Troyano minador

3njoy

Respect @aikonCWD estudiaste y trabajas de lo que yo queria , envidia :sunglasses:

ESL_Kaiser

Por informar un poco, de 5 o 6 logs que he mirado

3 cuentas (poco importantes) comprometidas, lo que pasa que como uso prácticamente el mismo email/contraseña para todas las cuentas chorras... pues eso

1 respuesta
HeXaN

#92 Bitwarden + Authy. Todo el mundo piensa que con un par de claves va bien hasta que le pasan estas cosas.

2 respuestas
ESL_Kaiser

#93 Qué es por curiosidad?

1 respuesta
AikonCWD

Yo uso KeePass, es un gestor de contraseñas. Así puedes usar diferentes passwords para cada cosa y no perderlos.

1 2 respuestas
hda

#95 deha de copiarme, hijueputamalparío.

btw: Un trabajo divertido, eh ^^ Nais work.

1
iomegakek

Pregunta random así de gratis:

Es posible que teniendo ese script funcionando en un PC haya dejado pasar un cryptolocker sin que un "supuesto anitivirus de confianza" lo detecte?

1 respuesta
AikonCWD

#97 No en este caso. Los ficheros droppeados y descargados están hardcoded y no creo que meta nada que no sea el miner y el keylogger.

1 respuesta
iomegakek

#98 Entonces fue casualidad. Tuve un problemilla con un Cryptolocker hace unos meses y sólo tengo sospechas de 1 PC de la red por donde podía haber entrado. Recuerdo ver ese archivo .vbe en un zip en dicho PC, aunque el cryptolocker sólo atacó en el servidor, a saber por dónde entró...

1 respuesta
AikonCWD

#99 Normalmente el criptolocker entra en un PC d ela red, encripta ese PC y sus unidades... si el PC tiene una unidad de red del servidor, lo encriptará también.

Si solo entró en el servidor, significa que de alguna manera alguien trabaja desde el propio servidor y lo infectó, o remotamente alguien explotó una vulnerabilidad remota (o tenéis el RDP expuesto con password sencillo, etc...)

1 respuesta
B

El código vba no está "encriptado" sino ofuscado, ese tipo de ofuscación con base64 es muy común en scripts de servidores dedicados y páginas webs. Dicho esto, es un buen curro teniendo en cuenta que lo haces por amor al arte.

1 respuesta
crb2222

Buen curro, has podido sacar la dirección de monero donde mina? Debe ir como parametro a la petición stratum.
Me gustaría saber hasta que punto es rentable esto

1 respuesta
AikonCWD

#101 gracias! El código inicial del vbe está encriptado, no es base64, te dejo una foto y verás que por los carácteres usados jamás podría tratarse d eun base64

Hay que deshacer la encriptación del vbe usando la documentación que puse, por suerte es algo conocido y no cuesta absolutamente nada hacerlo, siempre y cuando sepas identificar lo que tienes. Luego sí que encuentras 3 ficheros codificados en base64, y eso por suerte es muchísimo más fácil dejarlo en texto normal.

Finalmente están los ficheros shell.txt y pe.bin, que no logro desencriptar. Pondría la mano en el fuego que están en RC4, yo con esos algoritmos me bajo del tren ya que sin la clave solo te queda fuerza bruta y paso. xd

2 respuestas
iomegakek

#100 En el servidor realmente no se trabaja, pero sí es cierto que tenemos cámaras de seguridad funcionando ahí (y dos de ellas vienen desde fuera de la red así que hay puertos abiertos), pero bueno, no pasó nada realmente, perdí un par de horas restableciendo las copias de seguridad y ya xDDD

1
AikonCWD

#102 Debería ser esto, no?

No controlo mucho sobre el minado de criptomonedas, pero eso de stratum que comentas aparece ahí. Ya me dices.

1 2 respuestas
B

#103 La primera no es "encriptación", es ofuscación, si estubiera "encriptado" no lo podría leer el runtime de vba. Te lo dice incluso el link que pusiste
I discovered that it was possible to encode a VBScript (obfuscate would be a better term really) using the Microsoft Script Encoder

1 respuesta
charlesmarri

#93 #94

¿Recomendáis el uso de estos programas? Siempre me lo he planteado pero al final no sé por qué me da cosa meter intermediarios en mis contraseñas.

AikonCWD

#106 Vale, te compro esta apreciación en la terminología. Solo quería recalcar que no era un base64 inicial al uso.

Flamazares

Enhorabuena Aikon, mis respetos :D, ¿se sabe adónde se mandaban los logs con las contraseñas?

wiLly1

No me entero de mucho pero me gusta leeros :D en cuanto llegue a casa revisare que no este infectado, por si las moscas

bLaKnI

Joder que a gustito leyendo este thread con el desayuno.
Las 2 preguntas que tenia en mente, ya las han hecho.

Pero se me ocurren un par mas:

1) ¿Como coño inyecta en systeminfo.exe algo? ¿Como inyectas sin problemas a un legacy?

2) Al tratar con rand-paths, en algun lado debe dejar constancia de la carpeta que ha creado para poder trabajar con ellos en los startups, no? O la parte rand es simplemente para el deploying y ya posteriormente tira de path construible (nombrePC + whatever)? Lo digo porque quizás seria interesante buscar en el registro, la entrada con el nombre de la carpeta. Para acabar de hacer limpio del todo.

#103 Y luego pensaba, en todos los casos, para poder ejecutarse todo, debe ser capaz de poder desencriptarse por si solo. Luego las claves deben estar contenidas en el propio script como tal.
Para la desofuscación del vbs, lo dicho. Pero el contenido interno, las claves deben estar contenidas en algún sitio. Para los hard-codedm un decode de base64 y obtienes texto. Pero para los shell.txt y el pe.bin, o se ejecutan en un remote-service en algun servidor, en el que para algún tipo de payload mandado es capaz de recuperar la clave y entonces desencripta, o de nuevo nos encontramos con encriptación propietaria y no RC4.

edit: viendo el tema, juraría que la clave está precisamente en el test.au3. Le has podido clavar el diente?

1 respuesta
crb2222

#105 en casa me lo miro, pero a simple vista no acabo de verlo, debe coger la configuración de algun srv.

AikonCWD

#111 El mundo de la inyección de codigo en procesos remotos es una pasada. Se utiliza esta técnica para evadir análisis, detección de antivirus, firewall-bypass, anti-heurística, elevación de privilegios y un montón de cualidades más.

Hay muchísimos métodos de inyección, te dejo un artículo MUY completo aquí: https://www.endgame.com/blog/technical-blog/ten-process-injection-techniques-technical-survey-common-and-trending-process Parece algo complejo pero por desgracia es un método muy común en el mundo del malware y cheats-multiplayer.

El tema del rand es otra técnica más para dificultar la detección y la creación de firmas para hacer una vacuna. Está mal implementado en este bicho, ya que no guarda semilla alguna y eso a la larga es contraproducente cuando el usuario ejecuta varias veces el virus por error. En el momento que has diseccionado el código del malware te evitas tener que hacer búsquedas a lo loco para ver si te has dejado algo, pero nunca está de más hacerlo, claro.

Está claro que todo lo encriptado/ofuscado debe deshacerse en algún punto para ser ejecutado. El vbe se desofusca solito por el runtime de WSH, dentro hay base64 para hacer el deploy del autoit.exe. El enigma empieza justo ahí... el exe del autoit ejecuta un fichero test.au3 que está cifrado de alguna manera, y por algún motivo, el exe es capaz de leer ese fichero, interpretarlo y ejecutar el script.

A partir de ahí, sería el propio script de autoIt quien tiene en su interior la key usada en el RC4 para leer los ficheros shell.txt y pe.bin. La zona roja está entonces en el momento que el autoit.exe abre, interpreta y ejecuta el test.au3

Se me ocurre debugar con IDA el autoit.exe a ver si cazo algo, pero si lo hago sería por los loles, no creo que llegue a sacar nada en claro. Buscando un poco creo que han podido usar esta tool para codificar el test.au3: https://www.pelock.com/products/autoit-obfuscator pero, de nuevo, no estoy seguro.

1 respuesta
makre89

Qué ganas de llegar a casa y leer este hilo tranquilamente para enterarme de este mundillo.

bLaKnI

#113 Mmmm... mas bien viendo que hablan de que el source se encuentra empaquetado entero con el binario, quizas de podria "desempaquetar el exe" del Autoit entero y recuperarlo a pelo? No entiendo como venden la recuperación del source en la propia web de obfuscator y luego hablan de usar IDA para trabajar a nivel "asembler". Tiene que ser mas fácil.
Supongo que, cuando compilas un script, generas un EXE que debe ser en si mismo el reflejo del propio codigo au3 encriptado. Es decir, el EXE, contiene el propio interprete que es a su vez el traductor estricto de la versión encriptada del fichero distribuible, que permite por lo tanto, acceder a pelo a la versión oculta pero entera del codigo y así hacer el contraste y su posterior ejecución. La clave seria arrancarlo del EXE.

1 respuesta
AikonCWD

#115 Me encaja lo que dices. Lo probarém no hoy que saldré a cenar por ahí, pero durante el finde.

1 respuesta
bLaKnI

#116 This:

decompiler:
http://www.angusj.com/resourcehacker/

si lo tiene como resource, estará ahí visible.

O si esta compilado a versión vieja, entonces decompilando a pelo:

https://www.autoitscript.com/wiki/Decompiling_FAQ

Or this:

https://www.autoitscript.com/forum/topic/135587-_getsavedsource-retrieve-the-saved-source-file-from-an-autoit-exe

fuente:
https://www.autoitscript.com/forum/topic/59437-restore-scriptau3-source-from-scriptexe/?do=findComment&comment=447726

Phil_Rich

flipando con el csi que se ha marcado el amigo

PaCoX

si no ha hecho nada todavia xd, le queda decompilar el au3, luego desofuscar el au3, etc xD
aqui te dejo un par de decompiladores
http://files.planet-dl.org/Cw2k/MyAutToExe/index.html
http://domoticx.com/autoit3-decompiler-exe2aut/

1 respuesta
B

Como has desofuscado el archivo @AikonCWD ?