Hace poco me enviaron un archivo para su análisis, el archivo era un script programado en “vbs”…comenzamos mal…su ejecución se lanzaba siempre que se arrancaba la máquina gracias a una clave de registro ubicada en el lugar más típico para ganar persistencia: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
… continuamos mal…y tras revisar el contenido del archivo se pudo apreciar un RAT o lo que comúnmente se ha denominado TROYANO, por lo que terminamos mal.Lo anterior no es lo importante, lo importante o mejor dicho, lo que más me ha gustado de este troyano es la identificación del quipo infectado.
La identificación siempre es enviada al C2C a través de cabecera: User-Agent.
Teniendo en cuenta el código, el contenido de la variable “information”, y por tanto, el contenido del User-Agent, seguirá el siguiente patrón:
<serial number del disco C:>&qiQqi&HKEY_CURRENT_USER\SOFTWARE\C\Note&qiQqi&<nombre del ordenador>&qiQqi&<nombre de usuario>&qiQqi&<nombre del sistema operativo>&qiQqi&0.1&qiQqi&<nombre de antivirus>&qiQqi&VBScript&qiQqi&
En cualquier caso.
Lo que hagas con la información es cosa tuya, no mía... pero ten conciencia
No hay comentarios:
Publicar un comentario