Me debía esta entrada desde hace mucho tiempo.
En un blog
sobre malware aparecen dos peticiones realizadas por un lanzador basado en
un archivo Excel.
rmansys.ru/utils/inet_id_notify.php
s01.yapfiles.ru/files/1323961/435323.jpg
s01.yapfiles.ru/files/1323961/435323.jpg
Siguiendo el primer enlace obtenemos:
Recurso no encontrado en la
primera URL
Siguiendo el segundo enlace, obtenemos:
Recurso encontrado en la
segunda URL
El recurso ésta vivo, pero no se puede descargar debido a que el
navegador reinterpreta la extensión e intenta mostrar el contenido.
Por este motivo se utiliza la herramienta “wget” para obtener el
recurso .jpg.
Petición “wget” realizada
para obtener el recurso .jpg.
Tras la descarga se comprueba el tipo de archivo (magic number) mediante la visualización de los primeros bytes
Revisión del contenido
inicial del archivo.
Nos encontramos ante un archivo PE para sistemas Windows.
Se procede a comprobar si dicho archivo es detectado por AVs, para ello
se utiliza la web de VirusTotal.
AVs que detectan el archivo
según VirusTotal.
La muestra encontrada es bastante conocida.
Se pasa a analizar el contenido de las distintas secciones del archivo
PE, centrándose principalmente en la sección “rsrc”.
Comprobación del tamaño de la
sección “.rsrc” del archivo PE.
La sección “.rsrc” de un fichero PE es habitualmente utilizada para
embeber archivos que nada tienen que ver con el propio programa, y que a su
vez, suelen ser ejecutables
En este caso la sección “.rsrc” ocupa: 2,29 MB ((2407424 (bytes) /
1024) /1024) de 2,34 MB, que es el tamaño total del archivo.
Se procede a comprobar de manera manual la existencia de más archivos
ejecutables PE en esta sección. Para ello se utilizará como patrón la cadena:
“MZ”, que se corresponde con el “magic number” de los ficheros PE.
Pero para buscar exclusivamente en la sección en la que nos estamos
centrando, se debe comprobar la
dirección de inicio y fin de la sección.
En nuestro caso, la sección va desde la dirección: F0000, hasta la
dirección: 25B000
Patrón de búsqueda encontrado
en la sección “.rsrc”
Se encuentran gran cantidad de coincidencias del
patrón de búsqueda como se muestra en la imagen anterior.
Pero quizás lo que más llama la atención es la
información que rodea al patrón de búsqueda, ya que parece que nos encontramos
con información cifrada o empaquetada.
NOTA:
Podríamos estar ante un archivo embebido empaquetado o cifrado, para
obstaculizar análisis, que fuera desempaquetado o descifrado por el programa
camuflado como archivo “.jpg”
Se procede a seguir revisando el archivo “jpg” de
manera estática, con la intención de confirmar nuestra hipótesis.
Se encuentran los siguientes datos:
Información sobre el fichero
PE analizado
Es decir, nos hemos encontrado un archivo comprimido y autoextraíble,
que anteriormente se llamaba “WExtract.exe”.
Todo lo revisado anteriormente
cobrar sentido, aún más cuando le cambiamos la extensión por la de: .exe, y
tenemos un fabuloso icono asociado a la extensión para el archivo.
Archivo a análisis con
extensión .exe
No hay comentarios:
Publicar un comentario