Reverse Engineering – VB .NET

Pour ce premier article à propos du reverse engineering nous allons aborder l’étude d’un malware, ce qui rend bien évidemment les choses beaucoup plus intéressantes.

Cet article n’est ici qu’à titre éducatif ainsi que, peut-être, afin de décourager certaines personnes mal-intentionnées.
Tout d’abord il faut savoir contre quels types de malwares on se bat.

Nous allons donc nous concentrer sur un utilitaire qui a comme fonctionnalités celui d’un keylogger ainsi que d’un stealer.
Développé en .NET il répond au nom de B-Logger Controller.

Cet utilitaire propose comme alternatives de communication avec le C&C l’utilisation du SMTP qui est un protocole permettant le transfert de mails ; dans ce cas le pirate précise un intervalle de temps où toutes les données ASCII entrées sur la machine hôte seront récupérées puis envoyées sur une boite mail distante.
Il propose également la mise en place d’un backdoor qui permet à un pirate d’intercepter les caractères transmis à la machine depuis l’utilisateur en direct, de supprimer les cookies de son navigateur afin d’obliger la victime à s’identifier de nouveau.
Nous n’utiliserons que la première des deux alternatives décrites ci-dessus.

Bien évidemment aucune obfuscation ni aucun chiffrement ne sera appliqué au sein de notre exécutable final, étant donné que cet article n’est qu’un simple aperçu ; le reverse engineering étant beaucoup plus compliqué dans la réalité du terrain si je puis dire.

Voici donc l’interface du builder en question:

Reverse Engineering, b logger controller, smtp

 

 

 

 

 

 

 

 

Donc après avoir compléter les champs ci-dessus tout en utilisant l’alternative du SMTP nous avons générer le dropper, ce dernier porte le nom de: app.exe

malware, Reverse Engineering, générer

Un simple éditeur hexadécimal suffit.

 

Reverse Engineering, HEXADECIMAL, identifiants, pirate

 

Ainsi il suffit simplement de glisser l’exécutable malveillant dans ce dernier puis alors vous obtiendrez, uniquement si ce dernier n’a subit aucun chiffrement ni obfuscation:

L’adresse e-mail utilisé (webmaster@dyxfly.fr), le mot de passe (password), le protocole utilisé et le port qui lui ai associé (smtp.gmail.com:587).
A la suite le nom que le malware aura (EV92HR.exe) après l’exécution ; l’installation sera fera quant à elle dans le répertoire AppData comme précisé lors du build.
Pour finir le nombre 15 correspond en minutes à un intervalle de temps entre chaque envoi.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *