H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Podobne dokumenty
Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Analiza malware Keylogger ispy

Analiza aktywności złośliwego oprogramowania Njw0rm

Analiza aktywności złośliwego oprogramowania Orcus RAT

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Necurs analiza malware (1)

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Trojan bankowy Emotet w wersji DGA

Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject

OCHRONA PRZED RANSOMWARE

Analiza Trojana NotCompatible.C

Analiza malware Remote Administration Tool (RAT) DarkComet

PROGRAMY NARZĘDZIOWE 1

Produkty. ESET Produkty

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Zadanie 1 Treść zadania:

Analiza malware'u SandroRAT_sec Kaspersky_Mobile_Security.apk

Instalacja Wirtualnego Serwera Egzaminacyjnego

Otwock dn r. Do wszystkich Wykonawców

Instrukcja instalacji usługi Sygnity Service

ArcaVir 2008 System Protection

PROBLEMY TECHNICZNE. Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS

Produkty. MKS Produkty

SERWER AKTUALIZACJI UpServ

Algorytm DGA wykorzystywany w trojanie Emotet

SERWER AKTUALIZACJI UpServ

SERWER AKTUALIZACJI UpServ

UNIFON podręcznik użytkownika

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

F-Secure Anti-Virus for Mac 2015

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Produkty. ca Produkty

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Rozdział 1: Rozpoczynanie pracy...3

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Tytuł: Projekt realizacji prac prowadzących do zlokalizowania i usunięcia usterek systemu komputerowego.

Bezpieczeństwo dzieci w internecie: 4 rzeczy, które może zrobić rodzic MODUŁ 6 B

ATAKI NA SYSTEMY KOMPUTEROWE POZNAJ SWOJEGO WROGA. opracował: Krzysztof Dzierbicki

WZP/WO/D /15 SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

Instrukcja instalacji usługi Sygnity SmsService

Pierwsze kroki w programie QuarkXPress

Spis treści

Asix. Konfiguracja serwera MS SQL dla potrzeb systemu Asix. Pomoc techniczna NIEZAWODNE ROZWIĄZANIA SYSTEMÓW AUTOMATYKI

BlackHole. Bezpieczne Repozytorium Ważnych Zasobów.

Instrukcja instalacji Asystenta Hotline

Projektowanie bezpieczeństwa sieci i serwerów

Arkanet s.c. Produkty. Norman Produkty

Zarządzanie licencjami dla opcji Fiery na komputerze klienta

Instrukcja instalacji usługi Sygnity SmsService

-Próba otworzenia pliku bezpośrednio z płyty CD także kończy się niepowodzeniem, pojawia się komunikat System Windows nie może otworzyć tego pliku.

Symfonia Faktura. Instalacja programu. Wersja 2013

INSTRUKCJA INSTALACJI SYSTEMU

Instrukcja instalacji usługi Sygnity Service

Instalacja wypychana ESET Endpoint Encryption

Asystent Hotline Instrukcja instalacji

Antywirusy. Marcin Talarczyk. 2 czerwca Marcin Talarczyk Antywirusy 2 czerwca / 36

Instrukcja użytkownika

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Opcje Fiery1.3 pomoc (klient)

Win Admin Monitor Instrukcja Obsługi

IBM SPSS Statistics Wersja 25. Windows Instrukcja instalacji (licencja autoryzowanego użytkownika) IBM

MCAD wersja od 5.0 instrukcja instalacji ręcznej w AutoCAD.

Jak wykorzystać Pulpit Zdalny w Windows 2003 Serwer do pracy z programem FAKT

Analiza Malware Win32.KeyloggerSpy

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

Wymagania systemowe. Wersja dokumentacji 1.12 /

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

Sieci komputerowe i bazy danych

Produkty. Alwil Produkty

INSTRUKCJA INSTALACJI OPROGRAMOWANIA MICROSOFT LYNC 2010 ATTENDEE ORAZ KORZYTANIA Z WYKŁADÓW SYNCHRONICZNYCH

Sage Symfonia Kadry i Płace

Celina zmiany marzec 2010

Windows Defender Centrum akcji

DZIEŃ BEZPIECZNEGO KOMPUTERA

Instalacja serwera Firebird

Plan na dziś. Co to jest wirus komputerowy? Podział wirusów komputerowych Jak działają wirus komputerowe? Jak zabezpieczyć się przed wirusami?

F-Secure Mobile Security for S60

Instrukcja użytkownika

Instrukcja obsługi aplikacji Karty Pojazdów dla Dealerów Samochodowych

Instrukcja do programu Roger Licensing Server v1.0.0 Rev. A

Ustawienia personalne

Pomoc dla usługi GMSTHostService. GMSTHostService. Pomoc do programu 1/14

Dział Dopuszczający Dostateczny Dobry Bardzo dobry Celujący

Rozpoczęcie pracy z programem.

Bartosz Kurzajczyk 4i Tytuł - Diagnoza, naprawa i usunięcie usterek oraz zapobiegnięcie ich w przyszłości. 2. Założenia - Komputer na

ZESTAW LABORATORYJNY I ZESTAW FARMACEUTYCZNY : Instrukcja instalacji

Konfiguracja poczty IMO dla urządzeń mobilnych z systemem ios oraz Android.

26.X.2004 VNC. Dawid Materna

G DATA Client Security Business

Program kadrowo płacowy - wersja wielodostępna z bazą danych Oracle SQL Server 8 lub 9

Oprogramowanie antywirusowe avast! Free Antivirus 7.x + virus do testów

Zawód: technik informatyk Symbol cyfrowy zawodu: 312[01] 312[01] Numer zadania: 4 Czas trwania egzaminu: 240 minut

Temat: Windows 7 Centrum akcji program antywirusowy

oprogramowania F-Secure

S P I S T R E Ś C I. Instrukcja obsługi

Panda Managed Office Protection. Przewodnik. Panda Managed Office Protection. Przewodnik

Transkrypt:

Warszawa, dnia 16.02.2016 Analiza aktywności złośliwego oprogramowania H-Worm RAT CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 1 z 17

W ostatnich dniach CERT Orange Polska wykrył w sieci klienckiej Orange Polska wzmożoną aktywność jednej z odmian bardzo popularnego złośliwego oprogramowania H-WORM Remote Access Tool (RAT). W przypadku zainstalowania daje ono cyberprzestępcy pełną kontrolę nad zainfekowanym komputerem użytkownika, pozwalając m.in. na dostęp do jego plików, a także doinstalowanie dodatkowych złośliwych modułów. W sieci Orange Polska wykryto około tysiąca zainfekowanych unikalnych użytkowników, którzy zostali poinformowani o tym fakcie dzięki CyberTarczy Orange. Komputery użytkowników korzystających z sieci Orange Polska nawet w przypadku skutecznej infekcji są bezpieczne dopóki korzystają z dostarczanych przez nas usług ponieważ komunikacja zainfekowanych komputerów z serwerami cyberprzestępców została zablokowana dzięki Cybertarczy Orange. Warto jednak zastosować się do rekomendacji zamieszczonych na końcu opracowania, aby usunąć złośliwe oprogramowanie. Opisywany malware w momencie analizy wykrywany był przez 42 z 55 silników antywirusowych w serwisie VirusTotal. Kod RAT a został przeanalizowany przez CERT Orange Polska. przeprowadzono również próby działania w odizolowanym od internetu środowisku systemowym, by móc dokładnie przedstawić jego złośliwe funkcje wraz z odpowiedzialnymi za nie fragmentami kodu. Na potrzeby analizy zostało zasymulowane działanie serwera Command & Control. Autorem złośliwego oprogramowania jest Houdini aka Mohamed Benabdellah, pochodzący z Algierii. Malware rozpowszechniany jest głównie za pomocą załączników e-mail, bądź innych instancji złośliwego oprogramowania obecnych już na komputerach ofiar. Analizowana próbka napisana została w VisualBasic u, istnieje również jej wersja o nazwie Underworld w języku Autoit. Autor często zaciemnia sekcje kodu malware u (by utrudnić analizę, bądź zmniejszyć wykrywalność przez antywirusy) algorytmem Base64, który jednak można w prosty sposób zdekodować. W zależności od kampanii H-Worma oszacowano, iż jego różne próbki usiłują się łączyć z ponad 150 serwerami Command&Control (dalej nazywane C&C) przy użyciu innych numerów portów niż port TCP/80. Analizowana kampania nie była celowana w konkretne grupy użytkowników jej celem są zarówno klienci biznesowi różnych branż, jak i użytkownicy domowi. Analizowany kod nie jest typowym robakiem internetowym, malware posiada bowiem cechy klasycznych trojanów z możliwościami zdalnego dostępu do komputera użytkownika. Poniższy zrzut ekranu to sekcja kodu złośliwego oprogramowania, która posiadała zdefiniowany adres serwera C&C cyberprzestępcy wraz z numerem portu, na którym komunikował się wirus oraz informacje do jakiego katalogu ma być przeniesiony po uruchomieniu. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 2 z 17

Kolejny fragment kodu przedstawia odwołania do wszystkich funkcji wirusa opisanych szczegółowo w dalszej części dokumentu. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 3 z 17

Następna ilustracja to fragment kodu odpowiedzialnego za instalację złośliwego oprogramowania w rejestrze systemowym oraz za dopisanie kluczy, dzięki którym wirus uruchamia się przy każdym starcie systemu. W naszym przypadku wirus tworzony był w lokalizacji dysku C:\Użytkownicy\Nazwa_użytkownika\AppData\Local\Temp\ w pliku o nazwie vti-rescan.vbs CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 4 z 17

Kolejny fragment kodu wirusa sprawdza typ i wersję systemu operacyjnego na zainfekowanym komputerze oraz obecność oprogramowania antywirusowego. Odnalezione informacje przekazywane są do serwera C&C metodą HTTP POST. Wśród nich znajdują się nazwa komputera, nazwa użytkownika, informacja o systemie operacyjnym oraz informacja o oprogramowaniu antywirusowym (w przypadku jego braku zwracana jest wartość nan-av ) CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 5 z 17

Zainfekowana maszyna wysyłała do C&C informacje o statusie online i oczekiwaniu na polecenia od C&C: User-Agent: 4CFA107B< >CERT-ORANGE< >Iwo Graj< >Microsoft Windows 7 Enterprise< >plus< >nanav< >false 2017-2015 Oto fragment kodu odpowiedzialny za wylistowanie uruchomionych aktywnych procesów i oprogramowania aktywnego w systemie operacyjnym użytkownika CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 6 z 17

oraz wynik otrzymany po wydaniu polecania o informację nt. procesów działających podczas analizy. Kolejny fragment kodu odpowiedzialny jest za enumerację, tj. odczytanie przez cyberprzestępcę zawartości dowolnego katalogu lub dysku na zainfekowanym komputerze. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 7 z 17

Wylistowana zawartość Pulpitu użytkownika: oraz fragment kodu odpowiedzialny za uruchamianie dowolnego pliku z internetu na komputerze ofiary: CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 8 z 17

Dla zilustrowania tej funkcji wydano rozkaz otworzenia pliku graficznego, który otworzył się na pulpicie zainfekowanego użytkownika. Efektem jest wyświetlenie pliku graficznego z powyższego widocznego w komunikacji sieciowej adresu internetowego. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 9 z 17

Przy użyciu udostępnianej przez malware funkcji wykonywania poleceń z linii poleceń systemu Windows uruchomiony został program Paint: Akcja się powiodła, na pulpicie ofiary pojawia się okienko Painta. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 10 z 17

Wirus pozwala również na wysłanie pliku na komputer ofiary i zdalne jego uruchomienie: Wynikiem jest uruchomienie pliku putty.exe na komputerze ofiary CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 11 z 17

Co gorsza, przy wykorzystaniu opisywanego malware u cyberprzestępca może doprowadzić do uruchomienia dowolnego skryptu visualbasic. Poniżej przykład zdalnego uruchomienia pliku test-uruchomienia-skryptu-visualbasic-na-zainfekowanym-komputerze.vbs: Wynik poprawnie wykonanego skryptu po stronie zainfekowanego użytkownika: CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 12 z 17

H-Worm pozwala również na przesłanie do C&C dowolnego pliku z dysku użytkownika: Wynikiem wydania polecenia z C&C było pobranie pliku tekstowego o nazwie Test-sciagania-pliku-zainfekowanego-komputera.txt z Pulpitu zainfekowanego użytkownika. Komunikacja sieciowa przebiegła poprawnie, a wskazany plik został skopiowany do cyberprzestępcy. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 13 z 17

Pobierany plik tekstowy w lokalizacji Pulpitu użytkownika Test-sciagania-pliku-zainfekowanego-komputera.txt : Kolejna funkcja w kodzie odpowiedzialna jest za usuwanie plików z komputera użytkownika: Po wydaniu polecenia z Command Control, do którego odpytywał się zainfekowany komputer: delete< >C:\Users\Iwo Graj\Desktop\putty.exe z Pulpitu zainfekowanego użytkownika został usunięty plik putty.exe. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 14 z 17

Komunikacja zainfekowanego komputera z żądaniem usunięcia pliku putty.exe : CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 15 z 17

Wirus zawierał również funkcję samo-odinstalowania, włącznie z usunięciem wpisów w rejestrze oraz wszystkich lokalizacji w zainfekowanym systemie. Po wydaniu spreparowanego żądania wirus został odinstalowany z komputera, co pokazuje poniższa przechwycona komunikacja sieciowa ze spreparowanym na potrzeby analizy C&C. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 16 z 17

Rekomendacja CERT Orange Polska stanowczo zaleca używanie oprogramowania antywirusowego i jego stałą aktualizację, które z dużym prawdopodobieństwem pomoże uniknąć kolejnych infekcji złośliwym oprogramowaniem i/lub pomoże zminimalizować skutki infekcji. Zaleca również stosowanie oprogramowania typu firewall, którego zadaniem jest zablokowanie niechcianego ruchu sieciowego. Warto podkreślić po raz kolejny, że nigdy nie należy otwierać załączników z maili, co do których pochodzenia nie mamy 100% pewności. Jeśli nagle otrzymujesz drogą elektroniczną informacje o paczce, której nigdy nie zamawiałeś, wygranej w loterii w której nie brałeś udziału, fakturze od operatora z którego usług nie korzystasz, rachunku za coś czego nie kupowałeś itp. warto przezwyciężyć ciekawość i taki mail po prostu od razu usunąć, lub przesłać do nas na adres: cert.opl@orange.com W przypadku tej kampanii, użytkownicy Orange, którzy dostali złośliwy załącznik i go uruchomili są chronieni przed wyciekiem swoich danych za pomocą CyberTarczy. W przypadku braku oprogramowania antywirusowego zalecana jest również instalacja i przeskanowanie swojego systemu operacyjnego pod kątem złośliwego oprogramowania, które może znajdować się na komputerach użytkowników, którzy uruchomili analizowany malware. CERT Orange Polska Analiza Malware H-Worm; Autor: Iwo Graj Strona 17 z 17

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres