martes, 1 de septiembre de 2015

Gracias a un blog de seguridad analizamos BTIESTE.ZIP

En un blog de seguridad, se habla de la URL: 5.175.145.181/ljurbg/btieste.zip (MD5: 69cdb6a190fdf47430978ca795c43c4e).

Se comprueba que el archivo sigue disponible en la web, por lo que se procede a su descarga.

Se comprueba que el archivo descargado es exactamente un archivo .zip, pero que el contenido del mismo, que resulta ser un archivo con extensión .txt (pirjmfr32.txt, MD5: 0192e031501719952f395559b0aad14e) es un ejecutable para sistemas Windows.


Tipos de los archivos descargados.

Se realiza un análisis estático del archivo con extensión “.txt”.

En este caso, una imagen vale más que mil palabras.

Análisis estático del archivo con extensión .txt

De la información obtenida, resultan llamativas ciertas funciones que utiliza, que en un primer momento nos dicen que este ejecutable recoge información del host y la envía hacía algún destino en Internet, aunque no se puede descartar nada.

Muestra de funciones utilizadas por el ejecutable

Las cadenas detectadas en el archivo, nos ponen más alerta aún.

Algunas cadenas significativas.

Para finalizar el análisis estático, comentar que todo apunta a que este archivo contiene embebido uno o varios archivos más. De ahí podríamos explicar el tamaño excesivo del archivo.

Tamaño del archivo

Indicadores que alertan sobre la existencia de uno o dos archivos embebidos.

Se procede a introducirlo en una sandbox para que se analice su comportamiento de manera dinámica. Obteniéndose los siguientes datos:

Valoraciones según el comportamiento. Visión generalista.

Valoraciones más concretas del comportamiento.

Archivos creados por el ejecutable

NOTA: El MD5 no concuerda con los analizados de manera estática.

Operaciones de archivos detectadas

NOTA: El ejecutable crea el archivo “aut2.tmp” en la carpeta temporal asociada al usuario que lanza el ejecutable investigado, el cual será posteriormente copiado a: “C:\Program Files\...\Temp\UAuHGTiCrEUenjTYfleBGEeNEg”.

Así mismo, busca en el sistema de archivo la existencia de varios archivos para dictaminar si dicho hosts ya se encuentra infectado o no, así como la existencia de los AV; Avast y AVG.

Actividades en el Registro de Windows

NOTA: Lo más significativo es que el archivo ejecutado se cuela en el proceso de inicio del sistema.

Actividades del proceso asociado al ejecutable.

NOTA: Busca información sobre las variables del sistema así como los procesos que actualmente ejecuta el sistema.

En relación a las actividades de red, se utiliza una sandbox preparada para la recolección de dichos datos.

Se produce una conexión con la URL: hostbemore.com/count/post.php

Conexión tras la infección

Buscando información del dominio nos encontramos con:

Información del dominio
































Información del dominio

ANEXO 1

Se ha procedido a determinar el tipo del archivo de nombre: “UAuHGTiCrEUenjTYfleBGEeNEg”. Encontrándose que dicho archivo contiene exclusivamente datos

Tipo de archivo

Conclusión

En vista de lo anterior, en nuestros sistemas deberemos mitigar las visitas a las URLs:

5.175.145.181/ljurbg/btieste.zip
hostbemore.com/count/post.php

,y los archivos con MD5:

69cdb6a190fdf47430978ca795c43c4e
0192e031501719952f395559b0aad14e
4751f68dc7fc4ba8bf8b5cd0d286bdf5


No hay comentarios:

Publicar un comentario