Cómo estudiar los paquetes enviados por un keylogger

12

Uno de mis amigos, la cuenta de runescape, fue hackeada a través del key-logger. Descargó un generador de oro runescape de un sitio para compartir archivos y trató de usarlo. Tengo una fuerte duda de que es un registrador de claves. Así que ejecuto el software en una máquina virtual y, de hecho, el software envía algunos paquetes SMTP. pero está usando gmail y no puedo entender los paquetes. Aquí está el volcado de los paquetes:

enlace

¿Ahora quiero saber cómo leer estos paquetes a medida que se cifran? ¿Qué está enviando el keylogger y a qué ID de correo electrónico está enviando? ¿Cómo puedo saber esto?

EDIT: aquí está el archivo pcap: enlace

Subí el archivo pcap completo ya que puede haber algo más que paquetes smtp que no conozco. Es casi 10 mb. Si alguien quiere revisar solo paquetes smtp, amablemente filtre.

    
pregunta narayan 04.02.2013 - 13:42
fuente

1 respuesta

15

El keylogger parece estar enviando correos electrónicos usando Gmail, pero la comunicación SMTP está cifrada con TLS (SSL).

Simple Mail Transfer Protocol
    Command Line: STARTTLS\r\n
        Command: STAR
        Request parameter: TLS

Simple Mail Transfer Protocol
    Response: 220 2.0.0 Ready to start TLS\r\n
        Response code: <domain> Service ready (220)
        Response parameter: 2.0.0 Ready to start TLS

Puede usar Fiddler en el host que ejecuta el keylogger para interceptar los mensajes SMTP antes de que estén cifrados con TLS (SSL) . Fiddler intercepta las aplicaciones basadas en Windows WinINET para que no intercepte todas las conexiones SSL.

  

Fiddler es un proxy de depuración web que   registra todo el tráfico HTTP (S) entre su   ordenador e internet. Violinista   le permite inspeccionar todos los HTTP (S)   tráfico, establecer puntos de interrupción y "violín"   con datos entrantes o salientes.   El violinista incluye un poderoso.   subsistema de scripting basado en eventos, y   Puede ser extendido usando cualquier .NET   idioma.

Si el keylogger envía un correo electrónico, significa que recogerá las claves durante un período de tiempo determinado y luego enviará el correo electrónico. Lo que significa que tendrá que almacenar esas llaves en algún lugar. Las escrituras de archivos de seguimiento para ese keylogger pueden señalarle a su caché y tal vez el archivo de clave indique si el keylogger está apuntando a Runescape o al usuario. Recomiendo Process Monitor para rastrear las escrituras de archivos.

Una forma diferente de encontrar la dirección de correo electrónico de destino es depurando el keylogger. Podría comenzar con un volcado de memoria y una búsqueda de cadenas. Primero, identifica el proceso del keylogger siguiendo las escrituras que ocurren después de presionar las teclas, luego usa Process Explorer para buscar las cadenas desde el volcado de memoria del proceso.

OllyDBG y un poco de paciencia puede ser útil para depurar el código del keylogger al establecer puntos de interrupción en las funciones SMTP y luego inspeccionar la memoria para las direcciones de correo electrónico.

    
respondido por el Cristian Dobre 04.02.2013 - 13:54
fuente

Lea otras preguntas en las etiquetas