Analizando Mercado Libre 20th Anniversary Gifts

-
Imagen
 Análisis de mensaje Mercado Libre 20th Anniversary Gifts. En estos días se ha estado compartiendo  un mensaje a través de la aplicación de mensajería Whatsapp, donde supuesta mente Mercado Libre regalara Gifts por su aniversario número 20 y el cual lo catalogan como Phishing. Sin embargo en mi opinión, este no es un ataque de phishing ya que la definición de este es: " El phishing es un tipo de ataque de ingeniería social que se utiliza a menudo para robar datos del usuario, incluidas las credenciales de inicio de sesión y los números de tarjetas de crédito . Ocurre cuando un atacante, disfrazado de entidad confiable, engaña a una víctima para que abra un correo electrónico, mensaje instantáneo o mensaje de texto" De acuerdo a lo anterior y en resumen, el phishing es utilizado para robar credenciales o información personal de la victima, en este caso del famoso mensaje no recolecta ningún tipo de información, unicamente solicita sea compartido con más personas para "re...
Publicar un comentario

Mal Doc Analisis

-

Infección por Macro

Hola a todos, hace mucho tiempo que no escribo en el blog y que mejor regresar escribiendo sobre documento de Office malicioso.

¿Que es una Macro?

Según nuestra amiga Wikipedia:
Una macro ―abreviatura de macroinstrucción― es una serie de instrucciones que se almacenan para que se puedan ejecutar de manera secuencial mediante una sola llamada u orden de ejecución.

Los archivos de offices como Word, Excel, powerpoint, pueden contener Macros en su interior para poder ayudar a que nuestras tareas sean mas fácil, sin embargo los atacantes no dudas en utilizar esta opción como un camino para infectar a las victimas.

¿Como me infectan?

Imaginemos que nos llega un correo con un documento del telefono, luz, agua, estado de cuenta, etc. Pero este es un documento con terminación .doc, ingenuamente nos preocupamos de este archivo y tenemos la fabulosa idea de abrirlo y nos sale la siguiente imagen.

Analysis of a New Emotet Maldoc with VBA Downloader – Security Soup
Maldoc abierto

Nos dice que a acción no puede ser completada debido a que el documento fue abierto en vista protegida y que debemos dar click en el botón habilitar para que podamos ver el contenido.

Bien pues esta es la forma en la que nos infectan por un documento de offices, cuando damos click en el botón habilitar el código incrustado en el documento (macro) se ejecuta e infecta nuestra máquina, la mayoría de veces este solo a es la puerta de entrada para el .ps1, .exe, ect. de la infección real.

Bien pues basta de charlar y vamos a lo interesante.

Como cualquier otro día normal, encontré un archivo denominado Informe_SAT.doc, con el comando file de linux podemos obtener información sobre este documento, en la siguiente imagen se muestra la salida

Información de MalDoc

Este análisis lo realice desde una distribución de Linux llamada Remnux esta distro tiene múltiples herramientas para analizar malware.

Utilizando la herramienta Olevba, podemos observar que el documento cuenta con una Macro.
En la columna Description podemos observar información acerca de lo que realiza cada opción de la Macro detectada (ejecutar cuando es abierto el documento) esto no lo explique al principio, las "nuevas" versiones de office implementaron como "medida de seguridad" abrir los documentos en vista protegida, de esta forma la Macro no se ejecuta al abrir el documento, sino hasta que el usuario habilita la opción de edición.

Olevba output

Como se puede obervar en la imagen anterior, podemos ver información sobre el dominio a donde se va a conectar.

Para poder ver la macro completa usamos olevba con la opción -c para que nos muestre el código de la macro, en mi caso ejecute el siguiente comando:

# olevba -c Informe_SAT.doc >> macro.vbs

De esta forma el resultado que nos arroja el script de Olevba es almacenado en un archivo con terminación .vbs, de esta forma puedo abrirlo con un editor de texto (Visual Code) y de esta forma poder analizar el código de una mejor forma.

Contenido de la Macro

Todo el texto en color verde, son comentarios.

Macro sin comentarios
Como podemos observar, sin comentarios se puede leer un poco mejor el código,  vemos que trata de obtener información del equipo, descargar archivos desde una URL y ejecutar una shell.

Omito la URL de donde trata de descargar el ejecutable.

Se comunica a dominio-x y solicita el recurso logo.gif, este recurso no es un imagen .gif, si utilizamos el comando file nuevamente, podemos ver que es un archivo Portable Executable.

la verdad sobre archivo logo.gif

Amigos no se dejen engañar, la paranoia es buena ajajjaajaaj.

utilizando la herramienta manalizer podemos consultar con virustotal si logo.gif es malicioso.

Malicioso

Por ultimo usando la herramienta peframe podemos observar con que fue compilado logo.gif, el cual fue echo con C++.

C++

Un buen recursos para corroboarar si es malicioso el archivo, podemos subir el ejecutable a Hybrid Analysis (Sandbox) y nos mostrara el resultado.

Veredicto de Sandbox


Hay que esperar a que finalice el análisis completo para poder obtener mayor información sobre el artefacto malicioso.

Progreso del análisis en el Sandbox

Una ves finalizado el proceso, damos click en el recuadro rojo y obsavamos la información respecto al artefacto, donde se comunica (si es que lo hace), que usa o hace.

En la siguiente imagen podemos observar que abre y cierra registros del sistema, detecta si existe un debugger (tecnica antidebugger), posiblemente usa la linea de comandos y escribe archivos.

llamada a APIs

Bueno esto seria toda, espero haberles enseñado algo nuevo el día de hoy, y ojo no se confien con los correos que les llegan.

p4y104d

Comentarios

Publicar un comentario

Entradas más populares de este blog

Reverse shell & Bind Shell

-
Imagen
¿Que es una Shell? En informática, el término shell se emplea para referirse a aquellos programas que proveen una interfaz de usuario para acceder a los servicios del sistema operativo. Estos pueden ser gráficos o de texto simple, dependiendo del tipo de interfaz que empleen. Los shells están diseñados para facilitar la forma en que se invocan o ejecutan los distintos programas disponibles en el computador. Cabe hacer notar que existen 2 tipos de Shell y estos son: Shells de texto común como bash, emacs, símbolo del sistema de Windows, entre otros. Shells gráfico común como GNome, KDE, XFCE, LXDE, Unity, MacOS Desktop Environment, Escritorio Windows, entre otros.   Shells 1. Reverse shell 2. Bind Shell Reverse shell Un Reverse shell es un tipo de shell en la cual el host (maquina victima) se comunica hacia el host del atacante. El host (maquina del atacante) tiene a la escucha un puerto en el cual recibirá la conexión, que va a usar, para lograr la conexión del...
Leer más

TP-LINK WN722N v2 modo monito

-
Imagen
Antena WiFi TP-LINK WN722N v2  TP-LINK WN722Nv2 Hola a todo, en este post vamos hablar un poco sobre el mito que existe sobre la tarjeta de WiFi TP-LINK WN722N v2, el cual es que no se puede poner en modo monitor. Antes de comenzar, quiero decirles que no estén triste, no hicieron una mala inversión, solo basta con investigar un poco y se encuentra la solución. El motivo del porque esta antena no se puede poner en modo monitor cuando recién la compramos, es porque el tipo de chipset el cual es RTL8188EUS, no lo soporta. Para poder dar solución al problema debemos bajar el drive "no oficial del fabricante", el cual fue modificado para permitir utilizar esta antena en modo monitor. Debemos dar gracias al usuario @kimcoder quien es el que libero el driver modificado para poder utilizarlo con kali linux. A la fecha de escribir este post el 10 de Nov del 2019, estoy utilizando la versión de Kali Linux 2019.3 con kernel 5.2.0. Bueno pues dejemos la hablada y vamos a...
Leer más

AhMyth Android RAT

-
Imagen
AhMyth Android RAT (Remote Administration Tool) AhMyth es un herramienta de administracion remota o mejor conocido como RAT, esta herramienta permite crear un APK para android, ya sea, el apk por default, o inyectar otra apk (real) eh incrustrarle la que se crea con AhMyth Se compone de dos partes: Desde el servidor : Una aplicacion de escritorio basada en framwork electron para el panel de control. Desde el Cliente : Aplicacion Adroid (backdoor) Desde el siguiente repositorio de github podemos descargar el codigo de AhMyth: AhMyth En mi caso usare el binario para debian de 64bits, se descarga desde a qui: AhMyth_debian Nota: En caso de tener otra distro podemos descargar el .deb de 32bits o en todo caso el .exe para windows esto lo encontramos a qui: Binario_AhMyth para instalar AhMyth en kali ejecutamos el siguiente comando: # dpkg -i AhMyth_linux64.deb Des esta manera se instalara el paquete, una vez finalizado la instalacion, podemos encontrar AhMyth RAT...
Leer más