Se identificó un grupo de ciberamenazas que inicia campañas de phishing generalizadas para distribuir más cargas útiles maliciosas. Las cargas útiles encontradas con más frecuencia fueron IcedID. Se le ha proporcionado un hash de una muestra de IcedID con el fin de analizar y monitorear las actividades de este grupo de amenazas persistentes avanzadas (APT).
1.- ¿Cuál es el nombre del archivo asociado con el hash dado?
En este desafío se nos proporciona un hash del malware el analizare con la herramienta VirusTotal.
Como se muestra en la imagen VirusTotal detecto el hash como malware en el apartado "details > Names" podemos ver más información sobre el malware y los nombres asociados.
2.- ¿Puedes identificar el nombre del archivo gif que se implementó?
El nombre de la imagen gif se puede obtener en el apartado "Relations > Conected URLs".
3.- ¿En cuántos dominios busca el malware descargar el archivo de carga útil adicional en la pregunta número 2?
Para responder esta pregunta basta con contar los dominios donde el malware consulta el archivo gif que se identificó en la pregunta número 2, 3xxx.xxf.
4.- ¿Cuál es el hash MD5 del ejecutable en la pregunta número 2 descargado de metaflip.io?
Para responder esta pregunta debemos realizar una búsqueda en Internet de algún análisis que nos entre más información que VirusTotal. Buscando un par de horas en internet encontré el siguiente post en la plataforma X (twitter).
Como se muestra en la parte inferior de la imagen se utilizó ANY.RUN para realizar un análisis dinámico del malware.
Al hacer clic en https://metaflip.io/ds/3003.gif, podemos ver el detalle del archivo solicitado.
5.- De los dominios mencionados en la pregunta 3, el actor de amenazas utilizó principalmente un registrador de DNS para alojar su contenido dañino, lo que permitió la funcionalidad del malware. ¿Puede especificar el registrador?
Esta información la podemos obtener con la herramienta VirusTotal en el apartado "Relations > Contacted Domains".
6.- ¿Podría especificar el actor de amenaza vinculado a la muestra proporcionada?
Un actor de amenaza (Threat Actor en inglés) Es un individuo o grupo que realiza actividades maliciosas con el objetivo de dañar de manera intencional sistemas informáticos o dispositivos digitales con el objetivo de impedir su funcionamiento normal. Siguiendo la pregunta utilizaré MITRE ATT&CK.
7.- En la fase de ejecución, ¿qué función utiliza el malware para obtener payload adicionales en el sistema?
Utilizaré la herramienta Recorded Feature Triage para obtener información de configuración del malware.
Comentarios
Publicar un comentario