Rodrigo Brito

Controlando o tráfego do malware para análise comportamental

Em análises de malware, interceptar e redirecionar o tráfego é fundamental quando a comunicação é direcionada a endereços hardcoded. Neste post, abordaremos como manipular o tráfego gerado pelo getdown.exe, configurando o ambiente com ferramentas como Remnux e Wireshark para capturar e decifrar suas ações.

O malware getdown.exe requisita o IP 1.234.27.46 na porta 80:

Para poder interceptar o tráfego e redirecionar para um servidor web e "alimentar" o malware com os recursos necessários para análise, no Remnux, é possível redirecionar  o tráfego  com o comando acceppt-all-ips start. Além dele, podemos ativar o serviço http para responder às requisições do malware:

Para interromper os serviços, utiliza-se a flag stop.

Com o WireShark é observado a requisição sendo respondida de forma satisfatória e que a URL requisitada é pcfix.exe, com o parâmetro affid:

Alternativamente pode ser utilizado o Fiddler:

Conclusão

Manipular o tráfego do malware oferece uma visão aprofundada de seu comportamento. Com o redirecionamento controlado, conseguimos acessar informações cruciais, fortalecendo o processo de análise para ataques futuros e proporcionando insights para estratégias defensivas.