• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

  • Напоминаем, что 1 декабря стартует курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фаззинг и фингерпринт, активный фаззинг, уязвимости, пост-эксплуатация, инструментальные средства, Social Engeneering и многое другое. Подробнее ...

Конкурс Reverse Engineering/Анализ различных Malware

SISHA256

SISHA256

Member
08.06.2019
8
16
Статья для участия в конкурсе на codeby.

Хэй, это моя первая статья здесь и уже для конкурса. Здесь будет минимум воды, статья разделена на 2 части:

  1. Вступление, справка
  2. Анализ ПО
Вступление
Reverse engineering или же Обратная Разработка - это исследование/анализ определенного ПО, также документации на него с целью понять принцип его работы. Например, чтобы как-либо модифицировать его или произвести поиск уязвимых мест в исходном коде. Есть огромное количество программ, позволяющих вам провернуть подобное многие из них будут рассмотрены здесь.

Miner- программа для добычи криптовалюты злоумышленником с помощью компьютера ни о чём не подозревающей жертвы. Чаще всего используется скрытый майнинг Monero или ZCash, так как эти криптовалюты являются полностью анонимными. Майнер может распространяться независимо от установленной операционной системы.

Botnet( 'robot' + 'network') - сеть ботов(компьютеров), которые связанны с командным центром. Командный центр может отдавать команды ботам, которые они в свою очередь будут выполнять. Чаще всего создается злоумышленниками для автоматизации каких-либо задач, которые требуют огромного количества ресурсов.

ПО, которое вам сегодня пригодится:

  1. ExeinfoPe (анализ pe файлов)
  2. Aegys Crypter (используем чтобы распаковать файлы, накрытые протекторами)
  3. Exe2Aut (Exe to Autoit code)
  4. Peid (анализ pe файлов)
  5. de4dot (.Net дуобфускатор)
  6. DIE (анализ pe файлов)
Это все, что вам нужно знать на данный момент

Анализ ПО
C# Botnet

Сканируем файл

Воспользуемся утилитой Peid:


Reverse Engineering/Анализ различных Malware


Из приведенной выше фотографии можно сказать, что файл зависим от .NET, а также сверху накрыт .netReactor.

Выясняем точную версию .netReactor:

Reverse Engineering/Анализ различных Malware


И распаковываем, используя de4dot.

Функционал

Бот состоит из задач, которые выполняются асинхронно.

Конфигурация / Задачи

Для работы с носками используется ProxySocket и WinInet:

Reverse Engineering/Анализ различных Malware


Есть конструкторы классов для различных атак, которые выполняют роль получения HTML страницы, а также конструкторы, предназначенные для ассинхронных методов:

Reverse Engineering/Анализ различных Malware


Имеется отдельный класс для работы с Internet Explorer, таким образом, можно получать/создавать/редактировать версию через реестр:

Reverse Engineering/Анализ различных Malware

Reverse Engineering/Анализ различных Malware


Также, присутствуют методы для изменения User-Agent/Cookie/Referrer:

Reverse Engineering/Анализ различных Malware


Получение текущего IP происходит путем парсинга следующей страницы: :

Reverse Engineering/Анализ различных Malware


Также, присутствует проверка наличия языков СНГ-стран в раскладке:

Reverse Engineering/Анализ различных Malware


System.Management отвечает за получение данных о машине.

Есть проверка на наличие анализаторов и снифферов:

Reverse Engineering/Анализ различных Malware


Установка и закрепление в системе

Для автозагрузки используется Powershell и Task Scheduler:

Reverse Engineering/Анализ различных Malware


Reverse Engineering/Анализ различных Malware


Также, приложение проверяет правильность имени , и в случае неудачи, перезаписывается под правильным именем:

Reverse Engineering/Анализ различных Malware


Имеется очень странная часть в коде, видимо, автор забыл ее убрать:

Reverse Engineering/Анализ различных Malware


Следующее меня также немного напрягло:

Reverse Engineering/Анализ различных Malware


DDoS-функционал и алгоритм работы

dexecute
:

Загружает и запускает указанный файл.

Reverse Engineering/Анализ различных Malware


execute:

Запускает файл.

Reverse Engineering/Анализ различных Malware


suicide:

Самоудаление.

Reverse Engineering/Анализ различных Malware



update:

Обновление бота.

Reverse Engineering/Анализ различных Malware


DDoS-методы и обходы:

Реализации сделана на сокетах. Все работает асинхронно.

Anti-Captcha:

Обход капчи реализован через сервис . Все обходы построены именно на основе этого метода, с небольшими доработками (вроде удаления каких-то html элементов и отправки доп. запросов)


Reverse Engineering/Анализ различных Malware


AutoIt Miner

Имеется 2 файла, прогоняем Exe через DIE/ExeinfoPe/Peid:

Reverse Engineering/Анализ различных Malware


DLL сломано и не отображается в Pe-сканнере никак.

Опа! Автоит => прогоняем через exe2Aut:

Reverse Engineering/Анализ различных Malware


Reverse Engineering/Анализ различных Malware


Оказывается, в Dll заменены первые 8 байт. Открываем в hex-editor и меняем на стандартные, получаем 7-zip архив:

Reverse Engineering/Анализ различных Malware


С start.exe также дропнулся файл CLDebugLog.txt - это распаковщик архива. Как видим в коде, он с параметром в виде пароля от архива распаковывает DLL, далее, в зависимости от поддержки AES на ПК, определяется, какой батник запускать.

start.bat:

Reverse Engineering/Анализ различных Malware


start2.bat:

Reverse Engineering/Анализ различных Malware


SystemCheck.xml:

Reverse Engineering/Анализ различных Malware


32.exe:

Reverse Engineering/Анализ различных Malware


Снимаем EnigmaVB через Aegys Crypter:

Reverse Engineering/Анализ различных Malware


Получаем еще 2 файла + распакованный 32.exe:

Reverse Engineering/Анализ различных Malware


Checking.exe и msvcr120.dll накрыты UPX:

Reverse Engineering/Анализ различных Malware


Как уже очевидно - консольный майнер.

В 64.exe ровно то же самое, только консольный майнер с поддержкой AES:

Reverse Engineering/Анализ различных Malware


Да, это конец статьи, надеюсь, что тебе было интересно почитать про Reverse Engineering и разобрать со мной некоторые зловреды. Удачи!
 
D108

D108

New member
11.09.2017
3
3
Очень годный копипаст двух статей с канала сорика
 
SISHA256

SISHA256

Member
08.06.2019
8
16
Да, действительно, основная информация(примеры) была взята из статей IM50RRY, отрицать это или как-либо оправдываться не буду. На основе этого вы имеете полное право исключить меня. Единственное, что хотел бы попросить, чтобы вы отдали мой промокод 3 участнику. Парниша все-таки старался :)
 
  • Нравится
Реакции: D108
Мы в соцсетях:  ТелеграмВконтактеДзенФейсбукТвиттерЮтуб