Javascript ofuscado ¿Qué hacemos?

En la última charla que di en la HighSecCon II siempre comento lo complicado que resulta a veces analizar según que datos en según que escenarios.

Una de las cosas que son complicadas es analizar el código ofuscado de las inyecciones de troyano, o el código ofuscado de un kit de explotación o de un simple HTML que te haga un redirect hacia otra página etc…

Mi amigo @NaxoneZ me ha echo forward de un mensaje que le ha llegado por LinkedIn. El mensaje solo contenía una URL por lo que ya parece sospechoso, sospechoso.

Esta era el mensaje de LinkedIn:

email

El mensaje de LinkedIn es legítimo, lo único que la URL pues, evidentemente se tratará de algo malo, nadie suele enviar solo URL’s jajaja.

Antes de nada, vamos a comprobar que el HTML de esa página sigue activo.

Con un curl, podremos comprobar el estado:

darkmac:pruebas marc$ curl -I http://www.portaldj.vsi.ru/spited.html

HTTP/1.1 200 OK

Date: Sun, 17 Nov 2013 21:50:06 GMT

Server: Apache/2.2.14 (Unix) mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/4.4.9

Last-Modified: Tue, 05 Nov 2013 23:15:51 GMT

ETag: “51efb-204-4ea7636b2a147”

Accept-Ranges: bytes

Content-Length: 516

Content-Type: text/html

Como veis arroja un 200!!

Ahora lo que podemos hacer es descargar el HTML para ver el contenido antes de acceder siempre desde una sandbox por supuesto.

Descargamos el HTML con un wget, por ejemplo y abrimos el HTML con nuestro editor favorito:

js

Como veis, no hay quien entienda lo que hace ese código, además de que no está nada identado, por lo tanto tampoco se le puede seguir la lógica, lo primero que se podría hacer es tratar de identar el código. Una buena herramienta que nos puede ayudar a eso es JSBeautifer, copiamos el código y lo pegamos en la web de JsBeautifer para que quede bien puesto:

js1

Queda un poco mas legible, vamos a colocarlo en nuestro editor favorito:

js2

Es un buen momento para señalar que, aunque hemos usado JsBeautifer para identar el código, no significa que a priori sepamos lo que hace realmente el malware.

Vamos a acabar aquí ahora, en la segunda parte veremos mas cosas


Autor: Seifreed

Formado en un equipo de lucha contra el fraude. He trabajado implementando la protección y prevención del fraude en varios clientes dentro del sector bancario nacional e internacioal. Mi trabajo consiste en encontrar soluciones a los problemas actuales y futuros de las entidades financieras respecto al código malicioso y el fraude. Especialidades como el análisis de malware, análisis forense, ingeniería inversa o tareas de hacking ético, forman parte de mis tareas diarias. Soy ponente ien eventos nacionales (No cON Name, Owasp, Navaja Negra) e internacionales (DraonJAR CON - Colombia). Soy profesor asociado en La Salle enseñando el curso MPWAR (Master in High Performance Web Programming) y el máster de ciberseguridad de La Salle (MCS. Master in Cybersecurity) Miembro de asociaciones y grupos de research como la HoneyNet Project, Owasp, SySsec etc.. También soy el organizador de las conferencias Hack&Beers en Barcelona

Compartir este Artículo

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES