Se procede a analizar los archivos con nombre: BLA176035.doc,
detectados y analizados por nuestro sandbox el día 29/06/2015.
Estos archivos tienen los siguientes hashes:
MD5 Hash Identifier:
6BB2B8DC2129AD62BA459797C8544FF3
MD5 Hash Identifier:
45A985C06FB2F1F10BF18AE4DE20F2DC
MD5 Hash Identifier: F5B7CFEBE23B6DBD9AE17AE42CB0541D
Son detectados como archivos de textos, más concretamente:
File Type: Composite Document File V2 Document
Os: Windows, Version 6.1
Name of Creating Application: Microsoft
Office Word
Create Time/Date: Mon Jun 29
, y en todos los casos el tamaño del archivo es el mismo: 67072 bytes.
NOTA:
Se busca información sobre estos hashes en otras sandboxs. De las
referencias encontradas se suministra la información reportada por la
archiconocida “VirusTotal”:
---
Entre la información aportada por nuestro sandbox y obtenida tras la
ejecución de los archivos de MSWord, nos quedamos con las llamadas realizadas
hacia Internet.
Estas llamadas son las siguientes:
DEV.SEASONSBOUNTY.COM/543/786.EXE
TRYNOTTOBREAKIT.CO.UK/543/786.EXE
FLATFOURANDSIX.CO.UK/543/786.EXE
Se realiza un intento de descarga de los ejecutables solicitados
(786.exe), comprobando que todas las URLs se encuentran activas.
Todas las solicitudes de descargas
Descarga desde el dominio: dev.seasonsbounty.com
Descarga desde el dominio: trynottobreakit.co.uk
Descarga desde el dominio: flatfourandsix.co.uk
Se aprecia que los dominios solicitados manejan las siguientes
direcciones IP:
- 88.208.252.210
- 88.208.252.211
- 88.208.252.212
Se comprueba que el rango correspondiente a las IPs: 88.208.252.0/24, se
ubican en UK y son administradas por la misma entidad
Información sobre las direcciones IPs
Se busca información sobre el dominio: DEV.SEASONSBOUNTY.COM,
comprobando que dicho dominio se registró en USA
Información del dominio: DEV.SEASONSBOUNTY.COM
Se busca información para el dominio: TRYNOTTOBREAKIT.CO.UK,
comprobando que dicho dominio se registró en UK
Información sobre el dominio: TRYNOTTOBREAKIT.CO.UK
Se busca información para el dominio: FLATFOURANDSIX.CO.UK,
comprobando que dicho dominio se registró en UK
Información sobre el dominio: FLATFOURANDSIX.CO.UK
NOTA:
Solicitada de nuevo la descarga de los distintos archivos 786.exe, se ha
comprobado a día 29/06/2015, a las 14:04, que los ejecutables vinculados con los
dominios: DEV.SEASONSBOUNTY.COM y TRYNOTTOBREAKIT.CO.UK, han sido eliminados.
Se determina que todos los archivos descargados son el mismo, por
analizaremos un solo archivo. Estos archivos tiene el siguiente hash MD5: 65520ECD513C8B8B75F601AA2E69AEEF
MD5 de los archivos descargados
Se procede a lanzar la ejecución del archivo en un entorno controlado,
es decir, nuestra sandbox. Obteniendo como resultados significativos los
siguientes datos.
Actividad en el registro
Se lee el contenido de las siguientes claves del registro.
Actividad de red
Se investiga la dirección IP: 78.47.139.58, determinándose que dicha IP
se encuentra ubicada en Alemania. Repasando la información obtenida todo apunta
a que nos encontramos con un hosting de dominios.
Información sobre la dirección IP: 78.47.139.58
Se analiza la conexión establecida, determinándose que dicha conexión NO
utiliza el protocolo HTTP, que envía la información de alguna manera cifrada y
que el puerto destino es el 843/TCP.
Comunicación dirigida hacía la dirección IP analizada.
Información enviada
De hecho se ha procedido a establecer comunicación a través del cliente
Telnet, pudiendo conectar con el servidor.
Conexión establecida contra la dirección IP: 78.47.139.58
Conclusión
Como conclusión podemos decir que esté último archivo recoge información
que envía a un destinatario de manera cifrada, a través de un canal no cifrado,
y mediante un puerto TCP no habitual.
De interés también es comprobar que la comunicación se basa en protocolo
de capa 4 (TCP).
No hay comentarios:
Publicar un comentario