Tuesday, 15 March 2016

DarkComet config- Αναλυση

Intro


Ενα απο τα πιο γνωστα RATs( Remote Administration tool) ειναι το DarkComet. Μερικες απο τις δυνατοτητες του DarkComet ειναι ο ελεγχος της καμερας, της οθονης, κατεβασμα αρχειων, Keylogging. Εγινε ευρεως γνωστο, οταν χρησιμοποιηθηκε απο την συριακη κυβερνηση με σκοπο την παρακολουθηση πολιτων. Το παρον αρθρο εχει σκοπο την αναλυση του config του malware που χρησιμοποιησε η συριακη κυβερνηση,αφου εχει γινει unpacked (η διαδικασια του unpacking θα παρουσιαστει σε αλλο αρθρο). 



Tools  
         1.      OllyDbg
         2.      Resource Hacker
Olly Plugins
   1.      Olly Advanced

Unpacked File MD5 Hash: aee91cffc05656cbd59808d00e1f6efa


Cuckoo SandBox Analysis Link:



Config Decryption
Ξεκιναμε ανοιγοντας το εκτελεσιμο αρχειο στο Resource Hacker,ωστε να δουμε πιθανα υποπτα resources που θα χρειαστει το malware. Κοιτοντας μεσα στο RCData, παρατηρουμε μερικα υποπτα ονοματα οπως MUTEX, NETDATA κτλ ( Εικονα 1), τα οποια οπως φαινεται και στην εικονα 2 ειναι κρυπτογραφημενα (Συγκεκριμενα με RC4). 

Εικονα 1















Εικονα 2

















Αφου εχουμε ηδη ανοιξει το αρχειο στον Ollydbg, βαζουμε breakpoint στο FindResourceA (ctrl+F1, επειτα γραφουμε bp FindResourceA) και παταμε F9 (εκτελεση). Σταματαμε εδω (Εικονα 3)


Εικονα 3



















Παρατηρουμε την λεξη ‘MUTEX’  στον EAX, παταμε F8 (Step Over) μεχρι να φτασουμε σε αυτο το σημειο (Εικονα 4).  Η διαδικασια του decryption βρισκεται στο call 131A7CBC, παρολαυτα πριν μπουμε σε αυτο το call, αξιζει να δωσουμε ιδιαιτερη βαση στα 2 strings που φαινονται στο παραθυρο με τους registers. Το πρωτο string, ειναι το ονομα του MUTEX κρυπτογραφημενο με RC4 (οπως θα δουμε και αργοτερα), το συγκεκριμενο string μπορειτε να το βρειτε και στα resources του εκτελεσιμου. Το δευτερο string, ειναι το κλειδι για την αποκρυπτογραφη του πρωτου string. Επειτα, μπαινουμε στο call που αναφεραμε πριν, παταμε παλι F8 (Step Over)  μεχρι να φτασουμε σε αυτο το σημειο (Εικονα 5). 

Εικονα 4















Εικονα 5













Βλεπουμε στον EDX register το decrypted string.  Επαναλαμβανουμε την διαδικασια ωστε να δουμε ολο το config.

Config:
MUTEX: DC_MUTEX-F54S21D
SID: M_B_3.3.
NETDATA:  216.6.0.28:778|meroo.no-ip.org:778.



Σημειωσεις
1.Το key ειναι διαφορετικο για καθε εκδοση του DarkComet.
2. Η συγκεκριμενη διαδικασια λειτουργει για αρκετα samples.