Análisis del powershell usado por FIN7

16 de junio de 2017 Por

El día 24 de Abril de 2017, Fireeye publicó una entrada en su blog con el título “FIN7 Evolution and the Phishing LNK”. En esta entrada detallan toda la cadena de infección seguida, que se podría resumir en:

  1. El usuario recibe un fichero docx o rtf
  2. Dentro se encuentra una imagen que te invita a hacer click en ella
  3. Al hacer click se abre un fichero de tipo LNK
  4. Este LNK ejecuta mshta.exe con argumentos.
  5. Tras la ejecución se “droppean” dos ficheros vbs y uno ps1.
  6. Uno de los vbs ejecuta el FIN7’s HALFBAKED backdoor y el otro comprueba que está powershell arrancado.
  7. El ps1 según Fireeye es un script con múltiples capas y que lanza un shellcode para un Cobalt Strike stager.

A partir de esta información vamos a analizar en detalle el fichero powershell que se droppea y vamos a intentar entender cómo funciona. El documento del que vamos a partir será (podéis descargarlo desde hybridAnalysis):

 $ sha256sum malware_fin7_hybridAnalysis.rtf
39ab32a4cafb41c05ccecda59ebb0b1fcc6e08fd94ecad0ac80914fb2ad67588  malware_fin7_hybridAnalysis.rtf

[Read more…]

Evadiendo nuestro antivirus con Windows PowerShell

1 de febrero de 2017 Por

Hace algunos días se difundió la noticia de que PowerShell se estaba convirtiendo en el método más eficaz para la difusión de malware pero, ¿existen razones de peso que expliquen la migración a esta plataforma?
Durante el siguiente artículo veremos algunas de las razones prácticas por la que muchos blackhat están optando por este lenguaje de scripting.

En primer lugar, cabe destacar que la distintiva de PowerShell respecto a intérpretes tradicionales es que está orientado a objetos, puesto que la información de entrada y de salida en cada etapa del cmdlet es un conjunto de instancias de objeto. Esto, junto a la capacidad de agregar clases personalizadas a framework .NET mediante el cmdlet “Add-Type”, le otorga grandes funcionalidades a tener en cuenta para el desarrollo de malware.
[Read more…]

Forensic CTF Writeup: Baud, James Baud (IV)

12 de enero de 2017 Por

Como ya vimos en el artículo anterior, habíamos encontrado un .hta que ejecutaba un script en Powershell que a todas luces parecía malicioso. Nos quedamos con la mosca detrás de la oreja, así que aunque estemos fuera del alcance del CTF, vamos a intentar tirar del hilo para ver si somos capaces de saber qué ha sucedido en el equipo.

[Nota: Como esta parte es un bonus, no vamos a intentar hacerla por duplicado en Windows y Linux, que bastante trabajo llevaron algunas cosas.]

Nos gustaría responder a estas preguntas:

  • ¿Qué malware se ha desplegado en el equipo?
  • ¿Qué acciones maliciosas se han realizado en el sistema?
  • ¿Cuál ha sido el vector de entrada de esta infección?

[Read more…]