Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Podobne dokumenty
H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Analiza aktywności złośliwego oprogramowania Njw0rm

Analiza malware Keylogger ispy

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Analiza aktywności złośliwego oprogramowania Orcus RAT

Necurs analiza malware (1)

Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject

Trojan bankowy Emotet w wersji DGA

UMOWY CYWILNOPRAWNE Instalacja, rejestracja i konfiguracja programu

Analiza Trojana NotCompatible.C

Instrukcja instalacji usługi Sygnity SmsService

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Instrukcja instalacji usługi Sygnity SmsService

Instrukcja instalacji usługi Sygnity Service

Zadanie 1 Treść zadania:

Instrukcja aktualizacji oprogramowania routera D-Link DWR-932 C1 (do wersji 1.0.3CPGb01)

Analiza malware'u SandroRAT_sec Kaspersky_Mobile_Security.apk

Instrukcja instalacji usługi Sygnity Service

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

SEPI podpis elektroniczny

Silent setup SAS Enterprise Guide (v 3.x)

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Analiza malware Remote Administration Tool (RAT) DarkComet

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Instrukcja obsługi aplikacji Karty Pojazdów dla Dealerów Samochodowych

DESlock+ szybki start

Instrukcja instalacji oraz obsługi czytników i kart procesorowych dla Klientów SBI Banku BPH S.A.

OCHRONA PRZED RANSOMWARE

Instrukcja uruchomienia egzaminu z użyciem Wirtualnego Serwera Egzaminacyjnego

BACKUP BAZ DANYCH FIREBIRD

UNIFON podręcznik użytkownika

SERWER AKTUALIZACJI UpServ

Instalacja i konfiguracja SAS PC Files Server

e-audytor v.3.x INSTRUKCJA INSTALACJI I URUCHOMIENIA SYSTEMU

Kancelaria instalacja programu

Instalacja Webroot SecureAnywhere przy użyciu GPO w Active Directory

Instalacja Wirtualnego Serwera Egzaminacyjnego

Memeo Instant Backup Podręcznik Szybkiego Startu

KONFIGURACJA INTERFEJSU SIECIOWEGO

Instalacja i podstawowa konfiguracja aplikacji ImageManager

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

PROGRAMY NARZĘDZIOWE 1

Zmieniona Tabela nr 1a - Oprogramowanie antywirusowe. Parametry wymagane przez Zamawiającego

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Instalacja programu. SEE Electrical Expert V4

G DATA TechPaper Aktualizacja rozwiązań G DATA Business do wersji 14.2

SERWER AKTUALIZACJI UpServ

Diagnostyka komputera

Podręcznik administratora Systemu SWD ST Instrukcja instalacji systemu

Algorytm DGA wykorzystywany w trojanie Emotet

Win Admin Monitor Instrukcja Obsługi

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

Instrukcja logowania do systemu e-bank EBS

Autoryzacja zleceń z użyciem aplikacji Java Web Start "Pocztowy24Podpis"

Program kadrowo płacowy - wersja wielodostępna z bazą danych Oracle SQL Server 8 lub 9

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Dokumentacja instalatora środowiska obsługi kart mikroprocesorowych w wersji Spis treści

Procedura aktualizacji systemu TelkomBud. dla serwera DBfC w wersji 4.x

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Instalacja programu na systemie vista/win7/win8/win10. Instrukcja dotyczy instalacji wszystkich programów ( na przykładzie Helios ).

Pierwsze kroki w programie QuarkXPress

Instrukcja użytkownika

Instalacja programu Warsztat 3 w sieci

Płace Optivum. Jakie czynności musi wykonać pracownik, aby otrzymywać drogą elektroniczną paski z list płac?

Kopiowanie i instalowanie pliku w systemie Windows CE

SERWER AKTUALIZACJI UpServ

Books. by HansaWorld. Przewodnik instalacji. Wersji 6.2

Rozwiązanie Trend Micro Worry-Free Business Security 8.0 Porady i wskazówki dotyczące konfiguracji początkowej

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

SIP Studia Podyplomowe Ćwiczenie laboratoryjne Instrukcja

Instrukcja instalacji aplikacji MuoviSelect 2.0

Tytuł: Projekt realizacji prac prowadzących do zlokalizowania i usunięcia usterek systemu komputerowego.

PROBLEMY TECHNICZNE. Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS

Instrukcja instalacji środowiska testowego na TestingCup wersja 1.0

Podręcznik instalacji

Otwock dn r. Do wszystkich Wykonawców

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Instrukcja instalacji aplikacji Generator Wniosków Aplikacyjnych Edytor.

Instalacja i konfiguracja Symfonia.Common.Server oraz Symfonia.Common.Forte

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Generacja paczki instalacyjnej F-Secure Client Security/Client Security Premium

Sieciowa instalacja Sekafi 3 SQL

System kontroli dostępu ACCO NET Instrukcja instalacji

F-Secure Anti-Virus for Mac 2015

1. Instalacja systemu Integra 7

Opis komunikacji na potrzeby integracji z systemem klienta (12 kwiecień, 2007)

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

System. Instalacja bazy danych MySQL. Autor : Piotr Zielonka tel Piotrków Tryb., sierpień 2018r.

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

PRODUKCJA BY CTI INSTRUKCJA INSTALACJI I KONFIGURACJI

Instrukcja dla instalatora systemu SMDP Enterprise/Professional

G DATA TechPaper. Aktualizacja rozwiązań G DATA Business do wersji 14.1

INSTRUKCJA INSTALACJI I PIERWSZEGO URUCHOMIENIA APLIKACJI Rodzajowa Ewidencja Wydatków plus Zamówienia i Umowy

Udostępnianie drukarek za pomocą systemu Windows (serwer wydruku).

Przed przystąpieniem do instalacji certyfikatów należy zweryfikować czy są spełnione poniższe wymagania systemowe.

Instrukcja postępowania przy najczęściej występujących problemach technicznych

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Transkrypt:

Warszawa, 16.03.2016 Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 1 z 14

W pierwszej połowie marca w polskim internecie miała miejsce kampania złośliwego oprogramowania podszywająca się pod PayU. Na adresy e-mail potencjalnych ofiar docierały sfałszowane wiadomości sugerujące, iż ich nadawcą jest PayU, zawierające załącznik o nazwie Potwierdzenie Platnosci C B9BC XX835695707XX_PDF.js CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 2 z 14

Jeśli przyjrzymy się dokładnie zapisanemu załącznikowi, widać, że mimo pdf w nazwie mamy do czynienia z plikiem Java Script. Zawartość pliku na początku wyglądała następująco: Po zdekodowaniu i zamianie znaków z CharCode na ASCII obraz staje się bardziej przejrzysty: Po uruchomieniu pliku użytkownik instalował na swoim komputerze złośliwe oprogramowanie o nazwie vjw0rm, umożliwiające przejęcie pełnej kontroli nad komputerem ofiary. Poniżej została przeprowadzona szczegółowa analiza statyczna oraz dynamiczna złośliwego oprogramowania. Po uruchomieniu wirus dodawał do rejestru systemowego klucz, dzięki któremu uruchamiał się przy każdym starcie systemu. CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 3 z 14

Znajdująca się w kodzie wirusa funkcja Ns() odpowiada za dodawanie klucza do rejestru. Plik wirusa umieszczany był w lokalizacji C:\Użytkownicy\Nazwa Użytkownika\AppData\Roaming\Microsoft\Windows -> \Start Menu\Programs\Startup\ i uruchamiany przy każdym starcie systemu. Poniżej przedstawiona jest komunikacja zainfekowanego komputera z serwerem Command& Control, zarządzającym zainfekowanymi komputerami, umieszczonym w domenie: aktualizajce.ns22.ru... CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 4 z 14

...a także fragment kodu źródłowego wirusa, odpowiedzialny za stałe odpytywanie C&C o polecenia przy wykorzystaniu metody HTTP POST. Dynamiczną analizę zagrożenia przeprowadzono na instancjach wirtualnych w środowisku laboratoryjnym, gdzie również uruchomiono fałszywe C&C zgodne z zapisanym w kodzie wirusa. Poniższy zrzut ekranu przedstawia C&C nasłuchujące na porcie 4785 i podłączony do niego zainfekowany komputer. Cyberprzestępca był informowany o adresie IP ofiary, nazwie komputera, użytkowniku, systemie operacyjnym, informacji o zainstalowanym antywirusie oraz obecności komponentu systemowego.net CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 5 z 14

Malware pozwalał botmasterowi na uzyskanie pełnej kontroli nad zainfekowanym komputerem. Umożliwiał m.in.. dzięki funkcji Run File, przesyłanie i uruchamianie dowolnego pliku lub polecenia na urządzeniu ofiary z różnych lokalizacji, np.: - [From Disk] przesłanie i uruchomienie pliku z dysku botmastera, - [From Link] - pobranie i uruchomienie pliku z dowolnej strony www lub serwera, - [Script] wykonanie dowolnego skryptu na komputerze ofiary Atakujący mógł przesłać i uruchomić na zainfekowanym komputerze dowolny plik. W naszym przypadku był to dokument tekstowy, poniżej przedstawiono ruch sieciowy: odpowiedź z zainfekowanego komputera wraz z informacją o wykonaniu rozkazu wydanego przez C&C oraz pobrania z niego pliku: Przesłany plik został umieszczony pod nazwą 11ROYU8OAM.txt w folderze tymczasowym temp na maszynie docelowej: CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 6 z 14

a następnie uruchomiony wyświetlając zawartość przesłanego pliku wraz z informacją na zainfekowanym komputerze: W ten sposób cyberprzestępca był w stanie uruchomić każdy plik wykonywalny, np. z kolejnym złośliwym oprogramowaniem. Oto odpowiedni fragment kodu źródłowego wirusa: Funkcja [From link] pozwalała botmasterowi zdefiniować w Command&Control adres serwera z którego plik (np. wirus) miał być pobrany. Na potrzeby analizy pobrano i uruchomiono aplikację putty.exe (https://theearth.li/~sqtatham/putty/latest/w32/putty.exe), CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 7 z 14

która następnie została umieszczona w lokalizacji tymczasowej systemu użytkownika w folderze Temp o zmienionej nazwie pliku n75nw9c.exe i uruchomiona: Poniższa komunikacja pomiędzy komputerem i C&C przedstawia wysłanie wykonania żądania do C&C: Trzecią ostatnią funkcją analizowanego złośliwego oprogramowania była funkcja [ Script ] umożliwiająca uruchomienie na komputerze ofiary dowolnego skryptu z dowolnym rozszerzeniem.js,.vbs,.bat, html,.hta,.txt CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 8 z 14

W poniższym przykładzie wykorzystane zostały dwa polecenia powłoki systemu Windows whoami (informacja o zalogowanym użytkowniku) oraz wywołanie oprogramowania calc (kalkulator). Oto jak wyglądała odpowiedź wykonania rozkazu od bota o rozkazy do C&C botmastera Następnie na komputerze użytkownika tworzony był plik o nazwie 15A8OHMSPU.bat w lokalizacji folderu tymczasowego temp z zawartością wydanych poleceń C&C do wykonania whoami oraz calc CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 9 z 14

Poprawne działanie tej funkcji umożliwiło wykonanie powyższych poleceń whoami oraz calc na komputerze użytkownika. Fragment kodu, który umożliwiał wykonanie powyższego działania: Drugą z grup funkcjonalności analizowanego złośliwego oprogramowania była grupa [WORM] odpowiedzialna za funkcjonowanie wirusa w systemie, posiadająca następujące opcje: - [ Rename ] funkcja odpowiedzialna za zmianę nazwy zainfekowanego komputera, - [Update] funkcja umożliwiająca wgranie kolejnej innej wersji wirusa z wprowadzonymi w kod zmianami w jego funkcjonowaniu lub infekcję systemu, - [Close] funkcja odpowiedzialna za zamknięcie połączenia z zainfekowanym komputerem oraz wyłączenie złośliwego oprogramowania na komputerze użytkownika do ponownego uruchomienia jego systemu operacyjnego, - [Uninstall] funkcja umożliwiająca odinstalowanie złośliwego oprogramowania na komputerze użytkownika CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 10 z 14

Poniższy zrzut przedstawia panel administracyjny C&C cyberprzestępcy i opcje wyboru funkcji: Dla przedstawienia funkcji [Rename] wysłano z C&C do zainfekowanego komputera żądanie o zmianę nazwy ze zdefiniowanej wcześniej w kodzie wirusa nazwy 10marzec (informacja dla botmastera o infekcji na bazie kampanii z 10 marca) na nazwę ustaloną przez eksperta. Bot wykonał polecenie, informując o nim swoje C&C: CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 11 z 14

Po chwili w C&C zmienił się przedrostek nazwy zainfekowanego komputera... oraz nazwa User-Agent bota w żądaniu HTTP do C&C, z: User-Agent: 10marzec 4CFA107B\CERT-ORANGE\Iwo Graj\Microsoft Windows 7 Enterprise \ undefined\\yes\false\ na User-Agent: zmiana nazwy Iwo Graj 4CFA107B\CERT-ORANGE\Iwo Graj\Microsoft Windows 7 Enterprise \ undefined\\yes\false\ Poniżej fragment kodu odpowiedzialny za funkcję [Rename] Funkcja [Update] umożliwiała przesłanie na komputer użytkownika kolejnej wersji wirusa z wprowadzonymi w kod zmianami jego funkcjonowania lub infekcji systemu. Poniższy zrzut ekranu przedstawia moment przesłania do C&C informacji o pobraniu pliku przez zainfekowany komputer i jego uruchomieniu CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 12 z 14

Całość pliku nowej wersji wirusa została poprawnie zapisana w katalogu tymczasowym temp pod nazwą temp8rubi0dvej.js a następnie uruchomiona co przedstawia poniższy fragment kodu wirusa: Ostatnie funkcje bota to [Close] (zamyka połączenie z zainfekowanym komputerem oraz wyłączenie malware) oraz [Uninstall], umożliwiająca usunięcie złośliwego oprogramowania ze wszystkich lokalizacji na komputerze ofiary, włącznie z usunięciem plików oraz wpisów w rejestrze systemowym. Przedstawia to poniższy fragment ruchu sieciowego: CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 13 z 14

Funkcja [Uninstall] znajdowała się również w kodzie złośliwego oprogramowania: CERT Orange Polska radzi: Używanie i regularną aktualizację oprogramowania antywirusowego, co z dużym prawdopodobieństwem pomoże uniknąć kolejnych infekcji złośliwym oprogramowaniem i/lub pomoże zminimalizować skutki infekcji. Zalecamy również stosowanie oprogramowania typu firewall, którego zadaniem jest zablokowanie niechcianego ruchu sieciowego. Warto podkreślić po raz kolejny, że nigdy nie należy otwierać załączników z maili, co do których pochodzenia nie mamy stuprocentowej pewności. Jeśli nagle otrzymujesz informacje o paczce, której nigdy nie zamawiałeś, wygranej w loterii, w której nie brałeś udziału, fakturze od operatora, z którego usług nie korzystasz, rachunku za coś czego nie kupowałeś, itp. nie ryzykuj, usuń maila, bądź po zapisaniu na pulpicie przyślij na adres: cert.opl@orange.com. W przypadku opisywanej kampanii, klienci usług Orange, nawet jeśli uruchomili załącznik, do momentu opuszczenia sieci Orange Polska są chronieni przed wyciekiem swoich danych za pomocą CyberTarczy. Wciąż jednak dla usunięcia infekcji niezbędne jest zaktualizowanie uruchomienie antywirusa, a w przypadku jego braku stanowczo zalecamy instalację i przeskanowanie wszystkich komputerów, które mogły zostać zainfekowane. CERT OPL, Analiza vjw0rm; Autor: Iwo Graj Strona 14 z 14

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres