Quero mostrar a importância de "ler antes de abrir".
Com a leitura viria os questionamentos, por exemplo, como um e-mail de cobrança me leva para um servidor de Download com origem Russa?
No cenário que iremos abordar seria a técnica mais comum de e-mails auto intitulado com um assunto de interesse ou alerta.
Segue um exemplo de email:
Vamos começar com uma análise do cabeçalho da mensagem.
A primeira análise é validar a quem o domínio pertence.
Vamos utilizar o Whois para a query:
Com resultado obtido para o domínio oazis21.ru, podemos observar no campo PERSON, a identificação encontra-se restrita, ou seja não conseguimos rastrear o nome da pessoa detentora do domínio.
Vamos mais a fundo com a análise.
Executando uma Máquina Virtual com Windows XP SP2, com um software Sandbox, vamos efetuar o download e analisar o arquivo com um editor Hexdecimal.
Com este resultado já podemos analisar quais DLL'S serão afetadas com a execução deste suposto Boleto.
Veja abaixo as informações e parametros para uso do programa executado:
Reorganizando o conteúdo, podemos ver o seguinte:
Instruções:
1-) ABORT
2-) ALL
3-) CANCEL
4-) CLOSE
5-) HELP
6-) IGNORE
7-) NO
8-) OK
9-) RETRY
10-) YES
11-) PREVIEW
12-) TEMPLATE
13-) PACKAGE INFO
14-) LOLITA MAINICOM
Ao executá-lo, o mesmo executa um cmd.exe em background, deixando um backdoor na porta 33333, permitindo uma conexão do atacante direto na máquina infectada, também repassa informações da máquina como usuário e senha, permitindo total controle.
Nenhum comentário:
Postar um comentário