Se procede a investigar el archivo con :
Nombre: 632.exe
MD5: CB099EC04BFE4E693F23D84D8F12B66E
Se ha procedido a descarga 4 muestras con
distintos navegadores para poder determinar la cantidad de muestras que se
despliegan desde la URL: NEXTEXPRESSCOMPANY.COM/253/632.EXE
Sólo se ha encontrado una muestra, que es el
hash MD5 referenciado al principio.
Hashes MD5 de las muestras descargadas
Se realiza un análisis estático de una de las
muestras, obteniendo datos tan interesantes como que el nombre oficial del
archivo es: Rope.exe, que internamente el fichero contiene a su vez otro
archivo como MD5: D40DBD523A7518315888457D013D0C3, así como algunos datos más.
Archivo examinado con “pestudio”
También cabe destacar a en la fecha en la que
se escribe este documento, que los motores de la sandbox de VirusTotal que
detecta dicho ejecutable como malicioso son 4 de 55, tal y como se puede
apreciar en la imagen anterior.
Más información:
https://www.virustotal.com/en/file/666c728d093b39e796508d652a90fe75c9e636d307ab23ed921f542d1a4a983a/analysis/
El archivo que contiene el fichero a examen se
encuentra ubicado en la posición: 0x00020000, y ocupa 62535 bytes
Datos sobre el archivo incluido en el fichero a examen.
Las librerías incluidas en el fichero son
descritas en la siguiente imagen:
Se procede a ejecutar una de las muestras en
un equipo controlado.
1.- DDL llamadas en ejecución
DLLs que llama en
tiempo de ejecución
2.- Operaciones del proceso
En el entorno donde se ha lanzado la
ejecución, NO se ha detectado crea ningún proceso hijo.
La no ejecución pudiera ser provocada por la
posible detección por parte del fichero a examen de su ejecución en un entorno
virtualizado.
3.- Operaciones en el registro de Windows
Información leída del registro
4.- Operaciones de red
Se detectan varias comunicaciones salientes
hacía varias direcciones distintas de Internet. Estás conexiones no utilizan
protocolo HTTP/HTTPS, sino que se fundamentan exclusivamente en conexiones TCP
mediante sockets creados directamente por el fichero a estudio.
Ninguna petición HTTP detectada
Conexiones NO TCP detectadas -2
Se detecta también que si una conexión no
responde o responde de manera inadecuada, se solicita un intento de conexión
hacía otra IP almacena en el propio fichero a examen.
Flujo TCP establecido con la dirección IP: 62.210.214.106
Se prueba a conectar con el servidor ubicado
en la IP: 62.210.214.106, a través del puerto 448, obteniéndose como respuesta
código html.
Si utilizamos un navegador para realizar tal
petición obtenemos la siguiente respuesta.
Si realizamos la misma operación pero
utilizando el protocolo HTTPS, obtenemos la siguiente respuesta.
Conexión con el servidor 62.210.214.106 por el puerto 448 mediante un
navegador estándar y utilizando el protocolo HTTPS.
Si intentamos conectarnos con las otras dos
IPs de la misma manera que acabamos de hacer nos encontramos que dichas IPs no
responden a nuestra petición.
Conexiones Telnet contra la otras IPs detectadas
Solicitamos información sobre el propietario
de la IP: 62.210.214.106, obteniendo como resultado el nombre de una empresa de
hosting francesa.
Información sobre la IP 62.210.214.106
No hay comentarios:
Publicar un comentario