lunes, 7 de marzo de 2016

Analizando "S4T4n B0tn3t" - Parte 2

Continuamos con el análisis.

En el trozo de código que se muestra a continuación se define una variable de tipo "Shell" que permite recuperar el acceso al contenido de las siguientes carpetas y archivos, por parte del administrador:

%systemdrive%\kernel - c:\kernel
%systemdrive%\security- c:\security
%alluserprofiler%\ - c:\ProgramData\
%systemRoot%\System32\wscript.exe - c:\Windows\System32\wscript.exe
%systemRoot%\System32\drivers - c:\Windows\System32\drivers
%systemRoot%\System32\drivers\flopydisk.sys - c:\Windows\System32\drivers\flopydisk.sys
""%systemdrive%\system Volume Information - c:\system Volume Information

Así como definir los permisos para las anteriores carpetas o archivos.

Modificación de permisos

En el trozo de código que se muestra a continuación se modifican los valores de las siguiente claves de registro, colocando en ambos casos el valor "0":

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\disabletaskmgr = 0

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools  = 0


Modificación del registro de Windows

En el trozo de código que se muestra a continuación se crea un archivo en la carpeta "Temp" del usuario con el que se ejecuta este código, con el nombre: tmp.bat. Posteriormente el archivo por lotes se ejecutará y se eliminará.

Contenido del archivo tmp.bat

Para ser más legible, se muestra una imagen del archivo por lotes: tmp.bat


Imagen del archivo: tmp.bat


Este archivo comprueba la existencia dentro del archivo "C:\security\blood.dat" de los delimitadores definidos por el sistema, si la cantidad encontrada supera los 18, entonces no se realizada nada. Por el contrario, se pasa a:

1.- Establecer un icono para los archivo de tipo ".vbe", mediante:

HKCR\VBEFile\DefaultIcon=%SystemRoot%\system32\shell32.dll,1

2.- Copia a la carpeta temporal del usuario todos los archivos con extensión ".vbe" ubicados en:

                A.- c:/kernel
                B.- El propio archivo ejecutado por el usuario.

3.- Se camufla el archivo ejecutado ubicado en la carpeta temporal mediante la ocultación y la declaración del archivo como archivo del sistema.

4.- Se comprueba que realmente existe el archivo anterior en la carpeta temporal. Si no existe se finaliza la ejecución del archivo por lotes.

5.- Se elimina de todas las unidades detectas en el sistema el archivo "config.dat"

6.- Se crean los siguiente directorios:

                A.- c:\security
                B.- c:\security\lpt1
                C.- c:\kernel
                D.- c:\kernel\lpt1

7.- Se camufla los directorios creados anteriormente mediante la ocultación y la declaración del archivo como archivo del sistema.

8.- Se elimina el contenido de los directorios: "c:\kernel" y "c:\security"
9.- Se copia en los dos directorios anteriores el archivo que ha sido lanzado por el usuario
10.- Se elimina de la carpeta temporal el archivo cuyo nombre es igual al nombre del archivo que ha ejecutado el usuario.
11.- Se renombrar los archivos copiados en el punto 9, por los nombres: r00t3r y blood.dat. Siendo el primero de ellos camuflado mediante los procedimientos vistos anteriormente (ocultando el archivo y declarándolo del sistema)
12.- Se procede a registrar todos las librerías y ejecutables ubicados en la carpeta "c:\windows\wbem"
13.- Se procede a configurar el servicio "TermService" para que se inicie de manera automática


En el trozo de código que se muestra a continuación se crea un archivo en la carpeta "Temp" del usuario con el que se ejecuta este código, con el nombre: tmp.vbs. Posteriormente el archivo por lotes se ejecutará y se eliminará.

Contenido del archivo tmp.vbs - 1º parte

Contenido del archivo tmp.vbs - 2º parte

Para ser más legible, se muestra una imagen del archivo tal y como quedaría: tmp.vbe

Contenido del archivo tmp.vbe

Este realizará lo siguiente:

1.- Crea en la carpeta temporal del usuario un archivo denominado: b.bat

2.- Comprueba la existencia de carpetas compartidas en el host, y por cada una de ellas se almacena en el archivo creado anteriormente las cadenas mostradas a continuación.

Es decir, por cada recurso compartido, elimina cualquier vestigio de archivos con extensión ".vbe", copia el archivo; "blood.dat", ubicado en la carpeta: "C:\security" en el recurso compartido, y renombrar el archivo como: "Update.dat", ocultándolo y dándole atributos del sistema

NOTA: Dicho archivo se ejecutará como última tarea del archivo: tmp.vbe


Recursos compartidos del host

Contenido del archivo b.bat


3.- Tras la inserción de las líneas de código, se procede a eliminar todo tipo de archivo: "de acceso directo"

4.-  Se pasa a crear un acceso directo bajo el nombre: "Mariage.lnk", que ejecutará el archivo: "update.dat" almacenado en el recurso compartido.

Conclusión: Este último archivo: tmp.vbe, es el encargado de propagar la infección de manera transversal, mediante el uso de unidades compartidas ( través de la red).


No hay comentarios:

Publicar un comentario