Intro
Tools
1. OllyDbg
2.
Resource Hacker
Olly
Plugins
1. Olly
Advanced
Unpacked File MD5 Hash: aee91cffc05656cbd59808d00e1f6efa
Cuckoo SandBox Analysis Link:
Config
Decryption
Ξεκιναμε
ανοιγοντας το εκτελεσιμο αρχειο στο Resource Hacker,ωστε να δουμε πιθανα υποπτα resources που θα χρειαστει το malware. Κοιτοντας μεσα στο RCData, παρατηρουμε μερικα υποπτα ονοματα
οπως MUTEX,
NETDATA κτλ (
Εικονα 1), τα οποια οπως φαινεται και στην εικονα 2 ειναι κρυπτογραφημενα
(Συγκεκριμενα με RC4).
Εικονα 1 |
Εικονα 2 |
Αφου
εχουμε ηδη ανοιξει το αρχειο στον Ollydbg, βαζουμε breakpoint στο FindResourceA (ctrl+F1, επειτα γραφουμε bp FindResourceA) και παταμε F9 (εκτελεση). Σταματαμε εδω (Εικονα
3)
Εικονα 3 |
Παρατηρουμε
την λεξη ‘MUTEX’
στον EAX, παταμε F8 (Step Over) μεχρι να φτασουμε σε αυτο το
σημειο (Εικονα 4). Η διαδικασια του decryption βρισκεται στο call 131A7CBC, παρολαυτα πριν μπουμε σε αυτο το call, αξιζει να δωσουμε ιδιαιτερη βαση
στα 2 strings που
φαινονται στο παραθυρο με τους registers.
Το πρωτο string,
ειναι το ονομα του MUTEX
κρυπτογραφημενο με RC4 (οπως θα δουμε και αργοτερα), το
συγκεκριμενο string
μπορειτε να το βρειτε και στα resources του
εκτελεσιμου. Το δευτερο string,
ειναι το κλειδι για την αποκρυπτογραφη του πρωτου string. Επειτα, μπαινουμε στο call που αναφεραμε πριν, παταμε παλι F8 (Step Over) μεχρι να φτασουμε σε αυτο το σημειο (Εικονα
5).
Εικονα 4 |
Εικονα 5 |
Βλεπουμε στον EDX register
το decrypted string. Επαναλαμβανουμε την διαδικασια ωστε
να δουμε ολο το config.
Config:
MUTEX: DC_MUTEX-F54S21D
SID: M_B_3.3.
NETDATA:
216.6.0.28:778|meroo.no-ip.org:778.
Σημειωσεις
1.Το key ειναι διαφορετικο για καθε εκδοση
του DarkComet.
2. Η
συγκεκριμενη διαδικασια λειτουργει για αρκετα samples.