Necurs analiza malware (1)

Podobne dokumenty
Analiza złośliwego oprogramowania. Cleopatra

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Trojan bankowy Emotet w wersji DGA

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Botnet Hamweq - analiza

Raport analiza oprogramowania Cleopatra: część II

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Algorytm DGA wykorzystywany w trojanie Emotet

Analiza aktywności złośliwego oprogramowania Njw0rm

DESlock+ szybki start

Analiza malware Keylogger ispy

Raport analiza oprogramowania Cry

Analiza Malware Win32.KeyloggerSpy

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Analiza malware'u SandroRAT_sec Kaspersky_Mobile_Security.apk

Program kadrowo płacowy - wersja wielodostępna z bazą danych Oracle SQL Server 8 lub 9

PROGRAMY NARZĘDZIOWE 1

Instrukcja instalacji oraz obsługi czytników i kart procesorowych dla Klientów SBI Banku BPH S.A.

OCHRONA PRZED RANSOMWARE

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Plan na dziś. Co to jest wirus komputerowy? Podział wirusów komputerowych Jak działają wirus komputerowe? Jak zabezpieczyć się przed wirusami?

Instrukcja instalacji systemu

Serwer pocztowy. QmaiLux. Dokumentacja techniczna mechanizmu książek adresowych (qbook)

Dokumentacja instalacji aktualizacji systemu GRANIT wydanej w postaci HotFix a

Analiza Trojana NotCompatible.C

Memeo Instant Backup Podręcznik Szybkiego Startu

Przewodnik instalacji i rozpoczynania pracy. dla DataPage+ 2012

Analiza malware Remote Administration Tool (RAT) DarkComet

Instrukcje instalacji pakietu IBM SPSS Data Access Pack dla systemu Linux

Instrukcja postępowania w celu złożenia podpisu elektronicznego na dokumentach składanych do SISC za pośrednictwem portalu PUESC.

Dokumentacja instalacji aktualizacji systemu GRANIT wydanej w postaci HotFix a

Instalacja i konfiguracja SAS PC Files Server

Instrukcja postępowania w celu złożenia podpisu elektronicznego na dokumentach składanych do SISC za pośrednictwem portalu PUESC.

Przykładowa konfiguracja konta pocztowego w programie Thunderbird z wykorzystaniem MKS 2k7 (MS Windows Vista Busissnes)

SoftVig Systemy Informatyczne Sp. z o.o. Szczecin , ul. Cyfrowa 4

Instrukcja postępowania w celu uzyskania certyfikatu niekwalifikowanego SC Wersja 1.5 z dnia r.

7 Business Ship Control dla Wf-Mag Prestiż i Prestiż Plus

III. Lista prawdopodobnych przyczyn usterek systemu komputerowego wynikających z zadania i załączników

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

System. Instalacja bazy danych MySQL. Autor : Piotr Zielonka tel Piotrków Tryb., sierpień 2018r.

Forte Zarządzanie Produkcją Instalacja i konfiguracja. Wersja B

Instrukcja instalacji oprogramowania do składania podpisu elektronicznego, pod umową o zarządzanie PPK, przy uz yciu certyfikatu kwalifikowanego

Przewodnik instalacji i rozpoczynania pracy. Dla DataPage+ 2013

Instrukcja instalacji środowiska testowego systemu Uczelnia XP

Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject

Biuletyn techniczny. CDN OPT!MA 12.0 Drukarki fiskalne w usługach terminalowych. Copyright 2007 COMARCH SA

Zadanie 1 Treść zadania:

Rozpoczęcie pracy z programem.

Books. by HansaWorld. Przewodnik instalacji. Wersji 6.2

Dział Dopuszczający Dostateczny Dobry Bardzo dobry Celujący

Odpowiedzi na pytania do postępowania na zakupu oprogramowania antywirusowego (NR BFI 1S/01/10/05/2019) z dnia

Win Admin Monitor Instrukcja Obsługi

Opis zmian funkcjonalności platformy E-GIODO wprowadzających możliwość podpisania wniosku bezpośrednio w oknie przeglądarki.

epuap Archiwizacja w Osobistym Składzie Dokumentów

Moduł integrujący serwis Korporacji Kurierskiej z programem WF-MAG Instrukcja użytkowania

Instrukcja uŝytkownika

Asystent Hotline Instrukcja instalacji

Program dla praktyki lekarskiej

Dokumentacja instalatora środowiska obsługi kart mikroprocesorowych w wersji Spis treści

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

(instrukcja użytkownika v. 1.0)

Instrukcja instalacji Asystenta Hotline

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Autodesk Desktop Subscription Instrukcja Instalacji

Procedura uzyskania certyfikatu kwalifikowanego. Krok 3. Pobieranie certyfikatu kwalifikowanego wersja 1.5

Certyfikat kwalifikowany

Instalacja programu. Po naciśnięciu przycisku Dalej pojawi się okno, w którym naleŝy dokonać wyboru docelowej lokalizacji.

INSTRUKCJA INSTALACJI I PIERWSZEGO URUCHOMIENIA APLIKACJI Rodzajowa Ewidencja Wydatków plus Zamówienia i Umowy

Migracja XL Business Intelligence do wersji

DHL CAS ORACLE Wymagania oraz instalacja

Kancelaria Prawna.WEB - POMOC

System magazynowy małego sklepu.

Instrukcje instalacji pakietu IBM SPSS Data Access Pack dla systemu Windows

Podręcznik instalacji i konfiguracji aplikacji 7 Office Ship Control dla Microsoft Office 2007 i Siódemka S.A. Warszawa, dnia r.

System obsługi sprawozdawczości

INSTRUKCJA UŻYTKOWNIKA Podpis cyfrowy ISO 9001:2008 Dokument: Wydanie: Podpis cyfrowy. Spis treści... 1

Instrukcja aktualizacji oprogramowania routera D-Link DWR-932 C1 (do wersji 1.0.3CPGb01)

Architektura Systemu. Architektura systemu umożliwia kontrolowanie iteracyjnego i przyrostowego procesu tworzenia systemu.

Aktualizacja firmware w urządzeniu za pośrednictwem FTP

Zagrożenia mobilne w maju

Dokumentacja instalatora środowiska obsługi kart mikroprocesorowych w wersji Spis treści

UNIZETO TECHNOLOGIES SA. Instrukcja realizacji odnowienia przy wykorzystaniu ważnego certyfikatu kwalifikowanego. wersja dokumentacji 1.

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Podręcznik użytkownika

UNIFON podręcznik użytkownika

Books. by HansaWorld. Przewodnik instalacji. wersji 6.2

Procedura uzyskania certyfikatu kwalifikowanego. Krok 3. Pobieranie certyfikatu kwalifikowanego wersja 1.1

Serwery Statefull i Stateless

Trwały nośnik w T-Mobile Usługi Bankowe. Opis rozwiązania dla zapewnienia elektronicznym dokumentom publicznym postaci trwałego nośnika

Biuletyn techniczny. Drukarki fiskalne w usługach terminalowych. Comarch OPT!MA Copyright 2007 COMARCH SA

UMOWY CYWILNOPRAWNE Instalacja, rejestracja i konfiguracja programu

Certyfikat kwalifikowany

Sage Migrator Migracja do wersji Sage Kadry i Płace

Krok 3 Pobranie certyfikatu kwalifikowanego

Przewodnik zdalnej instalacji

Trwały nośnik w Alior Bank

Instrukcja użytkownika

Transkrypt:

Necurs analiza malware (1) CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 1 z 9

W trakcie analizy powłamaniowej w systemie jednego z klientów Orange Polska uzyskano nową próbkę złośliwego oprogramowania. Do jednego z elementów architektury tego zagrożenia w trakcie analizy kodu przyporządkowana została sygnatura złośliwego oprogramowania Necurs. Raport ten opisuje szczegółowo analizę modułu PE32 o następujących skrótach kryptograficznych: Md5 Sha256 Sha512 12eaeeaec7dae81c6d9bfead301b7c2a 869ddc6e34f4f555e1d20c86cd0a630c3936818fbabb4b04c2cc8e90e6b7f a7b 80f41c07d6477011a3362b5b00fe3198320c673aca35fa6e0e7c7088bed24 657df2a148d3ae05e2698843ea8286b019464f8bd18235caa499af85a9283 a2343f Próbka trafiła do CERT Orange Polska w listopadzie 2017 roku jako element maila z ofertą darmowych ebooków. W wiadomości znalazły się linki do ebooka oraz programu przedstawionego jako czytnik ebooków, który w istocie okazał się być dropperem opisywanego malware Necurs. Rysunek 1: Zaproszenie ofiary do pobrania ebooka Organizacja próbki Kod analizowanej próbki w kontekście jego funkcji można podzielić na dwie części organizacyjne protektor i dropper. Rolą protektora jest zapobieżenie zaklasyfikowania próbki przez zainstalowane w systemie oprogramowanie defensywne jako złośliwego oprogramowania. Protektory utrudniają też dokładną analizę funkcjonalności oprogramowania również na etapie drobiazgowej analizy próbek już zaklasyfikowanych jako złośliwe. CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 2 z 9

Protektor Protektor Necurs jest relatywnie prosty. Po zastosowaniu serii wywołań systemowych, ukrywających faktyczną rolę programu i kamuflujących go jako uprawnioną część oprogramowania, program przystępuje do zaalokowania pamięci na kod deszyfrujący, wypakowanie kodu ze swoich zasobów i przekazanie sterowania. Zdeszyfrowany kod deszyfruje następnie fragmenty pamięci programu odpowiedzialne za podstawowe funkcje operacyjne i infekujące, w kolejnym kroku przekazując do nich sterowanie. Dropper Podstawowym zadaniem droppera po pierwszym uruchomieniu programu jest rozmieszczenie komponentów złośliwej aplikacji w systemie ofiary (de facto zainstalowanie jej) i zapewnienie, by były one uruchamiane przy każdym starcie systemu. Ogólny schemat działania droppera w próbce Necurs przedstawiony został na poniższym diagramie. Ciekawą cechą tego gatunku jest fakt, że potrzebne fragmenty kodu jedynie w razie potrzeby są deszyfrowane i następnie wykonywane. Rysunek 2: Alokacja kodu na potrzeby rozpakowywanych fragmentów CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 3 z 9

Rysunek 3: Ogólny schemat działania droppera Necurs Przy pierwszym uruchomieniu (tj. nie z lokalizacji docelowej próbki) Necurs wykonuje procedurę instalacji. Polega ona na stworzeniu podkatalogów w katalogu domowym użytkownika (C:\Users\<User>\AppData\Local\<pseudorandom_1>\<pseudorandom_2>.exe) i stworzeniu w nim nowego pliku próbki. Rysunek 4: Schemat procedury infekcji Necurs CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 4 z 9

Dropper wczytuje oryginalną próbkę, jednak przed zapisaniem kodu do lokalizacji docelowej wprowadza do niej modyfikacje, dlatego dla dokładnej analizy zachowania próbki po infekcji, nie wystarczy jedynie zasymulować uruchomienia z docelowej lokalizacji. Proces infekcji musi zostać wcześniej przeprowadzony do końca. Rysunek 5: Stworzenie nowego pliku wykonywalnego w docelowej lokalizacji Necurs w trakcie instalacji tworzy również potrzebne klucze rejestru, którymi będzie się posługiwał w kolejnych etapach działania. Rysunek 6: Tworzenie kluczy rejestru w trakcie infekcji CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 5 z 9

Jednym z działań, mających na celu ukrycie zainstalowanych plików, jest modyfikacja szczegółowych danych docelowej próbki na datę katalogu domowego użytkownika. Rysunek 7: Pobranie daty modyfikacji katalogu domowego ofiary Rysunek 8: Przypisanie daty modyfikacji do nowo utworzonych składników złosliwej aplikacji Zakończenie procedury infekowania stanowi uruchomienie zmodyfikowanej próbki z lokalizacji docelowej. Rysunek 9: Uruchomienie próbki z lokalizacji docelowej Uruchomienie z lokalizacji docelowej Po uruchomieniu z lokalizacji docelowej Necurs podejmuje próbę zainstalowania rootkita. Jest nim sterownik, który w sytuacji, gdy konto ofiary posiada uprawnienia administracyjne, jest wypakowywany i zapisywany w lokalizacji C:\Windows\system32\drivers. CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 6 z 9

Rysunek 10: Wypakowywanie sterownika W przypadku sukcesu w poprzednim kroku, dropper posługuje się wywołaniami Nadzorcy usług, by zarejestrować i uruchomić nową usługę. W efekcie doprowadza to do załadowania rootkita do jądra systemu ofiary. Działanie rootkita Necurs zostanie opisane w kolejnych częściach raportu. Rysunek 11: Załadowanie rootkita do jądra systemu ofiary Kolejny krok po próbie załadowania rootkita stanowi wstrzyknięcie operacyjnego kodu do innych procesów działających w systemie. Dropper tworzy listę uruchomionych procesów i przegląda ją w poszukiwaniu kandydatów do wstrzyknięcia kodu. Dla każdego procesu działającego w systemie program weryfikuje, czy użytkownik ma prawo pisać do pamięci tego procesu oraz utworzyć w nim nowy wątek. W przypadku pozytywnej weryfikacji następuje wstrzyknięcie. CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 7 z 9

Rysunek 12: Schemat przeglądania procesów w poszukiwaniu kandydata do wstrzyknięcia kodu Finalnym i najważniejszym etapem działania zainstalowanej próbki jest rozpoczęcie docelowych złośliwych operacji. Oprócz wstrzykniętych wątków sama próbka też rozpakowuje fragmenty kodu operacyjnego oraz uruchamia wykonujące go wątki, odpowiedzialne m.in. za monitorowanie i utrzymanie infekcji oraz komunikację do serwera Command&Control i wykonywanie otrzymanych tą drogą rozkazów oraz próbek. Działanie tych wątków zostanie dokładniej przedstawione w kolejnych częściach raportu. CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 8 z 9

Rysunek 13: Uruchamianie wątków operacyjnych Necurs w ramach zainstalowanej próbki Podjęte działania W ramach obsługi incydentu zgłoszonego przez klienta CERT Orange Polska aktywnie ograniczył zasięg zagrożenia. Po dalszej analizie zidentyfikowanych próbek, rozpoznane adresy IP i domeny scentralizowanej części kanału C&C zostały zablokowane, podobnie jak ruch do stron zawierających dropper Necurs. W ramach niniejszej publikacji przedstawiliśmy architekturę infekcji w systemie zaatakowanego użytkownika. W kolejnych odcinkach raportu przedstawimy dokładną analizę wątków operacyjnych, komunikacji za pośrednictwem składników kanału C&C oraz podsumowanie telemetrycznych obserwacji z naszych sieci. CERT Orange Polska radzi: Pamiętaj, że Twój system jest atrakcyjnym celem dla cyberprzestępców. Dbaj o jego bezpieczeństwo. Jeśli nie posiadasz oprogramowania antywirusowego zainstaluj je, a jeśli masz zainstalowane aktualizuj regularnie bazę informacji o zagrożeniach. Nie uruchamiaj programów, które nie pochodzą ze zweryfikowanych źródeł, nie otwieraj załączników z wiadomości e-mail jeśli nie masz absolutnej pewności co do ich nadawcy. CERT OPL, Analiza Necurs; Autor: Tomasz Sałaciński Strona 9 z 9

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres