De4dot.BIN installer - Malware aNALYSIS

***************************************

Descripción

**************

de4dot es un desofuscador y desempaquetador .NET de código abierto (GPLv3) escrito en C #. Hará todo lo posible para restaurar un ensamblado empaquetado y ofuscado a casi el ensamblaje original. La mayor parte de la ofuscación se puede restaurar por completo (por ejemplo, cifrado de cadenas), pero el cambio de nombre de símbolo es imposible de restaurar ya que los nombres originales no son (generalmente) parte del ensamblado ofuscado.

Como podemos ver es una súper utilería hecha para desofuscar muchísimos tipos de ofuscaciones en los ejecutables pero los creadores no ofrecen ningún soporte.

MALO MALO porque te piden que lo compiles y de ahí a la veía de dios su uso..

COMO DI CON EL EJECUTABLE INSTALADOR CON MALWARE

*******************

 

Buscando si alguien ya lo había compilado vi en una página donde ponen a disposición este tipo de utilerías para la ingeniería reversa (inversa) encontré esa versión ya compilada y me dije pues la bajo y así la uso.

PERO........MEJOR LO ANALICE Y MIREN LO QUE ENCONTRÉ.

Tipo de INfección insertada al ejecutarse

*********************

 

-- Low-level read access rights to disk partition

-- svchost.exe Conexión IP a servidor en Netherlands

Que es un país ubicado principalmente en el noroeste de Europa. Limita al sur con Bélgica y al este con Alemania, teniendo costas sobre el mar del Norte que lo separa del Reino Unido.

PETICIONES DNS

**********************

3 Peticiones DNS

-- 128.127.xxx.xx

-- 131.107.xxx.xx

-- DNs DOnde se hace la petición pero el puerto ya fue cerrado.

 

 

 

 

 

También encontré que maneja una conexión extra oculta y ofuscada para evitar su detección facilmente a este sitio.

 

 

192.168.100.232: 57080 -> 192.168.100.2: 53


ANALIZANDO EL .BIN EN FORMATO REVERSO

***********************************

Ahora toca el turno de analizar el ejecutable en su formato reverso para ver cómo esta constituido por dentro y analizar sus signaturas del archivo para verificar también que es lo que dice ser o no.

para eso use mi utilería que acabo de actualizar llamada

 
Rhino Forensic & Reverse Toolkit 1.9

 Esta fue creada en el año 2017 pero en este 2020 la actualize y mejoré y estamos en la version 1.9 2020

 

Una vez instalada contaremos con un FRAMEWORK PARA WINDOWS con el cual tendremos todo lo referente  a utilerías necesarias para una forensia de malware sin necesidad de instalar o descargar una LIVE O ISO

ANALIZANDO EL EJECUTABLE

*************************

Abriendolo con el  open soruce Disassembler 

 

 

 

desensamblandolo

 

Podemos darnos cuenta en este desensamblado que no cuenta con STRINGS Pero SI CUENTA CON UN SEGMENTO que por lo visto me dice que esta comprimido con UPX1

 

Para esto podemos ver también que cuenta    10 funciones importadas con las cuales lleva sus procesos de ataque y que menconaré aqui todas su significado.

LISTADO Y DESCRIPCION DE LAS FUNCIONES IMPORTADAS USADAS EN EL MALWARE.

****************************

 

Esta función pertenece a Windows y sirve para crear una subclave en 

HKEY_USERS o HKEY_LOCAL_MACHINE y carga los datos de un registro especificado en esa subclave.

y así podrán ustedes buscar en internet todas las descripciones de cada, eso se los dejo  a ustedes jejejejejejjee..

 

 ANALIZANDO EL PORTABLE EJECUTABLE SI ES VERDAD QUE TIENE EL UPX CON OTRA TOOL

*************************+

Según el desensamblador me dice que esta comprimido con UPX verifiquémoslo con el 

verifiquemoslo con el RDG PACKER DETECTOR que es de un amigo

 y me dice:

 

 

OK si esta comprimido con UPX y que está hecho con Borland Delphi. mmmm eso lo verificaremos cuando lo desempaque.

 

DESEMPACADO DE EL MALWARE.

**************************

Ok procederemos a desempacarlo primeramente con el upx original y veremos si nos da resultado

Una vez hecho el proceso podemos darnos cuenta que son novatos a la hora de proteger sus cucarachas de malware ya que no en eso el ponen empeño y vemos que de 1.5 mb pudimos obtener un archivo de 4.6 mb.

Nada mal para el análisis. 

Ahora si podemos abrirlo pero en otro desensamblador que es de la old school y podemos ver ahora si a detalle las funciones importadas y que módulos importa de cada función.

CREO QUE AHI LA LLEVAMOS EN EL ANALISIS  CONTINUEMOS AHORA CON LA APERTURA EN UN EDITOR HEXADECIMAL Y VEAMOS QUE NOS MUESTRA PARA ESO VAMOS AL RHINO FORENSIC AND REVERSE TOOLKIT  y abrimos en el editor hexadecimal el BIN.

**********************

Nota: ya saben ustedes pueden usar el editor hexadecimal de su preferencia yo ahorita use el WINHEX.

Podemos darnos cuenta que está hecho en 32 bits y con la siguiente imagen podemos ver que está hecho nativamente en 

AHORA VOLVAMOS A DARLE UNA DESEMSABLADA PARA VERIFICAR QUE MAS TRAE Y.......

Recuerdan que con el rdasm no mostraba Strings, bueno una vez descomprimido del upx podemos ver que el w32dasm nos muestra muchos strings que nos dicen cómo funciona el malware.


bueno creo que hasta aquí lo dejaré y próximo manual pondré como encontré las ips y todo eso.

 

SALUDOS   PROFESOR X 2020