Trojan bankowy Emotet w wersji DGA



Podobne dokumenty
Algorytm DGA wykorzystywany w trojanie Emotet

Analiza Malware Win32.KeyloggerSpy

Analiza Trojana NotCompatible.C

Analiza malware Remote Administration Tool (RAT) DarkComet

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Necurs analiza malware (1)

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Raport analiza oprogramowania Cleopatra: część II

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Botnet Zeus - analiza w laboratorium CERT

Analiza aktywności złośliwego oprogramowania Njw0rm

OCHRONA PRZED RANSOMWARE

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Płace Optivum. Jakie czynności musi wykonać pracownik, aby otrzymywać drogą elektroniczną paski z list płac?

Analiza malware Keylogger ispy

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Sieci komputerowe i bazy danych

PODRĘCZNIK UŻYTKOWNIKA PROGRAMU LBD <-> TBD

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Kancelaria Prawna.WEB - POMOC

Instrukcja logowania i realizacji podstawowych transakcji w systemie bankowości internetowej dla klientów biznesowych BusinessPro.

Dokumentacja wstępna TIN. Rozproszone repozytorium oparte o WebDAV

Instrukcja konfiguracji funkcji skanowania

Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject

Praca w programie dodawanie pisma.

Instrukcja logowania do systemu e-bank EBS

DESlock+ szybki start

Analiza malware'u SandroRAT_sec Kaspersky_Mobile_Security.apk

Zdalne logowanie do serwerów

WYDRA BY CTI. WYSYŁANIE DOKUMENTÓW ROZLICZENIOWYCH I ARCHIWIZACJA Instrukcja do programu

SPECYFIKACJA WYMAGAŃ. w zakresie migracji i uruchomienia nowego serwisu WWW na potrzeby PKP S.A.

KORZYSTANIE Z BAZY DANYCH UpToDate

Pierwsze logowanie do systemu I-Bank

Bezpieczeństwo usług oraz informacje o certyfikatach

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Bringing privacy back

Opcje Fiery1.3 pomoc (klient)

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

Generatory pomocy multimedialnych

Internetowy serwis Era mail Aplikacja sieci Web

Zarządzanie licencjami dla opcji Fiery na komputerze klienta

PR P E R Z E E Z N E T N A T C A JA C JA KO K RP R O P RA R C A Y C JN Y A JN ACTINA DATA MANAGER

Usługi sieciowe systemu Linux

Podręcznik instalacji i konfiguracji aplikacji 7 Office Ship Control dla Microsoft Office 2007 i Siódemka S.A. Warszawa, dnia r.

Opracowanie protokołu komunikacyjnego na potrzeby wymiany informacji w organizacji


INSTRUKCJA obsługi certyfikatów

SSL (Secure Socket Layer)

ArcaVir 2008 System Protection

Instrukcja korzystania z systemu poczty NetMail (wersja skrócona)

Win Admin Replikator Instrukcja Obsługi

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

Sesje i logowanie. 1. Wprowadzenie

Aktualizacja dodatku Saba Security Plugin

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

Wiadomości. ZPKSoft Doradca. Wstęp.

BEZPIECZEŃSTWO UŻYTKOWNIKA APLIKACJI FACEAPP. Analiza Zespołu CERT POLSKA w Państwowym Instytucie Badawczym NASK

SZYBKI START. Tworzenie nowego połączenia w celu zaszyfrowania/odszyfrowania danych lub tekstu 2. Szyfrowanie/odszyfrowanie danych 4

Uzyskanie dostępu oraz instalacja oprogramowania STATISTICA dla pracowników oraz studentów Uniwersytetu Ekonomicznego w Poznaniu

Opis modułu pl.id w programie Komornik SQL-VAT

Aktualizacja dodatku Saba Security Plugin w przeglądarce Firefox 56

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.1/2015

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Programy LeftHand - Obsługa plików JPK. Wrzesień 2016

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Skrócona instrukcja pracy z Generatorem Wniosków

Instrukcja konfiguracji programu Invoice.Exporter


Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

weblsp Wybór przeglądarki i jej ustawienia Instrukcja ADH-Soft sp. z o.o., ul. 17 Stycznia 74, Warszawa

KSS Patron Zawody Instrukcja instalacji i obsługi programu do rejestracji na zawodach sportowych stowarzyszenia KSS Patron.

System Wniosków DWZ AGH

Instrukcja uzyskania certyfikatu niekwalifikowanego w Urzędzie Miasta i Gminy Strzelin

Poziomy wymagań Konieczny K Podstawowy- P Rozszerzający- R Dopełniający- D Uczeń:

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Elektroniczny Katalog Ocen Studenta. Instrukcja obsługi dla prowadzących przedmiot. wersja Centrum Komputerowe Politechniki Śląskiej

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0 UNIZETO TECHNOLOGIES S.A.

Wsparcie dydaktyki przez uczelniany system komputerowy.

1. Proszę wejść na stronę: poczta.home.pl i zalogować się do nowej skrzynki za pomocą otrzymanych danych.

Szczegółowa specyfikacja funkcjonalności zamawianego oprogramowania.

Kopiowanie plików. 1. Z sieci wewnętrznej PK. System Windows

Płace Optivum. Konfiguracja skrzynki nadawczej, z której wysyłane będą paski do pracowników

Opis modułu pl.id w programie Komornik SQL-VAT

Instrukcja odnawiania certyfikatów. przez stronę elektronicznypodpis.pl

epuap Archiwizacja w Osobistym Składzie Dokumentów

Zabezpieczanie danych użytkownika przed szkodliwym oprogramowaniem szyfrującym

Aplikacja do podpisu cyfrowego npodpis

Opcje Fiery1.3 pomoc (serwer)

Instrukcja wgrywania Certyfikatu Klienta do przeglądarki Mozilla Firefox. System Bankowości Internetowej KIRI BS 2012

1 Moduł Diagnostyki Sieci

Dokumentacja fillup - MS SQL

Exchange Konfiguracja protokołu SSL/TLS w serwerze pocztowym Exchange wersja 1.0

Botnet Hamweq - analiza

1 IMAP czy POP3? 2 Instalacja programu Mozilla Thunderbird

Transkrypt:

Trojan bankowy Emotet w wersji DGA Warszawa 17/11/2014 CERT Orange Polska Strona 1 z 7

Trojan bankowy Emotet został zauważony kilka miesięcy temu. Od tej pory zdaje się być cyklicznie wykorzystywany w kampanii phisingowej, której celem jest zainfekowanie komputerów użytkowników tego typu złośliwym oprogramowaniem, a w konsekwencji kradzież wrażliwych danych oraz środków z kont bankowych. Próbka, która dotarła do nas 7. listopada, różni się od opisywanych już w sieci wariantów tego trojana tym, że został w niej zaimplementowany algorytm DGA. Nie zmieniła się natomiast forma propagacji - w tym przypadku również był to email w języku niemieckim, wysłany z sieci typu botnet i podszywający się pod T-online. Cele trojana w badanym przez nas wariancie również wydają się być niezmienione, nadal są to klienci niemieckiej bankowości internetowej. Metoda infekcji Na skrzynkę pocztową użytkownika, z reguły w okresie rozliczeń (koniec / początek miesiąca), trafia email rzekomo pochodzący od któregoś z operatorów telekomunikacyjnych, nakłaniający użytkowników do kliknięcia w link w celu pobrania archiwum.zip, pod pretekstem pobrania danych związanych z rachunkiem telefonicznym za bieżący miesiąc. Link prowadzi do adresu http://nitobreapadel.com.ar/eqmqdl9nvk pod którym znajduje się archiwum zip, w którym z kolei znajduje się plik wykonywalny z rozszerzeniem.pdf.exe oraz zmienioną ikoną imitującą dokument pdf. Po kliknięciu w fałszywy dokument pdf system operacyjny użytkownika zostaje zainfekowany. CERT Orange Polska Strona 2 z 7

Sposób działania Analizowaną przez nas próbkę można podzielić na dwie zasadnicze części oraz moduły dodatkowe. Loader to część odpowiedzialna za kopiowanie pliku do folderu docelowego oraz załadowanie głównego modułu do przestrzeni innego procesu. Moduł główny odpowiedzialny jest za infekowanie innych procesów, komunikację sieciową, pobieranie i wysyłanie danych oraz modułów dodatkowych. Kod oraz dane trojana są dwukrotnie zaszyfrowane, ponadto korzysta on z kryptografii z kluczem publicznym oraz wykorzystuje wywołania API z błędnymi parametrami mające na celu między innymi oszukanie emulatorów. Ten ostatni mechanizm był wykorzystywany także w trojanie carberp, w tym przypadku jednak parametry przekazywane do funkcji wydają się być nieco bardziej przemyślane i w pierwszej chwili mogą zmuszać do zastanowienia, co oczywiście spowalnia analityka. Po uruchomieniu Emotet alokuje pamięć dynamiczną wielkości rozmiaru sekcji.data pomniejszonego o 4 bajty. Następnie kopiuje do niej odszyfrowany kod i przekazuje sterowanie. Na tym etapie loader inicjalizuje swoje środowisko, pobiera adresy potrzebnych mu bibliotek i funkcji, po czym zmienia uprawnienia dostępu do pamięci, tworzy nowy nagłówek oraz sekcje pliku wykonywalnego, do których kopiowane są odszyfrowane dane oraz kod trojana. W tym momencie sterowanie przekazywane jest do prawdziwej funkcji głównej loadera. Emotet w funkcji głównej loadera tworzy wpis w kluczu rejestru pozwalającym na jego auto-uruchomienie CERT Orange Polska Strona 3 z 7

po restarcie systemu oraz sprawdza, czy istnieje jego kopia w lokalizacji docelowej. Jeżeli plik nie istnieje w określonym katalogu, zostaje tam skopiowany. Następnie trojan nadaje sobie uprawnienie SeDebugPrivilege, pozwalające na dostęp do pamięci innych procesów w systemie użytkownika oraz tworzy wątek zdalny infekujący proces Explorer.exe. W końcowej fazie działania loadera tworzony i uruchamiany jest skrypt wsadowy który usuwa plik trojana z lokalizacji, z której został uruchomiony. W zainfekowanym procesie Explorer trojan modyfikuje procedurę systemową ZwResumeThread. Modyfikacja ta wykorzystywana jest do infekowania wszystkich nowo uruchamianych aplikacji w systemie operacyjnym użytkownika. Emotet infekuje również wszystkie aktualnie uruchomione procesy w systemie operacyjnym, do których posiada uprawnienia. Tworzy też klucze rejestru w których przechowywane będą dane pobrane z serwerów "C and C" oraz informacje skradzione z systemu użytkownika. Następnie trojan pobiera informacje o systemie operacyjnym oraz tworzy klucze szyfrowania na podstawie własnego klucza publicznego. Trojan sprawdza dostępność połączenia internetowego do momentu, w którym otrzyma odpowiedź na żądanie HTTP skierowane do witryny www.microsoft.com. W przypadku gdy połączenie jest dostępne, Emotet tworzy 16 wątków odpowiedzialnych za generowanie nazw domenowych. Algorytm DGA wykorzystywany przez trojana bazuje na wartościach uzyskanych w wyniku wywołań SystemTimeToFileTime i RtlTimeToSecondsSince1970. CERT Orange Polska Strona 4 z 7

Poprawność domeny weryfikowana jest przez wywołanie procedury DnsQuery_A. Co ciekawe, w momencie prowadzenia przez nas analizy niektóre z tych domen były sinkholowane. Implementacja tego typu algorytmów przyczynia się z reguły do podniesienia żywotności sieci botnet stworzonej na bazie danego typu złośliwego oprogramowania, ponieważ znacznie trudniej blokować na poziomie sieciowym ruch generowany w ten sposób oraz namierzyć serwer C&C, zwłaszcza w przypadku gdy domeny generowane przez DGA służą wyłącznie jako serwer proxy. CERT Orange Polska Strona 5 z 7

W przypadku wygenerowania poprawnej, nazwy domenowej aktywnego serwera Command and Control trojan zaczyna szyfrować dane używając algorytmu RC4, następnie dodaje do nich podpis cyfrowy i przesyła za pomocą żądania HTTP do serwera zdalnego. Po otrzymaniu odpowiedzi Emotet weryfikuje poprawność jej podpisu cyfrowego (pierwsze 128 bajtów odpowiedzi). Jeśli sygnatura jest poprawna, trojan odszyfrowuje dane otrzymane z serwera. W danych tych poza sygnaturą znajduje się moduł dll oraz dane konfiguracyjne wykorzystywane przez ten moduł które zawierają listę instytucji finansowych. Dane te są następnie kodowane za pomocą instrukcji XOR i zapisywane w rejestrze systemu operacyjnego. Moduł dll odebrany z serwera C&C ładowany jest do wszystkich procesów, do których Emotet posiada uprawnienia. W analizowanym przez nas wariancie również zajmuje się przechwytywaniem komunikacji sieciowej kierowanej do instytucji finansowych, których lista pobrana została z serwera C&C i zapisana w rejestrze. Ponadto omawiana biblioteka modyfikuje niektóre funkcje przeglądarek internetowych takich jak Google Chrome, Firefox czy Internet Explorer, co umożliwia jej w sposób nie zauważalny dla użytkownika przechwytywanie zaszyfrowanego ruchu sieciowego (np. przy pomocy protokołu SSL). Przechwycone w ten sposób dane są kodowane, zapisywane w rejestrze systemowym oraz cyklicznie CERT Orange Polska Strona 6 z 7

wysyłane na serwer kontrolowany przez cyberprzestępców. Podsumowanie Emotet to stosunkowo nowe zagrożenie, które zmienia nieco podejście do kradzieży danych finansowych. Zamiast tradycyjnego modyfikowania kontentu wybranej strony internetowej wykorzystuje przechwytywanie całej komunikacji sieciowej z określonym bankiem, niezależnie od tego czy jest ona szyfrowana czy nie. Ponadto, w odróżnieniu od wielu innych trojanów bankowych, stara się unikać systemu plików i zamiast niego korzysta z rejestru systemowego (to również przynajmniej w założeniu miało zmniejszyć stopień wykrywalności). Emotet można również uznać za zagrożenie modułowe. W tym momencie chyba wszystkie znane warianty pobierają tą samą bibliotekę dll, nie znaczy to jednak, że pobierany moduł nie może zostać zmieniony na inny oraz że trojan będzie w swoim cyklu życia pobierał wyłącznie jeden moduł dodatkowy CERT Orange Polska Strona 7 z 7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres