lunes, 29 de junio de 2015

Análisis del "BLA176035.doc"

Se procede a analizar los archivos con nombre: BLA176035.doc, detectados y analizados por nuestro sandbox el día 29/06/2015.

Estos archivos tienen los siguientes hashes:

MD5 Hash Identifier: 6BB2B8DC2129AD62BA459797C8544FF3
MD5 Hash Identifier: 45A985C06FB2F1F10BF18AE4DE20F2DC
MD5 Hash Identifier: F5B7CFEBE23B6DBD9AE17AE42CB0541D

Son detectados como archivos de textos, más concretamente:

File Type: Composite Document File V2 Document
Os: Windows, Version 6.1
Name of Creating Application: Microsoft Office Word
Create Time/Date: Mon Jun 29

, y en todos los casos el tamaño del archivo es el mismo: 67072 bytes.

NOTA:
Se busca información sobre estos hashes en otras sandboxs. De las referencias encontradas se suministra la información reportada por la archiconocida “VirusTotal”:

---

Entre la información aportada por nuestro sandbox y obtenida tras la ejecución de los archivos de MSWord, nos quedamos con las llamadas realizadas hacia Internet.

Estas llamadas son las siguientes:

DEV.SEASONSBOUNTY.COM/543/786.EXE
TRYNOTTOBREAKIT.CO.UK/543/786.EXE
FLATFOURANDSIX.CO.UK/543/786.EXE

Se realiza un intento de descarga de los ejecutables solicitados (786.exe), comprobando que todas las URLs se encuentran activas.

Todas las solicitudes de descargas

 Descarga desde el dominio: dev.seasonsbounty.com


Descarga desde el dominio: trynottobreakit.co.uk

Descarga desde el dominio: flatfourandsix.co.uk

Se aprecia que los dominios solicitados manejan las siguientes direcciones IP:

  • 88.208.252.210
  • 88.208.252.211
  • 88.208.252.212

Se comprueba que el rango correspondiente a las IPs: 88.208.252.0/24, se ubican en UK y son administradas por la misma entidad


Información sobre las direcciones IPs

Se busca información sobre el dominio: DEV.SEASONSBOUNTY.COM, comprobando que dicho dominio se registró en USA

Información del dominio: DEV.SEASONSBOUNTY.COM

Se busca información para el dominio: TRYNOTTOBREAKIT.CO.UK, comprobando que dicho dominio se registró en UK

Información sobre el dominio: TRYNOTTOBREAKIT.CO.UK

Se busca información para el dominio: FLATFOURANDSIX.CO.UK, comprobando que dicho dominio se registró en UK

Información sobre el dominio: FLATFOURANDSIX.CO.UK

NOTA: Solicitada de nuevo la descarga de los distintos archivos 786.exe, se ha comprobado a día 29/06/2015, a las 14:04, que los ejecutables vinculados con los dominios: DEV.SEASONSBOUNTY.COM y TRYNOTTOBREAKIT.CO.UK, han sido eliminados.

Se determina que todos los archivos descargados son el mismo, por analizaremos un solo archivo. Estos archivos tiene el siguiente hash MD5: 65520ECD513C8B8B75F601AA2E69AEEF

MD5 de los archivos descargados

Se procede a lanzar la ejecución del archivo en un entorno controlado, es decir, nuestra sandbox. Obteniendo como resultados significativos los siguientes datos.

Actividad en el registro

Se lee el contenido de las siguientes claves del registro.


 Actividad de red



Se investiga la dirección IP: 78.47.139.58, determinándose que dicha IP se encuentra ubicada en Alemania. Repasando la información obtenida todo apunta a que nos encontramos con un hosting de dominios.

Información sobre la dirección IP: 78.47.139.58

Se analiza la conexión establecida, determinándose que dicha conexión NO utiliza el protocolo HTTP, que envía la información de alguna manera cifrada y que el puerto destino es el 843/TCP.

Comunicación dirigida hacía la dirección IP analizada.


Información enviada

De hecho se ha procedido a establecer comunicación a través del cliente Telnet, pudiendo conectar con el servidor.

Conexión establecida contra la dirección IP: 78.47.139.58


Conclusión

Como conclusión podemos decir que esté último archivo recoge información que envía a un destinatario de manera cifrada, a través de un canal no cifrado, y mediante un puerto TCP no habitual.

De interés también es comprobar que la comunicación se basa en protocolo de capa 4 (TCP).