Posting ini dan yang lainnya untuk bulan ini adalah bagian dari seri yang saya gunakan untuk membantu saya mempersiapkan sertifikasi GIAC Reverse Engineer Malware (GREM) saya.
Pertama, saya memuat file yang mencurigakan di CFF Explorer mengambil salinan hash MD5 dan memberikannya ke VirusTotal untuk melihat apakah ada hit. Ada 65 mesin yang mendeteksi file ini sebagai berbahaya.
Melihat laporan VirusTotal, saya pasti akan menyimpulkan bahwa file ini berbahaya.
Dengan pertimbangan di atas, saatnya untuk BENANG dan lihat senar dengan menulis BENANG‘s output ke file Teks.
C:UsersSecurityNikDesktopMalwareday1>floss ghyte.exe > ghyte.txt
Melihat senar tidak ada yang langsung menonjol.
C:UsersSecurityNikDesktopMalwareday1>Type ghyte.txt | more .... ;NNt 8n+|Bj GjUl terras lunt summer momenr Arial dip quip edit static DestroyWindow loret button SetTimer KillTimer SetWindowPos GetWindowRect FillRect LoadCursorA LoadIconA SendMessageA DefWindowProcA RegisterClassExA ...
Kembali ke CFF Explorer untuk melihat API Windows mana dan fungsi terkaitnya yang terlihat di dalam executable, kami melihat bahwa tampaknya hanya ada 24 fungsi yang diimpor. menarik.
Dengan jumlah impor yang begitu kecil dan tidak ada yang benar-benar mencurigakan dari PE Studio, saya pikir file tersebut mungkin dikemas. Namun, sepertinya tidak demikian menurut Detect It Easy (DIE)
Transisi untuk melihat apa yang terjadi ketika ini berjalan di lingkungan langsung dengan memuat Wireshark, ProcessHacker, RegShot, Procmon, ProcDot, FakeDNS, Fiddler, dan INETSim.
Melihat sekilas keluaran Fiddler, kami melihat koneksi sedang dibuat untuk talonstamed.com di pelabuhan 443.
Informasi di atas dikonfirmasi lebih lanjut dari pengambilan paket yang diambil melalui Wireshark dan dianalisis melalui TShark.
C:tmp>tshark -r ghyte.pcapng -n -Y "(dns.qry.name==talonstamed.com) || (tls.handshake.extensions_server_name==talonstamed.com)" 7 7.153950 10.0.0.103 → 10.0.0.113 DNS 75 Standard query 0xef83 A talonstamed.com 8 7.155315 10.0.0.113 → 10.0.0.103 DNS 91 Standard query response 0xef83 A talonstamed.com A 10.0.0.113 12 7.335830 10.0.0.103 → 10.0.0.113 TLSv1.2 230 Client Hello
Seperti yang kita lihat di atas, permintaan DNS dibuat untuk sepatu hak tinggi[.]dengan dan alamat IP dari 10.0.0.113 dikembalikan oleh DNS palsu. Kami juga melihat setelah resolusi DNS selesai, host kemudian membuat koneksi TLSv1.2 ke 10.0.0.113. Pada titik ini komunikasi memulai proses enkripsi dan karena kami tidak mendekripsi lalu lintas, kami bingung dengan apa yang diminta.
Yah itu tidak benar. Sekarang mari kita lihat apa yang dilaporkan INetSim..
[2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] recv: Host: talonstamed.com [2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] recv: Cache-Control: no-cache [2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] info: Request URL: https://talonstamed.com/images/1m6r.exe [2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] info: Sending fake file configured for extension 'exe'. [2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: HTTP/1.1 200 OK [2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Content-Type: x-msdos-program [2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Content-Length: 24576 [2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Connection: Close [2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Server: INetSim HTTPs Server [2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Date: Thu, 03 Dec 2020 15:32:23 GMT [2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] info: Sending file: /var/lib/inetsim/http/fakefiles/sample_gui.exe [2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] stat: 1 method=GET url=https://talonstamed.com/images/1m6r.exe sent=/var/lib/inetsim/http/fakefiles/sample_gui.exe postdata= [2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] disconnect
Barang bagus, di atas kita melihat via INetSim, host yang dikompromikan mencoba mengunduh executable lain. Mungkin ini sebabnya kami tidak melihat jumlah impor yang lebih besar dalam eksekusi awal. Maka saya kira kita dapat menyimpulkan ini hanyalah pengunduh.
Menggali sedikit lebih dalam dengan melihat output dari ProcMon bersama dengan ProcDot dengan fokus pada komponen tertentu, kita melihat (dan perhatikan saya meninggalkan konten dari gambar untuk kepentingan ruang):
Di atas kita melihat my ghyte[.]exe proses di folder day1 telah dihapus. Pada saat yang sama, kita melihat yang baru malu-malu[.]exe proses dibuat dengan ID 5828. Kami juga melihat ghyte[.]exe proses di suhu map. Saya tidak meletakkan file ini di sana, jadi itu pasti ghyte[.]exe tempat itu file itu di sana. Mari konfirmasi apakah file ini masih ada di direktori ini:
C:tmp>dir %TEMP%ghy*.* Volume in drive C has no label. Volume Serial Number is 6C10-15EA Directory of C:UsersSECURI~1AppDataLocalTemp 12/03/2020 10:31 AM 26,730 ghyte.exe 12/03/2020 10:31 AM 24,576 ghyted.exe 2 File(s) 51,306 bytes 0 Dir(s) 36,239,482,880 bytes free
Sepertinya ghyte[.]exe file juga malu-malu[.]exe keduanya ada. Menarik.
Melihat informasi tambahan yang dihasilkan oleh ProcDot.
Di atas kita lihat di mana filenya malu-malu[.]exe telah dibuat. Pada saat yang sama, kami melihat file tambahan 1m6r[1].exe yang tampaknya mirip dengan file yang diminta melalui unduhan dan yang disediakan melalui INetSim. Mengonfirmasi file ini ada:
C:tmp>dir c:userssecuritynikappdatalocalmicrosoftwindowsinetcacheie5gfu9wn41m6r[1].exe Volume in drive C has no label. Volume Serial Number is 6C10-15EA Directory of c:userssecuritynikappdatalocalmicrosoftwindowsinetcacheie5gfu9wn4 12/03/2020 10:31 AM 24,576 1m6r[1].exe 1 File(s) 24,576 bytes 0 Dir(s) 36,239,409,152 bytes free
Pada titik ini kami telah mengumpulkan beberapa Indikator Kompromi (IOC) yang sekarang dapat kami gunakan untuk ditambahkan sebagai intelijen ke dalam alat dan operasi keamanan kami.
Jika kita menggali sedikit lebih dalam ke output ProcDot, kita melihat proses dengan ID 5828 akhirnya memuat malu-malu[.]exe file di suhu direktori seperti yang terlihat di bawah ini.
Kali ini saya akan menutup postingan ini. Tidak ada lagi yang bisa saya kumpulkan di sini saat ini.
Referensi: