RATDecoders, service MalwareConfig & plateforme Viper

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

RATDecoders, service MalwareConfig & plateforme Viper

Message par ѠOOT » 16 janv. 2015 16:15

Bonjour,

RATDecoders permet de décoder les configurations des RATs : Adwind, Albertino Advanced RAT, Arcom, BlackNix, BlackShades, Blue Banana, Bozok, ClientMesh, CyberGate, DarkComet, drakddoser, DarkRat, Graeme, jRat, LostDoor, LuxNet, njRat, Pandora, PoisionIvy, Punisher, SpyGate, SmallNet, Unrecom, Vantom, Vertex, VirusRat et xtreme.

Voici un aperçu avec un échantillon DarkComet récemment ajouté à MDB.

Image

Je commence par unpacker le PE puis j'utilise le script DarkComet.py qui requiert le module pefile d'Ero Carrera.

Image

→ MUNNZIA.CRABDANCE.COM ( 86.68.32.155:1604/TCP ), client français sur l'ISP SFR.

Il est facile d'automatiser le scan de l'inspection mémoire des processus via un script python-yara exécuté depuis une VM, par exemple sur sandbox Cuckoo. Si vous êtes assez calés, je vous invite à déployer & évaluer la plateforme d'analyse Viper de Claudio Guarnieri.

Image

Si vous n'y connaissez rien, utilisez le service en ligne MalwareConfig de Kevin Breen, auteur de RATDecoders. Les RATs supportés sont DarkComet, PoisonIvy, CyberGate, njRat, Xtreme,
Bozok, BlackShades, AAR, Pandora et LuxNet
.

Et si par malchance, vous n'arriviez à aucun résultat alors transmettez chez Malekal.
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

CyberGate adwarddns.no-ip.org ( 109.219.147.104 )

Message par ѠOOT » 16 sept. 2015 00:47

Cas concret de l'efficacité de Viper.
Bonjour,

Je vous expose mon problème (assez gros je trouve). Donc voilà j'étais sur mon PC et je vois dans la barre de Windows qu'un logiciel se lance, une fenêtre s'ouvre, sans croix pour la fermer, le programme en question n'apparait pas dans le gestionnaire des tâches, c'est une fenêtre intitulée "service client chat" qui ressemble assez a un terminal. Le hackeur écrit en vert et je ne peux que lui répondre. Il contrôle entièrement mon PC , ouvre / ferme les fenêtres et je suppose qu'il a également accès a ma webcam. L'intrus me demande de lui payer 2 Allopass ou il s'attaque à mon PC. Bien entendu je ne compte pas lui obéir j'ai donc éteint mon PC , rallumé , il était encore la. J'ai donc éteint mon PC je l'ai rallumé en mode avion, je lance Windows Defender , il scanne et ne trouve rien. Je supprime alors deux fichiers en quarantaine vieux de deux jours , je désinstalle tous les programmes dont le développeur n'est pas certifié ( même certains jeux ) . Je me crois alors en sécurité mais 10 min plus tard après avoir désactivé le mode avion la fenêtre réapparût avec un message du "bandit" me disant qu'il est toujours la. Je lui répond que je n'est rien a lui donner alors il a fermé toutes mes fenêtres en cours. Je me suis empressé de ré-éteindre mon PC. Que faire ? Je pense que j'ai du installer un programme malveillant par inadvertance mais il doit être caché. Je n'ose plus trop l'allumer. Voilà j'espère que vous pourrez m'aider assez vite c'est mon PC pour mes études ( je suis dans une résidence étudiante ou tout le monde est connecté sur le même réseau wifi alors peut-être que l'attaque vient de quelqu'un dans le bâtiment ) Vraiment je ne sais pas quoi faire, merci
Archive: http://www.commentcamarche.net/forum/af ... -d-un-hack

Malekal fait la remontée de l'échantillon (RAT) sur MDB.
Post-traitements & dispatche vers plusieurs plateformes dont Viper.
Quelques secondes après, réception du rapport MalwareConfig.
A noter que pour de meilleures perfs, une API est disponible.

ActivateKeylogger :: {'TRUE'}
ActiveXStartup :: {'{A3C45K7L-ACU6-5YXW-LUVY-BVQSAS6J233O}'}
CampaignID :: {'maxime'}
ChangeCreationDate :: {'TRUE'}
Domain :: {'adwarddns.no-ip.org,'}
EnableMessageBox :: {'FALSE'}
FTPAddress :: {'ftp.server.com'}
FTPDirectory :: {'./logs/'}
FTPInterval :: {'30'}
FTPPassword :: {'+'}
FTPPort :: {'21'}
FTPUserName :: {'ftp_user'}
HideFile :: {'FALSE'}
InstallDir :: {'install'}
InstallFileName :: {'server.exe'}
InstallFlag :: {'FALSE'}
InstallMessageBox :: {'Remote Administration anywhere in the world.'}
InstallMessageTitle :: {'CyberGate'}
KeyloggerBackspace :: {'TRUE'}
KeyloggerEnableFTP :: {'FALSE'}
MeltFile :: {'FALSE'}
MessageBoxButton :: {'0'}
MessageBoxIcon :: {'16'}
Mutex :: {'DF8V614UAV0G01'}
Password :: {'1235'}
Persistance :: {'TRUE'}
Port :: {'1114'}
StartupPolicies :: {'Policies'}
USBSpread :: {'1000'}


15/09/2015 17:51:38 (UTC+0000) 109.219.144.104:1114/TCP ( AAmiens-652-1-281-104.w109-219.abo.wanadoo.fr )
17/09/2015 17:03:45 (UTC+0000) 86.192.229.145:1114/TCP ( AAmiens-652-1-14-145.w86-192.abo.wanadoo.fr )
24/09/2015 18:07:12 (UTC+0000) 90.34.134.57:1114/TCP ( AAmiens-652-1-111-57.w90-34.abo.wanadoo.fr )
30/09/2015 18:01:06 (UTC+0000) 90.18.74.104:1114/TCP ( AAmiens-652-1-195-104.w90-18.abo.wanadoo.fr )
06/10/2015 11:58:17 (UTC+0000) 86.208.198.238:1114/TCP ( AAmiens-652-1-159-238.w86-208.abo.wanadoo.fr )
09/10/2015 08:44:01 (UTC+0000) 83.192.60.202:1114/TCP ( AAmiens-652-1-185-202.w83-192.abo.wanadoo.fr )
11/10/2015 21:16:53 (UTC+0000) 86.228.19.143:1114/TCP ( AAmiens-652-1-60-143.w86-228.abo.wanadoo.fr )
19/10/2015 19:45:22 (UTC+0000) 86.192.2.177:1114/TCP ( AAmiens-652-1-83-177.w86-192.abo.wanadoo.fr )
20/10/2015 18:25:38 (UTC+0000) 90.7.60.203:1114/TCP ( AAmiens-652-1-117-203.w90-7.abo.wanadoo.fr )
23/10/2015 12:42:05 (UTC+0000) 90.58.177.50:1114/TCP ( AAmiens-652-1-170-50.w90-58.abo.wanadoo.fr )
28/10/2015 13:58:11 (UTC+0000) 109.219.147.104:1114/TCP ( AAmiens-652-1-284-104.w109-219.abo.wanadoo.fr )

http://malwareconfig.com/config/2aadcfb ... 5ebddb49a/
http://malwareconfig.com/config/6bf1cd8 ... 5779ebcce/
http://malwareconfig.com/config/c8aa15d ... 10370a2d9/
http://malwareconfig.com/config/931dd9c ... 2e7c7b341/
http://malwareconfig.com/config/c45c8ec ... 451502b5a/

Conclusion, l'obtention de la configuration de l'attaquant est quasi instantanée.

https://www.internet-signalement.gouv.fr/
https://www.pre-plainte-en-ligne.gouv.fr/
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité