Analiza Trojana NotCompatible.C



Podobne dokumenty
Trojan bankowy Emotet w wersji DGA

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

DESlock+ szybki start

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Necurs analiza malware (1)

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Analiza malware'u SandroRAT_sec Kaspersky_Mobile_Security.apk

Algorytm DGA wykorzystywany w trojanie Emotet

Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject

Analiza malware Remote Administration Tool (RAT) DarkComet

Analiza aktywności złośliwego oprogramowania Njw0rm

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Analiza malware Keylogger ispy

Analiza Malware Win32.KeyloggerSpy

Serwer SSH. Wprowadzenie do serwera SSH Instalacja i konfiguracja Zarządzanie kluczami

Botnet Zeus - analiza w laboratorium CERT

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Botnet Hamweq - analiza

Bezpieczeństwo systemów informatycznych

Bezpieczeństwo usług oraz informacje o certyfikatach

KAMELEON.CRT OPIS. Funkcjonalność szyfrowanie bazy danych. Wtyczka kryptograficzna do KAMELEON.ERP. Wymagania : KAMELEON.ERP wersja

Szczegółowy opis przedmiotu zamówienia:

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

UMOWY CYWILNOPRAWNE Instalacja, rejestracja i konfiguracja programu

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym PrestaShop (plugin dostępny w wersji ecommerce)

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

Wykład 4. Metody uwierzytelniania - Bezpieczeństwo (3) wg The Java EE 5 Tutorial Autor: Zofia Kruczkiewicz

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

4. Podstawowa konfiguracja

Połączenie VPN LAN-LAN IPSec X.509 (stały IP > stały IP)

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat usługi DHCP.

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

11. Autoryzacja użytkowników

System Kancelaris. Zdalny dostęp do danych

Odpowiedzi na pytania do postępowania na zakupu oprogramowania antywirusowego (NR BFI 1S/01/10/05/2019) z dnia

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym Magento (plugin dostępny w wersji ecommerce)

3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S FAX SYSTEM

elektroniczna Platforma Usług Administracji Publicznej

Otwock dn r. Do wszystkich Wykonawców

Analiza aktywności złośliwego oprogramowania Orcus RAT

ekopia w Chmurze bezpieczny, zdalny backup danych

Hosting WWW Bezpieczeństwo hostingu WWW. Dr Michał Tanaś (

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

SSL (Secure Socket Layer)

Konfiguracja poczty IMO w programach Microsoft Outlook oraz Mozilla Thunderbird

System Zdalnej Obsługi Certyfikatów Instrukcja użytkownika

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

12. Wirtualne sieci prywatne (VPN)

Bezpieczeństwo systemów informatycznych

OCHRONA PRZED RANSOMWARE

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

Polityka ochrony danych osobowych w programie Norton Community Watch

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

BeamYourScreen Bezpieczeństwo

Instrukcja instalacji usługi Sygnity SmsService

Agenda. Rys historyczny Mobilne systemy operacyjne

Wykład 3 / Wykład 4. Na podstawie CCNA Exploration Moduł 3 streszczenie Dr inż. Robert Banasiak

WHEEL LYNX SSL/TLS DECRYPTOR. najszybszy deszyfrator ruchu SSL/TLS

Instalacja pakietu SAS 9.3 Audit, Performance and Measurement na platformie Windows

Usługi sieciowe systemu Linux

Połączenie VPN aplikacji SSL. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile aplikacji SSL 1.3. Konto SSL 1.4. Grupa użytkowników

BEZPIECZEŃSTWO UŻYTKOWNIKA APLIKACJI FACEAPP. Analiza Zespołu CERT POLSKA w Państwowym Instytucie Badawczym NASK

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

n6: otwarta wymiana danych

FUNKCJONALNOŚ C PORTAL B2B KAMELEON.ŚQL

Wyższy poziom bezpieczeństwa

Kasowanie domyślnej konfiguracji Konfiguracja wstępna. Nadanie adresu IP i bramy domyślnej Konfiguracja nowego hotspota...

UNIWERSYTET EKONOMICZNY WE WROCŁAWIU. Sprawozdanie. Analizator sieciowy WIRESHARK. Paweł Jarosz Grupa 20 IiE

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

KONFIGURACJA SIECIOWA SYSTEMU WINDOWS

Połączenie VPN Host-LAN SSL z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Konfiguracja IPSec Brama IPSec w Windows 2003 Server

Krok 3 Pobranie certyfikatu kwalifikowanego

Projektowanie bezpieczeństwa sieci i serwerów

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

emszmal 3: Automatyczne księgowanie przelewów w sklepie internetowym PrestaShop (plugin dostępny w wersji ecommerce)

Znak sprawy: KZp

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

Bringing privacy back

Płace Optivum. Jakie czynności musi wykonać pracownik, aby otrzymywać drogą elektroniczną paski z list płac?

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

Praca z programami SAS poza lokalną siecią komputerową UZ. Zestawienie tunelu SSH oraz konfiguracja serwera proxy w przeglądarce WWW

Poradnik korzystania z usługi FTP

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

System kontroli wersji - wprowadzenie. Rzeszów,2 XII 2010

Instrukcja obsługi certyfikatów w programie pocztowym MS Outlook Express 5.x/6.x

System Zdalnej Obsługi Certyfikatów 2.0 Instrukcja użytkownika

INSTRUKCJA obsługi certyfikatów

INSTRUKCJA INSTALACJI I OBSŁUGI GPG4Win

INSTRUKCJA INSTALACJI SYSTEMU

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Korzystanie z Certyfikatów CC Signet w programie MS Outlook 98

Win Admin Monitor Instrukcja Obsługi

Transkrypt:

Analiza Trojana NotCompatible.C Warszawa 2014-12-23 CERT OPL Malware Analysis Strona 1 z 11

1. Wstęp Pierwszy raz malware o nazwie NotCompatible został wykryty w 2012 roku. Na początku kod używany był jako serwer proxy do kampanii spamowych. Do dzisiaj znacznie się rozrósł, tworząc ogromny botnet, zdolny do spamowania użytkowników, przeprowadzania zautomatyzowanych ataków np. na WordPress czy też kontroli powłoki c99. Wykorzystując NotCompatible jako proxy, atakujący może wykonać wiele czynności, w tym poszukiwanie wrażliwych hostów w sieci, znajdowanie luk w zabezpieczeniach i narażonych wrażliwych danych. Szacuje się, iż w samych Stanach Zjednoczonych ilość infekcji może sięgać 4,5 miliona zainfekowanych maszyn. Zasięg infekcji tego wirusa to ok. 20.000 maszyn dziennie, gdzie kanałem propagacji jest spam. Można się spotkać ze sprzecznymi informacjami na temat funkcjonalności tego malware'u, Jedne źródła wskazują, że zainfekowany telefon służy do włamania się do prywatnych sieci komputerowych. Inne zaś, że główną funkcjonalnością jest tworzenie botnetu. Rozbieżności nie dziwią, gdyż analizowana przez nas próbka wykonuje oba zadania. Eksperci twierdzą również, że złośliwe oprogramowanie może dostać się do środowiska korporacyjnego, jeśli zaatakuje urządzenie należące do organizacji. Najnowsza mutacja kodu określana jest nazwą NotCompatible.C, którą przeanalizował CERT Orange Polska, została wykryta w zeszłym roku. Wykazywanie jednocześnie obu głównych funkcjonalności utrudniło początkowo jego analizę. W naszym laboratorium udało się jednak przeprowadzić zarówno analizę statyczną jak i dynamiczną kodu. Malware rozpowszechniany jest poprzez atak "drive-by download". Polega on na wykorzystaniu podatności przeglądarki na platformie Android. Użytkownik odwiedza zainfekowaną witrynę, w której znajduje się złośliwy skrypt. Po jego uruchomieniu przeglądarka pobiera automatycznie plik. Jednak aby uruchomić złośliwy kod użytkownik musi najpierw zaakceptować instalację przez ręczne kliknięcie na plik. Po instalacji wirus uruchamiany jest dopiero przy następnym i każdym kolejnym restarcie telefonu. Jest to pierwszy raz w historii, gdy atak "drive-by download" jest wycelowany w urządzenia z systemem Android. Zrzut pokazujący uruchomiony plik instalacyjny ze złośliwym oprogramowaniem. CERT OPL Malware Analysis Strona 2 z 11

Wykaz procesów uruchomionych w środowisku wirtualnym z systemem Android, w tym złośliwy kod. Jak widać, uruchomiony malware utworzył proces o nazwie com.security.patch Można to sprawdzić z poziomu włączonego telefonu, w zakładce pokazującej wykaz uruchomionych aplikacji oraz procesów w telefonie z systemem Android. Zainfekowany telefon właściciela może również wykazywać wyższe niż zwykle zużycie transferu danych i energii. CERT OPL Malware Analysis Strona 3 z 11

Malware widoczny w wykazie uruchomionych aplikacji Zalecamy sprawdzenie, czy w telefonie nie jest uruchomiony proces o podobnej nazwie jak com.security.patch, działający jako usługa której nie widać w menu telefonu. Rekomendujemy, aby użytkownicy nie instalowali aplikacji z niepotwierdzonego źródła, oraz nie instalowali aplikacji, jeśli nie pamiętają czy była ona pobierana na telefon. Należy również włączyć w telefonie funkcję blokowania instalacji aplikacji z niezaufanych źródeł. CERT OPL Malware Analysis Strona 4 z 11

2. Analiza NotCompatible Nazwa pliku z trojanem: Update.apk Suma kontrolna MD5: feace958b47c2249c6ab8ddf804cdcb6 Wielkość w bajtach: 64808 Analizowana próbka przeznaczona jest jedynie na urządzenia mobilne z platformą Android. Po zdebugowaniu pliku Update.apk w jego plikach źródłowych (konkretnie: AndroidManifest.xml ) widać, do jakich zasobów odwołuje się malware: android.permission.internet opcja pozwalająca aplikacji, aby otworzyć gniazd sieciowych, android.permission.access_network_state opcja pozwalająca aplikacji na dostęp do informacji o sieci, android.permission.receive_boot_completed opcja pozwalająca otrzymać przez malware informacji o zakończeniu boot owania systemu. Oraz informacja o zakresie wersji środowiska w którym będzie ona działać od minsdkversion= 7 do targetsdkversion= 17 Malware posiada zaimplementowaną względnie dużą ilość funkcji, które zapewniają mu bezproblemowe działanie w każdej sieci. Posiada między innymi: -wzajemne uwierzytelnianie się za pomocą klucza RSA i RC4 - wsparcie protokołów UDP i TCP - komunikację p2p pomiędzy zainfekowanymi telefonami - wiele serwerów Command & Control rozmieszczonych w różnych lokalizacjach. Malware instaluje się w lokalizacji /data/data/com.security.patch/ Trojan wykorzystuje dość złożoną, dwupoziomową technikę komunikacji pomiędzy zainfekowaną maszyną a serwerami Command & Control. Pierwsza część składa się z serwera Command & Control, który jest jedynie bramą wejściowa służącą do weryfikacji komunikacji zainfekowanego telefonu chcącego CERT OPL Malware Analysis Strona 5 z 11

się skomunikować z serwerem. Posiada również funkcję loadbalancera, który rozkłada ruch zainfekowanych telefonów. Poniżej został przedstawiony schemat komunikacji pomiędzy zainfekowanym telefonem a serwerami Command & Control. Linie przerywane oznaczają połączenie szyfrowane. Alternatywny C&C D Przesłanie informacji z adresem głównego Serwer A C&C - brama serwera Command & Control Przesłanie informacji o infekcji do bramy C&C Alternatywny C&C C Informacja o infekcji do głównego C&C Alternatywny C&C B Serwer Command & Control przesyła rozkazy oraz listę zainfekowanych urządzeń. Wymiana danych między serwerem Command & Control a telefonem odbywa się za pomocą wymiany klucza publicznego RSA, który zapisany jest w pliku pub, dołączonym wraz z malware. Poniżej został przedstawiony kod, który przedstawia metodę loadkey() klasy RSA po dekompilacji kodu malware: W pliku public.xml umieszczona jest wartość ID dla zasobu o ID 0x7f030001, co po zamianie na system dziesiętny daje nam liczbę 2130903041, którą wykorzystuje metoda loadkey w poniższym kodzie. CERT OPL Malware Analysis Strona 6 z 11

Oprócz algorytmu RSA, malware wykorzystuje algorytm RC4, który służy mu do szyfrowania i deszyfrowania danych wymienianych z serwerem Command & Control. W pliku public.xml umieszczona jest również wartość dla zasobu o id 0x7f030000 co po zamianie na system dziesiętny daje nam liczbę 2130903040, którą wykorzystuje metoda Load() klasy config do identyfikacji zasobu, podobnie jak z kluczem RSA. Zawartość klasy config oraz metody Load() CERT OPL Malware Analysis Strona 7 z 11

Schemat działania wymiany kluczy RSA i RC4 w komunikacji krok po kroku: 1. Zainfekowany telefon pobiera klucz publiczny RSA z pliku pub. 2. Zainfekowany telefon generuje swoją parę kluczy RSA klucz prywatny i klucz publiczny. 3. Zainfekowany telefon wysyła klucz publiczny wygenerowany w punkcie 2 do serwera Command & Control. 4. Po odebraniu klucza publicznego z zainfekowanego telefonu Command & Control generuje klucz RC4,szyfruje go kluczem publicznym przesłanym przez malware a następnie wysyła go do telefonu. Telefon po odebraniu zaszyfrowanego klucza RC4 odszyfrowuje go swoim kluczem prywatnym. 5. Od tego momentu cała komunikacja będzie szyfrowana algorytmem RC4 z kluczem symetrycznym wymienionym wcześniej w punkcie 4. Dalsza komunikacja jest szyfrowana. Druga, interesująca sprawa: malware w chwili gdy wszystkie z serwerów Command & Control są zablokowane, odpytuje przez protokół p2p inne zainfekowane urządzenie o najnowszy plik konfiguracyjny od głównego serwera, by dowiedzieć się jaki jest docelowy adres serwera Command & Control. Taka funkcjonalność umożliwia wykonywanie połączeń będąc niezauważonym. Poniżej został przedstawiony schemat komunikacji pomiędzy dwoma zainfekowanymi telefonami a poprzez wykorzystanie P2P w chwili, gdy adresy serwerów Command & Control są blokowane. Zainfekowany telefon A Zainfekowany telefon B Pobranie ostatniego najnowszego pliku konfiguracyjnego z zainfekowanego urządzenia, które posiada kontakt z aktywnym serwerem Command & Control za pomocą komunikacji P2P. Zablokowana próba komunikacji zainfekowanego telefonu z serwerami C&C BLOKADA POŁĄCZEŃ C&C Serwer Opcjonalny Opcjonalny C&C pełniący główny serwer główny serwer funkcję bramy A C&C B C&C C CERT OPL Malware Analysis Strona 8 z 11

Kod jest o tyle ciekawy, że szyfruje całe swoje połączenie pomiędzy klientem a serwerem Command & Control. Jest to pierwszy malware, który posiada dwustopniowy proces przekazywania skradzionych danych. Pierwszy serwer Command & Control spełnia funkcję bramy, która ma za zadanie weryfikację czy łączy się właściwy zainfekowany telefon, po czym rozkłada ruch i przepuszcza go do głównego Command & Control przekazując informację o adresie głównego Command & Control. Poniższe zestawienie połączeń przedstawia komunikację pomiędzy pierwszym serwerem Command & Control a zainfekowanym telefonem. Malware pobiera adres IP ze swojego pliku konfiguracyjnego, znajdującego się na telefonie w lokalizacji /data/data/com.security.patch/files/data.bin Plik szyfrowany jest algorytmem RC4. Do jego zdekodowania podczas analizy statycznej użyty został ten sam mechanizm, który znajduje się w źródłach malware, lecz nieco zmodyfikowany. Po zdekodowaniu pliku data.bin można uzyskać informację o adresie IP z jakim się łączy zainfekowany telefon to 173.242.124.163 na porcie 443. CERT OPL Malware Analysis Strona 9 z 11

Trojan wykonuje również operacje po stronie telefonu. Uruchamiając się, odwołuje się do klas ThreadServer. android.permission.access_network_state method call: "Lcom/security/patch/ThreadServer/getInnet()Z" calls "Landroid/net/ConnectivityManager/getActiveNetworkInfo()Landroid/net/NetworkInfo;" Zawartość metody init() inicjalizacyjnej dla klasy "ThreadServer", która odpowiedzialna jest za tworzenie wszystkich mechanizmów szyfrowania i zestawiania połączeń W chwili, gdy dany adres IP Command & Controll jest blokowany, malware wykorzystuje funkcjonalność p2p, pobierając najnowszy plik konfiguracyjny od zainfekowanego wcześniej telefonu. Funkcja ma na celu ominięcie blokowania komunikacji na poziomie IP oraz DNS. CERT OPL Malware Analysis Strona 10 z 11

Takie działanie ma przeważnie na celu ukrycie złośliwego działania wirusa podczas komunikacji z Command & Control, by systemy do detekcji ruchu nie mogły rozróżnić poprawnego ruchu sieciowego a złośliwego ruchu pomiędzy zainfekowanym maszynami a Command & Control. Systemy do detekcji ruchu nie potrafią zdefiniować złośliwego ruchu, gdy jest on szyfrowany między klientem a serwerem z wykorzystaniem pary kluczy oraz algorytmów RSA i RC4. Podczas analizy dynamicznej udało się przechwycić połączenia na adres IP 173.242.124.163 na porcie 443 do pierwszego Command & Control. Domena z jaką próbuje ustanowić połączenie to dedispace.com Poniżej przedstawiona została komunikacja telefonu, który jest już zainfekowany i łączy się z wieloma alternatywnymi serwerami Command & Control znajdującymi się w Wielkiej Brytanii. Serwer o adresie IP 5.45.65.100 Serwer o adresie IP: 5.45.66.82 Serwer o adresie IP: 5.45.64.67 3. Podsumowanie. Malware NotCompatible.C, jak wynika z analizy, wyznacza nowe trendy w technikach ataków na urządzenia mobilne. Jest nie tylko zagrożeniem dla potencjalnych użytkowników, lecz dotyka również sektora korporacyjnego. Tym bardziej istotne dla każdego posiadacza telefonu staje się więc rygorystyczne przestrzeganie zasady nieinstalowania aplikacji z niezaufanych źródeł, lub aplikacji, których użytkownik sam nie ściągnął na swój telefon. CERT OPL Malware Analysis Strona 11 z 11

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres