Inicio / Blog / zbotscan: plugin para volatility (actualizado)

zbotscan: plugin para volatility (actualizado)

Publicado el 23/08/2013, por Juan C. Montes (INCIBE)
volatility framework

Como parte de nuestro trabajo diario investigamos nuevas formas de acercamiento a los análisis de malware.

Revisando los plugins de volatility, la herramienta de análisis forense de memoria, me he encontrado con algunos plugins para la detección y análisis de volcados de memoria de entornos infectados con ZeuS v1 y v2 (creado por Michael Hale) y Citadel v1.3.4.5 (creado por Santiago Vicente). Estos plugins se usan de modo separado y analizan la memoria para ver si existe alguna muestra del malware.

En base a estos plugins he creado uno nuevo que permite analizar directamente varios tipos de malware, a la información que tenía de los plugins existentes, he añadido la búsqueda de ICE IX, y Citadel 1.3.5.1. Con un solo plugin es posible ahora detectar que tipo de malware tiene infectada la memoria y devolvernos toda la información que pueda acerca de esa infección.

La ejecución del plugin se realiza de modo normal en volatility:

$ vol.py -f dump.mem zbotscan

Y en caso de encontrar alguna de las muestras conocidas nos devolvería una salida similar a esta, en este caso es un volcado de memoria infectado con ICE IX, una variante de ZeuS:

El plugin trabaja con estructuras de yara que permiten detectar, no solo el tipo de muestra, también donde se posicionan en memoria las estructuras de datos del propio malware, lo que nos permite obtener toda la información con la que el propio malware trabaja.

Entre los datos de valor obtenidos encontramos:

  • Zbot: La versión del malware encontrada. Actualmente el plugin es capaz de encontrar versiones de ZeuS v1 y v2, Citadel v1.3.4.5 y v1.3.5.1, y ICE IX. En un futuro intentaremos añadir soporte para otros tipos de malware.
  • URL: Nos muestra las urls de donde el malware obtiene la configuración.
  • RC4 Key: Estas keys son usadas para poder comunicarnos con el panel de control, obtener la configuración...

En este momento estamos trabajando en un sistema automatizado que nos permita extraer toda esta información de un gran numero de muestras y procesarla en nuestro correlador, lo que nos dará una fuente fiable de paneles de control y nos permitirá reaccionar de forma más rápida en la lucha contra las botnets.

El plugin ha sido envido a las personas que están colaborando con volatility y será integrado en las siguientes releases de la suite.

Actualización 29/08/2013:

Hemos publicado el plugin en el repositorio de INTECO-CERT en GitHub https://github.com/INTECOCERT/volatility_plugins

Etiquetas: