RATDecoders, service MalwareConfig & plateforme Viper

ѠOOT

RATDecoders, service MalwareConfig & plateforme Viper

par ѠOOT »

Bonjour,

RATDecoders permet de décoder les configurations des RATs : Adwind, Albertino Advanced RAT, Arcom, BlackNix, BlackShades, Blue Banana, Bozok, ClientMesh, CyberGate, DarkComet, drakddoser, DarkRat, Graeme, jRat, LostDoor, LuxNet, njRat, Pandora, PoisionIvy, Punisher, SpyGate, SmallNet, Unrecom, Vantom, Vertex, VirusRat et xtreme.

Voici un aperçu avec un échantillon DarkComet récemment ajouté à MDB.

Image

Je commence par unpacker le PE puis j'utilise le script DarkComet.py qui requiert le module pefile d'Ero Carrera.

Image

→ MUNNZIA.CRABDANCE.COM ( 86.68.32.155:1604/TCP ), client français sur l'ISP SFR.

Il est facile d'automatiser le scan de l'inspection mémoire des processus via un script python-yara exécuté depuis une VM, par exemple sur sandbox Cuckoo. Si vous êtes assez calés, je vous invite à déployer & évaluer la plateforme d'analyse Viper de Claudio Guarnieri.

Image

Si vous n'y connaissez rien, utilisez le service en ligne MalwareConfig de Kevin Breen, auteur de RATDecoders. Les RATs supportés sont DarkComet, PoisonIvy, CyberGate, njRat, Xtreme,
Bozok, BlackShades, AAR, Pandora et LuxNet
.

Et si par malchance, vous n'arriviez à aucun résultat alors transmettez chez Malekal.
ѠOOT

CyberGate adwarddns.no-ip.org ( 109.219.147.104 )

par ѠOOT »

Cas concret de l'efficacité de Viper.
Bonjour,

Je vous expose mon problème (assez gros je trouve). Donc voilà j'étais sur mon PC et je vois dans la barre de Windows qu'un logiciel se lance, une fenêtre s'ouvre, sans croix pour la fermer, le programme en question n'apparait pas dans le gestionnaire des tâches, c'est une fenêtre intitulée "service client chat" qui ressemble assez a un terminal. Le hackeur écrit en vert et je ne peux que lui répondre. Il contrôle entièrement mon PC , ouvre / ferme les fenêtres et je suppose qu'il a également accès a ma webcam. L'intrus me demande de lui payer 2 Allopass ou il s'attaque à mon PC. Bien entendu je ne compte pas lui obéir j'ai donc éteint mon PC , rallumé , il était encore la. J'ai donc éteint mon PC je l'ai rallumé en mode avion, je lance Windows Defender , il scanne et ne trouve rien. Je supprime alors deux fichiers en quarantaine vieux de deux jours , je désinstalle tous les programmes dont le développeur n'est pas certifié ( même certains jeux ) . Je me crois alors en sécurité mais 10 min plus tard après avoir désactivé le mode avion la fenêtre réapparût avec un message du "bandit" me disant qu'il est toujours la. Je lui répond que je n'est rien a lui donner alors il a fermé toutes mes fenêtres en cours. Je me suis empressé de ré-éteindre mon PC. Que faire ? Je pense que j'ai du installer un programme malveillant par inadvertance mais il doit être caché. Je n'ose plus trop l'allumer. Voilà j'espère que vous pourrez m'aider assez vite c'est mon PC pour mes études ( je suis dans une résidence étudiante ou tout le monde est connecté sur le même réseau wifi alors peut-être que l'attaque vient de quelqu'un dans le bâtiment ) Vraiment je ne sais pas quoi faire, merci
Archive: http://www.commentcamarche.net/forum/af ... -d-un-hack

Malekal fait la remontée de l'échantillon (RAT) sur MDB.
Post-traitements & dispatche vers plusieurs plateformes dont Viper.
Quelques secondes après, réception du rapport MalwareConfig.
A noter que pour de meilleures perfs, une API est disponible.

