4 oct 2011

Analizando Morto

Hola

Muy buenas a todos/as!

Hace ya días que se tuvo la noticia del gusano Morto, este gusano tiene la característica poder atacar a aquellos sistemas que tienen una contraseña demasiado débil.

Podemos ver el resumen de lo que hace el virus en la web de Microsoft.

Conseguí una muestra del malware para ver como trabajaba y pude aprender un poco mas de las cosas que hacía, para hacer el análisis usé VMWare, Wireshark, virus total, ping, install rite.

Ejecutamos el malware en la máquina virtual y con Wireshark podemos ver las conexiones que realiza el gusano en cuestión.

Aquí podemos ver las diferentes conexiones que hace Morto. Ahora también gracias a Install rite podremos ver los cambios que ha echo a nivel de sistema operativo.

Podemos ver los diferentes cambios que ha echo Morto en el sistema operativo.

Aquí vemos los cambios respecto al registro.

Aquí vemos mas cambios del registro

Respecto a las modificaciones a nivel de sistema de archivo y registro no hace falta explicar nada mas.

En cuanto a las conexiones podemos ver que Morto intenta conectarse con el dominio

qsfl.net, si intentamos acceder no responde. Si miramos el whois del dominio, podemos ver que el dominio es de origen chino.

Datos del Whois

Ya que el dominio no resuelve, miramos directamente la primera IP que aparece en Wireshark a la que intenta acceder.

La primera IP tiene apartado web accesible:

Podemos ver dos archivos para bajar, uno de 10MB y otro de 100MB.

Si miramos el Whois del sitio podemos ver que es de origen Panameño.

Whois 190.211.253.2

Si miramos los servicios que hay en esa dirección podemos ver que tiene asociados varios servicios

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 01:24 CESTNmap scan report for dns01.privatelayer.com (190.211.253.2)Host is up (0.25s latency).Not shown: 990 filtered portsPORT      STATE SERVICE53/tcp    open  domain80/tcp    open  http139/tcp   open  netbios-ssn3389/tcp  open  ms-term-serv49152/tcp open  unknown49153/tcp open  unknown49154/tcp open  unknown49156/tcp open  unknown49157/tcp open  unknown49158/tcp open  unknown

Podemos ver que hay un servicio de terminal server escuchando en esa dirección IP

El archivo descargado de la anterior web no sabemos lo que, es por lo tanto lo hemos pasado por un analizador de malware online, en esto caso Virus Total.

Report Virus Total

No hemos sacado nada en claro de lo que es ese archivo.

La segunda IP que encontrábamos era 198.153.194.1, esta IP pertenece a Symantec es una DNS pública para que la gente la use.

La siguiente Ip que teníamos registradas que había aparecido en el análisis de la red era 203.128.7.10, si miramos de donde viene vemos que pertenece a un service provider de Pakistan

Whois 203.128.7.10

La siguiente Ip que nos aparecía 203.172.246.41, esta ip si miramos el whois pertenece al Ministerio de Educación, podemos ver los datos aquí.

Whois 203.172.246.41

Los servicios habilitados en esta IP són:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 09:25 CESTNmap scan report for 203.172.246.41Host is up (0.48s latency).Not shown: 997 filtered portsPORT    STATE  SERVICE22/tcp  open   ssh53/tcp  open   domain631/tcp closed pip

La siguiente Ip es 203.236.43.5, si volvemos ha seguir el rol de antes, miramos el whois de la IP, en este caso vemos que pertenece a Korea.

Whois 203.236.43.5

La IP no tiene puertos abiertos

La siguiente IP es 205.171.2.65 esta IP pertenece a la empresa Qwest de origen estadounidense.

Whois 205.171.2.65

No tiene servicios asociados tampoco.

La siguiente Ip a analizar es 205.171.3.65

Whois 205.171.3.65

Esta IP también pertenece a la empresa americana Qwest.

Tiene los siguientes servicios

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 16:29 CESTNmap scan report for resolver1.qwest.net (205.171.3.65)Host is up (0.12s latency).Not shown: 997 closed portsPORT    STATE    SERVICE53/tcp  open     domain135/tcp filtered msrpc445/tcp filtered microsoft-ds

Ya tenemos los servicios asociados.

Ahora seguiremos mirando la siguiente dirección IP se trata de 205.210.42.205 se trata de un SecureDNS y nos resuelve en DNSresolvers. La información del Whois lo podemos ver en:

Whois 205.210.42.205

Los servicios asociados són:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:09 CESTNmap scan report for cache1.dnsresolvers.com (205.210.42.205)Host is up (0.20s latency).Not shown: 995 filtered portsPORT    STATE  SERVICE22/tcp  open   ssh25/tcp  open   smtp53/tcp  open   domain80/tcp  closed http443/tcp closed https

Seguimos con la siguiente dirección IP.

La siguiente dirección IP es 206.141.192.60, esta IP pertenece a Ameritech Electronic Commerce.

Whois 206.141.192.60

Los servicios asociados son:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:11 CESTNmap scan report for dns1.chcgil.sbcglobal.net (206.141.192.60)Host is up (0.18s latency).Not shown: 999 filtered portsPORT   STATE SERVICE53/tcp open  domain

Ahora miramos la siguiente dirección IP, se trata de 208.67.220.220. Se trata de otra IP de resolución de DNS.

Whois 208.67.220.220

Los servicio que hay corriendo :

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:16 CESTNmap scan report for resolver2.opendns.com (208.67.220.220)Host is up (0.11s latency).Not shown: 999 filtered portsPORT   STATE SERVICE53/tcp open  domain

Vamos a mirar el siguiente dominio, la IP es 210.141.112.163. Si miramos la procedencia, podemos ver que es Japonés, además parece ser que es un servicio de free address que ofrecen.

Whois 210.141.112.163

Los servicios asociados son:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:26 CESTNmap scan report for bind1.dion.ne.jp (210.141.112.163)Host is up (0.33s latency).Not shown: 999 filtered portsPORT   STATE SERVICE53/tcp open  domain

La siguiente IP también pertenece al servicio Free Address japonés.

Whois 210.196.3.183

Los servicios asociados son:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:33 CESTNmap scan report for bind.dion.ne.jp (210.196.3.183)Host is up (0.37s latency).Not shown: 999 filtered portsPORT   STATE SERVICE53/tcp open  domain

La siguiente IP con la que vamos a tratar es de Georgia, y echando un vistazo tiene mas servicios asociados.

Whois 213.131.34.2

Si miramos lo servicios nos encontramos:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:35 CESTNmap scan report for acc.wanex.net (213.131.34.2)Host is up (0.16s latency).Not shown: 993 filtered portsPORT     STATE  SERVICE53/tcp   open   domain2323/tcp closed 3d-nfsd4662/tcp closed edonkey6346/tcp closed gnutella6699/tcp closed napster6881/tcp closed bittorrent-tracker7778/tcp closed interwise

Parece ser que esta máquina hace mas funciones que las máquinas que nos hemos encontrado antes.

Miramos la siguiente dirección IP, se trata de 4.2.2.1. Esta IP pertenece a

Si miramos en robtex esta IP aparece que está en una blacklist. La IP pertenece a un ISP.

Whois 4.2.2.1

También tiene varios servicios asociados a esa IP

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 17:49 CESTNmap scan report for vnsc-pri.sys.gtei.net (4.2.2.1)Host is up (0.053s latency).Not shown: 984 closed portsPORT      STATE    SERVICE22/tcp    open     ssh53/tcp    open     domain111/tcp   open     rpcbind135/tcp   filtered msrpc179/tcp   open     bgp445/tcp   filtered microsoft-ds1002/tcp  open     windows-icfw1121/tcp  filtered rmpp2001/tcp  open     dc2042/tcp  filtered isis3000/tcp  filtered ppp3006/tcp  filtered deslogind5030/tcp  filtered surfpass5730/tcp  filtered unieng7100/tcp  open     font-service32771/tcp open     sometimes-rpc5

Y miramos la última IP que obteníamos con Wireshark

La IP en cuestión es 64.68.200.200, los datos del Whois son:

Whois 64.68.200.200

Y os servicios asociados son:

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 18:00 CESTNmap scan report for cache2.dnsresolvers.com (64.68.200.200)Host is up (0.15s latency).Not shown: 970 closed ports, 28 filtered portsPORT   STATE SERVICE22/tcp open  ssh53/tcp open  domain

Es una IP que vuelve a pertenecer a DNSresolvers de Canada.

Seguimos con la lista de Ip’s a las que Morto va intentando conectarse.

En este caso se trata de una IP de Hong Kong

Whois 111.68.13.250

Si miramos los servicios levantados

Nmap done: 1 IP address (1 host up) scanned in 52.37 secondsdarkforest:Downloads seifreed$ nmap -P0 111.68.13.250Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 18:12 CESTNmap scan report for 111.68.13.250Host is up (0.40s latency).Not shown: 988 closed portsPORT     STATE    SERVICE21/tcp   open     ftp135/tcp  filtered msrpc443/tcp  filtered https445/tcp  filtered microsoft-ds1026/tcp open     LSA-or-nterm1031/tcp filtered iad21123/tcp filtered murray1723/tcp open     pptp3389/tcp open     ms-term-serv8080/tcp filtered http-proxy8081/tcp filtered blackice-icecap8082/tcp filtered blackice-alerts

La siguiente IP pertenece a Taiwan

Whois 168.95.1.1

Los servicios levantados son

Starting Nmap 5.51 ( http://nmap.org ) at 2011-10-02 18:18 CESTNmap scan report for dns.hinet.net (168.95.1.1)Host is up (0.40s latency).Not shown: 999 filtered portsPORT   STATE SERVICE53/tcp open  domain

Ya tenemos todas las Ip analizadas y los servicios que corren en cada una de ellas.

Parece ser que Morto intenta contactar con diferentes localizaciones , además de usar DNS gratuítos para hacer la resolución de nombres que necesita. Algunos de los servidores con los que contacta Morto, tienen el servicio RDP activado, además de tener mas servicios como el Bitorrent o el Emule. En la siguiente entrega se intentara buscar mas información relacionada con estas IP, además de intentar averiguar que es ese archivo que nos encontramos en la primera IP que estábamos analizando.

Espero que os haya gustado

No hay comentarios:

Publicar un comentario