HackerSecret.it - Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

  • Home
  • Scarica l’App gratuita
  • Visita il Nostro Shop
  • Contattaci per info
VISITA IL NOSTRO SHOP ! CLICCA QUI !

Analisi statica di un Ransomware – Kekw

da Lo Staff di HackerSecret.it / mercoledì, 22 Aprile 2020 / Pubblicato il Hacking
Share
Tweet
Pin

In questo articolo verrà analizzata un nuova minaccia ransomware sviluppata in .NET che chiede il riscatto per la decriptazione dei files tramite pagamento Bitcoin: Kekw ransomware.

Il file, già conosciuto dai principali antivirus, una volta eseguito cifra file e cartelle del sistema ospite, chiedendo un riscatto al malcapitato.

Analisi Statica

Hash File

Attraverso l’analisi dell’entropia del sample possiamo vedere come esso non sia packed. Si può notare come il livello di entropia sia circa del 59 %.

Analisi dei byte del file
Entropia

Le sezioni del Portable Executable sono tre e contengono:

  • .text: le istruzioni che vengono eseguite dalla CPU
  • .rsrc: le risorse dell’eseguibile
  • .reloc: invece le base relocations

Dalle stringhe estratte dal ransomware possiamo notare come ci siano decine di riferimenti a funzioni di crittografia e codifica dei dati, in particolare AES Managed.

Stringhe all’interno dell’eseguibile

Diverse stringhe interessanti, identificate durante l’analisi, sono ad esempio: “AesManaged”, “CryptoStreamMode”, “get_IV”, “EncryptFile”, “Encoding”, “FromBase64String”, “ToBase64String”, “CryptoStream”, “SymmetricAlgorithm”, “ICryptoTransform”, “CreateEncryptor”, “encryptor”, “get_Key”, “<key>” ma anche  imports importanti come ad esempio “System.Security.Cryptography” per poter richiamare funzioni di crittografia.

Sono state identificate anche numerose stringhe che rilevano un’operazione di file e directories gathering per poi procedere alla crittografia di questi ultimi. Alcune stringhe di questo tipo sono: “FileMode”, “Delete”, “Write” “Enumerable”, “DirectoryInfo”, “DriveInfo”, “FileSystemInfo”, “GetEnumerator” ma soprattutto “EnumerateDirectories” ed “EnumerateFiles”, “HandleDirectory” (metodo utilizzato dal ransomware che vedremo più avanti), “get_RootDirectory”, “Program Files”, “C:\Windows”.

Funzone EncryptFile
Funzione Debugger
Funzione Encoding
Funzione EnumerateDirectories
Chiamata alla funzione Criptography
Altre stringhe contenute nel’eseguibile

KEKW ransomware ha anche un riferimento ad un file .pdb, contenente informazioni di debugging, denominato “KEKW.pdb”:

Tramite il software Detect It Easy, importiamo il sample da analizzare

Informazioni in merito al file
Dettagli del Portable Executable

L’entrypoint del sample richiama l’indirizzo 402000 che contiene l’istruzione INT3, che in alcuni casi può essere utilizzato come metodo per ingannare eventuali debuggers.

Codice assembly con il jmp all’indirizzo 402000
Indirizzo 402000

Di seguito l’analisi delle sezioni del sample (tutte e tre non packed).

Sezioni del sample

Dall’analisi delle librerie importate è possibile notare come venga richiamato anche System.Security per la gestione della crittografia dei files della vittima.

Librerie del sample

All’interno del metodo Main possiamo vedere come il sample avvii subito la crittografia dei dati attraverso un oggetto AesManaged.

Sono presenti le stringhe “s” e s2” che vengono utilizzate proprio durante la fase di crittografia e di infezione. La variabile “text” viene costruita richiamando il metodo d (che attraverso l’uso di uno StringBuilder accoda le due stringhe “s” e “k” prese in input come argomenti). Nel metodo main vengono anche raccolte le informazioni dei drives tramite “DriveInfo.GetDrives()” e, successivamente viene richiamata la funzione HandleDirectory e creato il file .txt per le istruzioni per decriptare i propri files

Funzione Main
Cifratura dei dati
Cifratura dei dati
Cifratura dei dati

Il metodo “HandleDirectory” viene utilizzato per l’enumerazione e l’operazione di gathering delle directories per procedere alla crittografia dei dati contenuti in esse e l’aggiunta dell’estensione .KEKW.

Il tutto viene eseguito in un blocco try-catch e attraverso l’uso di due cicli foreach. Vengono escluse le cartelle “Program Files” e “C:\Windows”.

Funzione HandleDirectory

La funzione “EncryptFile” è il metodo che effettivamente viene usato per eseguire la crittografia dei files. Viene poi eliminato il file non criptato.

Funzione EncryptFile

Di seguito il compiler-stamp del malware.

Compiler Stamp dell’eseguibile

Mentre il file Decrypt.txt che verrà visualizzato dalla vittima sarà il seguente

File di testo conenente le istruzioni di pagamento

Conclusioni

KEKW ransomware è una minaccia progettata per criptare i dati delle vittime e chiedere un riscatto tramite criptovaluta (“1 MILLION BITCOIN”) per riuscire a decriptare i files. E’ fondamentale avere installato sul proprio PC un buon prodotto antivirus e antimalware (aggiornati all’ultima versione) ed evitare di scaricare eventuali allegati di email sospette. Non possiede particolari tecniche di AV evasion, quindi con un normale antivirus è possibile identificatlo.

Come sempre è altamente consigliato non pagare il riscatto, in quanto si incentiverebbe i cybercriminali a produrre nuove minacce simili. Siti come NoMoreRansom contengono diverse chiavi di decifratura per i principali malware e vengono costantemente aggiornati.

Hits: 294

social-container synved-social-container-share” style=”text-align: right”>Facebooktwitterredditlinkedintumblrmail

L’articolo Analisi statica di un Ransomware – Kekw proviene da HackTips.

HackTips

Share
Tweet
Pin
Taggato in: analisi, Kekw, Ransomware, statica

Clicca subito qui per visitare il nostro Shop!

Clicca subito qui per visitare il nostro Shop!

Altri 2300 utenti come te lo hanno già fatto quest'anno!

Scegli qui il prodotto che ti serve!

  • HACKER LIBRARY LA PIU' GRANDE RACCOLTA DI LIBRI E MANUALI SULL'HACKING + 100 !!! 99,99€ 49,99€
  • IL PRIMO VERO SMARTPHONE ANDROID DA HACKER SENZA ROOT UNICO AL MONDO CON TUTTE LE APP !!! 599,99€ 249,99€
  • SOCIAL HACK LA GUIDA + COMPLETA PER HACKERARE TUTTI I SOCIAL ACCOUNT !!! 99,99€ 49,99€
  • IL PRIMO VERO SMARTPHONE ANDROID DA HACKER CON ROOT UNICO AL MONDO CON TUTTE LE APP !!! 699,99€ 299,99€
  • HACKER PACK X IL TUO COMPUTER E IL TUO NOTEBOOK + 1000 PROGRAMMI 5GB DI MATERIALE !!! 99,99€ 49,99€
  • HACKER PACK PER IL TUO SMARTPHONE E IL TUO TABLET CON ROOT GUIDA E + 100 PROGRAMMI !!! 99,99€ 49,99€

Dicono di Noi

Francesca M. – Sistemista

Share
Tweet
Pin
 
Samuel D. – Hacker Etico

Share
Tweet
Pin
 
Carola M. – Influencer

Share
Tweet
Pin
 
Renato P. – Investigatore Privato

Share
Tweet
Pin
 
Rosaria S. – Casalinga

Share
Tweet
Pin
 
Paolo V. – Consulente Informatico

Share
Tweet
Pin
 
Matteo C. – Imprenditore

Share
Tweet
Pin
 
Alice B. – Studentessa di Informatica

Share
Tweet
Pin
 
Goffredo B. – Analista IT

Share
Tweet
Pin
 
Roberto C. – Programmatore

Share
Tweet
Pin
 

Clicca qui per contattarci con Whatsapp

Clicca qui per contattarci con Whatsapp

Clicca qui per contattarci con Telegram

Clicca qui per contattarci con Telegram

SCARICATA 1316 VOLTE!

SCARICATA 1316 VOLTE!

Scarica subito Hacker Secret la nostra app Android gratuita.

Serve aiuto? Contattaci subito!

Contact Us
Scrivi il tuo indirizzo email qui
Scrivi qui come possiamo aiutarti - ti supportiamo immediatamente per ogni tua esigenza!

## Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? ##

Contattaci subito…altri 2300 utenti come te lo hanno già fatto quest’anno!

Clicca subito qui!

Cerca nel Sito

Gli ultimi articoli

  • I più famosi hacker italiani

  • Cos’è l’informatica forense?

  • Come capire se ti spiano il cellulare?

  • Il concetto di sicurezza informatica

  • Metasploit tutorial in italiano

Tutte le tecniche, i prodotti e i servizi descritti o contenuti in questo sito si intendono per uso esclusivo di studio e di aggiornamento professionale e per testare la sicurezza della propria rete informatica in accordo alle vigenti normative sull'accesso a sistemi informativi e telematici (cfr. art. 615 ter c.p. e successive modifiche).

TORNA SU
Nuovo Ordine!