Forensic Challenge 2010 – Tercer desafío forense (3 de 3)
8. Si pudiésemos extraer los archivos sospechosos de un proceso, ¿reconocería algún producto antivirus los archivos sospechosos? ¿Cuál es el resultado general de los productos antivirus?
Usando malfind, un plugin para Volatility, podemos extraer todos los ejecutables de los procesos que corrían en el ordenador de la víctima.
python volatility malfind2 -f Bob.vmem -d out
A estas alturas no vamos a remitir el resultado a Virustotal puesto que (afortunadamente) hace bastante tiempo que este malware está identificado. En su lugar os voy a poner el link del análisis de uno de los participantes para que comprobéis el resultado:
9. ¿Hay alguna entrada de registro asociada con el payload?
Una de las entradas de Google al hacer la búsqueda en el apartado 7 nos conduce a microsoft:
http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=PWS:Win32/Zbot
Este enlace nos proporciona mucha información técnica del troyano, y entre esta información encontramos las claves de registro que suele modificar este malware:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Valor añadido: "userinit"
Datos: "<system folder>\userinit.exe,<systemfolder>\<malware file>"
Usando Volatility de nuevo podemos ver si este valor estaba en el ordenador infectado; para ello necesitamos otro plugin de Volatility, Registry Tools (http://moyix.blogspot.com/2009/01/memory-registry-tools.html) y usar tres comandos:
python volatility hivescan –f Bob.vmem
Explicación:La opción hivescan nos permite encontrar las claves de registro del fichero analizado.
python volatility hivelist –o 44658696 –f Bob.vmem
Explicación:La opción hivelist nos permite listar ciertas claves de registro; la opción -o nos permite especificar el offset sobre el que hacerlo.
python volatility printkey -o 0xe1526748 -f Bob.vmem Microsoft "Windows
NT" CurrentVersion Winlogon
Como vemos, la entrada de registro muestra exactamente lo especificado en la web de Microsoft.
10. ¿Qué técnica esó el exploit inicial para inyectar código en los otros procesos?
Hemos asumido que winlogon.exe es infectado inicialmente por Zeus. También hemos visto que los volcados de los procesos contenían el string
Ahttps://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
Esto nos puede llevar a asumir que el malware Zeus está infectando cada proceso del sistema. Trazando una línea de tiempo, podemos asumir que el ejecutable Zeus es descargado y ejecutado desde la URL http://search-network-plus.com/load.php?a=a&st=Internet Explorer 6.0&e=2 .
La confirmación nos llega del análisis antivirus del archivo extraído (apartado 8).
Esto confirma que el archivo ejecutable fue descargado por el exploit desde el espacio de direcciones del proceso Acrobat Reader. Posteriormente fue ejecutado infectando al archivo winlogon.exe y modificando el registro para lanzarse en los reinicios e inyectándose a sí mismo en el espacio de direcciones de cada proceso. Esto podría ser útil para robar las credenciales del usuario mientras navega (una de las características de Zeus es que recibe ficheros de configuración encriptados en los que decidía qué dominios eran monitorizados durante la navegación del usuario).
Y con esto termina el desafío forense número tres, que en esta ocasión nos ha permitido observar la peligrosidad de uno de los troyanos más temidos: Zeus.
Comparte este artículo
Comentarios (0)