Analizar malware en Windows 7 (I de III)

Windows Técnico

Sindicación

Proximos HOLs

Loading...

Este post es el primero de una serie de tres, en los que veremos como analizar y entender el funcionamiento del malware en entornos Windows. Utilizaremos diferentes herramientas para poder, no solo descubrir la infección, sino dar con la IP de la persona que está realizando el ataque e intentar tirar abajo toda su red de zombies.

Una de las grandes amenazas a las que todos estamos expuestos, son los virus y muy especialmente los troyanos o RAT (Remote Administration Tool). Este malware se instala en nuestro sistema operativo realizando todo tipo de actividades con el equipo infectado sin que la víctima se percate de ello.

En este post voy a destripar la estructura del server de un troyano para extraer toda la información posible del mismo. El RAT escogido para hacer la demostración, ha sido DarkComet. Es un RAT muy completo, gratuito y fácil de configurar que se puede descargar desde la página web de los desarrolladores.

Lo primero que haremos será crear nuestro server del RAT que es la aplicación que tendrá que ejecutar la víctima en su equipo. No explicaré a fondo los pasos de su creación ya que ese no es el fin de este post. Los parámetros importantes que debemos establecer son los siguientes:

- Mutex: es un registro que impide la ejecución de cierta aplicación en caso de que esta ya haya sido ejecutada. Por tanto si ejecutamos dos veces el mismo server en una víctima, solo la primera vez será infectado.

- Server ID: Nombre con el que nos aparecerá el infectado en el RAT. Es muy interesante conocer dicho string a la hora de analizar el malware ya que, en función de su nombre, podremos fácilmente conocer si es un ataque dirigido o masivo.

image

- IP/DNS y puerto: Debemos indicar al RAT cuál es la IP y puerto al que debe lanzar la conexión. En este caso he utilizado una no-ip ya que es lo que suele utilizar este tipo de malware.

image

 

- Por último le indicaremos cual es la ruta en la que debe instalarse y con qué nombre.

image

Después de establecer todos estos parámetros crearemos el binario que deberá ejecutar la víctima.

En efecto, tras ejecutar el server, nos ha creado un archivo llamado rundll32 en la carpeta prueba dentro de Mis Documentos.

image

Así mismo podemos observar como se ha creado una clave de registro con nombre WindowsUpdate para que se lance la aplicación maliciosa cada vez que se inicia el equipo.

 

image

Bueno ahora manos a la obra. Antes que nada debemos ver que puertos tenemos a la escucha para detectar si hay algo fuera de lo normal. Para ello es más que recomendable cerrar todas las aplicaciones que pudiesen tener alguna conexión establecida (navegadores, Messenger, putty, etcétera) para evitar falsos positivos. Podemos utilizar para ello el Network Monitor como hemos explicado anteriormente en el blog. Sin embargo, en este caso utilizaremos con privilegios el comando “netstat -nabo”

image

En este caso podemos ver que existe una conexión establecida con una IP que en principio desconocemos y asociada, el proceso iexplore.exe. Sin embargo esta última aplicación, no está abierta o al menos no visible.

Hasta aquí la primera entrada de la serie en la que hemos podido ver que existen conexiones establecidas contra la IP y puerto que hemos establecido en el server del RAT.

Si quieres aprender mucho más sobre los secretos de lo sistemas Microsoft Windows, deberías leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" y. por último, te recordamos que si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.

**************************************************************

Analizar malware en Windows (I de III)

Analizar malware en Windows (II de III)

Analizar malware en Windows (III de III)

**************************************************************

image


Enviado dic 19 2011, 04:32 por Alberto García

Comentarios

Windows Técnico escrito Destripando tu malware de Windows (II de III)
en 12-26-2011 14:37

En el anterior post vimos cómo habíamos descubierto que existía malware instalado

Windows Técnico escrito Analizar malware en Windows 7 (III de III)
en 04-13-2012 9:40

En este último post de la serie “Destripa tu malware en Windows”, veremos cómo

Añadir un comentario

(requerido)  
(opcional)
(requerido)  
Recordarme
If you can't read this number refresh your screen
Enter the numbers above: