{"id":726034,"date":"2023-04-27T12:22:47","date_gmt":"2023-04-27T12:22:47","guid":{"rendered":"https:\/\/teknomers.com\/es\/analisis-de-malware-de-limerat-extraccion-de-la-configuracion\/"},"modified":"2023-04-27T12:22:50","modified_gmt":"2023-04-27T12:22:50","slug":"analisis-de-malware-de-limerat-extraccion-de-la-configuracion","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/analisis-de-malware-de-limerat-extraccion-de-la-configuracion\/","title":{"rendered":"An\u00e1lisis de malware de LimeRAT: extracci\u00f3n de la configuraci\u00f3n"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>27 de abril de 2023<\/span>\ue804<\/i>Las noticias del hacker<\/span><\/span>An\u00e1lisis de Malware \/ Amenaza Cibern\u00e9tica<\/span><\/p>\n<\/div>\n

\n
<\/div>\n

Los troyanos de acceso remoto (RAT) han tomado la tercera posici\u00f3n de liderazgo en ANY. Carreras Informe Q1 2023<\/a> en los tipos de malware m\u00e1s frecuentes, lo que hace que sea muy probable que su organizaci\u00f3n se enfrente a esta amenaza.<\/p>\n

Aunque LimeRAT podr\u00eda no ser la familia RAT m\u00e1s conocida, su versatilidad es lo que la distingue. Capaz de llevar a cabo un amplio espectro de actividades maliciosas, sobresale no solo en la exfiltraci\u00f3n de datos, sino tambi\u00e9n en la creaci\u00f3n de botnets DDoS y facilitando la criptominer\u00eda. Su huella compacta le permite eludir los sistemas de detecci\u00f3n de puntos finales, lo que lo convierte en un adversario sigiloso. Curiosamente, LimeRAT comparte similitudes con njRAT, que ANY.RUN clasifica como la tercera familia de malware m\u00e1s popular en t\u00e9rminos de cargas durante el primer trimestre de 2023.<\/p>\n

CUALQUIER EJECUTAR<\/a> Recientemente, los investigadores realizaron un an\u00e1lisis en profundidad de una muestra de LimeRAT y extrajeron con \u00e9xito su configuraci\u00f3n. En este art\u00edculo, proporcionaremos una breve descripci\u00f3n general de ese an\u00e1lisis.<\/p>\n

Artefactos recolectados<\/h2>\n\n\n\n\n\n\n
\n

SHA1\n<\/td>\n

\n

14836dd608efb4a0c552a4f370e5aafb340e2a5d\n<\/td>\n<\/tr>\n

\n

SHA256\n<\/td>\n

\n

6d08ed6acac230f41d9d6fe2a26245eeaf08c84bc7a66fddc764d82d6786d334\n<\/td>\n<\/tr>\n

\n

MD5\n<\/td>\n

\n

d36f15bef276fd447e91af6ee9e38b28\n<\/td>\n<\/tr>\n

\n

SSDEEP\n<\/td>\n

\n

3072:DDiv2GSyn88sH888wQ2wmVgMk\/211h36vEcIyNTY4WZd\/w1UwIwEoTqPMinXHx+i:XOayy\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

IPv4:<\/strong><\/p>\n\n\n\n\n
\nCOI<\/strong>\n<\/td>\n\nDescripci\u00f3n<\/strong>\n<\/td>\n<\/tr>\n
\n

20[.]199.13.167:8080\n<\/td>\n

\n

Servidor de Comando y Control de LimeRAT\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Dominios:<\/strong><\/p>\n\n\n\n\n
\nCOI<\/strong>\n<\/td>\n\nDescripci\u00f3n<\/strong>\n<\/td>\n<\/tr>\n
\n

https:\/\/pastebin[.]com\/raw\/sxNJt2ek\n<\/td>\n

\n

PasteBin utilizado por LimeRAT para ocultar su servidor de Comando y Control original\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

MITRE ATT&CK\u00ae<\/strong><\/p>\n\n\n\n\n\n\n
\nT\u00e1ctica<\/strong>\n<\/td>\n\nT\u00e9cnica<\/strong>\n<\/td>\n\nDescripci\u00f3n<\/strong>\n<\/td>\n<\/tr>\n
\n

TA0005: Evasi\u00f3n de Defensa\n<\/td>\n

\n

T1027: Informaci\u00f3n o archivos ofuscados\n<\/td>\n

\n

El malware est\u00e1 utilizando ofuscador para eliminar sus nombres de m\u00e9todos, nombres de clases, etc.\n<\/td>\n<\/tr>\n

\n

TA0005: Evasi\u00f3n de Defensa <\/td>\n

\n

T1027: Informaci\u00f3n o archivos ofuscados\n<\/td>\n

\n

El malware utiliza el algoritmo Base64 para codificar y decodificar datos\n<\/td>\n<\/tr>\n

\n

TA0005: Evasi\u00f3n de Defensa\n<\/td>\n

\n

T1027: Informaci\u00f3n o archivos ofuscados\n<\/td>\n

\n

El malware utiliza el algoritmo AES para cifrar y descifrar datos\n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

ANY.RUN est\u00e1 ejecutando una oferta por tiempo limitado, celebrando el s\u00e9ptimo Cyberbirthdsay<\/h2>\n

ANY.RUN es un sandbox interactivo de malware en la nube que puede extraer configuraciones de malware autom\u00e1ticamente para numerosas familias, ahorrando horas de esfuerzo a los investigadores. <\/p>\n

El servicio est\u00e1 celebrando su 7\u00ba aniversario y invitando a todos los investigadores a probar funciones de an\u00e1lisis avanzadas que normalmente se reservan para planes profesionales, completamente gratis hasta el 5 de mayo<\/strong>. Esto incluye configurar el entorno de ejecuci\u00f3n con Windows 8, 10 u 11.<\/p>\n

Si descubre que ANY.RUN mejora su flujo de trabajo de an\u00e1lisis de malware, tambi\u00e9n le ofrecen una promoci\u00f3n limitada<\/strong><\/a>disponible hasta el 5 de mayo: reciba 6 o 12 meses de uso gratuito cuando se registre para una suscripci\u00f3n anual o de dos a\u00f1os<\/strong>respectivamente. <\/p>\n

\"Malware<\/a><\/div>\n

Desglosando el algoritmo de descifrado de LimeRAT<\/h2>\n

Compartiremos una versi\u00f3n resumida del art\u00edculo aqu\u00ed. Para obtener un recorrido completo y el an\u00e1lisis ampliado, dir\u00edjase a ANY. El blog de RUN si est\u00e1 interesado en obtener m\u00e1s informaci\u00f3n sobre el flujo de trabajo que emplearon.<\/p>\n

Dado que la muestra que se est\u00e1 revisando se escribi\u00f3 en .NET, los investigadores utilizaron DnSpy para examinar el c\u00f3digo. Inmediatamente, fue obvio que se estaban empleando t\u00e9cnicas de ofuscaci\u00f3n:<\/p>\n\n\n\n\n
\"Malware<\/td>\n<\/tr>\n
Resumen de muestra en DnSpy; tenga en cuenta que el uso de t\u00e9cnicas de ofuscaci\u00f3n<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Un examen m\u00e1s detallado del c\u00f3digo revel\u00f3 una clase que se asemejaba a la configuraci\u00f3n del malware. Dentro de esta clase, hab\u00eda un campo que conten\u00eda una cadena codificada y cifrada en base64.<\/p>\n\n\n\n\n
\"Malware<\/td>\n<\/tr>\n
Posiblemente, clase de configuraci\u00f3n de malware<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Continuando con la inspecci\u00f3n del c\u00f3digo, los investigadores de ANY.RUN identificaron una funci\u00f3n responsable de descifrar la cadena. Al emplear el filtro “Leer por” en DnSpy, rastrearon los m\u00e9todos en los que se estaba leyendo la cadena, lo que llev\u00f3 a un total de dos m\u00e9todos. El primer m\u00e9todo result\u00f3 infructuoso, pero el segundo parec\u00eda interesante:<\/p>\n\n\n\n\n
\"Malware<\/td>\n<\/tr>\n
La segunda referencia x es m\u00e1s interesante. Parece que usa nuestra cadena en el m\u00e9todo WebClient.DownloadString<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Este m\u00e9todo result\u00f3 ser el responsable del descifrado. Al examinarlo de cerca, fue posible reconstruir el proceso por el cual LimeRAT descifra su configuraci\u00f3n:<\/p>\n

    \n
  1. Instancias de la RijndaelGestionado <\/strong>y MD5CryptoServiceProvider <\/strong>las clases son instanciadas. Seg\u00fan MSDN, RijndaelGestionado <\/strong>es una implementaci\u00f3n obsoleta del algoritmo de cifrado AES (INGLETE T1027<\/strong>), mientras MD5CryptoServiceProvider <\/strong>calcula hash MD5.<\/li>\n
  2. Se genera una matriz de 32 bytes, inicializada con ceros, para almacenar la clave AES.<\/li>\n
  3. La clave se crea calculando primero el hash MD5 de una cadena distinta dentro de la clase de configuraci\u00f3n (en nuestro an\u00e1lisis, la cadena es “20[.]199.13.167”).<\/li>\n
  4. Los 15 bytes iniciales, seguidos de los primeros 16 bytes del hash calculado, se copian en la matriz previamente establecida. El elemento final de la matriz sigue siendo cero.<\/li>\n
  5. La clave derivada se asigna a la propiedad clave del RijndaelGestionado <\/strong>instancia, mientras que la propiedad Mode est\u00e1 configurada como CipherMode.ECB<\/strong>.<\/li>\n
  6. En \u00faltima instancia, la cadena principal se decodifica a trav\u00e9s de la Base64 <\/strong>algoritmo y descifrado usando el AES256-ECB <\/strong>algoritmo.<\/li>\n<\/ol>\n

    Descifrar la cadena revel\u00f3 un enlace a una nota de PasteBin: https:\/\/pastebin[.]com\/raw\/sxNJt2ek<\/strong>. Dentro de esta nota, estaba el servidor de Comando y Control (C2) de LimeRAT:<\/p>\n\n\n\n\n
    \"Malware<\/td>\n<\/tr>\n
    LimeRATs C2 descubierto con datos descifrados<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Para concluir<\/h2>\n

    Esperamos que haya encontrado \u00fatil esta breve descripci\u00f3n general de nuestro proceso de descifrado de configuraci\u00f3n de LimeRAT. Para un examen m\u00e1s completo, dir\u00edjase a la art\u00edculo completo en el blog de ANY.RUN,<\/a> para obtener contexto adicional sobre los pasos y verificar el proceso de descifrado usando CyberChef.<\/p>\n

    Adem\u00e1s, recuerda que CUALQUIERA. Actualmente, RUN ofrece ofertas por tiempo limitado, con descuentos en suscripciones y un conjunto de caracter\u00edsticas ampliadas para planes gratuitos, incluida la capacidad de configurar entornos de ejecuci\u00f3n con los sistemas operativos Windows 8, 10 y 11. Esta oferta vence el 5 de mayo.<\/p>\n

    Esta es una oportunidad ideal para probar ANY.RUN y determinar si agiliza su flujo de trabajo, o para asegurar una suscripci\u00f3n a un precio inmejorable y obtener los beneficios de un ahorro de tiempo significativo a trav\u00e9s del an\u00e1lisis est\u00e1tico y de comportamiento.<\/p>\n

    Para obtener m\u00e1s informaci\u00f3n sobre esta oferta, visite CUALQUIER.EJECUTAR\/planes.<\/a><\/p>\n

    <\/p>\n

    \u00bfEncontraste este art\u00edculo interesante? Siga con nosotros Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n