Belajar dengan berlatih: Melanjutkan Analisis Malware – Ghyte / ZBot

  • Whatsapp
Belajar dengan berlatih: Melanjutkan Analisis Malware - Ghyte / ZBot
Belajar dengan berlatih Melanjutkan Analisis Malware Ghyte ZBot

News.nextcloud.asia

Posting ini dan yang lainnya untuk bulan ini adalah bagian dari seri yang saya gunakan untuk membantu saya mempersiapkan sertifikasi GIAC Reverse Engineer Malware (GREM) saya.

Pertama, saya memuat file yang mencurigakan di CFF Explorer mengambil salinan hash MD5 dan memberikannya ke VirusTotal untuk melihat apakah ada hit. Ada 65 mesin yang mendeteksi file ini sebagai berbahaya.

Melihat laporan VirusTotal, saya pasti akan menyimpulkan bahwa file ini berbahaya.

Dengan pertimbangan di atas, saatnya untuk BENANG dan lihat senar dengan menulis BENANG‘s output ke file Teks.

C:UsersSecurityNikDesktopMalwareday1>floss ghyte.exe > ghyte.txt

Melihat senar tidak ada yang langsung menonjol.

C:UsersSecurityNikDesktopMalwareday1>Type ghyte.txt | more
....
;NNt
8n+|Bj
GjUl
terras
lunt
summer                                                                                                                             momenr
Arial
dip quip
edit
static
DestroyWindow
loret
button
SetTimer
KillTimer
SetWindowPos
GetWindowRect
FillRect
LoadCursorA                                                                                                                        LoadIconA
SendMessageA
DefWindowProcA
RegisterClassExA     
...

Kembali ke CFF Explorer untuk melihat API Windows mana dan fungsi terkaitnya yang terlihat di dalam executable, kami melihat bahwa tampaknya hanya ada 24 fungsi yang diimpor. menarik.

Dengan jumlah impor yang begitu kecil dan tidak ada yang benar-benar mencurigakan dari PE Studio, saya pikir file tersebut mungkin dikemas. Namun, sepertinya tidak demikian menurut Detect It Easy (DIE)

Transisi untuk melihat apa yang terjadi ketika ini berjalan di lingkungan langsung dengan memuat Wireshark, ProcessHacker, RegShot, Procmon, ProcDot, FakeDNS, Fiddler, dan INETSim.

Melihat sekilas keluaran Fiddler, kami melihat koneksi sedang dibuat untuk talonstamed.com di pelabuhan 443.

Informasi di atas dikonfirmasi lebih lanjut dari pengambilan paket yang diambil melalui Wireshark dan dianalisis melalui TShark.

C:tmp>tshark -r ghyte.pcapng -n -Y "(dns.qry.name==talonstamed.com) || (tls.handshake.extensions_server_name==talonstamed.com)"
    7   7.153950   10.0.0.103 → 10.0.0.113   DNS 75 Standard query 0xef83 A talonstamed.com
    8   7.155315   10.0.0.113 → 10.0.0.103   DNS 91 Standard query response 0xef83 A talonstamed.com A 10.0.0.113
   12   7.335830   10.0.0.103 → 10.0.0.113   TLSv1.2 230 Client Hello

Seperti yang kita lihat di atas, permintaan DNS dibuat untuk sepatu hak tinggi[.]dengan dan alamat IP dari 10.0.0.113 dikembalikan oleh DNS palsu. Kami juga melihat setelah resolusi DNS selesai, host kemudian membuat koneksi TLSv1.2 ke 10.0.0.113. Pada titik ini komunikasi memulai proses enkripsi dan karena kami tidak mendekripsi lalu lintas, kami bingung dengan apa yang diminta.

Yah itu tidak benar. Sekarang mari kita lihat apa yang dilaporkan INetSim..

[2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] recv: Host: talonstamed.com
[2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] recv: Cache-Control: no-cache
[2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] info: Request URL: https://talonstamed.com/images/1m6r.exe
[2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] info: Sending fake file configured for extension 'exe'.
[2020-12-03 10:32:23] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: HTTP/1.1 200 OK
[2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Content-Type: x-msdos-program
[2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Content-Length: 24576
[2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Connection: Close
[2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Server: INetSim HTTPs Server
[2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] send: Date: Thu, 03 Dec 2020 15:32:23 GMT
[2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] info: Sending file: /var/lib/inetsim/http/fakefiles/sample_gui.exe
[2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] stat: 1 method=GET url=https://talonstamed.com/images/1m6r.exe sent=/var/lib/inetsim/http/fakefiles/sample_gui.exe postdata=
[2020-12-03 10:32:24] [1920] [https_443_tcp 13781] [10.0.0.103:10654] disconnect

Barang bagus, di atas kita melihat via INetSim, host yang dikompromikan mencoba mengunduh executable lain. Mungkin ini sebabnya kami tidak melihat jumlah impor yang lebih besar dalam eksekusi awal. Maka saya kira kita dapat menyimpulkan ini hanyalah pengunduh.

Menggali sedikit lebih dalam dengan melihat output dari ProcMon bersama dengan ProcDot dengan fokus pada komponen tertentu, kita melihat (dan perhatikan saya meninggalkan konten dari gambar untuk kepentingan ruang):

Di atas kita melihat my ghyte[.]exe proses di folder day1 telah dihapus. Pada saat yang sama, kita melihat yang baru malu-malu[.]exe proses dibuat dengan ID 5828. Kami juga melihat ghyte[.]exe proses di suhu map. Saya tidak meletakkan file ini di sana, jadi itu pasti ghyte[.]exe tempat itu file itu di sana. Mari konfirmasi apakah file ini masih ada di direktori ini:

C:tmp>dir %TEMP%ghy*.*
 Volume in drive C has no label.
 Volume Serial Number is 6C10-15EA

 Directory of C:UsersSECURI~1AppDataLocalTemp

12/03/2020  10:31 AM            26,730 ghyte.exe
12/03/2020  10:31 AM            24,576 ghyted.exe
               2 File(s)         51,306 bytes
               0 Dir(s)  36,239,482,880 bytes free

Sepertinya ghyte[.]exe file juga malu-malu[.]exe keduanya ada. Menarik.

Melihat informasi tambahan yang dihasilkan oleh ProcDot.

Di atas kita lihat di mana filenya malu-malu[.]exe telah dibuat. Pada saat yang sama, kami melihat file tambahan 1m6r[1].exe yang tampaknya mirip dengan file yang diminta melalui unduhan dan yang disediakan melalui INetSim. Mengonfirmasi file ini ada:

C:tmp>dir c:userssecuritynikappdatalocalmicrosoftwindowsinetcacheie5gfu9wn41m6r[1].exe
 Volume in drive C has no label.
 Volume Serial Number is 6C10-15EA

 Directory of c:userssecuritynikappdatalocalmicrosoftwindowsinetcacheie5gfu9wn4

12/03/2020  10:31 AM            24,576 1m6r[1].exe
               1 File(s)         24,576 bytes
               0 Dir(s)  36,239,409,152 bytes free

Pada titik ini kami telah mengumpulkan beberapa Indikator Kompromi (IOC) yang sekarang dapat kami gunakan untuk ditambahkan sebagai intelijen ke dalam alat dan operasi keamanan kami.

Jika kita menggali sedikit lebih dalam ke output ProcDot, kita melihat proses dengan ID 5828 akhirnya memuat malu-malu[.]exe file di suhu direktori seperti yang terlihat di bawah ini.

Kali ini saya akan menutup postingan ini. Tidak ada lagi yang bisa saya kumpulkan di sini saat ini.

Referensi:

Laporan Total Virus dari MD5Hash
SANS FOR610 – GREM

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.