domingo, 18 de diciembre de 2016

theZoo - Proyecto de análisis de Malware

Saludos mis queridos fieles lectores, en esta oportunidad les traigo TheZoo es un proyecto con muchos años de elaboración con el único fin de analizar los Malwares mas peligrosos y conocidos a nivel mundial.

Entre ellos tenemos: Wannacry, Petya, TeslaCrypt, Stuxnet, Zeus en casi todas sus versiones , Rat's, SpyEye entre muchos.

Binarios:





https://github.com/ytisf/theZoo/tree/master/malwares/Binaries

Común mente un analizador de malware mediante depuradores de código ensamblador como Ollydbg entre otros. ( Descompila un binario y puede ver los procesos y acciones  que se ejecutan en cada evento)

Payload camuflado en Raidcall.exe



theZoo también nos proporciona Malwares con sus respectivos códigos abiertos.

Códigos:




https://github.com/ytisf/theZoo/tree/master/malwares/Source/Original

Lo mas asombroso son los "Exploitkit" que en su momento valieron mucho dinero. entre ellos el rescata ble BlackHole


Una colección que sin duda es muy beneficiosa para los amantes de análisis de malware, pero  toda acción tiene reacción.

Por ejemplo subir los ransomware que son bastante perjudiciales en los ordenadores de las victimas ya sea por ataques remotos, Post-explotación o simplemente de manera manual en entornos físicos.
como por ejemplo el "Wannacry" o el "Petya"



Este servidor ha enseñado en artículos anteriores como ejecutar malware de manera remota por medio de RAT, Msfconsole o frameworks nuevos como Empire, pupy, chaos entre otros, que puedes encontrar en este humilde blog.

https://www.backtrackomar.com/search?q=metasploit
https://www.backtrackomar.com/search?q=framework


Bueno descargamos los repositorios e instalamos los requisitos correspondientes:

root@kali:~# git clone https://github.com/ytisf/theZoo/

root@kali:~# cd theZoo/
root@kali:~/theZoo# pip install -r requirements.txt 

Luego daremos permisos al aplicativo y lo ejecutaremos:

root@kali:~/theZoo# chmod +x theZoo.py 
root@kali:~/theZoo# python theZoo.py 

Podemos observar que nos sale un mensaje de alerta respecto a la peligrosidad de los archivos. nosotros le daremos Yes.




El entorno es bastante flexible para interactuar (Framework) comencemos.
vamos interactuando con comandos.

mdb #> help

 Available commands:

search              Search for malwares according to a filter, e.g 'search cpp worm'.
list all             Lists all available modules
use                 Selects a malware by ID
info                 Retreives information about malware
get                 Downloads selected malware
report-mal   Report a malware you found
update-db   Updates the databse
help                 Displays this help...
exit                 Exits...

Luego de leer las respectivas opciones, vamos a buscar un ransomware conocido el "Petya":

mdb #> search petya

Nuestra búsqueda fue correcta, en carácter # es su (ID) identificador que nos permite usarlo:

mdb #> use 165

Ahora utilizaremos get para descargar el binario & source.


mdb Petrwrap#> get

Hemos descargado varios archivos en la carpeta de raiz, el que nos interesa esta en formato ZIP (Donde se encuentra el binario)

Lo extraemos:

root@kali:~/theZoo# ls
root@kali:~/theZoo# unzip Ransomware.Petrwrap.zip 

Postdata: La contraseña de todos los archivos es: infected

Tú eres el ubico responsable: solo acuérdate algo "Toda acción, tiene su reacción."

Saludos y éxitos mi fiel lector, un fuerte abrazo desde Perú. 

1 comentario:

Datos del Autor

Estudiante de Ingeniería de computación y sistemas en Perú.
actualmente me estoy dedicando a dar ponencias sobre seguridad Informática.
Soy una persona sencilla y humilde que me encanta aprender nuevos temas en mis tiempos libres.

"Me considero un novato en busca de conocimiento"


Entradas Populares