1
00:00:02,040 --> 00:00:03,000
Hola y bienvenidos.

2
00:00:03,030 --> 00:00:07,260
En esta lección vamos a aprender a capturar el tráfico que genera nuestro Logger.

3
00:00:08,430 --> 00:00:14,250
En la última lección averiguamos que total es un Key Logger y está guardando las pulsaciones de teclas

4
00:00:14,310 --> 00:00:20,070
en el archivo explorÃ el punto txt, pero qué es lo siguiente que el malware está haciendo con este

5
00:00:20,070 --> 00:00:20,550
archivo?

6
00:00:21,090 --> 00:00:28,110
El siguiente paso lógico sería averiguar eso totali huer 2 debería estar conectando algún centro de

7
00:00:28,110 --> 00:00:31,590
comando y control para enviar la información robada.

8
00:00:35,650 --> 00:00:41,980
Como es usual, empezaremos inspeccionando nuestro binario total recuerdos usando alguna herramienta

9
00:00:41,980 --> 00:00:48,760
como CFF Explorer click derecho en el ejecutable y vamos a abrirlo en CFF Explorer.

10
00:00:52,710 --> 00:00:53,950
Quiero ver de Strings.

11
00:00:59,180 --> 00:01:05,330
Estamos viendo el hexadecimal don bobo o volcado hexadecimal para encontrar alguna pista, alguna clase

12
00:01:05,330 --> 00:01:06,110
de conexión.

13
00:01:07,070 --> 00:01:07,960
Entonces vamos a.

14
00:01:08,240 --> 00:01:10,310
Vamos a tratar de buscar http.

15
00:01:13,350 --> 00:01:14,520
No hemos tenido suerte.

16
00:01:15,390 --> 00:01:17,700
Vamos a. Vamos a intentar con pía estudio.

17
00:01:26,760 --> 00:01:29,310
Como siempre, debería de intentar algunas herramientas.

18
00:01:29,460 --> 00:01:32,040
Vamos a cargar en pie estudio nuestro ejecutable.

19
00:01:40,690 --> 00:01:41,440
Aquí está.

20
00:01:48,630 --> 00:01:50,160
Bien, vamos a ver los strings.

21
00:01:56,000 --> 00:01:59,920
La última vez encontramos aquí el archivo explorÃ el punto txt.

22
00:02:03,970 --> 00:02:09,910
Ahora estamos buscando alguna pista que nos ayude a entender cómo este malware stacks filtrando los

23
00:02:09,910 --> 00:02:12,160
datos o las pulsaciones de teclado robadas.

24
00:02:25,310 --> 00:02:28,010
Debe estar conectándose a un centro de comando y control.

25
00:02:29,640 --> 00:02:31,220
Si estamos buscando esta pista.

26
00:02:40,970 --> 00:02:42,140
Ok, encontré algo.

27
00:02:42,470 --> 00:02:43,760
Esto es un web client.

28
00:02:44,780 --> 00:02:49,750
Es una clase de Sharp, es usada para hacer http request.

29
00:02:53,940 --> 00:02:55,830
Bueno, esto es mejor que nada.

30
00:02:56,250 --> 00:02:59,210
Ahora vamos a intentar con la herramienta text.

31
00:03:12,590 --> 00:03:14,360
La ejecutamos como administrador.

32
00:03:17,800 --> 00:03:19,300
Cargamos nuestro binario.

33
00:03:27,290 --> 00:03:28,040
Y ahí vamos.

34
00:03:38,120 --> 00:03:39,470
Continuemos buscando.

35
00:03:51,970 --> 00:03:53,140
Y aquí encontramos algo.

36
00:03:53,200 --> 00:03:59,290
Esta dirección HTTP podría ser el centro de comando y control al que se está conectando el malware para

37
00:03:59,290 --> 00:04:01,510
enviar las pulsaciones de teclado robadas.

38
00:04:04,210 --> 00:04:08,650
Hasta ahora tenemos algunas pistas de lo que este malware estar tratando de hacer y hasta dónde se está

39
00:04:08,650 --> 00:04:09,370
conectando.

40
00:04:10,150 --> 00:04:12,310
Hemos encontrado una dirección sospechosa.

41
00:04:13,090 --> 00:04:17,900
Hemos encontrado una clase Cellar que usa http request.

42
00:04:18,760 --> 00:04:20,920
O sea, peticiones para hacer una conexión.

43
00:04:23,050 --> 00:04:28,480
Ahora vamos a usar la popular herramienta WiFi Jarek para capturar el tráfico de este malware.

44
00:04:28,990 --> 00:04:30,160
Quisiera señalar algo.

45
00:04:30,250 --> 00:04:36,310
Recuerda que cualquier malware sospechoso de ex filtrar datos es peligroso y mientras ha estado haciendo

46
00:04:36,310 --> 00:04:39,490
análisis dinámico, tú no quieres comprometer tu información.

47
00:04:40,120 --> 00:04:45,730
Tal vez pienses Bueno, lo desconecto de Internet y no habrá ex filtración y no habrá problema.

48
00:04:46,210 --> 00:04:50,560
Esta aproximación no es correcta porque tú quieras indagar en las funcionalidades del malware.

49
00:04:50,980 --> 00:04:56,890
Por ejemplo, qué pasa si el mal Watteau está conectando a un comando Control Center y este último está

50
00:04:56,890 --> 00:05:00,880
respondiendo con un archivo o más instrucciones o comandos, etcétera?

51
00:05:01,480 --> 00:05:07,210
Si cortas de internet, tu estarás perdiendo esta valiosísima interacción y probablemente una mina de

52
00:05:07,210 --> 00:05:09,280
información para futuro de análisis.

53
00:05:10,900 --> 00:05:16,270
Por eso lo que hacemos es simular interés servicios de Internet con inet SIM para engañar al malware.

54
00:05:16,900 --> 00:05:19,420
Recuerda que tienes instalado y configurado inet SIM.

55
00:05:19,480 --> 00:05:24,940
Lo hicimos más temprano en este curso, así que por favor B y ejecuta inet SIM.

56
00:05:29,650 --> 00:05:30,760
Sólo te pedimos dinero.

57
00:05:31,540 --> 00:05:33,340
En la consola de comandos de Linux.

58
00:05:34,300 --> 00:05:38,500
Enter y la simulación está ejecutándose.

59
00:05:45,540 --> 00:05:50,490
Ok, ya estamos de vuelta en nuestra máquina virtual, ahora ejecutaremos del Mal War como administrador.

60
00:05:55,290 --> 00:05:57,000
Vamos a ejecutar Witty Jacq.

61
00:06:01,060 --> 00:06:02,800
Por supuesto, como administrador

62
00:06:05,590 --> 00:06:14,770
mi tráfico va a través de Ethernet click aquí y empezamos a capturar ahora todos los paquetes que nuestro

63
00:06:14,860 --> 00:06:16,030
host está generando.

64
00:06:16,120 --> 00:06:17,710
Serán capturados por White Shark.

65
00:06:22,760 --> 00:06:27,920
Podemos ver una standart querí a la dirección sospechosa que encontramos más temprano.

66
00:06:32,400 --> 00:06:34,290
Siempre sé curioso, vamos a ver esto.

67
00:06:51,730 --> 00:06:52,570
Nada por aquí.

68
00:06:56,420 --> 00:06:57,410
Vamos a continuar.

69
00:07:04,780 --> 00:07:10,450
Okay, esto es una petición post a esta página Seite punto PHP.

70
00:07:12,200 --> 00:07:16,310
Por cierto, a quien White York, generalmente tendrás mucha más información.

71
00:07:17,000 --> 00:07:20,720
Por eso podemos aplicar muchos filtros para encontrar lo que estamos buscando.

72
00:07:22,070 --> 00:07:28,270
En mi caso estoy buscando post petición porque yo sé que si quiere el mal ualquier es filtrar datos.

73
00:07:28,280 --> 00:07:32,270
Está haciendo una petición o trata de postear o robarse mi información.

74
00:07:34,700 --> 00:07:36,890
Entonces voy a aplicar este filtro post.

75
00:07:42,180 --> 00:07:45,480
Resalta aquí post vamos a hacer clic.

76
00:07:51,870 --> 00:07:54,870
Vamos a ver el Transas Transfer Protocol.

77
00:07:57,690 --> 00:07:58,240
Y bingo!

78
00:07:59,130 --> 00:08:02,220
Esto parece nuestras pulsaciones de teclado robadas.

79
00:08:02,400 --> 00:08:05,580
Lo que teníamos en el archivo explorÃ el punto txt.

80
00:08:09,330 --> 00:08:10,500
Vamos a copiar esto.

81
00:08:16,530 --> 00:08:19,410
Y compararlo con nuestro explorÃ el punto tequio esté.

82
00:08:26,900 --> 00:08:28,190
Vamos a copiar y pegar.

83
00:08:28,430 --> 00:08:33,050
Recuerda que este explora el punto teki este txt desde el log de nuestro malware.

84
00:08:33,080 --> 00:08:35,450
Aquí estaba guardando las teclas robadas.

85
00:08:36,140 --> 00:08:37,460
Y efectivamente, así es.

86
00:08:38,000 --> 00:08:39,230
Es la misma información.

87
00:08:42,900 --> 00:08:43,890
Gracias por mirar.

88
00:08:43,980 --> 00:08:45,960
Espero verte en la próxima lección.