Extrayendo el password AES de una configuración de Zeus
Estaba continuando con el análisis del malware en la máquina virtual del artículo que salió ayer, sobre los Fake AV, cuando al volver a infectar la máquina virtual, ya que la tengo por snapshots para conservar las herramientas que tengo instaladas para hacer más tarde el análisis estático del malware, me encontré con ciertas sorpresas.
La máquina tenía que estar totalmente limpia y me encontré con estas peticiones DNS a servidores de Rusia... En fin miré a que dominios hacía las peticiones y todos eran C&C de un Zeus, las búsquedas me llevaron al tracker de Zeus. También encontramos información respecto a la configuración o los binarios.
Sin duda se trataba de un Zeus, además este Zeus se podía comunicar con varios C&C, porque al no encontrar respuesta del primer C&C acudía al segundo para intentar la conexión. Esta conexión se tiene que realizar para descargarse nueva configuración o hacer el envío de datos que pueda robar de la máquina infectada.
Como ya tenía la máquina infectada quise probar una nueva herramienta que había llegado a mis oídos para poder extraer el password AES que usa Zeus para cifrar el archivo de configuración. Para entender como Zeus cifra la configuración, podemos observarla imagen.
El que nos interesa es el esquema de la derecha el que usa AES. Para extraer el password lo que haremos será un volcado de memoria. Esto lo podemos hacer de manera muy sencilla usando win32dd.
Una vez realizado el volcado de memoria, lo siguiente es comprobar si podemos recuperar de la memoria las claves usadas por Zeus para cifrar el archivo de configuración. Esto lo logramos utilizando la herramienta Find AES.
Fuente: Flu-Project
La máquina tenía que estar totalmente limpia y me encontré con estas peticiones DNS a servidores de Rusia... En fin miré a que dominios hacía las peticiones y todos eran C&C de un Zeus, las búsquedas me llevaron al tracker de Zeus. También encontramos información respecto a la configuración o los binarios.
Como ya tenía la máquina infectada quise probar una nueva herramienta que había llegado a mis oídos para poder extraer el password AES que usa Zeus para cifrar el archivo de configuración. Para entender como Zeus cifra la configuración, podemos observarla imagen.
El que nos interesa es el esquema de la derecha el que usa AES. Para extraer el password lo que haremos será un volcado de memoria. Esto lo podemos hacer de manera muy sencilla usando win32dd.
Fuente: Flu-Project
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!