Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Podobne dokumenty
Analiza malware Keylogger ispy

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Analiza aktywności złośliwego oprogramowania Njw0rm

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Necurs analiza malware (1)

Analiza aktywności złośliwego oprogramowania Orcus RAT

Analiza Malware Win32.KeyloggerSpy

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Trojan bankowy Emotet w wersji DGA

PROGRAMY NARZĘDZIOWE 1

Problemy techniczne. Jak udostępnić dane na potrzeby wykonania usługi wdrożeniowej? Zabezpieczanie plików hasłem

Problemy techniczne. Jak umieszczać pliki na serwerze FTP?

Rejestracja konta Komornika / Asesora w portalu KomornikID

Przed przystąpieniem do instalacji certyfikatów należy zweryfikować czy są spełnione poniższe wymagania systemowe.

Fundacja Ośrodka KARTA z siedzibą w Warszawie, przy ul. Narbutta 29 ( Warszawa),

Rejestracja użytkownika Bentley Często zadawane pytania techniczne

Studenci pobierają dane do instalacji programu Statistica w Bibliotece PMWSZ w Opolu

OCHRONA PRZED RANSOMWARE

-Próba otworzenia pliku bezpośrednio z płyty CD także kończy się niepowodzeniem, pojawia się komunikat System Windows nie może otworzyć tego pliku.

1. Bezpieczne logowanie i przechowywanie hasła

Analiza malware'u SandroRAT_sec Kaspersky_Mobile_Security.apk

Bezpieczeństwo usług oraz informacje o certyfikatach

Instrukcja instalacji programu STATISTICA

Analiza Trojana NotCompatible.C

Instrukcja instalacji środowiska testowego systemu Uczelnia XP

1. INSTALACJA I URUCHOMIENIE KOMUNIKATORA

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Instrukcja aktywacji tokena w usłudze BPTP

Ćwiczenie 1 (28) Zakładanie darmowego konta pocztowego.

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

Problemy techniczne. Jak umieszczać pliki na serwerze FTP?

Diagnostyka komputera

Instrukcja instalacji usługi Sygnity Service

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Sieciowa instalacja Sekafi 3 SQL

Stosowanie ciasteczek (cookies)

Zadanie 1 Treść zadania:

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS


Rejestracja konta Komornika Sądowego / Asesora Komorniczego w portalu KomornikID

Logowanie do systemu SL2014

Tytuł: Projekt realizacji prac prowadzących do zlokalizowania i usunięcia usterek systemu komputerowego.

Instrukcja instalacji usługi Sygnity Service

Instrukcja obsługi Outlook Web App i konfiguracji Thunderbird

Sklep internetowy wtspartner.pl dokłada wszelkich starań, aby prowadzony serwis ułatwiał każdemu użytkownikowi

Klient poczty elektronicznej - Thunderbird

KURIER BY CTI. Instrukcja do programu DATA Informatycznej Zygmunt Wilder w Gliwicach WERSJA mgr Katarzyna Wilder DLA DPD

Integracja programów LeftHand z systemem Skanuj.to

Tomasz Greszata - Koszalin

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

1. Generowanie rachunku elektronicznego

Instrukcja użytkowania platformy ONLINE. Akademii Doskonalenia Zawodowego NATUROPATA ADZ Naturopata

Warszawa, 22 marca Wstęp

Instalacja programu na systemie vista/win7/win8/win10. Instrukcja dotyczy instalacji wszystkich programów ( na przykładzie Helios ).

Skrócona instrukcja funkcji logowania

3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S SMS SYSTEM

Przykłady wybranych fragmentów prac egzaminacyjnych z komentarzami Technik informatyk 312[01] zadanie 5

Autodesk Desktop Subscription Instrukcja Instalacji

Instrukcja instalacji usługi Sygnity SmsService

Internetowy serwis Era mail Aplikacja sieci Web

[1/15] Chmury w Internecie. Wady i zalety przechowywania plików w chmurze

Uruchamianie zadań w środowisku CLUSTERIX z wykorzystaniem klienta tekstowego systemu GRMS

Zarządzanie kontami w systemie Windows

IBM SPSS Modeler Social Network Analysis 16 podręcznik instalowania i konfigurowania

Procedura zgłaszania problemów z obsługą oraz nieprawidłowości w funkcjonowaniu systemu PEFS 2007 w zakresie Programu Operacyjnego Kapitał Ludzki

Instrukcja instalacji oraz obsługi czytników i kart procesorowych dla Klientów SBI Banku BPH S.A.

Instrukcja Instalacji. Instalacja lokalna

- komputer (stacja robocza) ma być naprawiony i skonfigurowany w siedzibie firmy,

Agenda. Rys historyczny Mobilne systemy operacyjne

1 z 18. Spis treści: 1. Zakładanie konta na portalu OX.PL

Zakładanie konta na portalu OX.PL Uruchamianie linku aktywacyjnego Co zrobić w przypadku kiedy link nie dotarł na skrzynkę mailową Dodawanie ogłoszeń

Regulamin serwisu oraz aplikacji MyLuggage

INSTRUKCJA UŻYTKOWNIKA Podpis cyfrowy ISO 9001:2008 Dokument: Wydanie: Podpis cyfrowy. Spis treści... 1

Analiza malware Remote Administration Tool (RAT) DarkComet

Instrukcja postępowania przy najczęściej występujących problemach technicznych

Jak bezpiecznie korzystać z usług świadczonych przez Uczelnię. Jak się zabezpieczać oraz na co zwracać szczególną uwagę.

Instrukcja korzystania z Systemu Telnom - Nominacje

Aktualizacja oprogramowania wideo Polycom Systemy HDX Polycom

POLITYKA PRYWATNOŚCI Konkurs wiedzy dermatologicznej dla lekarzy

1. Generowanie rachunku elektronicznego

E-faktura instrukcja dla kontrahentów TVP S.A.

Pracownia internetowa w każdej szkole (edycja jesień 2005)

PODRĘCZNIK UŻYTKOWNIKA PROGRAMU LBD <-> TBD

Kurier DPD by CTI. Instrukcja

Przykłady wybranych fragmentów prac egzaminacyjnych z komentarzami Technik informatyk 312[01] Zadanie 3

STATISTICA 8 WERSJA SIECIOWA CONCURRENT INSTRUKCJA INSTALACJI

Komentarz technik informatyk 312[01]-02 Czerwiec 2009

Regulamin serwisu Biura Prasowego TVN. Postanowienia ogólne

1. Generowanie rachunku elektronicznego

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Instrukcja dotycząca generowania klucza dostępowego do Sidoma v8

Instrukcja instalacji usługi Sygnity SmsService

Transkrypt:

Warszawa, dnia 05.02.2016 Analiza kampanii złośliwego Oprogramowania E-Faktura Orange Win32.PWSZbot.fc CERT OPL analiza malware; autor: Iwo Graj Strona 1 z 7

1. Wstęp Znaczna liczba polskich internautów w tym klienci Orange Polska otrzymała we wtorek 2 lutego 2016 roku na swoje skrzynki e-mail wyglądający jak załącznik z fakturą do Orange. Wiadomość wraz z rozsyłanym załącznikiem posiadała tylko i wyłącznie nadawcę, oraz temat wiadomości Fwd: E-Faktura Orange bez treści. W załączniku wiadomości znajdował się plik o nazwie FAKTURA-P- 15483212-34576224252-000233455.pdf.xml.sig.zip który był skompresowanym archiwum. 2. Analiza Po rozpakowaniu archiwum znajdował się w nim wykonywalny plik binarny z rozszerzeniem.exe o nazwie FAKTURA-P-15476021-65910650327719-00056067.pdf.xml.sig_.png.exe CERT OPL analiza malware; autor: Iwo Graj Strona 2 z 7

Po otworzeniu pliku, złośliwe oprogramowanie tworzyło nowy plik wykonywalny w innym katalogu i lokalizacji w systemie jak również dopisywało do rejestru klucz w celu ponownego uruchomienia się przy starcie systemu oraz tworzyło skrypt, który miał za zadanie usunąć uruchamiany przez użytkownika plik. Procedura zawarta w kodzie wirusa tworzyła skrypt BATCH pod losową nazwą w lokalizacji użytkownika systemu podczas analizy kodu ścieżka wyglądała następująco C:\Users\IwoGraj\AppData\Local\Temp\711B\711B.bat CERT OPL analiza malware; autor: Iwo Graj Strona 3 z 7

Złośliwy kod tworzył w rejestrze systemowym klucz o losowo wygenerowanej nazwie w lokalizacji HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run a następnie tworzył plik i katalog również o losowej nazwie w lokalizacji C:\Users\<Użytkownik>\AppData\Roaming\. Podczas analizy tego przypadku stworzona przez wirusa nazwa pliku to api-esvc.exe w lokalizacji C:\Users\<Użytkownik>\AppData\Roaming\blbrsapi\ Jedną z funkcji malware było przechwytywanie informacji z przeglądarek użytkownika w postaci loginów i haseł, a także zawartości ciasteczek (cookies). Następnie były one kopiowane do lokalizacji C:\Users\<Użytkownik>\AppData\Local\Temp\, gdzie malware tworzył archiwa w postaci plików o losowych nazwach z rozszerzeniem.bin: Po rozpakowaniu archiwum o nazwie E11F.bin w utworzonym katalogu znajdowały się wygenerowane pliki o losowych nazwach bez rozszerzenia. Na potrzeby tej analizy został stworzony użytkownik o nazwie jankowalczyk.1955 oraz haśle qwe.123 następnie tymi danymi zalogowano się na konto pocztowe, by przedstawić sposób działania wirusa. Plik zawierał: - datę oraz czas uruchomienia przeglądarki: 04-02-2016 06:15:42 CERT OPL analiza malware; autor: Iwo Graj Strona 4 z 7

- nazwę użytkownika systemu Windows: Iwo Graj - adres strony na którą wszedł użytkownik: https://poczta.o2.pl/login.html - zawartość cookie - login oraz hasło do poczty: jankowalczyk.1955@o2.pl, qwe.123 W takiej formie wszystkie wykradzione z komputera użytkownika informacje w postaci haseł i loginów trafiają do przestępcy. Następnie malware przesyłał spakowane archiwa z rozszerzeniem.bin z zawartością loginów i haseł oraz innych informacji do Command&Control do dyspozycji cyber-przestępcy. Poniżej dla przykładu komunikacja związana z przesłaniem pliku 62c9.bin z zainfekowanego komputera na jedną z domen wykorzystywanych przez cyberprzestępce na adres mempobuthousesbexecutive.com. Złośliwy kod wykorzystywał wiele inny domen w celach komunikacji ze swoim Command&Control. CERT OPL analiza malware; autor: Iwo Graj Strona 5 z 7

Inną równie ciekawą funkcją wirusa jest logowanie klawiszy wpisanych przez użytkownika. Dla przykładu analizy był to ciąg znakowany złożony z litery a. Ciąg dwudziestu liter a został wpisany do nowo powstałego dokumentu tekstowego. Na poniższym zrzucie ekranowym można zauważyć, że wirus utworzył archiwum o nazwie 6769.bin. CERT OPL analiza malware; autor: Iwo Graj Strona 6 z 7

Po przeanalizowaniu zawartości archiwum w pliku bez rozszerzenia o losowo wygenerowanej nazwie znajdowała się zawartość ciągu złożonego z dwudziestu liter a oraz inne informacje, dotyczące aktywności użytkownika: - datę oraz czas uruchomionej aplikacji: 04-02-2016 06:34:22 - ścieżkę do uruchomionej aplikacji: C:\Windows\system32\NOTEPAD.EXE - nazwę pliku - wpisany tekst: aaaaaaaaaaaaaaaaaaaa 3. Rekomendacje CERT Orange Polska zaleca stosowanie oprogramowania antywirusowego, które może przyczynić się do uniknięcia i zminimalizowania skutków kolejnych infekcji rożnego rodzaju złośliwym oprogramowaniem w przyszłości. Wszyscy użytkownicy Orange, którzy dostali złośliwy załącznik i go uruchomili są chronieni przed wyciekiem swoich danych za pomocą CyberTarczy. CERT OPL analiza malware; autor: Iwo Graj Strona 7 z 7

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres