Troyano minador

ke2g

#176 No he dicho lo contrario. sysadmin y devops, además seguramente haya mas puestos. Pero vamos que puestos hay en los dos sectores y con "buenos" salarios, eso si, tienes que moverte un poco y estar dispuesto a salir del pueblo perdido en medio de castilla.

#177 No creas, devops/sysadmin/security con todo el tema de GCP/AWS están muy a la par. Pero los dos primeros están por encima de security (al menos por los datos que vi hace medio año o así).

PD: estamos desviando el tema y pintaba muy chulo, si queréis nos movemos en otro para discutirlo :laughing:

1 respuesta
bLaKnI

#181 Ufff... ni GCP ni AWS. A mi dame VPCs.
Y despues de haber pasado por todas las virtualizaciones y clouds posibles, a mi me vuelve a enamorar el baremetal. Por ejemplo, el cloud de Oracle con su IaaS bare-metal.

Seyriuu

#16 yo hice ASI y luego hice DAI y llevo 7 años con lenguajes creados en 1956 y lo que estás haciendo me suena a magia y sería incapaz de mínimamente acercarme a replicarlo xD

1 respuesta
bLaKnI

#183 COBOL?

1 respuesta
espikiller

#46 Para ser Administrador de sistemas (yo lo soy) eres un crack en muchas cosas.

bLaKnI

Madre mia:

https://www.fireeye.com/blog/threat-research/2018/06/rig-ek-delivering-monero-miner-via-propagate-injection-technique.html

My god...

http://www.hexacorn.com/blog/2017/10/26/propagate-a-new-code-injection-trick/

And:

https://blog.trendmicro.com/trendlabs-security-intelligence/rig-exploit-kit-now-using-cve-2018-8174-to-deliver-monero-miner/

1 respuesta
espikiller

#186 Yo creo que el tema sobre la información o el control que nos tienen tanto legal como ilegalmente no debe sorprendernos, además no os imaginaís las de empresas que me encuentro con seguridad 0, ni siquiera sentido común. Hace poco hemos quitado un criptologuer a un cliente, pagando 200 euros eso sí, y el tio era hasta buena gente xd.

1 respuesta
Seyriuu

#184 Sí, primero fue PL/I, ahora estoy con cobol.

1
bLaKnI

#187 Le has cobrado 200€ a un cliente para usar Shadow Copy? Guay. :)

1 respuesta
espikiller

#189 No no, el cliente tiene una tarifa de asistencia lol, eso pidio para mandar el desencriptado.

1 respuesta
bLaKnI

#190 What?
Que el cliente uso de vuestra bolsa, 200€ para pagar el fee de obtención de clave? Y os la dieron? xD

1 respuesta
espikiller

#191 A ver si nos entendemos jaja, cada cliente tiene una tarifa dependiendo de los servicios, bien nosotros contactamos con el tio y pidio 200 euros por facilitarnos el desencriptado, que el cliente pago, le dejamos todo funcionando y desencriptado de nuevo y listo.

1 respuesta
bLaKnI

#192 O estoy seco, o no me entero nano. Será que tengo que ir a cenar! xD Desde que estoy "fitness", me falta el azucar en sangre...

Vosotros teneis una "consultora" o tu trabajas en ella. Llamemosle asi. Consultora.
Un cliente vuestro os paga anualmente/mensualmente una quota de servicios X.
Este cliente se infecta con un ransom.
Aprovechando su bolsa de servicios con vosotros, os contacta para pediros ayuda: "hola chicos, me he infectado. Me salváis el culo porfa?"

Y a partir de aqui me pierdo.

¿Como que el cliente OS PIDE a vosotros 200€ por facilitaros el desencriptado?
Esto es lo que pide el hijo puta que crea el ransom, no el cliente...

O es que me estais diciendo que el cliente os dice que esta encriptado, y vosotros haciendo caso a lo que dice el ransom, contactáis con el """hacker""" y le pagáis el fee que pide y este os facilita la clave? Que es lo que decia en #191 (aunque sin tratarse de € sacados de la quota vuestra)?

1 respuesta
espikiller

Los 200 los pide el notas que ha infectado claramente, el cliente accede a pagarlos y ya nosotros le limpiamos.

1 respuesta
bLaKnI

#194

1 respuesta
GR33N

a mi me costó formatear por que no tuve huevo a limpiar por completo el troyano minador de los cojones.

espikiller

#195 A ver yo creo que te sorprende que ese dinero no entre dentro de la cuota que paga, pero yo he visto casos (no en mi empresa) de una asesoría sin backups alguno quede encriptada y parada al completo, y pagar 3000-4000 euros por desencriptar, todo va en función del volumen de negocio, la empresa que te comento es una pyme y el tio sabe que si aprieta quizás no saque nada.

Lo que si nos sorprendió, yo no lleve el caso es la disposición del "hacker" a ayudar en lo que hiciese falta, muchos se desentienden una vez te mandan alguna instrucción y tienes que buscarte la vida.

PaCoX

#160 yo lo he hecho y me sale lo mismo,
https://anonfile.com/S5wbl5i3ba/salida_shell

seguro que el shell ese que colgasteis es lo bueno? xd

1 respuesta
AikonCWD

#198 Yo creo que ambos lo habéis hecho correctamente, una shellcode no empezará nunca como un ejecutable normal. Con IDA se puede analizar usando el siguiente tutorial: http://akovid.blogspot.com/2014/04/shellcode-analysis.html

Lo voy a aplicar ahora mismo, en un rato posteo el resultado xd

1
AikonCWD

Nada, puta mierda. Obtengo código ensamblador demasiado raro como para que se pueda ejecutar eso. Definitivamente lo estoy haciendo mal o hay cosas que se me escapan.

Creo que estamos enfocando mal el tema... El script de autoit carga la shellcode y la inyecta en vbc.exe, ejecutando el bicho en una VM veo el vbc.exe ejecutado... quizás lo suyo sería atacar el problema partiendo desde la shellcode inyectada y ejecutada.

Osea que voy a olvidar todo esto y voy a ver si puedo dumpear el vbc.exe desde la memoria al disco y continuar a partir de aquí

B

#176
En el pdf del EDIT 2 que haces hay una cosa que me tuerce un poco el culo y lo hace un par de veces, cuando hace:

tst:
call rtv ; return
db "hi2uN" ; message, ending in N to prevent nullbytes in shellcode 

se supone que db es para cargar una string y call rtv una llamada a una funcion que trata con esa string... no deberia primero definir la string y luego hacer la llamada a la funcion rtv para posteriormente dentro de ella hacer pop y seguir trabajando con ella?

Seyriuu

#193 Te lo explico, "ransom" significa rescate, por eso este tipo de virus se llama "ransomware".

El virus te encripta los datos con una clave jodidísima y esa clave sólo la tiene "el villano".

Entonces, el villano que para ponerle cara nos imaginaremos al malo del inspector gadget de alguna manera se pone en contacto con el infectado y le pide X dinero. Hay gente que le pide 200 euros, hay gente que le pide 3000. De hecho hay una captura de reddit de uno de la india que le pedía como 150 pavos y el tío le contesta que si de verdad le quiere hacer eso, que si se lo paga no va a poder comer en dos meses, y el malo del inspector gadget le contesta que se equivocaron al valorar las posibilidades económicas de india y le dió la clave para desencriptar.

Entonces, cuando a ti, cliente, te infectan, tu primera reacción es llamar al servicio técnico - una empresa externa en este caso - pero realmente la empresa externa no puede hacer nada, tus soluciones son:

  • Si tienes backups, rezar porque no tengan el virus, ya que este no suele actuar de inmediato si no que se queda por tu disco duro un mes entero o más.
  • Si no tienes backups, formatear, pero si formateando pierdes la info fiscal y eres una empresa, tampoco puedes perder esa info, la necesitas.

Al final, toca pasar por el aro, porque cada hora que pasas pierdes pasta al tener tus empleados sin trabajar, a lo mejor no puedes facturar, lo mismo tienes que cerrar tu negocio.

El villano en cuestión suele pedir que le paguen en bitcoins, supongo que por eso no le han cazado aún, pues llevará ya 2-3 años haciendo esta movida y debe de ser millonario lo menos ya.

Fuente: Mi padre tiene una consultora informática y ha visto 200 veces ya el mismo percal. En el caso de unos clientes usando una clave de otro cliente se le pudo arreglar el problema (tuvo muchíiiisima suerte) pero el resto, todos han tenido que pagar, restaurar de un backup que estuviera libre del virus, o formatear y empezar de 0.

2 respuestas
AikonCWD

#202 A modo de info; algunos ransomwares están mal programados y se puede sacar la clave para desencriptar haciendo reversing (lo que estamos haciendo aquí). Yo salvé a 2 clientes gracias a esto. No es habitual pero a veces uno tiene suerte xd

1 respuesta
Seyriuu

#203 Yo a nivel técnico no sé cómo funciona el ransomware, ¿cómo la "buena" programación hace que puedas o no sacar la clave decompilando?

2 respuestas
B

#204 Pues que la clave este hardcodeada en el ransom. O que se genere por un metodo que no sea random.

2 respuestas
bLaKnI

#202 No hombre... gracias! Pero yo lo tengo clarisimo.
Como digo, me dedico a ello. Y en la empresa, ya hemos batallado multiples veces con ello. Es lo que tiene trabajar con tanta gente...

La cara de Nicholson era para expresar otra cosa. :)

Pero bienvenida sea tu explicación para los muchos aquí presentes! ;)

1 respuesta
Seyriuu

#205 Pero si no está hardcodeada, la tendrá que calcular, ¿O quizás puede mediante un socket sacarla de un servidor y entonces al decompilar no es posible recuperar la clave?

#206 Te había entendido mal xddd perdón.

Sí, el malo del inspector gadget pide dinero, no tiene lógica que el cliente le pida dinero a la consultora o la consultora al cliente. Uno de los dos se pondrá en contacto con el juanquer para ver cómo le pagan y cómo reciben la clave.

1 respuesta
AikonCWD

#204 #205 Mala implementación del sistema de llave pública/privada principalmente. Nunca me he encontrado a ninguno con la priv.key hardcoded, pero sí que he visto que durante el arranque inicial, el programa carga por un tiempo la key en memoria, momento en el que puedes dumpearla, etc...

#207 Si eso más adelante abro un hilo explicando como funcionan los ransoms, y como un fallo en el diseño del mismo puede terminar en victoria para el usuario infectado. Así aprendemos un poco sobre llaves publicas y privadas, RSA, SHA, etc...

3 2 respuestas
B

@bLaKnI #201 cnt tqm bss

PD: Alguno de vosotros sabe de alguna tool que pase de asm a string hex ya sea online o descargable?

2 respuestas
AikonCWD

#209 HxD editor hexadecimal. Cargas el fichero, seleccionas y haces menu edicion / copiar como / C, y lo pegas donde quieras

1