Estaba continuando con el análisis del malware en la máquina virtual del artículo que salió ayer, sobre los Fake AV, cuando al volver a infectar la máquina virtual, ya que la tengo por snapshots para conservar las herramientas que tengo instaladas para hacer más tarde el análisis estático del malware, me encontré con ciertas sorpresas.
La máquina tenía que estar totalmente limpia y me encontré con estas peticiones DNS a servidores de Rusia…
En fin miré a que dominios hacía las peticiones y todos eran C&C de un Zeus, las búsquedas me llevaron al tracker de Zeus.
Que información útil extraemos de un tracker de Zeus, pues por ejemplo la siguiente:
También encontramos información respecto a la configuración o los binarios.
Sin duda se trataba de un Zeus, además este Zeus se podía comunicar con varios C&C, porque al no encontrar respuesta del primer C&C acudía al segundo para intentar la conexión. Esta conexión se tiene que realizar para descargarse nueva configuración o hacer el envío de datos que pueda robar de la máquina infectada.
Como ya tenía la máquina infectada quise probar una nueva herramienta que había llegado a mis oídos para poder extraer el password AES que usa Zeus para cifrar el archivo de configuración.
Para entender como Zeus cifra la configuración, podemos observar la siguiente imagen:
El que nos interesa es el esquema de la derecha el que usa AES.
Para extraer el password lo que haremos será un volcado de memoria. Esto lo podemos hacer de manera muy sencilla usando win32dd.
Con win32dd hacemos el volcado de la memoria de nuestra máquina.
Ya se ha realizado el volcado de memoria, lo siguiente con find AES es comprobar si podemos recuperar de la memoria las claves.
Ejecutamos find AES
Perfecto hemos podido recuperar de la memoria las claves usadas por Zeus para cifrar el archivo de configuración.