ActivateKeylogger :: {'TRUE'}
ActiveXStartup :: {'{A3C45K7L-ACU6-5YXW-LUVY-BVQSAS6J233O}'}
CampaignID :: {'maxime'}
ChangeCreationDate :: {'TRUE'}
Domain :: {'adwarddns.no-ip.org,'}
EnableMessageBox :: {'FALSE'}
FTPAddress :: {'ftp.server.com'}
FTPDirectory :: {'./logs/'}
FTPInterval :: {'30'}
FTPPassword :: {'+'}
FTPPort :: {'21'}
FTPUserName :: {'ftp_user'}
HideFile :: {'FALSE'}
InstallDir :: {'install'}
InstallFileName :: {'server.exe'}
InstallFlag :: {'FALSE'}
InstallMessageBox :: {'Remote Administration anywhere in the world.'}
InstallMessageTitle :: {'CyberGate'}
KeyloggerBackspace :: {'TRUE'}
KeyloggerEnableFTP :: {'FALSE'}
MeltFile :: {'FALSE'}
MessageBoxButton :: {'0'}
MessageBoxIcon :: {'16'}
Mutex :: {'DF8V614UAV0G01'}
Password :: {'1235'}
Persistance :: {'TRUE'}
Port :: {'1114'}
StartupPolicies :: {'Policies'}
USBSpread :: {'1000'}


15/09/2015 17:51:38 (UTC+0000) 109.219.144.104:1114/TCP ( AAmiens-652-1-281-104.w109-219.abo.wanadoo.fr )
17/09/2015 17:03:45 (UTC+0000) 86.192.229.145:1114/TCP ( AAmiens-652-1-14-145.w86-192.abo.wanadoo.fr )
24/09/2015 18:07:12 (UTC+0000) 90.34.134.57:1114/TCP ( AAmiens-652-1-111-57.w90-34.abo.wanadoo.fr )
30/09/2015 18:01:06 (UTC+0000) 90.18.74.104:1114/TCP ( AAmiens-652-1-195-104.w90-18.abo.wanadoo.fr )
06/10/2015 11:58:17 (UTC+0000) 86.208.198.238:1114/TCP ( AAmiens-652-1-159-238.w86-208.abo.wanadoo.fr )
09/10/2015 08:44:01 (UTC+0000) 83.192.60.202:1114/TCP ( AAmiens-652-1-185-202.w83-192.abo.wanadoo.fr )
11/10/2015 21:16:53 (UTC+0000) 86.228.19.143:1114/TCP ( AAmiens-652-1-60-143.w86-228.abo.wanadoo.fr )
19/10/2015 19:45:22 (UTC+0000) 86.192.2.177:1114/TCP ( AAmiens-652-1-83-177.w86-192.abo.wanadoo.fr )
20/10/2015 18:25:38 (UTC+0000) 90.7.60.203:1114/TCP ( AAmiens-652-1-117-203.w90-7.abo.wanadoo.fr )
23/10/2015 12:42:05 (UTC+0000) 90.58.177.50:1114/TCP ( AAmiens-652-1-170-50.w90-58.abo.wanadoo.fr )
28/10/2015 13:58:11 (UTC+0000) 109.219.147.104:1114/TCP ( AAmiens-652-1-284-104.w109-219.abo.wanadoo.fr )

http://malwareconfig.com/config/2aadcfb ... 5ebddb49a/
http://malwareconfig.com/config/6bf1cd8 ... 5779ebcce/
http://malwareconfig.com/config/c8aa15d ... 10370a2d9/
http://malwareconfig.com/config/931dd9c ... 2e7c7b341/
http://malwareconfig.com/config/c45c8ec ... 451502b5a/

Conclusion, l'obtention de la configuration de l'attaquant est quasi instantanée.

https://www.internet-signalement.gouv.fr/
https://www.pre-plainte-en-ligne.gouv.fr/
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »