31 jul 2012

Citadel VS Cuckoo

 

Estos días he publicado como te podías configurar tu Sandbox para el análisis de malware y  como el malware subido era analizado por la Sandbox, donde obteníamos resultados como el tráfico de red, donde se conectaba el binario, las peticiones DNS, además información sobre el malware en si.

Pero, los criminales no son precisamente tontos, así que, en las muestras “nuevas” y que van enfocadas a poder tener la protección máxima frente a un analista de malware.

Espero que no os hayáis perdido el POST de dos compañeros de trabajo que son unos cracks, estos compañeros son Jozsef Gegeny y Mikel Gastesi. Estos dos figuras publicaron las novedades que traía la nueva versión de Citadel. Podéis consultar el post aquí:

Cambios en Citadel: AntiVM y cifrado

En el artículo explican las nuevas cosas que trae Citadel, como mejoras hay, cito de la traducción que colgaron en el blog de S21Sec,

Añadida protección anti-emulacion, que protege tu botnet ante la ingeniería inversa y de su inserción en trackers. Cuando se inicia, se vigila que no se esté ejecutando en una máquina virtual o en una sandbox como CWSandbox, se comporta diferente y tu botnet pasa inadvertida. Los detalles no se publican. Los detalles se mantienen privados.

El troyano detecta en la memoria los siguientes procesos,

  • *vmware*
  • *sandbox*
  • *virtualbox*
  • *geswall*
  • *bufferzone*
  • *safespace*

Cuando el troyano detecta algunas de las cosas que busca ocurre algo muy chulo, y es que nos genera datos falsos. (Todo esto está explicado en el post de Mikel y Jozsef)

Cuando he subido Citadel al Sandbox de Cuckoo, he obtenido los siguientes datos:

Cuckoo es capaz de capturar los archivos que se creen, ya sea por que el malware hace una copia de si mismo. O porque se baja algo, porque actúa de Dropper.

El MD5 de los dos Citadel es el mismo.

Lo curioso es en el apartado de red,

Como véis la petición DNS es falsa… así que Citadel ha detectado la máquina virtual de Virtualbox, cuando Cuckoo lo ha analizado.

1 comentario:

  1. [...] Marc Rivero arranca la semana hablando de nuevo sobre Cuckoo con su artículo Citadel VS Cuckoo. [...]

    ResponderEliminar