intentaremos sacar toda la información posible.
Para ello utilizaremos la herramienta strings de Sysinternals y un editor hexadecimal.
Con el parámetro “-n” estamos indicando que no nos muestre cadenas de menos de 5 caracteres.
Entre las primeras características que podemos extraer del ejecutable, se encuentra que muy probablemente el lenguaje de programación usado por el RAT es Delphi:
Así mismo también podemos observar el nombre del proceso en el que se va a inyectar una vez ejecutado:
Otra de las cosas que podemos observar es la ruta de la clave de registro en la que va a insertar una entrada para que se inicie con el sistema:
Observamos cómo puede realizar ataques de “HTTP flood”:
Una vez que hemos sacado información utilizando strings, usaremos Wireshark para descubrir el servicio “no-ip” usado por el usuario malintencionado. Usualmente se utilizan servicios como “no-ip” o dyn-dns en los malwares ya que hoy día la mayoría de las IPs son dinámicas.
He hecho un filtrado DNS para ver la petición de tipo A y obtener de este modo tanto el domino como la IP de atacante.
En este caso vemos que el atacante usa un “no-ip”. En caso de que queramos que el servicio “no-ip” dé de baja ese dominio, podemos escribirles enviando una reclamación, con lo que al cabo de un unos días el usuario malintencionado perderá a todos los infectados que tenga ya que el servidor DNS no resolverá a su dirección IP.
En este punto ya podemos concluir que conocemos tanto la IP y dominio del “hacker” como entender un poco las funciones y posibilidades del malware que este había instalado en nuestro equipo.
Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, deberías leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y. por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.
Bueno amigos lo prometido es deuda, aquí tienen la segunda parte de tres sobre análisis de malware en Windows 7. En esta parte ya profundizamos algo mas en los sistemas Windows y tocamos algo de Delphi, también usamos programas de sniffers como WiresHark y muchos otros.
Espero que les haya gustado y si tienen alguna duda que pregunten
Saludos a todos !!
El siguiente paso lógico tras lo visto en el post anterior, será revisar con autoruns las aplicaciones que se ejecutan con el inicio de Windows.
Podemos observar como existe una entrada con nombre WindowsUpdate creada por la ejecución del ejecutable rundll32.exe en la ruta “c:usersdefault.pcdocumentsprueba”.
Será a dicho ejecutable “rundll32.exe” al que intentaremos sacar toda la información posible.
Para ello utilizaremos la herramienta strings de Sysinternals y un editor hexadecimal.
Con el parámetro “-n” estamos indicando que no nos muestre cadenas de menos de 5 caracteres.
Entre las primeras características que podemos extraer del ejecutable, se encuentra que muy probablemente el lenguaje de programación usado por el RAT es Delphi:
Así mismo también podemos observar el nombre del proceso en el que se va a inyectar una vez ejecutado:
Otra de las cosas que podemos observar es la ruta de la clave de registro en la que va a insertar una entrada para que se inicie con el sistema:
Observamos cómo puede realizar ataques de “HTTP flood”:
Una vez que hemos sacado información utilizando strings, usaremos Wireshark para descubrir el servicio “no-ip” usado por el usuario malintencionado. Usualmente se utilizan servicios como “no-ip” o dyn-dns en los malwares ya que hoy día la mayoría de las IPs son dinámicas.
He hecho un filtrado DNS para ver la petición de tipo A y obtener de este modo tanto el domino como la IP de atacante.
En este caso vemos que el atacante usa un “no-ip”. En caso de que queramos que el servicio “no-ip” dé de baja ese dominio, podemos escribirles enviando una reclamación, con lo que al cabo de un unos días el usuario malintencionado perderá a todos los infectados que tenga ya que el servidor DNS no resolverá a su dirección IP.
En este punto ya podemos concluir que conocemos tanto la IP y dominio del “hacker” como entender un poco las funciones y posibilidades del malware que este había instalado en nuestro equipo.
Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, deberías leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y. por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.
Bueno amigos lo prometido es deuda, aquí tienen la segunda parte de tres sobre análisis de malware en Windows 7. En esta parte ya profundizamos algo mas en los sistemas Windows y tocamos algo de Delphi, también usamos programas de sniffers como WiresHark y muchos otros.
Espero que les haya gustado y si tienen alguna duda que pregunten
Saludos a todos !!