Destripando tu malware de Windows (I de III)

Este post es el primero de una serie de tres, en los que veremos como analizar y entender el funcionamiento del malware en entornos Windows. Utilizaremos diferentes herramientas para poder, no solo descubrir la infección, sino dar con la IP de la persona que está realizando el ataque e intentar tirar abajo toda su red de zombies.

Una de las grandes amenazas a las que todos estamos expuestos, son los virus y muy especialmente los troyanos o RAT (Remote Administration Tool). Este malware se instala en nuestro sistema operativo realizando todo tipo de actividades con el equipo infectado sin que la víctima se percate de ello.

En este post voy a destripar la estructura del server de un troyano para extraer toda la información posible del mismo. El RAT escogido para hacer la demostración, ha sido DarkComet. Es un RAT muy completo, gratuito y fácil de configurar que se puede descargar desde la página web de los desarrolladores.

Lo primero que haremos será crear nuestro server del RAT que es la aplicación que tendrá que ejecutar la víctima en su equipo. No explicaré a fondo los pasos de su creación ya que ese no es el fin de este post. Los parámetros importantes que debemos establecer son los siguientes:

– Mutex: es un registro que impide la ejecución de cierta aplicación en caso de que esta ya haya sido ejecutada. Por tanto si ejecutamos dos veces el mismo server en una víctima, solo la primera vez será infectado.

– Server ID: Nombre con el que nos aparecerá el infectado en el RAT. Es muy interesante conocer dicho string a la hora de analizar el malware ya que, en función de su nombre, podremos fácilmente conocer si es un ataque dirigido o masivo.

– IP/DNS y puerto: Debemos indicar al RAT cuál es la IP y puerto al que debe lanzar la conexión. En este caso he utilizado una no-ip ya que es lo que suele utilizar este tipo de malware.

– Por último le indicaremos cual es la ruta en la que debe instalarse y con qué nombre.

Después de establecer todos estos parámetros crearemos el binario que deberá ejecutar la víctima.

En efecto, tras ejecutar el server, nos ha creado un archivo llamado rundll32 en la carpeta prueba dentro de Mis Documentos.

Así mismo podemos observar como se ha creado una clave de registro con nombre WindowsUpdate para que se lance la aplicación maliciosa cada vez que se inicia el equipo.

Bueno ahora manos a la obra. Antes que nada debemos ver que puertos tenemos a la escucha para detectar si hay algo fuera de lo normal. Para ello es más que recomendable cerrar todas las aplicaciones que pudiesen tener alguna conexión establecida (navegadores, Messenger, putty, etcétera) para evitar falsos positivos. Podemos utilizar para ello el Network Monitor como hemos explicado anteriormente en el blog. Sin embargo, en este caso utilizaremos con privilegios el comando “netstat -nabo”

En este caso podemos ver que existe una conexión establecida con una IP que en principio desconocemos y asociada, el proceso iexplore.exe. Sin embargo esta última aplicación, no está abierta o al menos no visible.

Hasta aquí la primera entrada de la serie en la que hemos podido ver que existen conexiones establecidas contra la IP y puerto que hemos establecido en el server del RAT.

Por último, recordarte que puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés. Así mismo si este artículo ha sido de tu interés, suscríbete a nuestro Canal RSS para no perderte el resto de los capítulos de la serie.

 Fuente