jueves, 8 de octubre de 2015

Hook Analizer -  Malware & Cyber Threat Intelligence.



En el siguiente post voy a presentar y la herramienta de nuestro amigo Beenu Arora, la cual lleva el nombre de Hook Analyser. Esta herramienta tiene como objetivo realizar análisis estático y dinámico, de aplicaciones sospechosas (malware), por otra parte también recopila datos de fuentes de internet con el fin de establecer una relación con nuestra malware de prueba.

Hook ha llevado una linea de evolución y ha optado por disponer de mas características con respecto a sus últimas versiones, la cual nos brinda información y un mapeo de inteligencia de amenazas cibernéticas.
En el transcurso del post vamos a disponer de un malware para poder observar las opciones de análisis que nos brinda la herramienta Hook Analyser.

El nombre que se utilizará a continuación lleva el nombre de  usage.exe, este ejecutable malicioso será sometido a las cualidades de nuestra herramienta Hook Analyser. Sin mas detalles a continuación detallaremos las características que posee la herramienta con su respectivo ejemplo basándonos en el malware usage.exe.



Antes de comenzar con el análisis de nuestra muestra de malware es necesario ver si cuenta con alguna clase de compresor.



A continuación procedemos a su respectiva descomprensión con ayuda de UPX.



El ejecutable obtenido durante este proceso lleva el nombre de usage2.exe, el cuál será que se someta a nuestra herramienta Hook Analyser.

A continuación vamos a detallar algunas de las funciones que dispone la herramienta que vamos a utilizar en este post.



Spawn and hook to Applicaction.


Esta característica permite que el analista pueda generar una aplicación y también un gancho(hook) en la misma. El modulo de flujo es el siguiente.

  1. Validación PE (Proceso de ejecución)
  2. Análisis de malware rápido basado en método estático.
  3. Opciones alternas (como búsqueda de un patrón o un volcado global)
  4. Tipo de enganche (automática, inteligente o manual)

Una vez que se especifica una aplicación, la herramienta llevará a cabo un análisis estático rápida para identificar cualquier anomalía rastros de malware.






[1] Spawn and Hook to Application :
[*] Exe name with path. Ex: "c:\test.exe" : usage2.exe



Conforme la herramienta se va ejecutando nos brinda información que nos puede ser de gran utilidad al momento de querer utilizar un debugger. Como podemos observar la hook nos brinda una opción posible de un anti-debugger presente.




Posteriormente podemos observar diversas clases de información como por ejemplo presencia de shellcode , direcciones Ip Hardcodeadas, listas de cadenas y una variedad de datos alternativos.

En nuestro caso podemos observar que existe una dirección URL harcodeada en el archivo ejecutable, el cual es la dirección con referencia a facebook. Es obvio que podemos deducir que el malware tiene como uno de sus objetivos cuentas de facebook.



Perform Static Malware Analysis.



Scans PE/Windows executables to identify potential malware traces

Escanea ejecutables PE/Windows para identificar los posibles rastros de malware. Dicha opción ha heredado muchas cualidades de la opción anterior.

La ventaja de esta opción es que nos crea un archivo txt con información muy importante sobre el ejecutable.




Podemos observar que disponer de la dirección donde se encuentra el archivo malware . En muchas ocasiones el malware comparte lugar con el  panel de control, en donde llega toda la información capturada por dicho malware.

También en el reporte vamos a obtener información sobre las dll que son importadas por nuestro pequeño archivo ejecutable.





Cyber Threat Intelligence.



Esta opción también se puede ejecutar de manera independiente con el ejecutable TheatIntel.

Módulo de Inteligencia de amenaza cibernética.

En opciones anteriores pudimos obtener una dirección url, de la cual hemos podido obtener una dirección IP , la cual la añadiremos en el archivo intelligence-ipdb de la carpeta feeds.




También podemos obtener direcciones URL que se encuentran asociadas al malware.



Finalmente vamos a obtener información detallada de cada URL asociada a nuestra muestra de malware, como podemos observar a continuación.



Nota : Si disponemos del archivo pcap de previos análisis vamos a poder obtener disponer de un diagrama general del sobre los host que se encuentran relacionados con el malware.




Podemos observar que la dirección la cual hemos podido obtener con el análisis que hemos realizado al archivo usage2.exe le pertenecer a un centro de control de una Botnet Pony.



La botnet Pony ha sido identificada como la fuente de otros ataques recientes, entre los que figura el robo de alrededor de 2 millones de credenciales de sitios como Facebook, Google y Twitter. Sin embargo el ataque más reciente es único debido a su alcance y su objetivo, los monederos virtuales con Bitcoins y otras monedas digitales como Litecoins y Primecoins.



En primer instancia podemos observar la cantidad inmensa de password con referencia a diferentes cuentas de los bots que forman este botnet.

Prosiguiendo podemos observar la distintas cuentas de correo secuestradas por el malware y enviados al centro de control. Entre las victimas tenemos cuentas de Outlook , Thunderbird y IncrediMail.


Pony Control Panel written in Russian Language.




En esta centro de control podemos observar el secuestro de varias cuentas tanto de facebook, yahoo, google, etc.

Otra cualidad de esta botnet es de proporcionar una amenaza que tiene a las billeteras en linea, sus  blancos incluyen a Bitcoin, Litecoin, MultiBit, Namecoin, Terracoin, Primecoin, Feathercoin, NovaCoin, MegaCoin, Digitalcoin, Zetacoin, etc.




 Bueno hemos llegado al final del post, espero que esta información sea de utilidad a los lectores de este pequeño blog.


Me gustaría pedir disculpas por la falta de atención que he tenido hacia mi blog, prometo poder realizar mas post de manera mas recurrente, espero su comprensión y me despido con un gran saludo hacia todas esas personas que leen estas pequeñas y humildes lineas de información referente al mundo de la informática. Bueno me despido y será hasta la próxima.