Cazando Malware 2 | Malicious: BackDoor, Zeus & Servidores

RedBirdRedBird 3/19/2019 01:54:00 a.m.

Cazando Malware 2 | Malicious: BackDoor, Zeus & Servidores
Hace unos dias, escribi un post, donde buscabamos un malware, o en especifico los paneles de control C&C del malware AZORult [ Cazando Malware 1 | Malicious: AZORult ] ahora le toca el turno a otros malware y cosas interesantes.

BackDoor / Servidores C&C / WebShells


 Para comenzar con la caceria, debemos conocer primero a nuestro objetivo, para este post, tenemos como blanco una webshell.

Esta webshell puede tener poco de interesante, pero podemos encontrar otras webshell con mucha facilidad, utilizando dorks, un colega del foro Underc0de y otro contacto en Telegram, me pidieron que buscara este tipo de webshell, por eso es nuestro objetivo.

Para eso dentro del repositorio en GitHub [ WebShell ] pase como 30 minutos viendo el código, hasta que llegue a lo que me podría ayudar, el panel de login, un archivo llamado ASPXspy2.aspx seria mi objetivo, (ya tenia idea de un dork simple) sin embargo al revisar todo el código del archivo login (por curiosidad) al final me encontré con lo siguiente.

Teneos texto el cual podemos usar en un dork junto con el nombre del archivo del panel de login de esta webshell. El dork en si es muy simple, pero me dio unos resultados interesantes.

Algunos en su mayoría eran falsos positivos, hasta que llegue a este sitio web.

Logre encontrar un panel, pero como lo esperaba desde un comienzo, el nombre del archivo era distinto, sin embargo al revisar el código fuente del archivo [ Settings.aspx ] encontré algo interesante.


Encontré la webshell pero en su versión 1.0 en el sitio de GitHub no muestra la versión en el código del panel de login.


Otra de las cosas interesantes fue que ambas webshells, tanto la que se encuentra en GitHub como la encontrada en el servidor, cuentan con algunos datos curiosos, pero el que puede ayudarnos es el dominio [ http://www.rootkit.net.cn ]

Solo ahora solo seria hacer un dork utilizado este dominio y el nombre del archivo de login.

Estos son algunos ejemplos con los cuales pueden jugar

 [*] http://www.dincticaret.com.tr/picture_library/error.aspx
[*] http://www.scmobileinfrastructure.info/DesktopModules/Admin/ViewProfile/Settings.aspx
[*] http://www.cultureofascent.com/beheer/fotos/4/27/201830114%20PM_55.aspx
[*] http://www.ozgurdusleranaokulu.com/belgeler/froo.aspx
[*] http://www.runnatio.in/runnatio/ProfilePictues/img488.aspx

[*] http://stjosephnewwaverlytx.net/images/images/_notes/admini.aspx
[*] http://www.scmobileinfrastructure.net/DesktopModules/RazorModules/RazorHost/Scripts/_4b_FormValidation.aspx
[*] http://www.greenvillefig.org/DesktopModules/RazorModules/RazorHost/Scripts/_4b_FormValidation.aspx


 Encontré un poco mas de 200 sitios/servidores compro metidos, pero ahora lo interesante seria usar shodan, para ver que información podemos encontrar, la cual pueda ser interesante. En su mayoría, lo interesante es conocer las vulnerabilidades encontradas en varios servidores.


En cuanto a encontrar servidores C&C o comprometidos con el mismo fin, shodan es una herramienta muy interesante y con facilidad podemos encontrar cosas curiosas con las cuales poder jugar un rato.
Podemos encontrar RATs, a continuación te comparto algunos ejemplos




185.247.228.198   -    NanoCore Rat Trojan
45.118.145.90       -    DarkComet Trojan
128.199.50.200     -    DarkComet Trojan
185.233.100.113   -    Remcos ProRat Trojan
151.237.7.4           -    ZeroAccess Trojan


Zeus Botnet [Malware]

Ahora le toca el turno a un famoso malware bancario Zeus, un malware troyano el cual tiene como fin robar credenciales bancarias, los equipos ya infectados pasan a ser parte de una botnet. En algunos reportes también se le conoce por el nombre de Zbot, los sistemas mas infectados por este malware son: Windows XP, Windows Vista, Windows 7 y Windows 8.

Por lo general este malware esta en venta, pero por algún lado podemos conseguir el código gratis, con ayuda de un colega miembro de CiberSecurityRecon (RedBird CSR) encontramos un sujeto en la Internet superficial que vende malware junto con otros servicios.


Pero aparte de vender el malware Zeus por 250 dolares, tambien dimos con el código fuente de este malware, en un repositorio en GitHub, el usuario que creo el repositorio, asegura que no es su código, y que simplemente lo compartio con fines educativos y de estudio (sabemos que no todos lo usaran para lo mismo).

Siguiendo por mi cuenta, me vi tentado a probar mi suerte buscando información en el código, en especial en el panel de login el cual es un archivo .php de nombre "cp.php" con lo cual ya tenemos de nuevo el nombre del archivo login.


En la imagen anterior podemos observar en panel de login de Zeus, jugando practica mente igual que con la practica pasada, buscamos en google con un dork.


Estos son algunos ejemplos por si gustan jugar con ellos.


[*] http://cinarlastik.com.tr/images/panel/cp.php?m=login
[*] http://cinarlastik.com.tr/images/panel/cp.php?m=login
[*] http://induimperial.com/wp-zeus/cp.php?m=login
[*] http://cinarlastik.com.tr/images/panel/cp.php?m=login
[*] http://fashioncargo.pt/fonts/panel/cp.php?m=login

Publicar un comentario

0 Comentarios

Slider Parnert

Subscribe Text

¿Quieres estar al día con noticias?

¡SUSCRIBETE AHORA!