{"id":595812,"date":"2023-01-27T18:13:42","date_gmt":"2023-01-27T18:13:42","guid":{"rendered":"https:\/\/teknomers.com\/es\/3-lifehacks-al-analizar-orcus-rat-en-un-sandbox-de-malware\/"},"modified":"2023-01-27T18:13:44","modified_gmt":"2023-01-27T18:13:44","slug":"3-lifehacks-al-analizar-orcus-rat-en-un-sandbox-de-malware","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/3-lifehacks-al-analizar-orcus-rat-en-un-sandbox-de-malware\/","title":{"rendered":"3 Lifehacks al analizar Orcus RAT en un Sandbox de malware"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">27 de enero de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias del hacker<\/span><\/span><span class=\"p-tags\">An\u00e1lisis de malware<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/malware-trends\/orcus?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=orcus0223&amp;utm_content=mtt\" target=\"_blank\">Orco<\/a> es un troyano de acceso remoto con algunas caracter\u00edsticas distintivas.  RAT permite a los atacantes crear complementos y ofrece un s\u00f3lido conjunto de funciones b\u00e1sicas que lo convierte en un programa malicioso bastante peligroso en su clase.<\/p>\n<p>RAT es un tipo bastante estable que siempre llega a la cima.<\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1674843222_743_3-Lifehacks-al-analizar-Orcus-RAT-en-un-Sandbox-de.png\" alt=\"Los principales tipos de malware de ANY.RUN en 2022\" border=\"0\" data-original-height=\"623\" data-original-width=\"727\" title=\"Los principales tipos de malware de ANY.RUN en 2022\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">Los principales tipos de malware de ANY.RUN en 2022<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Es por eso que definitivamente se encontrar\u00e1 con este tipo en su pr\u00e1ctica, y espec\u00edficamente con la familia Orcus.  Para simplificar su an\u00e1lisis, hemos recopilado 3 trucos que debe aprovechar.  Aqu\u00ed vamos.<\/p>\n<h2>\u00bfQu\u00e9 es Orcus RAT? <\/h2>\n<p><strong>Definici\u00f3n<\/strong>.  Orcus RAT es un tipo de programa de software malicioso que permite el acceso y control remoto de computadoras y redes.  Es un tipo de troyano de acceso remoto (RAT) que han utilizado los atacantes para obtener acceso y controlar computadoras y redes.<\/p>\n<p><strong>Capacidades<\/strong>.  Una vez descargado en una computadora o red, comienza a ejecutar su c\u00f3digo malicioso, lo que permite que el atacante obtenga acceso y control.  Es capaz de robar datos, realizar vigilancia y lanzar ataques DDoS.<\/p>\n<p><strong>Distribuci\u00f3n<\/strong>.  El malware generalmente se propaga a trav\u00e9s de correos electr\u00f3nicos maliciosos, sitios web y ataques de ingenier\u00eda social.  A menudo, tambi\u00e9n se incluye con otros programas de software malicioso, como troyanos, gusanos y virus.<\/p>\n<h2>Lifehacks para el an\u00e1lisis de malware Orcus RAT<\/h2>\n<p>El malware est\u00e1 dise\u00f1ado para ser dif\u00edcil de detectar, ya que a menudo utiliza t\u00e9cnicas sofisticadas de encriptaci\u00f3n y ofuscaci\u00f3n para evitar la detecci\u00f3n.  Y si necesita llegar al n\u00facleo de Orcus, la configuraci\u00f3n RAT tiene todos los datos que necesita. <\/p>\n<p>Y hay varios trucos a los que debe prestar atenci\u00f3n al realizar el an\u00e1lisis de Orcus RAT.<\/p>\n<p>Hoy investigamos la muestra de .NET que puedes descargar gratis en <a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/submissions?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=orcus0223&amp;utm_content=public_submissions\" target=\"_blank\">CUALQUIER base de datos.EJECUTAR<\/a>: <\/p>\n<blockquote><p>SHA-256: 258a75a4dee6287ea6d15ad7b50b35ac478c156f0d8ebfc978c6bbbbc4d441e1<\/p><\/blockquote>\n<h3>1 \u2014 Conoce las clases de Orcus<\/h3>\n<p>Debe comenzar por verificar las clases de malware donde puede obtener las caracter\u00edsticas del programa oculto.  Un mont\u00f3n de datos que contienen las clases es exactamente lo que ser\u00e1 \u00fatil para su investigaci\u00f3n.<\/p>\n<p>Un espacio de nombres Orcus.Config tiene estas clases:<\/p>\n<ul style=\"text-align: left;\">\n<li><strong>Contras: <\/strong>Datos de archivos y directorios de Orcus, por ejemplo, la ruta al archivo donde se guardan las pulsaciones de teclas del usuario o al directorio donde residen los complementos utilizados por una muestra.<\/li>\n<li><b>Ajustes:<\/b> contienen m\u00e9todos de envoltorio para descifrar la configuraci\u00f3n del malware y sus complementos.<\/li>\n<li><b>Configuraci\u00f3nDatos:<\/b> es una clase est\u00e1tica solo con los campos de configuraci\u00f3n de complementos y malware encriptados. <\/li>\n<\/ul>\n<h3>2 \u2014 Encuentra recursos RAT de Orcus<\/h3>\n<p>Una vez que te sumerges en el <strong>Ajustes<\/strong> clase, puedes notar la <strong>Obtener configuraci\u00f3n descifrada<\/strong> m\u00e9todo.  M\u00e1s tarde, llama a la <strong>AES.Descifrar<\/strong>.  Y parece que su trabajo est\u00e1 hecho y finalmente se encuentra la configuraci\u00f3n de malware.  Pero espera, el ensamblado no contiene un <strong>Orcus.Shared.Encryption<\/strong> espacio de nombres <\/p>\n<table cellpadding=\"0\" cellspacing=\"0\" class=\"tr-caption-container\" style=\"float: left;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/01\/1674843222_674_3-Lifehacks-al-analizar-Orcus-RAT-en-un-Sandbox-de.png\" alt=\"M\u00e9todo GetDecryptedSettings\" border=\"0\" data-original-height=\"153\" data-original-width=\"728\" title=\"M\u00e9todo GetDecryptedSettings\"\/><\/td>\n<\/tr>\n<tr>\n<td class=\"tr-caption\" style=\"text-align: center;\">M\u00e9todo GetDecryptedSettings<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p>Orcus RAT almacena ensamblajes adicionales dentro de los recursos de malware utilizando un algoritmo de &#8216;desinflado&#8217;.  Puede ir a los recursos para encontrar el montaje necesario.  Desempaquetarlos le permitir\u00e1 revelar el algoritmo de descifrado que utiliza una muestra de Orcus.  Eso trae un truco m\u00e1s para hoy. <\/p>\n<h3>3 \u2014 Descifrar datos <\/h3>\n<p>Nuestra b\u00fasqueda del tesoro contin\u00faa, ya que los datos de configuraci\u00f3n est\u00e1n encriptados. <\/p>\n<p>Orcus RAT encripta los datos usando el algoritmo AES y luego codifica los datos encriptados usando Base64. <\/p>\n<p>C\u00f3mo descifrar datos:<\/p>\n<ul style=\"text-align: left;\">\n<li>generar la clave a partir de una cadena dada usando la implementaci\u00f3n PBKDF1 de Microsoft <\/li>\n<li>decodificar los datos de Base64<\/li>\n<li>aplique la clave generada para descifrar los datos a trav\u00e9s del algoritmo AES256 en modo CBC. <\/li>\n<\/ul>\n<p>Como resultado de la decodificaci\u00f3n, obtenemos la configuraci\u00f3n del malware en formato XML.  Y todos los secretos de Orcus est\u00e1n ahora en tus manos.<\/p>\n<h3>Obtenga todo a la vez en un entorno limitado de malware<\/h3>\n<p>El an\u00e1lisis de malware no es pan comido, definitivamente se necesita tiempo y esfuerzo para descifrar una muestra.  Por eso siempre es bueno cortar la l\u00ednea: obtener todo de una vez y en poco tiempo.  La respuesta es simple: use un entorno limitado de malware. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/any.run\/?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=orcus0223&amp;utm_content=landing\" target=\"_blank\">Zona de pruebas de malware ANY.RUN<\/a> recupera autom\u00e1ticamente la configuraci\u00f3n para Orcus RAT.  Es una forma mucho m\u00e1s f\u00e1cil de analizar un objeto malicioso.  Pru\u00e9belo ahora: el servicio ya ha recuperado todos los datos de este <a rel=\"nofollow noopener\" href=\"https:\/\/app.any.run\/tasks\/55dce88d-b52c-4a51-b3c8-b8e6dcff0b13?utm_source=hacker_news&amp;utm_medium=article&amp;utm_campaign=orcus0223&amp;utm_content=task\" target=\"_blank\">muestra de orco<\/a>para que pueda disfrutar de una investigaci\u00f3n fluida. <\/p>\n<blockquote><p>\u26a1 Escribe el &#8220;<b>hackernoticias1<\/b>\u00a1C\u00f3digo de promoci\u00f3n en support@any.run usando su direcci\u00f3n de correo electr\u00f3nico comercial y obtenga 14 d\u00edas de suscripci\u00f3n premium ANY.RUN gratis!<\/p><\/blockquote>\n<h2>Conclusi\u00f3n <\/h2>\n<p>El Orcus RAT se hace pasar por una herramienta de administraci\u00f3n remota leg\u00edtima, aunque est\u00e1 claro por sus caracter\u00edsticas y funcionalidades que no lo es y nunca tuvo la intenci\u00f3n de serlo.  El an\u00e1lisis del malware ayuda a obtener informaci\u00f3n para la ciberseguridad de su empresa. <\/p>\n<p>Proteja su empresa de esta amenaza: implemente una estrategia de seguridad integral, capacite a los empleados para que reconozcan y eviten los correos electr\u00f3nicos y los sitios web maliciosos, y use un antivirus confiable y un sandbox de malware ANY.RUN para detectar y analizar Orcus.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/01\/3-lifehacks-while-analyzing-orcus-rat.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80227 de enero de 2023\ue804Las noticias del hackerAn\u00e1lisis de malware Orco es un troyano de acceso remoto con<\/p>\n","protected":false},"author":1,"featured_media":595813,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,14524,4661,4664,4662,4668,4667,56941,4669,4654,4658,4659,4653,4655,142745,4663,63637,21709,4666,4665,4660],"class_list":["post-595812","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-analizar","tag-ataques-ciberneticos","tag-como-hackear","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-lifehacks","tag-malware","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-orcus","tag-programa-malicioso-ransomware","tag-rat","tag-sandbox","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/595812","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=595812"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/595812\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/595813"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=595812"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=595812"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=595812"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}