2 oct 2012

Infección de malware por correo electrónico por la entrega de un paquete

El título es bastante extenso pero básicamente se basa en eso, he recibido un correo electrónico el cual me comentan que me van a entregar un paquete, el correo tiene el siguiente aspecto:

Vaya, parece que me tienen que entregar un paquete.

Además viene con un fichero adjunto, al extraerlo, nos encontramos con un .exe. Si es que… los malos siempre haciendo estas cosas :P

Si le pegamos un vistazo al exe, obtenemos la siguiente información:

seifreed@darkmac:~/Desktop:python /Users/seifreed/tools/malware/peframe/peframe.py –auto FedEx_Label_ID_Order_83-27-4534US.exeFile Name: FedEx_Label_ID_Order_83-27-4534US.exeFile Size: 372736 byteCompile Time: 2012-06-13 21:41:18DLL: FalseSections: 4MD5 hash: 725ed35f2581eb3b07cb3d2846c46dd6SHA-1 hash: f44b5b3bc5705c508db1af48ace2bf19528a4cf4NoneAnti Debug: YesFile and URL:FILE: user32.dllFILE: KERNEL32.dllFILE: USER32.dllFILE: WINMM.dllURL: NoneSuspicious API Functions:Func. Name: GetModuleHandleAFunc. Name: VirtualAllocFunc. Name: GetProcAddressFunc. Name: GetStartupInfoAFunc. Name: GetCommandLineAFunc. Name: TerminateProcessFunc. Name: UnhandledExceptionFilterFunc. Name: GetModuleFileNameAFunc. Name: WriteFileFunc. Name: LoadLibraryAFunc. Name: LoadLibraryASuspicious API Anti-Debug:Anti Debug: TerminateProcessAnti Debug: UnhandledExceptionFilterSuspicious Sections:Sect. Name: .dataMD5 hash: 65a101d4156dd08f4e97f722d7439573SHA-1 hash: 489c6863ae751bb6f02769ae3841497b6be7d74e

Parece que el archivo se ha creado hace relativamente poco, además contiene funciones anti-debug.

Ejecuté el binario en máquina virtual con vmware fusion y empecé a capturar las conexiones con el cutre script :P

Se podía ver como el malware intenta conectarse a otro servidor:

Como no es tan cómodo como verlo en Wireshark, lo abriremos con él, después de revisar, vamos a ver a donde se conecta:

También se pueden extraer las URL guardadas del pcap con el parser de pcap:
seifreed@darkmac:~/Desktop:sudo python /Users/seifreed/tools/utils/Parse-pcap/parse_pcap.py malware.pcapPassword:Wed, Sep 19, 11:44:46 PMhttp://java.sun.com/update/1.5.0/map-1.5.0.xmlWed, Sep 19, 11:44:46 PMhttp://javadl-esd.sun.com/update/1.5.0/map-1.5.0.xmlWed, Sep 19, 11:44:47 PMhttp://java.sun.com/update/1.5.0/map-1.5.0.xmlWed, Sep 19, 11:44:47 PMhttp://javadl-esd.sun.com/update/1.5.0/map-1.5.0.xmlWed, Sep 19, 11:44:47 PMhttp://javadl-esd.sun.com/update/1.6.0/au-descriptor-1.6.0_35-b10.xmlWed, Sep 19, 11:45:30 PMhttp://116.255.235.9/api/urls/?ts=94d1a74c&affid=14433

En este caso no se ha podido seguir con el análisis de la muestra ya que el panel de control donde se conecta la muestra está caído.

Como tengo la IP donde se conecta, quise comprobar si esa IP estaba blacklisted:

La IP se encuentra en 5 listas blacklisted.He subido el binario a Virus Total, así tenemos mas info sobre él:

Vaya, parece que también tiene un packer… interesante binario para realizar el análisis estático de la muestra mas tarde.

Por último el ratio de detección por parte de los antivirus han sido:

Es un ratio de detección muy alto.Como véis de una manera muy rápida se ha podido hacer un análisis inicial de la muestra ;)

1 comentario:

  1. Podrias explicar paso a paso el analisis porque quienes no sabemos no entendemos nada de lo que hiciste.

    ResponderEliminar