21 oct 2013

Volatility Framework: Old ZeuS Malware – MalwareCookBook (Parte II)

En el artículo anterior de Volatility Framework habíamos descubierto en EXE en el Userinit, el cual nos parecía sospechoso. Hay que recordar que encontramos un proceso svchost.exe sospechoso, y que también debemos analizar. Para ello utlizaremos el plugin de Volatility pstree, el cual nos permite saber rápidamente que procesos han creados otros, es decir, los PPID. Ejecutamos el plugin pstree y obtenemos la siguiente información:

En esta imagen se puede observar que el proceso svchost.exe sospechoso es creado por el PID 676, correspondiente a services.exe, y éste a su vez por winlogon.exe. En este punto sabemos, con lo visto en el anterior artículo y lo que hemos visto aquí, que el proceso winlogon.exe fue quién lanzó sdra64.exe, que el proceso 856 (svchost.exe) está conectado a Internet y sería interesante ver si el Firewall en la máquina se encuentra activado o no. Pero lo que vamos a hacer es bajar un plugin de volatility denominado malware.py, con el que podemos ver los hooks que tiene un proceso. En la siguiente imagen se puede visualizar como añadir malware.py a los plugins de volatility.

Al ejecutar la siguiente línea vol apihooks -f <file RAM dump> -p 856, obtenemos que el proceso dispone de dos hooks. A continuación podríamos utilizar el plugin malfind del propio Volatility para poder extraer información del proceso y verificar que no es una cabecera "normal". Vamos a ver que hay una inyección en dicho proceso. La sintaxis es la siguiente vol malfind -f <file RAM dump> -p 856 -D <dir dump>.

Analizando los volcados que nos devuelven podemos encontrar una imagen de una aplicación que no puede correr en modo DOS.

Por último, vamos a configurar mediante Yara y sus reglas que tipo de malware es el que hemos localizado en la captura de RAM. Tenemos que descargarnos las reglas de Yara. La sintaxis de la ejecución es sencilla vol malfind -f <file RAM dump> -p 856 -Y <dir Yara> -D <dir dump>. Gracias a Yara podemos detectar que el malware alojado es un Zbot. Os adjuntamos imagen del fichero de rules de Yara.

Hasta aquí el ejemplo práctico de Volatility Framework y un MalwareCookBook, seguiremos trabajando con Volatility para traeros nuevas pruebas de concepto, y que podáis montaros vuestro laboratorio.

2 comentarios:

  1. Excelente traducción del inglés del libro!!Tan bueno como la traducción de "Metasploit: A penetration tester's guide". Gracias por tus aportes

    ResponderEliminar
  2. [...] lunes publicamos la segunda parte de la cadena Volatility Framework: Old ZeuS Malware – MalwareCookBook (Parte II), en la que pablo nos enseñaba a analizar mediante volatility el comportamiento de un malware [...]

    ResponderEliminar