Mauvais jour pour lui, amusements pour moi !
C'est pas un Noël avant l'heure ???(?_?)???
Petite expérience qui est arrivé aujourd'hui et je pense que c'est suffisamment intéressant pour être relaté ici.
Partie 1:
Donc tout commence par un tweet d'un bot qui annonce un post sur Pastebin avec des adresses IP. Donc n'ayant rien à faire de mieux (Fainéant ?), je télécharge le post et regarde de plus près.
Le post contient des adresses IP de serveurs et un texte inintelligible au premier abord.
Mais à la fin, il y a une fonction de déchiffrement et un secret.
Donc je reprend mon texte et applique dessus la fonction de déchiffrement et utilise le secret.
Résultat: J'ai en ma possession une charge installant un dropper (Petit logiciel dont l’utilité est d’aller télécharger le gros logiciel malveillant) qui va télécharger un enregistreur de frappes et un enregistreur de capture d'écran + un logiciel récupérant les mots de passe enregistrés dans les navigateurs.
Partie 2:
L'adresse web vers laquelle le logiciel télécharge ses fichiers est inscrite en clair, je vais donc faire un inventaire des services qui tournent dessus (Mail, FTP, Web).
L'URL est constitué comme cela: htpp://domain.com/%ChaineAléatoire
On arrive donc sur un dossier où se trouvent trois sous-dossiers aux noms équivoques:
-Screenshots
-Keylogging
-BrowserPSWD
Ok, donc ma machine de tests a transmise des logs dans ces trois dossiers. Bien, maintenant, on va remonter l'arborescence d'un niveau.
Là, je peux trouver d'autres dossiers similaires, je suis donc en présence d'un serveur de C2C qui ne doit pas être en production depuis longtemps, je soupçonne qui devait être en tests.
Partie 3:
Après avoir trouvé qui était le responsable du domaine visé, j'ai averti le registre concerné et ajouté les différentes adresses IP à une liste noire de DNS professionnels.
J'ai aussi soumis le fichier de la charge sur VirusTotal :)
J'ai reçu un mail du registre tout à l'heure qui m'indique que le domaine est temporairement suspendu + un mail m'informant que mon ajout dans la liste noire avait été accepté !
Bilan:
Mauvais jour pour lui, amusements pour moi !
@Stormage: C'est un bot dont le but est de chercher des expressions régulières dans des sites de post de données, et le bot est un projet d'un chercheur en sécurité !
MyName, c'est ta passion la sécurité informatique ?
edit: question con puisque t'as créé le g/ssi
@fork: Il l'était effectivement ! Codage B64, c'est pas très compliqué, après, il y avait un niveau d'obfuscation, mais je n'ai pas tout détaillé non plus, sinon je perdais pas mal de monde :)
Tu pourrais faire un post plus précis pour pouvoir apprendre à faire ce que tu as fait? Ca m'interesse pas mal
Tu ne dois accéder à ce site que si tu as au moins 18 ans ou si tu as l'âge légal pour visionner ce type de matériel dans ta juridiction locale, l’âge le plus élevé étant retenu. En outre, tu déclares et garantis que tu ne permettras aucun mineur à d'accéder à ce site ou à ces services.
En accédant à ce site, tu acceptes nos conditions d'utilisation.