miércoles, 1 de julio de 2020

Que bonitos siguen siendo.


No hace mucho se me paso un documento EML que contenía un documento “infectado”.

Parte inicial del archivo a investigar

Parte final del archivo a investigar

Como se puede ver, el nombre del archivo es: PO 127516.xlsm y el contenido del archivo viene en base 64.

NOTA: La extensión: xlsm, es la extensión utilizada por Excel para almacenar archivos con macros.

Para poder analizarlo, se tuvo que extraer los caracteres en base64 y decodificarlos, para lo cual se utilizo una herramienta de cosecha propia. Si quieres utilizarla puedes obtenerla aquí.

Tras obtener el archivo, se traslado a un entorno controlado para su análisis. En dicho entorno no existe salida a Internet de manera efectiva pero es posible analizar las comunicaciones que se han producido mediante Wireshark al abrir el documento analizado.

El Wireshark mostro peticiones DNS, hacía el dominio: cd.crazendemand.com

 Peticiones DNS

Tras la apertura del documento se procedió a revisar la macro del documento

Parte de la macro

Se procedió a buscar el punto de ejecución, porque el malware que utiliza macros siempre ejecuta algo

Se encontro :

Punto de ejecución dentro del código

En la ejecución paso a paso del código nos fijamos en el campo: TXTFile, en donde se encontró:


Como se puede apreciar, tenemos un archivo ubicado en: C:/programdata, que utiliza ALTERNATE DATA STREAM (asc.txt:script1.vbs).

Para ver el contenido del archivo que realmente contiene el premio gordo tenemos que utilizar el nombre completo, es decir, ejecutar , por ejemplo, lo siguiente: notepad asc.txt:script1.vbs

Al hacerlo se pudó ver:

Primeras líneas del archivo: asc.txt:script1.vbs

Analizando un poco por encima se vio:

1.- Que tiene que tener algún carácter en base 64
2.- Que realiza una petición web de tipo GET

Por lo tanto, se busco una cadena en formato Base 64.

Tuvimos suerte, por qué en las dos primeras líneas se tienen dos asignaciones de cadenas en base64 a variables.

La segunda cadena no da:

http://cd.crazendemand.com/vendor/phpunit/php-timer/src/bn.exe

Decodificación de una de las cadenas del código

Y os confirmo que se pudo descargar dicho archivo y que VirusTotal informaba que 48 de 69 motores lo clasificaban como malicioso.

MD5 del archivo descargado

Resultado de VirusTotal

 
En cualquier caso…

Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia.
Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)