{"id":441,"date":"2024-10-21T16:39:44","date_gmt":"2024-10-21T16:39:44","guid":{"rendered":"https:\/\/www.gdata.com.mx\/blog\/?p=441"},"modified":"2026-05-07T00:47:13","modified_gmt":"2026-05-07T00:47:13","slug":"bbtok-apunta-a-brasil-desofuscacion-del-cargador-net-con-dnlib-y-powershell","status":"publish","type":"post","link":"https:\/\/www.gdata.com.mx\/blog\/bbtok-apunta-a-brasil-desofuscacion-del-cargador-net-con-dnlib-y-powershell\/","title":{"rendered":"BBTok apunta a Brasil: Desofuscaci\u00f3n Del Cargador .NET con dnlib y PowerShell"},"content":{"rendered":"\n

Desglosamos la cadena de infecci\u00f3n completa de la amenaza BBTok dirigida a Brasil y demostramos c\u00f3mo desofuscar la DLL del cargador usando PowerShell, Python y dnlib.<\/p>\n\n\n\n

En una compleja cadena de infecci\u00f3n que comienza con un correo electr\u00f3nico que contiene una imagen ISO, este malware destaca por su forma de compilar c\u00f3digo C# directamente en la m\u00e1quina infectada. Tambi\u00e9n utiliza una t\u00e9cnica conocida como AppDomain Manager Injection para avanzar en la ejecuci\u00f3n. Los art\u00edculos de Checkpoint<\/a> y TrendMicro<\/a> describen una cadena de infecci\u00f3n similar y la atribuyen al banquero BBTok, pero hasta donde sabemos, nadie ha publicado a\u00fan un an\u00e1lisis sobre el cargador ofuscado basado en .NET llamado Trammy.dll.<\/p>\n\n\n\n

El cargador escribe un archivo de registro con palabras desconocidas en las m\u00e1quinas infectadas, para lo cual proporcionamos una tabla de traducci\u00f3n para que los encargados de responder a incidentes puedan decodificar los registros.<\/p>\n\n\n\n

La ofuscaci\u00f3n de Trammy.dll, que utiliza una variante de ConfuserEx, impide que las herramientas autom\u00e1ticas actuales recuperen las cadenas. Proporcionamos los scripts y comandos necesarios para desofuscarlas.<\/p>\n\n\n\n

Intrusi\u00f3n que utiliza el motor de compilaci\u00f3n de Microsoft<\/strong><\/p>\n\n\n\n

Recientemente, descubrimos varias im\u00e1genes ISO maliciosas [F1-4]<\/sup> en nuestra telemetr\u00eda, aparentemente dirigidas a entidades brasile\u00f1as. Un comentario en Virustotal<\/a> menciona que se env\u00edan por correo electr\u00f3nico. Todas estas ISO [F1-4]<\/sup> contienen un archivo de acceso directo de Windows (LNK) [F5]<\/sup> y una carpeta (ver figura 1). Dentro de la carpeta encontramos un ejecutable [F6]<\/sup> , un archivo XML [F7]<\/sup> , un PDF [F8]<\/sup> y un archivo ZIP [F9]<\/sup> .  <\/p>\n\n\n\n

El archivo LNK [F5]<\/sup> , DANFE10103128566164.pdf.lnk<\/strong> , se vincula al ejecutable [F6]<\/sup> en la carpeta y pasa el archivo XML [F7]<\/sup> como entrada junto con la opci\u00f3n \u2013nologo. Todos los archivos dentro de la ISO [F1] se denominan \u00abDANFE10103128566164\u00bb <\/sup>,<\/strong> que incluye el acr\u00f3nimo en portugu\u00e9s \u00abDANFE\u00bb. El acr\u00f3nimo significa \u00bb Documento Auxiliar de la Nota Fiscal Electr\u00f3nica<\/strong> \u00bb y<\/strong> se refiere<\/strong> a una<\/strong> factura digital<\/a> que generalmente se distribuye en formato PDF entre empresas brasile\u00f1as.  <\/p>\n\n\n\n

Los atacantes aprovechan esto disfrazando el archivo LNK\u00a0[F5]<\/sup>\u00a0con el \u00edcono PDF que est\u00e1 incrustado dentro del ejecutable est\u00e1ndar de Microsoft Edge (msedge.exe) del sistema para atraer a los objetivos a que lo ejecuten.\u00a0<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 1: Contenido de la imagen ISO<\/p>\n\n\n\n

El ejecutable, DANFE10103128566164.exe <\/strong>[F6]<\/sup> , es una versi\u00f3n 4.7.3190.0 (MSBuild.exe) de Microsoft Build Engine firmada de forma v\u00e1lida. El malware lo utiliza para compilar c\u00f3digo C# malicioso incrustado en el archivo XML [F7]<\/sup> de la m\u00e1quina infectada (consulte la figura 2). El resultado del proceso de compilaci\u00f3n es una DLL .NET [F13]<\/sup> que se coloca y se ejecuta en la carpeta TEMP local con un nombre aleatorio. Dado que el c\u00f3digo C# simple est\u00e1 incluido en el archivo XML [F7]<\/sup> , el an\u00e1lisis es sencillo. <\/p>\n\n\n\n

<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 2: Archivo de proyecto XML [F7] para Microsoft Build Engine que contiene el c\u00f3digo C# malicioso<\/p>\n\n\n\n

En primer lugar, la DLL .NET reci\u00e9n compilada [F13]<\/sup> abre el PDF se\u00f1uelo [F8]<\/sup> que muestra una factura DANFE al usuario de destino. Despu\u00e9s, extrae el archivo ZIP [F9]<\/sup> y copia Microsoft Build Engine [F6]<\/sup> a C:\\ProgramData\\regid.5498-06.com.microsoft <\/strong>[P1]<\/sup> a trav\u00e9s de PowerShell. Por \u00faltimo, aprovecha una omisi\u00f3n de UAC utilizando ProgID<\/a> junto con el binario de sistema elevado autom\u00e1ticamente computerdefaults.exe<\/strong> para ejecutar Microsoft Build Engine [F6]<\/sup> una vez m\u00e1s.  <\/p>\n\n\n\n

Esta vez, sin embargo, MSBuild.exe [F6]<\/sup> no compila nuevamente el c\u00f3digo C#, sino que ejecuta otra DLL, Trammy.dll [F10]<\/sup> , basada en el archivo de configuraci\u00f3n del proyecto [F11]<\/sup> . Ambos se extraen del archivo ZIP mencionado anteriormente [F9]<\/sup> . Para evitar la ejecuci\u00f3n consecutiva de la omisi\u00f3n de UAC, crea un mutex local llamado TiiSbtvhvbCMW<\/strong> .  <\/p>\n\n\n\n

La figura 3 muestra una descripci\u00f3n general completa de esta parte de la cadena de infecci\u00f3n.<\/p>\n\n\n\n

<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 3: Etapa 1: Utilizaci\u00f3n de Microsoft Build Engine para ejecutar archivos DLL .NET; las letras y n\u00fameros entre corchetes son referencias a la tabla IoC <\/p>\n\n\n\n

Inyecci\u00f3n de AppDomain Manager<\/strong><\/p>\n\n\n\n

El archivo de configuraci\u00f3n [F11]<\/sup> declara la clase SacApp.SacAppde Trammy.dll [F10]<\/sup> como AppDomainManager (ver figura 4). Un AppDomainManager es responsable de personalizar el AppDomain de una aplicaci\u00f3n, que es un entorno aislado para el c\u00f3digo administrado. <\/p>\n\n\n\n

Esto significa que la declaraci\u00f3n SacApp.SacAppcomo AppDomainManager lleva a la ejecuci\u00f3n de c\u00f3digo malicioso en InitializeNewDomain()un m\u00e9todo est\u00e1ndar que ha sido anulado por SacApp.SacApp [F10]<\/sup> . Esta t\u00e9cnica se conoce como AppDomain Manager Injection<\/a> . <\/p>\n\n\n\n

<\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Figura 4: La clase SacApp.SacApp est\u00e1 registrada como AppDomainManagerType en el archivo .config [F11]<\/p>\n\n\n\n

Desofuscaci\u00f3n de Trammy.dll<\/strong><\/p>\n\n\n\n

DANFE10103128566164.dll [F10]<\/sup> no est\u00e1 empaquetado, sino ofuscado con ConfuserEx<\/a> . Tiene el nombre de m\u00f3dulo Trammy.dll. Las herramientas de desofuscaci\u00f3n espec\u00edficas como NoFuserEx y de4dot-cex<\/a> eliminan el aplanamiento del flujo de control, pero no recuperan autom\u00e1ticamente las cadenas.<\/p>\n\n\n\n

Hay cinco m\u00e9todos de decodificaci\u00f3n de cadenas y cada uno toma un entero como clave que utiliza para calcular la cadena desofuscada. Despu\u00e9s de aplicar de4dot-cex a la DLL, recuperamos todas estas claves utilizando dnlib<\/a> y Python. Este c\u00f3digo busca pares de ldc_i4instrucciones cally y devuelve los ldc_i4operandos. Esto puede devolver m\u00e1s que las claves de decodificaci\u00f3n de cadenas, pero no importa para los pasos que siguen.<\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Utilizamos la funci\u00f3n de edici\u00f3n IL de DnSpy para eliminar las comprobaciones antirreversi\u00f3n de los cinco m\u00e9todos de decodificaci\u00f3n de cadenas. Cada m\u00e9todo comienza con una declaraci\u00f3n if que comprueba si el llamador es el ensamblado actual. Si no es el ensamblado actual, se devolver\u00e1 una cadena vac\u00eda. Reemplazar la declaraci\u00f3n if con instrucciones NOP nos permite ejecutar el c\u00f3digo desde PowerShell.<\/p>\n\n\n\n

Recuperamos las cadenas de forma din\u00e1mica para cada m\u00e9todo utilizando los siguientes comandos de PowerShell. La variable $numses un array de todas las claves que extrajimos con el script anterior. Los m\u00e9todos de decodificaci\u00f3n de cadenas tienen dos caracter\u00edsticas que se deben tener en cuenta.<\/p>\n\n\n\n

    \n
  1. Se encuentran en el tipo global\u00a0<Module>y no se puede acceder a ellos a trav\u00e9s de\u00a0[namespace.ClassName]::methodname(). Por lo tanto, resolvemos los m\u00e9todos de decodificaci\u00f3n de cadenas a trav\u00e9s de su token (aqu\u00ed 0x6000005).<\/li>\n\n\n\n
  2. Los m\u00e9todos de decodificaci\u00f3n de cadenas tienen un tipo de retorno gen\u00e9rico, por lo que debemos proporcionar el tipo de retorno a trav\u00e9s de\u00a0MakeGenericMethod([string]).<\/li>\n<\/ol>\n\n\n\n
    \"\"<\/figure>\n\n\n\n

    El \u00faltimo comando crea una asignaci\u00f3n de las claves para los m\u00e9todos de decodificaci\u00f3n de cadenas a las cadenas desofuscadas. El try-catch se traga cualquier mensaje de error que se imprima debido a claves incorrectas.<\/p>\n\n\n\n

    Repetimos estos comandos para todos los m\u00e9todos de decodificaci\u00f3n de cadenas hasta que tengamos un result.txt<\/strong> fusionado que contenga todas las claves y cadenas decodificadas. Este archivo tambi\u00e9n tendr\u00e1 asignaciones vac\u00edas que eliminamos reemplazando la expresi\u00f3n regular ^.*:\\r\\n$por nada. Transformamos el resultado en un diccionario de Python reemplazando ^(-?\\d+):(.*)$por \\1:r’\\2′,(sintaxis de Notepad++). Luego modificamos ligeramente el script de Python anterior para que reemplace calllas instrucciones para las funciones de decodificaci\u00f3n de cadenas con ldstrinstrucciones y la cadena desofuscada adecuada como operando.<\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Ejecutamos el script en Trammy.dll y desofuscamos las cadenas con \u00e9xito. Como paso final, utilizamos Simple Assembly Explorer<\/a> para eliminar las llamadas indirectas seleccionando el perfil \u00abNada\u00bb en el desofuscador y habilitando la opci\u00f3n \u00abLlamada directa\u00bb.<\/p>\n\n\n\n

    Las figuras 5 y 6 muestran el SacApp.SacApp.InitializeNewDomainm\u00e9todo antes y despu\u00e9s de aplicar la desofuscaci\u00f3n de cadenas y la eliminaci\u00f3n de llamadas indirectas.<\/p>\n\n\n\n

    <\/a><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Figura 5: Clase AppDomainManager personalizada despu\u00e9s de eliminar la ofuscaci\u00f3n del flujo de control con de4dot-cex <\/p>\n\n\n\n

    <\/a><\/p>\n\n\n\n

    \"\"<\/figure>\n\n\n\n

    Figura 6: Clase AppDomainManager personalizada despu\u00e9s de de4dot-cex, desofuscaci\u00f3n de cadenas y eliminaci\u00f3n de llamadas indirectas, los m\u00e9todos isAdmin y MainMalcode se renombraron manualmente <\/p>\n\n\n\n

    An\u00e1lisis de Trammy.dll<\/strong><\/p>\n\n\n\n

    Trammy.dll [F10]<\/sup> inicia la ejecuci\u00f3n en el m\u00e9todo InitializeNewDomain()de SacApp.SacAppporque ha sido declarado como AppDomainManager por la configuraci\u00f3n [F11]<\/sup> . <\/p>\n\n\n\n

    Primero, abre el PDF se\u00f1uelo [F8]<\/sup> . Luego, verifica si se debe ejecutar el c\u00f3digo malicioso. Se deben cumplir dos condiciones<\/p>\n\n\n\n

      \n
    1. No debe existir un archivo llamado\u00a0C:\\ProgramData\\internal_drive_version2.3.4.txt\u00a0\u00a0<\/strong>: es un archivo vac\u00edo que se crear\u00e1 m\u00e1s adelante.\u00a0<\/li>\n\n\n\n
    2. hxxp:\/\/ipwho(dot)is\/<\/strong>\u00a0debe informar que la IP es brasile\u00f1a<\/li>\n<\/ol>\n\n\n\n

      Mientras que la primera condici\u00f3n garantiza que el c\u00f3digo se ejecute solo una vez, la segunda verificaci\u00f3n confirma que el malware se ejecuta en el \u00e1rea objetivo, Brasil. De esa manera, los sistemas sandbox autom\u00e1ticos no pueden determinar la malicia a menos que utilicen direcciones IP o servidores proxy brasile\u00f1os. <\/p>\n\n\n\n

      Traducci\u00f3n de archivos de registro<\/strong><\/p>\n\n\n\n

      El malware crea un archivo de registro en C:\\ProgramData\\log.txt [P3]<\/sup><\/strong> que codifica las etapas de ejecuci\u00f3n con claves espec\u00edficas .palabras.<\/p>\n\n\n\n

      Entrada de registro<\/strong><\/td>Significado<\/strong><\/td><\/tr><\/thead>
      COMENZAR<\/td>Las comprobaciones 1. y 2. tuvieron \u00e9xito y se ejecut\u00f3 la rutina maliciosa principal.<\/td><\/tr>
      ADMINISTRACI\u00d3N<\/td>El malware ten\u00eda derechos de administrador<\/td><\/tr>
      R<\/td>Intent\u00f3 crear un mutex ‘KOKKIIKKKOOOO’ <\/td><\/tr>
      MTX_F<\/td>El mutex ‘KOKKIIKKKOOOO’ se cre\u00f3 correctamente<\/td><\/tr>
      CP<\/td>CCProxy se descarg\u00f3 e instal\u00f3 como servicio<\/td><\/tr>
      yo<\/td>Se extrajo la informaci\u00f3n del sistema operativo<\/td><\/tr>
      ES<\/td>Se cre\u00f3 el servicio que ejecuta autom\u00e1ticamente la carga \u00fatil de Delphi como un explorador falso [F14]<\/sup><\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

      Adem\u00e1s, los posibles mensajes de excepci\u00f3n y sus seguimientos de pila se escriben en el registro.<\/p>\n\n\n\n

      Esto significa que quienes responden a incidentes pueden localizar este archivo de registro para descubrir qu\u00e9 le hizo el malware al sistema infectado.<\/p>\n\n\n\n

      Informaci\u00f3n exfiltrada del sistema operativo<\/strong><\/p>\n\n\n\n

      Trammy.dll [F10]<\/sup> obtiene la siguiente informaci\u00f3n a trav\u00e9s de Windows Management Instrumentation (WMI) del ManagementObject Win32_OperatingSystem<\/strong> : <\/p>\n\n\n\n