Troyano minador

bLaKnI

#208 De hecho, en sus 3 primera versiones, una vez "publicas", ya salieron sus respectivos decrypters o reverseals, que eran a libre disposición.

Ante todo no hay mejor seguridad que la prevención.
A nivel particular, te la meten por el culo. A nivel enterprise, hace falta estar en todo desde el minuto 0.

Hoy en dia existen soluciones brand, que por precios mensuales no desorbitados ya te protegen bastante como dios manda.
McAfee tiene un entorno de puta madre, con política de comprobación de links y inclusive, entrono sandbox pre-ejecución de cualquier ejecutable o exploitable que corra por tu maquina. Provenga de donde provenga. Se pierde en rendimiento, pero se cubre uno los cojones.

Para pequeñas empresas puede estar bien.
Aunque lo suyo, es un buen sistema de copias en nube y punto. Perder el trabajo de a lo sumo un dia, es oro.

#209 Perdona! Que me había olvidado.
He tenido que desempolvar mis memorias mozas... hace mucho que no toco ASM.
Pero basicamente, this:

https://stackoverflow.com/a/30686156

1
AikonCWD

Estoy haciendo progresos con el dumpeo del vbc.exe, os pongo un poco en situación:

Mi objetivo ahora es reventar la parte del keylogger, ver si la info la envía por internet a "alguien", saber quien es y todas esas cosas guays del CSI. Hemos empezado atacando el momento de la inyección y la shellcode, pero al menos yo, me he dado contra un muro. Bueeeno no pasa nada, cambiemos el punto de enfoque y empecemos de nuevo:

Ejecuto el bicho, espero a que el proceso vbc.exe entre en ejecución. Listo los handles abiertos para detectar realmente que el keylogger está escribiendo en el TXT:

Le toca el turno a mi querido ProcessMonitor, con un par de filtros consigo sniffar las operaciones de tipo WRITEFILE del proceso VBC. Encima nos chiva el thread-id responsable de dicha tarea:

Le toca el turno al chulito de x64dbg, le meto un attach al proceso vbc.exe y listo los hilos, busco el hilo que hemos capturado en el paso anterior y se produce la magia:

Analizo brevemente el código, veo una llamada inusual al registro EDX, la examino en step-into y mirad lo que me encuentro:

Strings y código propio del virus, inyectado en la memoria del proceso legítimo vbc.exe.


Pues ya estoy dónde quería estar, olvidando el tema de la shellcode y atacando el problema desde otro punto de vista: handles, threads y debugging. Ahora toca hacerme un café doble y empezar a debuggar el código ensamblador a manita. Estaré por aquí hasta que se me cierren los ojos del aburrimiento.

Espero que se haya entendido, si no preguntad cualquier duda.

6 1 respuesta
Laxos

Gracias @AikonCWD llevaba con este miner un par de semanas desde un descuido y ningún antivirus era capaz de detectarlo. Afortunadamente, creo que Malwarebytes sí que boqueaba la conexión a internet del logger, por lo que espero que ningún dato mío haya escapado. De todas formas toca cambiar la contraseña de las cosas importantes. Gracias otra vez por tu esfuerzo desinteresado.

Por si a alguien más le pasa, a mí no me dejaba borrar la carpeta de C:\ProgramData. El bicho había denegado mis permisos de Seguridad de acceso a esa carpeta. Para solucionarlo, click derecho en la carpeta que hay que borrar y en Propiedades > Seguridad > Avanzado, si hay alguna regla de Denegar (Deny) borradla, y ya se puede eliminar la carpeta.

1 respuesta
AikonCWD

#213 Totalmente correcto en la última parte sobre los permisos. La carpeta dentro de ProgramData está protegida por permisos, debes quitarlos a mano. Es el propio bicho quien stea esos permisos para que el usuario no entre a descubrir el pastel, justo estoy debugando el trozo de código que se encarga de dicha acción:

Hace una llamada al proceso icalcs.exe y le pasa el parámetro /deny %USERNAME%, básicamente el virus te deniega el permiso para que no puedas borrar la carpeta. Sublime :ok_hand:

2
bLaKnI

#212 hayquemelol.
Magnifico. Yo ya tengo los ojos cerrados y mañana tengo boda.
Asi que paro aquí xD

Pero deja lectura para mañana!

Me desconcerta la inyección del ".au3" directo. Si precisamente este está encriptado...
Entiendo que la inyección del exe es nada mas y nada menos que el standalone del autoit, no?

Y a todo eso... que coño pintará esto en un keylogger? Y que sucia relación tiene con el minero? Pero quien cojones encadena todo esto? xD

Puta locura...

1 1 respuesta
AikonCWD

#215 el fichero *.au3 está encriptado, pero el propio intérprete del autoIt es capaz de desencriptarlo y ejecutarlo. El script coge el shell.txt y lo inyecta en CallWindowProc, todo esto provoca la creación del proceso vbc.exe. Simplemente he empezado a atacar desde la cola y así saltarme el muro de la shellcode.

Sigo analizando el bicho, hace cosas muy guapas:

En este trocito de código busca procesos de antivirus (como el adwcleaner) y si los encuentra les mete un TerminateProcess para matarlos. Básicamente es un trozo de código que se encarga de proteger la integridad del bicho. Precioso.

Y me mola porque estoy metiendo las narices directamente en el código que con tanto empeño han intentado ocultar. Voy a seguir, espero pues capturar algún password hardcoded o IP del servidor del tío que lo ha programado...


A tu última pregunta, yo creo que el creador del minero ha metido de estrangis un keylogger para sacar más rendimiento a su creación. Pero por el momento solo son conjeturas mías.

1
Txuri_Hinkel

Estoy siguiendo un poco el tema porque hace un par de meses me pasó algo muy similar.

He descargado alguna que otra pelicula de la web que comentan, y un día me di cuenta que tenía una carga del 50% de CPU con el PC en reposo subiendo bastante la temperatura de la torre, al abrir los procesos para ver que era eso, pasaba lo que comentais, desaparecía el proceso y todo volvia a la normalidad. A la vez que me pasaba esto, me pasó algo que dije "que curioso" resulta que la tilde me dejó de funcionar y escribía "as´´i" en vez de "así". Total que empecé a investigar por lo de la tilde y llegué a temas que hablan del Autolt, y el resto de cosas que habeis hablado en este tema.

"Solución" y lo digo muy entre comillas porque no se si lo hice bien, pero ya no me pasa. Seguí todas las indicaciones que vi en un foro para el problema de la tilde, CCleaner, Malware, JRT, AdwCleaner y FRST64, en un orden concreto, y el problema desaparecía hasta que reiniciaba, entiendo que se quitaba todo hasta que se iniciaba el equipo y todo volvía a la normalidad, es decir a la normalidad del 50% de carga de CPU y doble tilde. Al final lo que hice fue hacer lo mismo, y borrar una carpeta oculta que estaba en C:/Usuario/CarpetaRara, la cual descubrí porque me salía un mensaje de error del Autolt, diciendo que no se había podido iniciar un archivo en esa carpeta, y como vi que estaba todo relacionado, dije, a borrar todo.

Una vez hice eso, iniciar todos esos programas en el orden que comentaban, y luego borrar esa carpeta, dejó de pasarme tanto el tema de la doble tilde, como la CPU al 50% en reposo.

1 respuesta
AikonCWD

#217 Guay!, has dicho una cosa muy interesante... La mayoría de keyloggers meten el hook al teclado de malas maneras, provocando que las tildes no se puedan escribir bien. Es una forma muy fácil de saber si tenemos un keylogger en el sistema.

2 respuestas
bLaKnI

#218 Y aquí:

Al abrir el taskmgr.exe, se cierra el vbc.exe? O te lo cierra automaticamente?

Personalmente creo que mucho mas no encontrarás. Parece que el punto de inyección sigue siendo la clave.
Han puesto las medidas de seguridad y maquillaje en este punto, pero la chicha del minning y demás, la harán los otros ficheros... ¿no crees?

1 1 respuesta
AikonCWD

#219 Esa función es algo diferente... lo que hace es que si detecta que has abierto el taskmanager... el bicho se cierra (muere). Esto lo hace para evitar que lo puedas ver en la lista de procesos.

Imagina; tienes un EXE ejecutándose y chupando CPU... notas qque algo va lento... abres el taskmanager y el puto EXE se cierra para que no le pilles. Pues eso justo hace esa función. Lo saqué también desde el source original del virus: https://github.com/mwsrc/PlasmaRAT/blob/master/Stub/Misc/Miner.vb

Líneas de la 13 a la 15. En la línea 55 y 56 tienes la inyección en vbc.exe

Si, el minning lo hace el systeminfo.exe que todavía no he llegado.

1 respuesta
bLaKnI

#220 Lo que temia. Por eso preguntaba, porque eso SI es belleza. xD
Es un clasico, hide&seek. Lo que como reengancha? Lanza un process_start una vez se cierra el taskmgr.exe?

1
Txuri_Hinkel

#218 Investigando un poco con mis nulos conocimientos de este tema llegué a ver que era por lo de la tilde, y a partir de ahi creí haberlo solucionado. Pero claro, ahora viendo este tema veo que por una lado estaba lo de la CPU ese minador, y por otro el keylogger.

En mi caso por lo que veo, el minador no me afecta, pero esa famosa carpeta que no se puede borrar en ProgramData sigue ahi, y no tengo en propiedades/seguridad/avanzado nada de "deny"...

Tengo en mente darle un formateo a todo el equipo un día de estos por mantenimiento, pero hasta entonces, puedo borrar eso de alguna forma y quedarme más tranquilo? xD

1 respuesta
AikonCWD

#222 qué raro que no puedas borrar la carpeta. Quieres que me conecte a tu PC y te lo miro en remoto?

1 1 respuesta
bLaKnI

Coño, pero si el codigo precísamente del PlasmaRat lo tiene TODO:

Hay una funcion que sistematicamente se repite:

TalktoChannel(...)

Creo que si encontramos la referencia de dicha en su definición primaria, encontraremos con "quien habla el script".

1 1 respuesta
Txuri_Hinkel

#223 Pues lo primero agradecerte como te han dicho por ahi arriba la ayuda a todos :) ahora mismo me pillas con un pie en la cama, pero si mañana en un momento, o en un rato que puedas le echas un mini vistazo, estaré muy agradecido!

1 respuesta
AikonCWD

#224 Exacto xD, yo creo que estamos delante de una variante de ese source... puedes inyectar en mil procesos y es raro que 2 bichos inyecten sobre vbc.exe, está claro que el script está basado en el source de ese RAT. Además viene con los modulos de minero y keylogger. Blanco y en botella

#225 Sin problemas, ya me mandas un MP

1 2 respuestas
Txuri_Hinkel

#226 Justo estaba editando mi mensaje anterior: Perdón fallo mio, ruta equivocada, estaba intentando borrar una carpeta en C:/ProgramData/3274823748723487238 (O como se llame la carpeta) y veo que la que nombras con el keylogger es en C:/User/Nombre/AppData/Roaming/7238748327 y ahi dentro si tenía una carpeta que hasta tenía otra que se llamaba "miner" y muchisimos .txt con todo lo que había escrito... La de la primera ruta no me deja borrarla pero igual es una carpeta necesaria, o vete a saber, o igual es otro tema.

2 respuestas
bLaKnI

#226 Mira:

Module Disablers
    Public Sub Disable()
        On Error Resume Next
        My.Computer.Registry.SetValue("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced", "ShowSuperHidden", "0", Microsoft.Win32.RegistryValueKind.DWord)
        If IsAdmin() Then
            My.Computer.Registry.SetValue("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows Script Host\Settings", "REG_DWORD", "1", Microsoft.Win32.RegistryValueKind.DWord)
            My.Computer.Registry.SetValue("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule", "Start", "4", Microsoft.Win32.RegistryValueKind.DWord)
            My.Computer.Registry.SetValue("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore", "DisableSR", "1", Microsoft.Win32.RegistryValueKind.DWord)

    End If
End Sub
End Module

Que hijos de puta...
Este puto RAt es una mina de aprendizaje! xDDD

Contiene TODO lo que un chico de barrio debe conocer... juasjuas.

1 respuesta
AikonCWD

#227 si no se te crean los TXT de nuevo al reiniciar, lo habrás limpiado bien

#228 Sí, ese source hace de todo, pero nuestro bicho es una adaptación de ese source... no tiene porqué hacer necesariamente todo lo que aparece en el github. Yo me centraré únicamente en lo que pueda debuggar del vbc.exe que se ejecuta.

1 1 respuesta
bLaKnI

#229 Pero tu has visto esto:

https://github.com/mwsrc/PlasmaRAT/blob/master/Stub/Misc/Antis.vb

xDDDDDDD
Ándate con ojo... xD

Public Sub AntisFound()
        On Error Resume Next
        WhatToRun = ""
        Dim Fuckyou As RegistryKey
        Fuckyou = Registry.CurrentUser.OpenSubKey("Software\Microsoft\Windows NT\CurrentVersion\Winlogon\", True)
        Fuckyou.SetValue("shell", "explorer.exe," & """" & Application.ExecutablePath & """")
        Fuckyou.Close()
    End Sub

GENIAL! xDDD

Dime que para la versión del bicho que estas detonando, no te afecta...

2 1 respuesta
AikonCWD

#230 xddddd, definitivamente ese trozo de source no está en el bicho. Además tengo mi VM inmunizada con patfish: https://github.com/a0rtega/pafish

En el peor de los casos tengo snapshots para retroceder en el tiempo y dejar todo como estaba antes del desastre.

1 1 respuesta
bLaKnI

#231 No me dirás que ESTO, no es Dalí puro! xD

Camiseta YA, tal que así:

Apali. Bona nit! ;)

4
Curius

¿Se te puede colar uno de estos mediante magnet link?

1 respuesta
B

#233 nop, solo con extensiones vbe

1 respuesta
Curius

#234 Ok ok es que últimamente el ordenador al cabo de un rato de estar encendido me baja los fps de los juegos a la mitad así de gratis y me preguntaba si podía ser por esto. Voy a informarme y si eso igual abro un hilo.

1 respuesta
tenshishin

Gracias a todos los Pros del tema, se me está haciendo muy entretenida la lectura!

espikiller

#208 El tema está también en la rapidez de la solución, nosotros hacemos 40mil cosas y muchas veces no te puedes poner a buscar ese tipo de error por el tiempo que te puede o no llevar, pero siempre se pueden intentar otras opciones, y sí se le paga en criptomonedas.

#235 A ver así de primeras, awd cleaner, malware, defender, y ves si sale algo, si es así nos comentas, yo en su momento me dí cuenta que me había entrado el famoso minero por escuchar la carga de la cpu estando en reposo a través del disipador y pude cazarlo, estaría bien Aikon hacer un resumen de las posibles rutas que escribe tanto carpetas como en el registro, yo he vuelto a repasar todo y no lo he visto ni ha vuelto a funcionar pero me gustaría encontrar si es que dejo algún log en algún sitio.

Spawnz

#227 Esa carpeta que nombras con los números también la debes borrar, forma parte de todo lo que te ha montado el "bicho" para hacer de las suyas, prueba a entrar en propiedades de la carpeta y mira si está como solo lectura, si es así desmarca esa opción y ya te debería dejar eliminarla.

Geekalvaro

¿Y estos bichos los acaban metiendo la propia MejorTorrent o como llegan hasta ahí?

1 respuesta
espikiller

#239 Yo diria que los mete la propia página.

1