Análisis de un malware de infección automática, caso @Hack_x_Crack – Parte I

DragonJAR 336x280 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

Hace unos días me encontraba revisando mi TimeLine en twitter cuando un anuncio de los amigos @hack_x_crack donde promocionaban un nuevo cuadernos sobre algoritmos y estructuras de datos llamó mi atención, al entrar en el enlace que proporcionaban, el NoScript me advirtió de la ejecución de un posible código JAVA, al investigar un poco el caso y revisar el código fuente de la pagina, me encontré con un iframe bastante sospechoso.

Hack X Crack Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

El iframe malicioso cargaba tan pronto entrabamos a la web de Hack X Crack e inmediatamente avisé a los administradores de la comunidad para que solucionaran el problema, ya que muy seguramente se trataba de un ataque automatizado que explotaba algún fallo en alguno de sus servicios o aplicaciones web para poder añadir este iframe e infectar el mayor numero de personas silenciosamente (me niego a creer que fuera puesto intencionalmente)..

Hack X Crack1 300x51 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I(click para agrandar)

Afortunadamente la rapida y eficiente reacción de overload, puso fin a esta amenaza en menos de media hora para luego pasar a recomendar a sus usuarios revisar a fondo sus equipos por si fueron infectados por el . Después de este susto nuestro amigo @seifreed me propuso que analizaremos este malware y al ver que era poco detectado decidimos hacerlo, comenzamos con el con el applet malicioso en Java que se ejecutaba tan pronto ingresábamos a la web de HackXCrack, sin saber hasta donde llegaríamos con este tema… (aún no lo sabemos jejeje)

Así que para iniciar analizando el Java pasamos a descargarlo y descompilarlo para ver que es lo que hacia el archivo Alakazam.jar.

java decompiler 1 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

Después de una rápida revisión del código llegamos a la conclusión que se trata de un downloader (bastante silencioso por cierto), cuya tarea principal era descargaba de un servidor un ejecutable malicioso y ejecutarlo en el sistema.

Codigo Java Análisis de un malware de infección automática, caso @Hack x Crack   Parte I(Click par ver código)

El applet malicioso tiene muy poca detección como nos muestra el reporte de VirusTotal

jar virus total1 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I(click para ver reporte de virustotal)

Al entrar directamente a la web donde estaba hospedado el applet de Java, te ofrecía para la descarga directa un archivo llamado Updater.exe, cambiaba de nombre con cada petición directa a la pagina, pero el hash del archivo era el mismo en las pruebas hecha lo que posiblemente sea indicios de una posible prueba del delincuente para infectar con variantes diferentes a cada visitante en un futuro y dificultar las tareas de las casa antivirus.

Seifreed se encargó del análisis dinámico de este ejecutable y para esto decidió bajarlo con curl, descubriendo que estaba alojado en smallfiles, un servicio de alojamiento de ficheros gratuito tipo megaupload.com, no es la primera vez que los creadores de malware utilizan servicios de alojamiento para hospedar malware estos han sido utilizados ampliamente por las mafias de malware por el anonimato ofrecido (no es necesario crear una cuenta en hosting gratuito, o comprarlo con una CC robada, ni de vulnerar un servidor ajeno para alojar el malware en el).

Una vez Seifreed consigue una copia del binario, también lo subimos a VirusTotal para ver cuantos antivirus lo detectaban.

the same1 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I
(click para ver informe de virustotal)

Aunque la detección era mas alta que la del applet java, este no era detectado ni por la mitad de motores antivirus que soporta virustotal, esto puede ser debido a que hayan implementado algún tipo de protección en el binario y pasamos a revisarla.

peid v 0.951 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

Con peid podemos comprobar si el malware contiene un packer y como suponíamos en este caso se contaba con uno, posible causa de la pobre detección por parte de los motores antivirus.

Al ejecutar el archivo malicioso en un entorno controlado, nos dimos cuenta que realizaba varias conexiones a un dominio intentando descargar algo de el..

sogun Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

Si echamos un vistazo a los puertos del servidor al que realiza las peticiones, encontramos que cuenta con muchos servicios arriba y varios fallos de seguridad, posiblemente sea un servidor con un uso legitimo que los delincuentes han vulnerado para hacer uso de el ..

nessus Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

Y revisando un poco mas el server al que hacia la petición, incluso podríamos acceder por Terminal Server (si quieres probar los ataques de fuerza bruta, o explotar el fallo de seguridad detectado en nessus puedes intentarlo bajo tu responsabilidad)

rdp Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

Volviendo a la parte del binario, y a las peticiones DNS hacia el dominio que realiza una vez que es ejecutado

sogun2 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

Notamos el siguiente comportamiento del binario tan pronto realiza las conexiones remotas, primero hace una copia de si mismo en varias carpetas del equipo y asegura su ejecución futura en el sistema.

image0191 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I registro Análisis de un malware de infección automática, caso @Hack x Crack   Parte I

Comprobamos con VirusTotal (msdcsc.exe y Updater.exe)que los archivos generados eran los mismos y que no tratamos con un malware polimórfico, arrojando como resultado que efectivamente tienen el mismo hash MD5 y se trata del mismo binario.

the same3 Análisis de un malware de infección automática, caso @Hack x Crack   Parte I
Ver informes de virustotal (msdcsc.exe y Updater.exe)

Este a su vez descarga otro ejecutable de internet que analizaremos mas adelante, pero en esta primera parte solo veremos un fragmento del primer análisis realizado, en la segunda entrega realizaremos el unpack del ejecutable y analizaremos tanto la copia descargada inicialmente por el apple de java, como la que el ejecutable baja después de estar en el sistema.


Si te ha gustado el post, compartelo y ayudanos a crecer.

Unete a nuestra Fanpage Siguenos en Twitter

Autor: DragoN

Ingeniero en Sistemas y Telecomunicaciones de la Universidad de Manizales. Information Security Researcher con más de 10 años de experiencias en Ethical Hacking, Pen Testing y Análisis Forense. Docente Universitario en Pre y Post-Grado, Speaker y Organizador de diferentes eventos de Seguridad Informática, Fundador del DragonJAR Security Conference y Fundador de DragonJAR SAS y de La Comunidad DragonJAR, una de las comunidades de seguridad informática mas grandes de habla hispana y referente en el sector.

Compartir este Artículo
  • Chuchonea

    Esta bueno el tema, pero opino que para las personas que estamos aprendiendo, también seria Bueno saber que herramientas usaron para el análisis, ya que no tas las fotos muestran el nombre de la herramienta. Igualmente no deja de ser bueno este post

  • http://www.systemswtsecurity.net/ swtsecurity

    Excelente análisis.

  • http://SitioWeb(opcional) Hèctor

    increíble eso algo bien elaborado

  • http://- Ezequiel

    Excelente analisis!! Estaria bueno saber como se metio el malware. Pregunta que herramientas utilizaron para el analisis del malware?

  • crabax

    Tengo una duda, ¿cómo es que el applet se ejecuta automaticamente sin mostrar ningún aviso?

  • Pingback: Bitacoras.com

  • wilmer

    y habia mucha propaganda en la pagina

  • Sot19

    Que interesante análisis, me pregunto qué motores antivirus detectaban el malware, hubiera sido bueno que lo mencionaran.

  • Edgardo Ramo

    Ahora entiendo, yo quize descargar ese cuadernillo y por mas que intente no pude y me genero la idea que algo andava man. Ahora se que tengo que analizar mi PC. Muchas gracias por la informacion!!

  • Kevin J

    Que buen post! DragoN y qué dice la gente de hackxcrack al respecto? jeje, salu2!

    • http://www.dragonjar.org DragoN

      Reaccionaron muy rapido resolviendo el problema Kevin, lo que no sabemos es desde cuando estaba ese iframe ahí

  • 3L3CTR0N

    Excelente post! Espero la segunda parte, lo que me intriga ahora es como llego ese malware ahi? Yo ando por ese foro, soy de la comunidad, entro todos los dias xD Y este asunto me ha generado cierta desconfianza…y aun no han explicado en detalles el incidente :-/

    Gracias por avisar de esto y por el analisis.

    Saludos!

  • coco

    Eso si no se save Dragon espero que unos de los administradores publique mas detalles saludos y por sierto buen post.

  • http://warhxc.dcprojects.net kid_goth

    Pues a mi nunca me dio ese problema y es un tanto raro o bueno espero que xD…. ahora de seguro hxc y/o sus admins nada tienen que ver si es lo que piensan algunos… y bueno esperar a ver como fue que se infecto la web… Saludos y Excelente Analisis

  • cukz

    Hola,

    Que herramienta has usado para ver los cambios que hace el malware en el sistema (registro,files,etc)

    Gracias

  • http://www.wirelesspuno.com Igoryto

    Excelente Post, se paso Mister Jaime(Dragon)… que buen analisis… nos tenia un poco abandonados por aqui por los buenisimos y constantes eventos en los que participa…

  • Lor-Enzo

    Gracias por la info!

  • http://seifreed.com Seifreed

    Buenas,

    No lo pusimos en el artículo pero las herramientas que se usaron fueron,

    Wireshark, para la parte del escaneo de red,
    http://wireshark.org
    JD-Gui, para realizar el análisis del archivo Java malicioso
    http://java.decompiler.free.fr/?q=jdgui
    PEID para saber con que packer está empacado http://www.peid.info/
    Nessus para la parte de escaneo de vulnerabilidades
    http://nessus.org
    Install rite para ver los cambios que se han producido tanto registro como en archivos
    http://www.softpedia.com/get/System/System-Info/InstallRite.shtml

    Saludos!

    • Malakai

      Buenas

      Genial artículo Dragon y gracias @Seifreed por la lista de herramientas, me faltaba la que usaron para detectar cambios en el sistema de ficheros y en el registro y la has dicho.

      ;)

    • http://www.e-videncia.com.ar Mario

      Excelente post, y muy buen aporte Seifreed

  • http://hackxcrack.es mrobles

    Bastante bueno es post pero te aclaro unas cosillas, el iframe anduvo 3 días de los cuales se supo que era malicioso mínimo 2,5 que yo sepa puede que hasta los 3 por lo que no tan fue rápido.
    Overload no fue el descubridor aunque creo que informo u observo a el apartado del Staff que se encarga de ello.
    Y bueno por ultimo claro esta que fue un pequeño fallo no intencionado pero no debido a el nuevo cuaderno sino al remodelamiento de el tema del foro.

    Bueno Salu2
    Mrobles

  • TioSam

    Eso es un exploit kit…

  • RodrigoT

    muy buen analisis, excelente…