Analiza malware Remote Administration Tool (RAT) DarkComet BeSTi@



Podobne dokumenty
Analiza malware Keylogger ispy

Trojan bankowy Emotet w wersji DGA

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

DESlock+ szybki start

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

Faktura Orange z 11 lipca 2014 roku zawierająca złośliwe oprogramowanie ANALIZA

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Instrukcja konfiguracji funkcji skanowania

ekopia w Chmurze bezpieczny, zdalny backup danych

Instrukcja instalacji Control Expert 3.0

Laboratorium 3.4.2: Zarządzanie serwerem WWW

Instrukcja konfiguracji i uruchamiania połączenia VPN z systemami SAP

Instrukcja instalacji usługi Sygnity Service

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

Instrukcja obsługi serwera FTP v

DHL CAS ORACLE Wymagania oraz instalacja

Instalacja i konfiguracja konsoli ShadowControl

Instalacja Active Directory w Windows Server 2003

Instrukcja instalacji usługi Sygnity SmsService

26.X.2004 VNC. Dawid Materna

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Instrukcja instalacji usługi Sygnity Service

Bezpieczeństwo systemów informatycznych

Wszystkie parametry pracy serwera konfigurujemy w poszczególnych zakładkach aplikacji, podzielonych wg zakresu funkcjonalnego.

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Wykaz zmian w programie SysLoger

Wymagania do zdalnej instalacji agentów firmy StorageCraft

MikroTik Serwer OpenVPN

KONFIGURACJA INTERFEJSU SIECIOWEGO

BACKUP BAZ DANYCH FIREBIRD

Produkty. ESET Produkty

Instrukcja do programu Roger Licensing Server v1.0.0 Rev. A

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

SMB protokół udostępniania plików i drukarek

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Rejestracja użytkownika Bentley Często zadawane pytania techniczne

Instrukcja instalacji usługi Sygnity SmsService

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

OCHRONA PRZED RANSOMWARE

Podręcznik administratora Systemu SWD ST Instrukcja instalacji systemu

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Produkty. MKS Produkty

11. Rozwiązywanie problemów

Instrukcja obsługi aplikacji Karty Pojazdów dla Dealerów Samochodowych

Rozpoczęcie pracy z programem.

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

Memeo Instant Backup Podręcznik Szybkiego Startu

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

Instrukcja instalacji Asystenta Hotline

Nowy Sącz: AD II 3421/12/08 Zamówienie na dostawę programu antywirusowego z licencją na okres jednego roku

Przed przystąpieniem do instalacji certyfikatów należy zweryfikować czy są spełnione poniższe wymagania systemowe.

Instalacja NOD32 Remote Administrator

Fiery Remote Scan. Łączenie z serwerami Fiery servers. Łączenie z serwerem Fiery server przy pierwszym użyciu

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Silent setup SAS Enterprise Guide (v 3.x)

Kadry Optivum, Płace Optivum. Jak przenieść dane na nowy komputer?

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

Sage Symfonia e-dokumenty. Instalacja programu

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Administratorzy systemów, inżynierowie, konsultanci, którzy wdrażają i zarządzają rozwiązaniami opartymi o serwery HP ProLiant

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

Instrukcja konfiguracji programu Invoice.Exporter

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Płace Optivum. 1. Zainstalować serwer SQL (Microsoft SQL Server 2008 R2) oraz program Płace Optivum.

Praca w programie dodawanie pisma.

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu ftp.

Instrukcja aktywacji tokena w usłudze BPTP

Problemy techniczne SQL Server

Instalacja i konfiguracja konsoli ShadowControl Instrukcja dla użytkownika

CEPiK 2 dostęp VPN v.1.7

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Zamawianie Taxi Instrukcja użytkownika

CZNE LUB INSTALOWANIE SERVERA

SysLoger. Instrukcja obsługi. maj 2018 dla wersji aplikacji (wersja dokumentu 2.5)

WZP/WO/D /15 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Analiza aktywności złośliwego oprogramowania Njw0rm

PROBLEMY TECHNICZNE. Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS

G DATA Client Security Business

Do wersji Warszawa,

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

Dokumentacja programu. Terminarz zadań. Serwis systemu Windows. Zielona Góra

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Dokonaj instalacji IIS opublikuj stronę internetową z pierwszych zajęć. Ukaże się kreator konfigurowania serwera i klikamy przycisk Dalej-->.

Poradnik korzystania z usługi FTP

Procedura zgłaszania problemów z obsługą oraz nieprawidłowości w funkcjonowaniu systemu PEFS 2007 w zakresie Programu Operacyjnego Kapitał Ludzki

Wykaz zmian w programie SysLoger

Instrukcja instalacji i obsługi programu Szpieg 3

WYDRA BY CTI. WYSYŁANIE DOKUMENTÓW ROZLICZENIOWYCH I ARCHIWIZACJA Instrukcja do programu

Asystent Hotline Instrukcja instalacji

Odpowiedzi na pytania do postępowania na zakupu oprogramowania antywirusowego (NR BFI 1S/01/10/05/2019) z dnia

Symfonia Start e-dokumenty

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Wykorzystanie pamięci USB jako serwera Samba

Podręcznik administratora Systemu SWD ST Instrukcja instalacji systemu

Jak wykorzystać Pulpit Zdalny w Windows 2003 Serwer do pracy z programem FAKT

Transkrypt:

Analiza malware Remote Administration Tool (RAT) DarkComet BeSTi@ 24 marzec, 2014 Wstęp Tydzień temu do wielu skrzynek pocztowych w Polsce trafił email z linkiem do pliku podszywającego się pod nową aktualizację aplikacji o nazwie BeSTi@ (System Zarządzania Budżetem Jednostek Samorządu Terytorialnego). Fałszywa aktualizacja to narzędzie typu Remote Administration Tool (RAT) - DarkComet zmodyfikowane pakietem AutoIT. DarkComet bardzo często wykorzystywany jest do infekowania stacji roboczych i serwerów z systemem operacyjnym Microsoft Windows nadaje się idealnie do łatwego i szybkiego budowania sieci bot, które pozwalają między innymi na przeprowadzanie ataków DDoS czy kradzież haseł użytkowników. Poniżej przedstawiamy wynik analizy przeprowadzony na poniższej próbce: File: Bestia.3.02.012.07.exe Size: 562237 MD5: 9BB03BB5AF40D1202378F95A6485FBA8 Analiza Process Explorer wyświetla proces malware jako spakowany (plik spakowany za pomocą UPX). Uruchomiony plik tworzy swoją kopię pod nazwą driver--grap.exe. Dla systemu Windows 7 jest to katalog: C:\Users\<username>\AppData\Roaming\driver--grap.exe. Dodaje też skrót o nazwie Windows do katalogu Startup w celu zapewnienia automatycznego startu złośliwej aplikacji po restarcie systemu operacyjnego. Na poniższym rysunku przedstawiona jest informacja o właściwościach skrótu Windows. Prevenity 2014 1

Rysunek 1. Właściwości skrótu Windows. Po restarcie zainfekowanego komputera na liście procesów będzie widoczna aplikacja driver-- grap.exe. Jedną z funkcji malware jest keylogger. Dane zapisywane są w pliku tekstowym o rozszerzeniu.dc. Nazwa pliku to aktualna data. Poniżej fragment zawartości logu: C:\Users\<username>\AppData\Roaming\dclogs\2014-03-20-2.dc :: Bestia (4:20:49 PM) :: Start menu (4:20:59 PM) notepad :: Untitled - Notepad (4:21:19 PM) prevenity :: Blank Page - Windows Internet Explorer (5:37:02 PM) o[<-][<-]prevenity.com :: Administrator: C:\Windows\system32\cmd.exe (5:43:55 PM) dir DarkComet łączy się z adresem IP: 188.116.4.246 na port TCP 81. Nie korzysta z ustawień proxy ani nazwy domenowej hosta o tym IP (wiewiora.me). Po nawiązaniu połączenia możliwe jest zdalne przesyłanie komend do zainfekowanego komputera. Komunikacja pomiędzy serwerami a klientem DarkComet jest szyfrowana. Poniżej zapis przechwyconej i zaszyfrowanej komunikacji keepalive wysyłanej z serwerów (zainfekowanych stacji) co 20 sekund. Prevenity 2014 2

Wartość obiektu MUTEX (informacja z Process Explorer): Wartość obiektu MUTEX (konfiguracja odczytana z pamięci procesu) W pliku konfiguracyjnym obok wartości MUTEX znajduje się hasło używane do szyfrowania komunikacji. Poniższy fragment kodu odpowiada za załadowanie danych z pliku konfiguracyjnego (między innymi klucza szyfrującego, wysyłanych komend): driver grap.exe:00403111 loc_403111: driver grap.exe:00403111 fild qword ptr [ecx+eax] driver grap.exe:00403114 fild qword ptr [eax] driver grap.exe:00403116 cmp ecx, 8 driver grap.exe:00403119 jle short loc_40312c Poniżej przykład dotyczący zaszyfrowania komunikatu #KEEPALIVE#, który wysyłany jest z zainfekowanego komputera. Komunikat #KEEPALIVE# po zaszyfrowaniu: Wywołanie funkcji sprawdzającej czy komenda została zaszyfrowana (adres 0x4030FC). Prevenity 2014 3

Fragment funkcji szyfrującej (adres funkcji 0x4613D8). Ostatnim elementem jest zastosowanie operacji XOR do zakodowania poszczególnych znaków komendy. Na kolejnym zrzucie z ekranu oraz liście znajdują się niektóre z dostępnych w DarkComet komendy/funkcje: Prevenity 2014 4

%IPPORTSCAN SUBMREMOTESHELL WEBCAMLIVE SOUNDCAPTURE PASSWORD FTPFILEUPLOAD URLDOWNLOADTOFILE RPCLanScan #BOT#URLDownload #BOT#URLUpdate #BOT#SvrUninstall #BOT#CloseServer #BOT#RunPrompt #BOT#VisitUrl #FreezeIO #SendClip Poniżej fragment wewnętrznego dziennika zdarzeń DarkComet: Prevenity 2014 5

Komunikację sieciową malware możemy śledzić monitorując wywoływana funkcji ws2_32_send(). driver grap.exe:004863eb push eax ; zaszyfrowany komunikat driver grap.exe:004863ec mov eax, [ebp-8] driver grap.exe:004863ef mov eax, [eax+40h] driver grap.exe:004863f2 push eax ; \Device\Afd driver grap.exe:004863f3 call ws2_32_send Plik Bestia.3.02.012.07.exe zawiera wersję serwera DarkComent 5.x. Poniżej zrzut ekranu z konsoli zarządzającej (klient) i generatora (DarkComet Server Builder) plików exe (serwera DarkComet). Można je pobrać ze strony DarkComet [1]. Źródła [1] http://darkcomet-rat.com [2] http://contextis.com/research/blog/malware-analysis-dark-comet-rat/ [3] http://blog.malwarebytes.org/intelligence/2012/06/you-dirty-rat-part-1-darkcomet/ [4] http://www.matasano.com/research/pest-control.pdf Prevenity 2014 6

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres