Malware cracking (by Markel Picado #hc0n2019)

La charla que "rompió el hielo" en la segunda edición de h-c0n y personalmente una de las qué más me impactó por su temática fue "Malware cracking" de Markel. En ella mostró como después de un análisis profundo del código de las últimas muestras de Lokibot (uno de los infostealers más populares) se dió cuenta que un actor tercero las estaba vendiendo más baratas que la versión original: el secuestro de malware.

En la presentación mostró como se realizó el parche, cómo ese parche creó un error en todas las muestras de LokiBot utilizadas en las campañas más recientes y cómo esas muestras de LokiBot estaban relacionadas con la versión original de LokiBot.

Además, Markel nos enseñó dos herramientas que escribió: una para desinfectar un sistema comprometido con LokiBot y la otra es un script de Python capaz de generar nuevas muestras de LokiBot con paneles de control personalizados. El script de Python puede parchear muestras de la versión modificada de LokiBot y corregir el error generado por la modificación realizada por el tercer actor.

Presentación:

Fotos: