Destripando tu malware de Windows (II de III)

En el anterior post vimos cómo habíamos descubierto que existía malware instalado en nuestro ordenador. En el artículo siguiente, podremos llegar a entender qué está haciendo dicho malware para llegar a descubrir tanto su funcionamiento, como su origen.

El siguiente paso lógico tras lo visto en el post anterior, será revisar con autoruns las aplicaciones que se ejecutan con el inicio de Windows.

Podemos observar como existe una entrada con nombre WindowsUpdate creada por la ejecución del ejecutable rundll32.exe en la ruta “c:\users\default.pc\documents\prueba\”.

Será a dicho ejecutable “rundll32.exe” al que intentaremos sacar toda la información posible.

Para ello utilizaremos la herramienta strings de Sysinternals y un editor hexadecimal.

Con el parámetro “-n” estamos indicando que no nos muestre cadenas de menos de 5 caracteres.

Entre las primeras características que podemos extraer del ejecutable, se encuentra que muy probablemente el lenguaje de programación usado por el RAT es Delphi:

mismo también podemos observar el nombre del proceso en el que se va a inyectar una vez ejecutado:

Otra de las cosas que podemos observar es la ruta de la clave de registro en la que va a insertar una entrada para que se inicie con el sistema:

Observamos cómo puede realizar ataques de “HTTP flood”:

Una vez que hemos sacado información utilizando strings, usaremos Wireshark para descubrir el servicio “no-ip” usado por el usuario malintencionado. Usualmente se utilizan servicios como “no-ip” o dyn-dns en los malwares ya que hoy día la mayoría de las IPs son dinámicas.

He hecho un filtrado DNS para ver la petición de tipo A y obtener de este modo tanto el domino como la IP de atacante.

En este caso vemos que el atacante usa un “no-ip”. En caso de que queramos que el servicio “no-ip” dé de baja ese dominio, podemos escribirles enviando una reclamación, con lo que al cabo de un unos días el usuario malintencionado perderá a todos los infectados que tenga ya que el servidor DNS no resolverá a su dirección IP.

En este punto ya podemos concluir que conocemos tanto la IP y dominio del “hacker” como entender un poco las funciones y posibilidades del malware que este había instalado en nuestro equipo.

Por último, recordarte que puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés. Así mismo si este artículo ha sido de tu interés, suscríbete a nuestro Canal RSS para no perderte el resto de los capítulos de la serie.

 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies