Hunting The Hunter First part

3xploit
5 min readJul 7, 2021

Hola hackers… hace tiempo no escribía un post quiero compartirles un análisis de malware el cual realice mientras navegaba por la internet me encontré en YouTube un canal con una gran cantidad de suscriptores para ser exactos 19.200 aproximadamente el canal ofrece software para Windows crackeados para usar utilidades con licencias tales como antivirus, drive booster,Ccleaner,Sony vegas pro 18, y muchas mas utilidades que personas de la internet pueden encontrar llamativas para instalar en sus computadoras,empeze por revisar Daemon tools ultra crackeado , en un ambiente virtual, donde pude analizar a fondo el comportamiento de este

empecé por descargar el programa Daemon Tools del canal
WinDroTutosPC donde te sugieren que para la instalación debes desactivar tu solución de antivirus 🤣 haciendo referencia a programas que traen crack para poder licenciarlos.

podemos observar en la imagen el contenido del software Daemon tools y sus archivos auxiliares para realizar el crack.

analisis del instalador de Daemon tools

En el análisis del instalador del Daemon Tools encontramos indicadores de compromiso por el motor de avs de virus total marcando un pe malicioso, y otras variantes de malware reportadas pero mas detenidamente vemos la variante Dropper agent la cual posiblemente este binario nos descargue mas piezas de código malicioso 👿

En el momento de realizar la instalación el binario nos pide acceso al “UAC” Control de cuentas de usuarios el cual es un componente de seguridad de los sistemas operativos Windows. UAC permite a los usuarios realizar tareas comunes como no administradores y como administradores.

LINK

después de continuar con la instalación verifique en mis procesos del sistema para tener mas autonomía de lo que estaba pasando al momento de realizar el proceso de instalación me lleve una sorpresa donde podemos observar los procesos desencadenadores invocando consolas de cmd y PowerShell y un binario llamado “DECRYPTER.EXE “👀

me encontré con 6 reglas nuevas que apuntan a los binarios y recursos que el instalador descargo en el sistema otorgándoles exclusión de análisis al Windows defender para poder llevar sus procesos sin ser detectados

archivos maliciosos
archivos maliciosos

Analizando el binario COM Surrogate.exe encontre en su codigo fuente el metodo MAKEBAT el cual tiene una funcion de escribir un file.bat añadiendo como parametro el string referente. accedi a la parte de recursos donde encontre este fragmento de codigo cuya funcion es desabilitar las actualizaciones de windows

string recursos

podemos observar en la imagen la detención y cambios en el registro sustituyendo valores para detener los servicios de actualización por ejemplo el WassMedicSvc

El propósito completo de este servicio es reparar cualquier daño sufrido por los componentes de Windows Update, para que pueda continuar recibiendo las actualizaciones de Windows sin ninguna interrupción. Por lo tanto, el servicio es responsable de administrar cualquier reparación y de la seguridad de los componentes de Windows Update.

el servicio se deshabilita solo temporalmente, ya que el sistema operativo Windows activa automáticamente la actualización en algún momento.

pero en el código malicioso estaba preparado para esto por eso encontramos el comando goto cuya función es redirigir la secuencia de código a la etiqueta :1 prolongando la ejecución cada 15 segundos constantemente.

Decrypter.exe

al descompilar el binario Decrypter.exe encontre una clase SharpAescrypt haciendo uso del método decrypt para desencriptar un archivo Excluder.exe.aes con el password 123456 😅, y también el descifrado de una biblioteca de clases llamada Microsoft.Win32.TaskScheduler.dll.aes y werer.exe.aes

werer.exe

analizando el binario werer.exe podemos encontrar un método nombrado ExcludingFiles, su propósito es realizar las exclusiones de análisis para los archivos sihost.exe, ,MsMpEng.exe,Resoruces.rar ,Resources1.rar haciendo uso del cmd para invocar PowerShell con argumentos del comando Add-MpPreference el cual es utilizado para realizar la exclusión de un archivo, ruta, o extensión

espero que este post sea de utilidad para todos aquellos cibernautas sobre el NO descargar y ejecutar cualquier archivo que nos encontramos en la red. Recordemos que muchas veces hay personas inescrupulosas que buscan afectar a los demás, aprovechándose de su ignorancia o su buena fe. Además, debemos mantener presente que no hay mejor antivirus que el sentido común; ahora, hablemos sobre que no todos los archivos o todos los crackers que hay en la red son malos (como hay gente mala, hay gente buena). Sin embargo, procuremos siempre revisar las conexiones que generan los archivos que ejecutamos en nuestra computadora y llegado el caso de ser posible, ejecutar los archivos de orígenes desconocidos en entornos virtuales antes de ejecutarlos en nuestro entorno principal. Nos vemos en una segunda parte para seguir con la investigación 😃

--

--

3xploit

Ethical Hacker | Pentester Cloud | Red Team | Offensive Developer | Adversary Simulation | Golang Developer