WINTXCODERS

Seguridad informática => Seguridad general => Mensaje iniciado por: Neva(); en Julio 30, 2018, 03:00:10 PM

Título: Mirando dentro de un "cheat" , ingenieria inversa a un archivo .NET
Publicado por: Neva(); en Julio 30, 2018, 03:00:10 PM
Hace un rato, me llego un archivo que sospechaban estaba infectado, como buena persona que soy, decidi echarle un ojo y se me ocurrio postear en wintx un thread.
El cheat es para el juego Boombang, y supuestamente te otorga ventaja sobre los otros jugadores, esta programado en .NET por lo que podemos decompilarlo:
(https://i.gyazo.com/399dab65abb536d4c1d8f1f15d9ddee6.png)
Se trata de confuser 1.9 (lamentablemente no hay muchos obfuscadores .NET, por lo que al cabo de un tiempo uno es capaz de determinar la proteccion solamente con mirar los nombres del obfuscador.. xD), la cosa es que este obfuscador ha sido "vencido" hace bastante tiempo, por lo que podemos usar de4dot para deobfuscarlo y no complicarnos la vida.
(https://i.gyazo.com/52d333eade7d4a5911873c3972a84870.png)
Lo que vamos a hacer ahora, es mirar detenidamente el programa, a primera vista parece legitimo:
(https://i.gyazo.com/ea73a2f2ce7e2d3661d3c42926f0a5c9.png)
(https://i.gyazo.com/efd10fda1aa0a957cd71c927df19de66.png)
(https://i.gyazo.com/77214fe3e7c993e89e88c6294d2c72a6.png)
Todo parece funcionar, a pesar de que el codigo produzca ceguera, parece estar todo correcto, pero miremos una llamada que se hace al principio:
(https://i.gyazo.com/d93d1024fa8587687120f48decc78169.png)
En un principio pense que podria ser del obfuscador, una modificacion  de confuser 1.9, pero rapidamente me di cuenta de lo contrario:
(https://i.gyazo.com/01cf7627a029ad89b99879e270fa7edb.png)
El programa funciona, pero al mismo tiempo tiene un backdoor que infecta nuestro ordenador sin que nos demos cuenta. Al inicial el programa, hace una llamada a esta clase, la cual toma un archivo que esta dentro de los recursos del programa, lo escribe en nuestro disco duro y lo agrega al registro para que se ejecute a la vez que windows.
Podriamos quedarnos aqui, pero creo que va a ser mas divertido si le echamos un vistazo al virus que esta penetrando nuestro ordenador, verdad  ::)?
Para ello, he extraido el recurso oculto y lo he guardado, suerte que en este caso el programa vuelve a estar protegido por confuser 1.9.
(https://i.gyazo.com/1db963fc4f225f80bcf777e8e6480e3f.png)
Finalmente, nos encontramos con que el virus lo unico que busca es poder fastidiar al pc, el creador de este proyecto tiene su pagina lista para agregar links y spammear tu ordenador con ellos.
(https://i.gyazo.com/ea6b835392661ac7c8d74c3058217853.png)
Esto podria ser bien para minar, para ganar dinero por publicidad, para joder.. no lo sabremos, al menos por ahora.. Espero que os halla gustado la lectura  ;)
Finalmente, aqui esta el video del creador del virus:
https://www.youtube.com/watch?v=vb1AjBzZ7E8
Me gustaria agregar al creador, si estas leyendo esto, que programar copiando y pegando es muy sencillo. Lo que no es tan sencillo es quitarse el dolor de cabeza tras ver tu masterpiece programando.  ;)
Programas usados:
Dnspy
de4dot.
Título: Re:Mirando dentro de un "cheat" , ingenieria inversa a un archivo .NET
Publicado por: YouTutosJeff en Agosto 16, 2018, 05:05:53 PM
You are not allowed to view links. Register or Login
Hace un rato, me llego un archivo que sospechaban estaba infectado, como buena persona que soy, decidi echarle un ojo y se me ocurrio postear en wintx un thread.
El cheat es para el juego Boombang, y supuestamente te otorga ventaja sobre los otros jugadores, esta programado en .NET por lo que podemos decompilarlo:
(https://i.gyazo.com/399dab65abb536d4c1d8f1f15d9ddee6.png)
Se trata de confuser 1.9 (lamentablemente no hay muchos obfuscadores .NET, por lo que al cabo de un tiempo uno es capaz de determinar la proteccion solamente con mirar los nombres del obfuscador.. xD), la cosa es que este obfuscador ha sido "vencido" hace bastante tiempo, por lo que podemos usar de4dot para deobfuscarlo y no complicarnos la vida.
(https://i.gyazo.com/52d333eade7d4a5911873c3972a84870.png)
Lo que vamos a hacer ahora, es mirar detenidamente el programa, a primera vista parece legitimo:
(https://i.gyazo.com/ea73a2f2ce7e2d3661d3c42926f0a5c9.png)
(https://i.gyazo.com/efd10fda1aa0a957cd71c927df19de66.png)
(https://i.gyazo.com/77214fe3e7c993e89e88c6294d2c72a6.png)
Todo parece funcionar, a pesar de que el codigo produzca ceguera, parece estar todo correcto, pero miremos una llamada que se hace al principio:
(https://i.gyazo.com/d93d1024fa8587687120f48decc78169.png)
En un principio pense que podria ser del obfuscador, una modificacion  de confuser 1.9, pero rapidamente me di cuenta de lo contrario:
(https://i.gyazo.com/01cf7627a029ad89b99879e270fa7edb.png)
El programa funciona, pero al mismo tiempo tiene un backdoor que infecta nuestro ordenador sin que nos demos cuenta. Al inicial el programa, hace una llamada a esta clase, la cual toma un archivo que esta dentro de los recursos del programa, lo escribe en nuestro disco duro y lo agrega al registro para que se ejecute a la vez que windows.
Podriamos quedarnos aqui, pero creo que va a ser mas divertido si le echamos un vistazo al virus que esta penetrando nuestro ordenador, verdad  ::)?
Para ello, he extraido el recurso oculto y lo he guardado, suerte que en este caso el programa vuelve a estar protegido por confuser 1.9.
(https://i.gyazo.com/1db963fc4f225f80bcf777e8e6480e3f.png)
Finalmente, nos encontramos con que el virus lo unico que busca es poder fastidiar al pc, el creador de este proyecto tiene su pagina lista para agregar links y spammear tu ordenador con ellos.
(https://i.gyazo.com/ea6b835392661ac7c8d74c3058217853.png)
Esto podria ser bien para minar, para ganar dinero por publicidad, para joder.. no lo sabremos, al menos por ahora.. Espero que os halla gustado la lectura  ;)
Finalmente, aqui esta el video del creador del virus:
https://www.youtube.com/watch?v=vb1AjBzZ7E8
Me gustaria agregar al creador, si estas leyendo esto, que programar copiando y pegando es muy sencillo. Lo que no es tan sencillo es quitarse el dolor de cabeza tras ver tu masterpiece programando.  ;)
Programas usados:
Dnspy
de4dot.


Khe :"v