Ao verificar o retorno, percebe-se que a String está criptografada com Base64. Além disso, há utilização de um DeflateStream, o que sugere que há String também está compactada.
Para descompactar a String e apresentar as informações, criei um aplicativo em c# para isso. Este aplicativo traduz a informação e salva em um arquivo de log para uso futuro:
public static string Decompress(Byte[] bytes)
{
using (FileStream decompressedStream = File.Create(@"c:\temp\logfile64.txt"))
using (var compressed = new MemoryStream(bytes))
using (var ds = new DeflateStream(compressed, CompressionMode.Decompress))
{
try
{
ds.CopyTo(decompressedStream);
}
catch (Exception ex)
{
Console.WriteLine(ex.Message);
}
return decompressedStream.ToString();
}
}
Haviam várias Strings compactadas e criptografadas em Base64, foi preciso usar este método algumas vezes, pois as informações criptografadas estavam aninhadas.
Um exemplo da execução do método:
byte[] file = System.Convert.FromBase64String("xZJRa8IwFIXfBf/DJfRBZbWg4sNEhgzdxuYm1tk9FCTEaw2LiUsiCl3/+zKZYp3uaWOPPff03O8e4q0kl8ZSIeo1A21IGAdye//Qv4zDp94o6gy7caTWzUa99qimGPc508qomY0jLqdqbeLrldYo7Ri14UrGz7s8Au8wUxopm0MKyRK8SXUQDqidQ+ZGV070JuAL/opAKp3xTYVsBwYFMgv7nNBqLpNWseDtUZuNc6j/iFcsfMWVDkGBS8iBlyHNn+IuOfysHiWDP8SloMxR9A3vbpBVcYPkgpCDSXB3LLx8Cq2fN400X5TKzsRneebd1QOtEk0X0OMCTYWU0wyFwdTZtPWXWjE0BsjCcNxhgU914rRgk1sFELxJCKQraPuz80WUW8iy1qna6rV8be5pHtXmHO2c4c9q+77pdG3O98u1ucTztX0A");
string s = Decompress(file);
Além destas Strings, haviam cadeias de caracteres em ASC II também, para as mesmas usei o seguinte script (em c#):
[3] Comentário enviado por max_lucio em 30/11/2016 - 20:59h
Belo trabalho, parabéns!
Esse script afetaria somente usuário Windows que baixava e executava ?
É usuários no Linux que baixou ?
Obs: Da pra ver que tem mal elemento(cracker) em toda parte, não respeitando o pessoal do software livre que estamos sempre para ajudar a comunidade, e temos que depararmos com essas atitudes querendo manchar o VOL , mais aqui tem pessoas disposta a manter o objetivo de sempre levar informação correta e livre para todos!
[6] Comentário enviado por andremilke em 30/11/2016 - 22:57h
[3] Comentário enviado por max_sam em 30/11/2016 - 20:59h
Belo trabalho, parabéns!
Esse script afetaria somente usuário Windows que baixava e executava ?
É usuários no Linux que baixou ?
Obs: Da pra ver que tem mal elemento(cracker) em toda parte, não respeitando o pessoal do software livre que estamos sempre para ajudar a comunidade, e temos que depararmos com essas atitudes querendo manchar o VOL , mais aqui tem pessoas disposta a manter o objetivo de sempre levar informação correta e livre para todos!
Olá, o pessoal tava comentando que existe powershell para Linux também, mas acredito que foi direcionado para usuários windows. Devido a iteração nos logs.
[9] Comentário enviado por removido em 01/12/2016 - 01:19h
Legal o artigo. Estava esperando.
Pode-se considerar esse hacking como um tipo de banker?
T+
----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden
[11] Comentário enviado por ivaniuni em 01/12/2016 - 10:06h
Excelente trabalho amigo! Na sua opnião o que levou esse hacker a atacar o vol? Esse tipo de ataque geralmente é bem planejado com alvo bem definido! Será que a intenção do hacker era se mostrar para o pessoal daqui? Muitas coisas não fazem sentido! Por que o AVG? e os outros anti-vírus como ficam nessa estória? São muitas perguntas difícieis de responder! Deixar o watts-zap também não faz sentido a não ser que fosse um ransomware e o número fosse para pedir resgate! Parabéns pelo trabalho duro! Obrigado!
[13] Comentário enviado por andremilke em 01/12/2016 - 13:39h
[9] Comentário enviado por listeiro_037 em 01/12/2016 - 01:19h
Legal o artigo. Estava esperando.
Pode-se considerar esse hacking como um tipo de banker?
T+
----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)
Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden
[14] Comentário enviado por andremilke em 01/12/2016 - 13:43h
[11] Comentário enviado por ivaniuni em 01/12/2016 - 10:06h
Excelente trabalho amigo! Na sua opnião o que levou esse hacker a atacar o vol? Esse tipo de ataque geralmente é bem planejado com alvo bem definido! Será que a intenção do hacker era se mostrar para o pessoal daqui? Muitas coisas não fazem sentido! Por que o AVG? e os outros anti-vírus como ficam nessa estória? São muitas perguntas difícieis de responder! Deixar o watts-zap também não faz sentido a não ser que fosse um ransomware e o número fosse para pedir resgate! Parabéns pelo trabalho duro! Obrigado!
Não tenho todas essa repostas, tenho suposições. Houveram outras discussões no forum a respeito, de como ele conseguiu a senha e fez a captura do DNS, talvez ele tenha rodado um script ou feito uma busca em possíveis perfis e encontrou a senha. Talvez tenha sido aleatório.
[20] Comentário enviado por andremilke em 02/12/2016 - 09:04h
[18] Comentário enviado por S4Mu em 01/12/2016 - 21:50h
Ótimo artigo, meus parabéns. Desculpe ser indiscreto mas você trabalha com computação forense?
Olá amigo, não trabalho com computação forense. Só sou um programador interessado na área de segurança da informação, inclusive tô pensando em migrar para essa área, se quiser dar uma olhada no meu linkedin fique a vontade. https://br.linkedin.com/in/andremilke
Um abraço.
[21] Comentário enviado por removido em 02/12/2016 - 14:59h
Muito ótimo.
Parabéns de coração.
Muito obrigado por dispor de seu tempo que tenho certeza é muito valioso.
Sempre é bom fazer algo que possa ajudar o próximo.
Eu não sou programador. Cuido de um CPD relativamente simples. Servidores Windows 2008 e Servidores Linux.
No entanto amo estudar (fuçar mesmo) códigos em geral, brincar com eles, hardwares de todos os tipos, Assembly, C, C++, essas coisas.
Depois desse acontecimento, por exemplo, me motivou a conhecer mais o que o java script pode fazer e também, de levada, tudo sobre shellcodes.
Vai ser de muita valia para melhorar minha experiência e quem sabe me ajudar a ter mais segurança onde trabalho.
Um abraço e que bons ventos assoprem sempre para o seu lado.
[22] Comentário enviado por removido em 02/12/2016 - 15:09h
Eu de novo...
Eu tenho um código mais ou menos do tipo. Era um que ocultava pastas do pendrive e criava atalhos no lugar, assim, toda vez que o usuário clicava na pasta "atalho" abria a pasta original, mas executava o código.
Eu até "destrinchei" uma parte, mas cai e mais códigos e mostra monte de caminhos. Inclusive do registro do Windows.
Não tenho tanto conhecimento para de fato destrinchar por completo de uma maneira mais prática.
Se não se importar, gostaria que pegasse ele, estudasse e destrinchasse. Se é que já não o fez algum dia.
Já encontrei ele. Tem várias funções e um enorme "String.fromCharCode( )".
Se concordar, vou enviar pelo Linux, pois pelo Windows tem que desativar todo o Antivirus, pois já é um conhecido na praça.
[23] Comentário enviado por andremilke em 04/12/2016 - 14:53h
[21] Comentário enviado por tonyfrasouza em 02/12/2016 - 14:59h
Muito ótimo.
Parabéns de coração.
Muito obrigado por dispor de seu tempo que tenho certeza é muito valioso.
Sempre é bom fazer algo que possa ajudar o próximo.
Eu não sou programador. Cuido de um CPD relativamente simples. Servidores Windows 2008 e Servidores Linux.
No entanto amo estudar (fuçar mesmo) códigos em geral, brincar com eles, hardwares de todos os tipos, Assembly, C, C++, essas coisas.
Depois desse acontecimento, por exemplo, me motivou a conhecer mais o que o java script pode fazer e também, de levada, tudo sobre shellcodes.
Vai ser de muita valia para melhorar minha experiência e quem sabe me ajudar a ter mais segurança onde trabalho.
Um abraço e que bons ventos assoprem sempre para o seu lado.
[24] Comentário enviado por andremilke em 04/12/2016 - 14:54h
[22] Comentário enviado por tonyfrasouza em 02/12/2016 - 15:09h
Eu de novo...
Eu tenho um código mais ou menos do tipo. Era um que ocultava pastas do pendrive e criava atalhos no lugar, assim, toda vez que o usuário clicava na pasta "atalho" abria a pasta original, mas executava o código.
Eu até "destrinchei" uma parte, mas cai e mais códigos e mostra monte de caminhos. Inclusive do registro do Windows.
Não tenho tanto conhecimento para de fato destrinchar por completo de uma maneira mais prática.
Se não se importar, gostaria que pegasse ele, estudasse e destrinchasse. Se é que já não o fez algum dia.
Já encontrei ele. Tem várias funções e um enorme "String.fromCharCode( )".
Se concordar, vou enviar pelo Linux, pois pelo Windows tem que desativar todo o Antivirus, pois já é um conhecido na praça.
Pode me enviar, assim que possível dou uma olhada. um abraço
[25] Comentário enviado por leo4b em 04/12/2016 - 21:32h
Por que ele direciona para o AVG? E se for outro AV?
"while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}"
[26] Comentário enviado por andremilke em 05/12/2016 - 08:03h
[25] Comentário enviado por leo4b em 04/12/2016 - 21:32h
Por que ele direciona para o AVG? E se for outro AV?
"while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}"
Olá leo4b, ele procura por *AVG*, acredito que seja direcionado apenas para o AVG.
[33] Comentário enviado por tiago4171 em 13/12/2016 - 15:21h
Caraka mano. Excelente artigo!!!
Favoritado
Não entendo muito dessas coisas, mas será que dá pra identificar o miserável? Tu tem alguns IP's, dá pra denunciar.
Conheço uma galera bacana no Facebook. Caso identifique, me comunique que eu repasso.
EXCELENTE TRABALHO!!! CONTINUE SENDO ESPETACULAR, É DE PESSOAS ASSIM QUE SE VIVE O OPENSOURCE
[34] Comentário enviado por andremilke em 13/12/2016 - 16:14h
[33] Comentário enviado por tiago4171 em 13/12/2016 - 15:21h
Caraka mano. Excelente artigo!!!
Favoritado
Não entendo muito dessas coisas, mas será que dá pra identificar o miserável? Tu tem alguns IP's, dá pra denunciar.
Conheço uma galera bacana no Facebook. Caso identifique, me comunique que eu repasso.
EXCELENTE TRABALHO!!! CONTINUE SENDO ESPETACULAR, É DE PESSOAS ASSIM QUE SE VIVE O OPENSOURCE
Obrigado tiago4171, o pessoal do site já está tomando as devidas providências.
[35] Comentário enviado por andrerochatriade em 15/12/2016 - 08:05h
Bom dia,
A principio parabens pelo artigo, que demonstra claramente muito esforço e dedicaçao de sua parte.
"Impressionante"! Esta eh a palavra que resume a horas de analise e experiencia anterior para sua conclusao final.
Obrigado por dispor de seu tempo e compartilhar seus conhecimentos.
"A mente que se abre a uma nova ideia,
jamais retorna ao tamanho original."
(Albert Einstein)
[36] Comentário enviado por ricardogroetaers em 22/12/2016 - 05:13h
Parabéns pelo trabalho, infelizmente não posso contribuir pois não manjo nada disso.
Só a título de informação, o Symantec Edpoint Protecion (acho que é assim que se escreve) detectou um "win trojan" no arquivo baixado. Eu já joguei o arquivo fora.
[37] Comentário enviado por andremilke em 04/01/2017 - 08:00h
[35] Comentário enviado por andrerochatriade em 15/12/2016 - 08:05h
Bom dia,
A principio parabens pelo artigo, que demonstra claramente muito esforço e dedicaçao de sua parte.
"Impressionante"! Esta eh a palavra que resume a horas de analise e experiencia anterior para sua conclusao final.
Obrigado por dispor de seu tempo e compartilhar seus conhecimentos.
"A mente que se abre a uma nova ideia,
jamais retorna ao tamanho original."
(Albert Einstein)
Obrigado andrerochatriade, muito bom poder contribuir um pouco com o forum. É uma incrível ferramenta de aprendizado, tenho aprendido muito por aqui.
[38] Comentário enviado por andremilke em 04/01/2017 - 08:01h
[36] Comentário enviado por ricardogroetaers em 22/12/2016 - 05:13h
Parabéns pelo trabalho, infelizmente não posso contribuir pois não manjo nada disso.
Só a título de informação, o Symantec Edpoint Protecion (acho que é assim que se escreve) detectou um "win trojan" no arquivo baixado. Eu já joguei o arquivo fora.
[39] Comentário enviado por MarcosCarraro em 06/01/2017 - 08:46h
Bom Dia André, bela explicação!
Neste caso o atacante se beneficiou do usuário estar permitindo a execução do ActiveX, pois até onde sei é preciso habilitar esta função no IE, e nos demais navegador instalar um plugin, confere?
Já vi muito atacantes fazerem a utilização do Java, para infectar equipamentos, principalmente porque usuários acabam aceitando a execução do applet sem desconfiar, acostumados com o dia a dia de alguns bancos.
[40] Comentário enviado por andremilke em 06/01/2017 - 09:16h
[39] Comentário enviado por MarcosCarraro em 06/01/2017 - 08:46h
Bom Dia André, bela explicação!
Neste caso o atacante se beneficiou do usuário estar permitindo a execução do ActiveX, pois até onde sei é preciso habilitar esta função no IE, e nos demais navegador instalar um plugin, confere?
Já vi muito atacantes fazerem a utilização do Java, para infectar equipamentos, principalmente porque usuários acabam aceitando a execução do applet sem desconfiar, acostumados com o dia a dia de alguns bancos.
[41] Comentário enviado por andremilke em 29/03/2017 - 09:41h
Olá pessoal,
Criei um script em python, para decriptar Base64 em string compactada. Conforme o passo feito em c#, fiz o mesmo em python.
Abaixo link do github: https://github.com/andremilke/deflate64