Analiza malware Keylogger ispy

Podobne dokumenty
H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Analiza aktywności złośliwego oprogramowania Njw0rm

Analiza malware Remote Administration Tool (RAT) DarkComet

Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject

Analiza aktywności złośliwego oprogramowania Orcus RAT

Przykładowa konfiguracja konta pocztowego w programie Outlook Express z wykorzystaniem MKS 2k7 (MS Windows 2000 Proessional)

ZAKŁADANIE POCZTY ELEKTRONICZNEJ - na przykładzie serwisu

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Instrukcja instalacji usługi Sygnity Service

Instrukcja instalacji usługi Sygnity Service

Instalacja Wirtualnego Serwera Egzaminacyjnego

Necurs analiza malware (1)

OCHRONA PRZED RANSOMWARE

Współpraca z platformą Emp@tia. dokumentacja techniczna

Skrócona instrukcja konfiguracji skanowania iwysyłania wiadomości

1. Bezpieczne logowanie i przechowywanie hasła

Instrukcja korzystania z Systemu Telnom - Nominacje

Instrukcja instalacji usługi Sygnity SmsService

Trojan bankowy Emotet w wersji DGA

Zakładanie konta

PROGRAMY NARZĘDZIOWE 1

LeftHand Sp. z o. o.

1. Instalacja systemu Integra 7

Forte Zarządzanie Produkcją Instalacja i konfiguracja. Wersja B

Instrukcja konfigurowania poczty Exchange dla klienta pocztowego użytkowanego poza siecią uczelnianą SGH.

Instrukcja instalacji usługi Sygnity SmsService

INSTRUKCJA KONFIGURACJI KLIENTA POCZTOWEGO

Przykładowa konfiguracja konta pocztowego w programie Thunderbird z wykorzystaniem MKS 2k7 (MS Windows Vista Busissnes)

Tytuł: Instrukcja obsługi Modułu Komunikacji internetowej MKi-sm TK / 3001 / 016 / 002. Wersja wykonania : wersja oprogramowania v.1.

Instrukcja pobierania i weryfikacji zaświadczeń elektronicznych w portalu internetowym Polskiej Izby Inżynierów Budownictwa

instrukcja INSTALACJI APi_proxy

Obsługa poczty elektronicznej w domenie emeritus.ue.poznan.pl

Instrukcja konfiguracji funkcji skanowania

Tomasz Greszata - Koszalin

Przed przystąpieniem do instalacji certyfikatów należy zweryfikować czy są spełnione poniższe wymagania systemowe.

Klient poczty elektronicznej - Thunderbird

INSTRUKCJA POBIERANIA ZAŚWIADCZEŃ ELEKTRONICZNYCH

Użytkowniku programu FINKA, przekazujemy E-book, który omawia najważniejsze kwestie dotyczące generowania i wysyłania JPK.

Co nowego w systemie Kancelaris 3.31 STD/3.41 PLUS

Dokumentacja programu. Terminarz zadań. Serwis systemu Windows. Zielona Góra

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Zamawianie Taxi Aktywator Instrukcja użytkownika

Internetowy serwis Era mail Aplikacja sieci Web

Do wersji Warszawa,

INSTRUKCJA INSTALACJI SYSTEMU

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Zadanie 1 Treść zadania:

Instrukcja uruchomienia egzaminu z użyciem Wirtualnego Serwera Egzaminacyjnego

Moduł Notatki Systemu Obsługi Zamówień Publicznych UTP-Bydgoszcz Instrukcja postępowania do 1000 Euro

Instrukcja instalacji Control Expert 3.0

MEDIS_EWUS_AUTOMAT SYSTEM KS MEDIS: AUTOMAT EWUŚ Wydanie: 1.0 Data wydania: Marzec 2013 Strona/stron: 1/5

Instrukcja użytkownika Platforma transakcyjna mforex Trader dla systemu MacOS

Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.

W jaki sposób pozyskać dane logowania lub odzyskać hasło?

Instalacja i konfiguracja SAS PC Files Server

Mediatel 4B Sp. z o.o., ul. Bitwy Warszawskiej 1920 r. 7A, Warszawa,

e-awizo SYSTEM POTWIERDZANIA DORĘCZEŃ POCZTY ELEKTRONICZNEJ

DESlock+ szybki start

Sieci komputerowe i bazy danych

pomocą programu WinRar.

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Mirror Tool.

Repozytorium Cyfrowe BN

Bezpieczny system poczty elektronicznej

Wykaz zmian w programie SysLoger

INSTRUKCJA OBSŁUGI Wersja: 2.5

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

INSTRUKCJA OBSŁUGI Wersja: 1.8

INSTRUKCJA INSTALACJI OPROGRAMOWANIA MICROSOFT LYNC 2010 ATTENDEE ORAZ KORZYTANIA Z WYKŁADÓW SYNCHRONICZNYCH

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Krótka instrukcja instalacji

Teoretyczne wprowadzenie do programu pocztowego Microsoft Outlook 2007

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Lab5 - Badanie protokołów pocztowych

Uzyskanie dostępu oraz instalacja oprogramowania STATISTICA dla pracowników oraz studentów Uniwersytetu Ekonomicznego w Poznaniu

Jak się zalogować do Pocztowy24 Biznes

Autoryzacja zleceń z użyciem aplikacji Java Web Start "Pocztowy24Podpis"

Dystrybucja oprogramowania przez portal PSB

Books. by HansaWorld. Przewodnik instalacji. Wersji 6.2

Bezpieczeństwo usług oraz informacje o certyfikatach

Instrukcja Instalacji i konfiguracji CELINA (e-podpis)

Instrukcja redaktora strony

Rejestracja użytkownika Bentley Często zadawane pytania techniczne

WorkshopIT Komputer narzędziem w rękach prawnika

System Bankowości Internetowej ABS 24 - AUTORYZACJA za pośrednictwem kodów SMS -

Dostęp do systemu CliniNET ver. 1.0

Instrukcja tworzenia, logowania i obsługi kont w portalu:

Należy zalogować się do starego systemu pocztowego, znajdującego się pod adresem podanym powyżej. Kliknąć 'Options'

Produkty. MKS Produkty

Wstęp. Skąd pobrać program do obsługi FTP? Logowanie

Instrukcja instalacji i obsługi programu Szpieg 3

- 1 Laboratorium fotografii cyfrowej Foto Video Hennig

Procedura zgłaszania problemów z obsługą oraz nieprawidłowości w funkcjonowaniu systemu PEFS 2007 w zakresie Programu Operacyjnego Kapitał Ludzki

Transkrypt:

Analiza malware Keylogger ispy

Instalacja złośliwego oprogramowania W październiku na skrzynkę funkcyjną CERT Orange Polska otrzymaliśmy przysłany przez użytkownika mail z podejrzanym załącznikiem. Jeśli użytkownik otworzył załączony dokument Microsoft Office, następowała infekcja jego komputera. W pliku Microsoft Office znajdował się złośliwy kod, uruchamiający po otwarciu pliku na komputerze ofiary skrypt PowerShell, który ściągał złośliwe oprogramowanie z zewnętrznego serwera, a następnie je uruchamiał.

Wirusa można następnie znaleźć w dwóch lokalizacjach systemu operacyjnego Windows. Pierwszy plik wirusa, który inicjował jego uruchomienie przy starcie systemu to skrót o nazwie WCciiQNFHhdY.lnk znajdował się w lokalizacji: C:\[Użytkownicy]\[Nazwa_użytkownika]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Zawartość skrótu wygląda następująco: Jego zadanie to uruchomienie pliku PhFM.exe który to następnie uruchamia kolejny plik (packer), napisany w języku skryptowym AutoIT PhMA.au3 W celu ukrycia wirus zmieniał atrybuty systemowe swoich plików nadając im atrybuty +SH.

Po usunięciu atrybutów pliki były widoczne z poziomu systemu Windows. Poniżej fragment zdeobfuskowanego kodu z pliku PhFMA.au3 wraz z funkcjami, które odpowiadały za tworzenie się plików w danych lokalizacjach oraz dodawanie atrybutów. Dodatkowo malware dzięki mechanizmom w pliku PhFMA.au3 sprawdzał obecność na zarażonym komputerze oprogramowania antywirusowego Avast oraz testował, czy jest uruchamiany w środowisku wirtualnym, służącym do analizy złośliwego oprogramowania, szukając w systemie działających procesów: AvastUI.exe VboxTray.exe vmtoolsd.exe SandboxieRpcSs.exe Analiza działania Oprogramowanie ispy Keylogger składa się z trzech funkcjonalnych modułów: Screenshot Keyboard Clipboard Moduł Screenshot odpowiedzialny jest za wykonywanie na zainfekowanym komputerze zrzutów ekranu, a następnie wysyłanie ich do cyberprzestępcy. Analizę złośliwego oprogramowania w celu zaprezentowania dokładnej zasady kradzieży loginów i haseł wykonano przy użyciu nieistniejącego loginu i hasła w serwisie orange.pl

Wykorzystane dane: Login: CERT ORANGE; Hasło: TEST1 Na początku moduł wykonywał zrzut ekranu do pliku.bmp, zapisując go w lokalizacji C:\[UŻYTKOWNICY]\[NAZWA_UŻYTKOWNIKA]\AppData\Local\Temp\ pod losowo wygenerowaną alfanumeryczną nazwą, składającą się zawsze z tego samego typu ciągu znaków oddzielonych od siebie znakiem dywizu (-), wg. wzorca: 8 znaków-4 znaki-4 znaki-4 znaki-12 znaków. Przykładowo na poniższym zrzucie ekranu widzimy ścieżkę do pliku b9becc20-b754-418b-ad01-73ee77b8f49d.bmp Funkcje związane ze złośliwym działaniem wirusa inicjował proces o nazwie PhFM.exe, wykorzystując swój drugi komponent w postaci pliku PhFMA.au3. Złośliwy kod wykonywał wstrzyknięcie funkcji do przestrzeni pamięci procesu uruchomionego przez siebie wcześniej pliku RegSvcs.exe, alokując następnie swoje złośliwe funkcje w jego przestrzeni pamięci. Celem tego typu działania jest uniknięcie detekcji przez oprogramowanie antywirusowe.

Poniżej na zrzucie ekranu dla przykładu przedstawiono łańcuchy znakowe wyciągnięte z działającego w pamięci procesu RegSvcs.exe. W kolejnym kroku wirus przesyłał utworzony wcześniej plik (w naszym przypadku b9becc20-b754-418b-ad01-73ee77b8f49d.bmp ze zrzutem ekranu z zainfekowanego komputera na serwer wykorzystywany jako dropzone.

Następnie pobierał informacje o lokalizacji pliku na serwerze w postaci linków. Przy analizie wirusa został wygenerowany plik o nazwie DHbBP.png jest on widoczny na poniższym zrzucie ekranu: Następnie malware łączył się z zarządzanym przez cyberprzestępcę serwerem SMTP. Poniższy zrzut ekranu przedstawia autoryzację wirusa z zainfekowanego komputera do serwera SMTP w celu przesłania informacji, skąd przestępca może pobrać zrzut ekranu. ispy uwierzytelniał się do serwera SMTP, który posiadał możliwość wysyłania e-maili na wskazany adres poczty. Login i hasło były zakodowane standardowym przy tego typu połączeniach trywialnym do zdekodowania algorytmem BASE64, co pozwoliło na poznanie loginu i hasła, używanych przez przestępcę.

Powyżej można zaobserwować, iż e-mail posiadał temat, precyzujący jakiego modułu dotyczy, wraz z nazwą użytkownika oraz zainfekowanego komputera (w tym przypadku Iwo Graj \ CERT-ORANGE- LAB ). Kolejny zrzut ekranu pokazuje link prowadzący bezpośrednio do pobrania pełnego zrzutu ekranu w postaci pliku DHbBP.png z zainfekowanego komputera użytkownika.

Kolejnym modułem analizowanego malware u jest Keylogger Keyboard, odpowiedzialny za logowanie klawiszy naciśniętych przez użytkownika na jego klawiaturze. Poniższy zrzut pokazuje, że login i hasło wykradzione z zainfekowanego komputera było przekazywane w analogiczny sposób, jak w przypadku modułu Screenshot, różniąc się tematem wiadomości Keyboard Log oraz oczywiście jej treścią. Analogicznie wygląda sytuacja w przypadku trzeciego modułu wirusa, odpowiedzialnego za logowanie skopiowanego przez użytkownika fragmentu tekstu. Na potrzeby analizy został utworzony dokument tekstowy z treścią, która następnie została skopiowana.

Sposób przesłania informacji do przestępcy: W trakcie analizy złośliwego oprogramowania zweryfikowano również poprawność działania serwera SMTP cyberprzestępcy. Przy użyciu danych pochodzących z analizy kodu malware zalogowano się na port 587 serwera przy użyciu protokołu telnet, preparując wiadomość wysyłaną przez cyberprzestępcę tak, by wiadomość trafiła na adres e-mail stworzony na potrzeby niniejszej analizy. Jak widać poniżej uwierzytelnienie przebiegło poprawnie i zakończyło się sukcesem na serwerze.

W kolejnym kroku spreparowano wiadomość i wysłano na utworzony wcześniej adres e-mail. Poniższy zrzut ekranu dowodzi, iż serwer SMTP cyberprzestępcy działa poprawnie, a na e-mail przyszła spreparowana wiadomość zawierająca dane z modułu Keylogger a. W takiej właśnie formie cyberprzestępca odbierał na skrzynce pocztowej wykradzone dane z zainfekowanych komputerów uzytkowników.

Rekomendacje CERT Orange Polska stanowczo zaleca używanie oprogramowania antywirusowego i jego stałą aktualizację, które z dużym prawdopodobieństwem ułatwi uniknięcia kolejnych infekcji złośliwym oprogramowaniem i pomoże zminimalizować skutki kolejnych infekcji, a także oprogramowanie typu firewall, którego zadaniem jest zablokowanie niecharakterystycznego dla zainfekowanej maszyny ruchu sieciowego. Wszyscy klienci usług Orange Polska, którzy otrzymali i uruchomili złośliwy załącznik, są chronieni przed wyciekiem swoich danych dzięki CyberTarczy. W przypadku braku oprogramowania antywirusowego zalecana jest również instalacja i przeskanowanie swojego systemu operacyjnego pod względem złośliwego oprogramowania, które może znajdować się na komputerach użytkowników, na których uruchomiono analizowany malware.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres