Bienvenidos a la nave del misterio, hoy, vamos a hablar sobre Fantasmas.
Probablemente si preguntase ¿Crees en los fantasmas? la mayoría de los lectores dirían: NO, algunos tal vez no serían tan categóricos y una pequeña minoría diría que si.
Pero hoy, no vamos a hablar de fantasmas en el mundo terrenal, vamos a hablar de los fantasmas de Windows.
En Windows hay fantasmas y puedo demostrarlo. Cuando ejecutas windows, aparte de todo lo que ves (el escritorio, las ventanas que vas abriendo, etc) hay otras muchas ventanas que están ahí, ocultas, pero están. Estas ventanas forman parte de otros programas y por diversas razones no se muestran.
Si quieres hacerte una idea de cuantas ventanas ocultas hay en tu windows puedes descargar 'GhostBuster', herramienta que permite listar las ventanas ocultas y ver a que procesos pertenecen (además de ciertas propiedades de la ventana).
Un fragmento de la salida de GhostBuster sería este:
GhostBuster 1.0 [www.securitybydefault.com]
Found Hidden Window
Window Class WorkerW
Caption
Process name & PID: explorer.exe 1672
Found Hidden Window
Window Class #43
Caption MCI command handling window
Process name & PID: explorer.exe 1672
Found Hidden Window
Window Class tooltips_class32
Caption
Process name & PID: explorer.exe 1672
Found Hidden Window
Window Class ComboLBox
Caption
Process name & PID: explorer.exe 1672
Found Hidden Window
Window Class tooltips_class32
Caption
Process name & PID: procexp.exe 2580
Found Hidden Window
Window Class tooltips_class32
Caption
Process name & PID: procexp.exe 2580
Found Hidden Window
Window Class WinAMRestoreWndClass
Caption WinAMRestoreWnd
Process name & PID: iTunesHelper.exe 424
Found Hidden Window
Window Class GuestHostIntegrationClass
Caption GuestHostIntegrationWindow
Process name & PID: vmtoolsd.exe 440
Found Hidden Window
Window Class UnitySetTopWindowGroupClass
Caption UnitySetTopWindowGroupWindow
Process name & PID: vmtoolsd.exe 440
Found Hidden Window
Window Class WorkerW
Caption
Process name & PID: explorer.exe 1672
Found Hidden Window
Window Class #43
Caption MCI command handling window
Process name & PID: explorer.exe 1672
Found Hidden Window
Window Class tooltips_class32
Caption
Process name & PID: explorer.exe 1672
Found Hidden Window
Window Class ComboLBox
Caption
Process name & PID: explorer.exe 1672
Found Hidden Window
Window Class tooltips_class32
Caption
Process name & PID: procexp.exe 2580
Found Hidden Window
Window Class tooltips_class32
Caption
Process name & PID: procexp.exe 2580
Found Hidden Window
Window Class WinAMRestoreWndClass
Caption WinAMRestoreWnd
Process name & PID: iTunesHelper.exe 424
Found Hidden Window
Window Class GuestHostIntegrationClass
Caption GuestHostIntegrationWindow
Process name & PID: vmtoolsd.exe 440
Found Hidden Window
Window Class UnitySetTopWindowGroupClass
Caption UnitySetTopWindowGroupWindow
Process name & PID: vmtoolsd.exe 440
Como se puede ver, las ventanas que permanecen invisibles pertenecen a procesos legítimos y de hecho, es normal que estén ahí.
Pero en el mundo de los fantasmas de Windows, hay fantasmas buenos y fantasmas malos. Un tipo de fantasma del que deberíamos cuidarnos mucho es un cmd.exe ejecutándose en modo oculto.
Muchos troyanos hacen uso de esa técnica para ofrecer acceso a la linea de comandos
Muchos troyanos hacen uso de esa técnica para ofrecer acceso a la linea de comandos
Otro ejemplo, es una ventana de navegación de Internet Explorer. El troyano Folklorica (del que hablamos aquí) emplea una ventana de Internet Explorer en modo oculto para pasar y recibir comandos desde fuera.
GhostBuster permite buscar esa clase de ventanas sospechosas con el flag -r que identifica ventanas ocultas cuya clase sea 'IEFrame' o 'ConsoleWindowClass'
Aquí un ejemplo de un par de ventanas ocultas cmd.exe e internet explorer
GhostBuster, además de buscar e identificar el nombre del proceso y su PID, también identifica el PID del proceso padre, lo que es bastante útil para investigar de donde sale esa ventana.
Podéis descargar el binario y el código fuente de GhostBuster desde aquí
PD: Patriot NG, también detecta esta clase de ventanas ocultas 'raras' :)
6 comments :
Felicitaciones Yago excelente Post , saludos desde Gye Ecuador
¡Gracias por la herramienta Yago! Si el malware "hookea" un par de APIs podría evitar que tu herramienta lo liste, ¿no?
¡Saludos! }:))
PoC or didn't happen !
Oye, pues es un complemento genial para Patriot Ng, que por cierto, sí, no te frotes los ojos, Yago, lo tengo instalado y funcionando en mi equipo corporativo. ;)
¡¡ muchas gracias !!
No esperaba menos de la persona que es como ese hermano que nunca tuve :P
Publicar un comentario