Raport analiza oprogramowania Cleopatra: część II

Podobne dokumenty
Necurs analiza malware (1)

Trojan bankowy Emotet w wersji DGA

Analiza złośliwego oprogramowania. Cleopatra

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Botnet Zeus - analiza w laboratorium CERT

DESlock+ szybki start

Analiza malware Remote Administration Tool (RAT) DarkComet

Analiza Malware Win32.KeyloggerSpy

Botnet Hamweq - analiza

Raport analiza oprogramowania Cry

Przewodnik użytkownika

Algorytm DGA wykorzystywany w trojanie Emotet

Podręcznik użytkownika. Certification Request Services Wersja dokumentacji Asseco Data Systems S.A.-

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Bezpieczeństwo Systemów Komputerowych. Wirtualne Sieci Prywatne (VPN)

Analiza bota OnionDuke CERT OPL. Warszawa

SSL (Secure Socket Layer)

Zarys algorytmów kryptograficznych

Analiza Trojana NotCompatible.C

Instrukcja generowania certyfikatu PFRON i podpisywania dokumentów aplikacji SODiR w technologii JS/PKCS 12

Trwały nośnik w Alior Bank

RSA. R.L.Rivest A. Shamir L. Adleman. Twórcy algorytmu RSA

Poradnik zetula.pl. Jak założyć konto na zetula.pl. i zabezpieczyć dane na swoim komputerze?

Programowanie Strukturalne i Obiektowe Słownik podstawowych pojęć 1 z 5 Opracował Jan T. Biernat

Memeo Instant Backup Podręcznik Szybkiego Startu

Wprowadzenie do PKI. 1. Wstęp. 2. Kryptografia symetryczna. 3. Kryptografia asymetryczna

Zastosowania informatyki w gospodarce Wykład 5

Antywirusy. Marcin Talarczyk. 2 czerwca Marcin Talarczyk Antywirusy 2 czerwca / 36

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Instrukcja postępowania w celu uzyskania certyfikatu niekwalifikowanego SC Wersja 1.5 z dnia r.

Laboratorium nr 5 Podpis elektroniczny i certyfikaty

OCHRONA PRZED RANSOMWARE

VPN Virtual Private Network. Użycie certyfikatów niekwalifikowanych w sieciach VPN. wersja 1.1 UNIZETO TECHNOLOGIES SA

Tajna wiadomość. Scenariusz lekcji

UMOWY CYWILNOPRAWNE Instalacja, rejestracja i konfiguracja programu

Authenticated Encryption

WSIZ Copernicus we Wrocławiu

Autor: Opis implementacji: Zaawansowane użytkowanie Linuksa, podstawowe informacje o bezpieczeństwie danych i szyfrowaniu. A B C D E F G H I J

BEZPIECZEŃSTWO UŻYTKOWNIKA APLIKACJI FACEAPP. Analiza Zespołu CERT POLSKA w Państwowym Instytucie Badawczym NASK

Analiza malware Keylogger ispy

Instrukcja generowania żądania CSR SOW WERSJA 1.6

INFRA. System Connector. Opis systemu

Kancelaria Prawna.WEB - POMOC

Podstawy programowania. Wykład: 9. Łańcuchy znaków. dr Artur Bartoszewski -Podstawy programowania, sem 1 - WYKŁAD

Szczegółowy opis przedmiotu zamówienia:

PROBLEMATYKA BEZPIECZEŃSTWA SIECI RADIOWYCH Algorytm szyfrowania AES. Zygmunt Kubiak Instytut Informatyki Politechnika Poznańska

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

Instrukcja pobrania i instalacji. certyfikatu Microsoft Code Signing. wersja 1.4

1 Moduł Modbus ASCII/RTU 3

DOKUMENTACJA TECHNICZNA KurJerzyAPI wersja 1.0

elektroniczna Platforma Usług Administracji Publicznej

INŻYNIERIA BEZPIECZEŃSTWA LABORATORIUM NR 2 ALGORYTM XOR ŁAMANIE ALGORYTMU XOR

Podręcznik użytkownika Wprowadzający aplikacji Wykaz2

Laboratorium nr 1 Szyfrowanie i kontrola integralności

Analiza aktywności złośliwego oprogramowania Njw0rm

Zadanie 1: Protokół ślepych podpisów cyfrowych w oparciu o algorytm RSA

Wasze dane takie jak: numery kart kredytowych, identyfikatory sieciowe. kradzieŝy! Jak się przed nią bronić?

Kryptografia. z elementami kryptografii kwantowej. Ryszard Tanaś Wykład 7

Instalacja i obsługa aplikacji MAC Diagnoza EW

Wprowadzenie do projektu QualitySpy

Instrukcja postępowania w celu złożenia podpisu elektronicznego na dokumentach składanych do SISC za pośrednictwem portalu PUESC.

Wykład VI. Programowanie III - semestr III Kierunek Informatyka. dr inż. Janusz Słupik. Wydział Matematyki Stosowanej Politechniki Śląskiej

Wersja dokumentacji1.01. TeleToken API

Protokoły zdalnego logowania Telnet i SSH

Laboratorium. Szyfrowanie algorytmami Vernam a oraz Vigenere a z wykorzystaniem systemu zaimplementowanego w układzie

Zamiana porcji informacji w taki sposób, iż jest ona niemożliwa do odczytania dla osoby postronnej. Tak zmienione dane nazywamy zaszyfrowanymi.

Zintegrowany system usług certyfikacyjnych. Dokumentacja użytkownika. Obsługa wniosków certyfikacyjnych i certyfikatów. Wersja dokumentacji 1.

Instalacja pakietu SAS 9.3 Audit, Performance and Measurement na platformie Windows

Zadanie 1. Potęgi (14 pkt)

Zasady programowania Dokumentacja

Szyfrowanie RSA (Podróż do krainy kryptografii)

Implementacja mechanizmu SkyCashClick Wersja 0.1

Śmieci w sieci, czyli jak się nie dać w Internecie K O N R A D P O S T A W A

II klasa informatyka rozszerzona SZYFROWANIE INFORMACJI

2.1. System kryptograficzny symetryczny (z kluczem tajnym) 2.2. System kryptograficzny asymetryczny (z kluczem publicznym)

Aplikacja npodpis do obsługi certyfikatu (instrukcja użytkownika)

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

2 Kryptografia: algorytmy symetryczne

Według raportu ISO z 1988 roku algorytm JPEG składa się z następujących kroków: 0.5, = V i, j. /Q i, j

Wykorzystanie protokołu T=CL w systemach kontroli dostępu

Zdalne logowanie do serwerów

GIT. Rozproszony system kontroli wersji

Usługi sieciowe systemu Linux

1 Moduł Modbus ASCII/RTU

Serwer pocztowy. QmaiLux. Dokumentacja techniczna mechanizmu książek adresowych (qbook)

Procedura zgłaszania problemów z obsługą oraz nieprawidłowości w funkcjonowaniu systemu PEFS 2007 w zakresie Programu Operacyjnego Kapitał Ludzki

Instrukcja instalacji czytników, kart procesorowych, certyfikatów kwalifikowanych oraz generowania podpisu elektronicznego

Zintegrowane Systemy Zarządzania Biblioteką SOWA1 i SOWA2 ZAMAWIANIE I REZERWOWANIE

Nowe narzędzia ICT. Do czego więc można wykorzystać ową kryptografię?

INSTRUKCJA AKTYWACJI I INSTALACJI CERTYFIKATU ID

VPN Host-LAN IPSec X.509 z wykorzystaniem DrayTek Smart VPN Client

Obsługa systemu OGNIVO w aplikacji Kancelaria Komornika

JPK Jednolity Plik Kontrolny

Strumienie, pliki. Sortowanie. Wyjątki.

Kielce, dnia roku. HB Technology Hubert Szczukiewicz. ul. Kujawska 26 / Kielce

Zadanie 1. Zmiana systemów. Zadanie 2. Szyfr Cezara. Zadanie 3. Czy liczba jest doskonała. Zadanie 4. Rozkład liczby na czynniki pierwsze Zadanie 5.

Instalacja aplikacji komunikacyjnej modułu pl.id

Na komputerach z systemem Windows XP zdarzenia są rejestrowane w trzech następujących dziennikach: Dziennik aplikacji

Transkrypt:

Raport analiza oprogramowania Cleopatra: część II W pierwszej części raportu przedstawiono analizę dropera oprogramowania nazwanego roboczo Cleopatra. Wspomniano w nim, że w zależności od wyników analizy swojego środowiska uruchomieniowego, próbka podejmuje różne decyzje dotyczące dalszego działania. Fundamentalną decyzją jest ta o wstrzyknięciu jednego z dwóch przygotowanych kodów. W niniejszym opracowaniu przeanalizowano scenariusz, w którym dropper po wykryciu wirtualizacji wstrzykuje kod oznaczony jako kod_1. Sumy kontrolne próbki: Md5 Sha256 Sha512 d07f1000d60f2a06eed08f30e42d73ab 01e4365a53ecbf0d80e5b91df51219e0a40c6e3a914ef36151056a20e3be87d1 abd3dcb6fc85553c80afc5f8b6f8615767c995e662f61f467e6a1171d9d824466009 1aff615cd454149af48e73c3dcc5179235c8421dd54bc491466ca816ba08

Działanie Po podjęciu decyzji o wstrzyknięciu kodu 1 Cleopatra uruchamia droppera po raz drugi, jednak tym razem jest on zatrzymany (uruchomienie z flagą CREATE_SUSPENDED). Jego pamięć jest nadpisywana nowym kodem, a główny wątek procesu jest modyfikowany w taki sposób, by rozpoczął jego wykonywanie. Można powiedzieć, że oryginalna powłoka droppera jest nienaruszna, ale jego wnętrze jest zmienione. Jego nowym zadaniem jest nawiązać komunikację z kanałem C&C i wykonać instalację zadanych programów. Rysunek 1: Ogólny zarys operacji kodu kod_1 Aby wykonać swoje zadania, w pierwszej kolejności Cleopatra ładuje niezbędne biblioteki (shellwapi, shell32). Następnie przygotowywana jest biblioteka WinInet oraz wykonywane są połączenia do zdalnych węzłów w celu pobrania potrzebnych danych. Węzły są opisane za pomocą pięciu adresów IPv4, które są zakodowane i na stałe zapisane w próbce (więcej nt. kodowania łańcuchów znakowych w dalszej części raportu). Jeśli próba połączenia się z wybranym adresem zakończy się niepowodzeniem, jest podejmowana kolejna próba połączenia się z kolejnym adresem z listy.

Kanał C&C Cleopatra korzysta ze scentralizowanego kanału C&C opartego na protokole https. Do nawiązania połączenia wykorzystywane jest 5 adresów IP rozmieszczonych w różnych miejscach na świecie. Adres 92.xxx.xxx.59 176.xxx.xxx.53 213.xxx.xxx.171 210.xxx.xxx.63 80.xxx.xxx.222 Kraj Francja Francja Czechy Wietnam Włochy Oparcie kanału na adresach IP w niektórych przypadkach komplikuje blokowanie złośliwego ruchu. W odróżnieniu od stosowania domen, które można w większości przypadków określić jako w całości złośliwe, blokowanie ruchu do węzła w zakresie całego adresu IP może spowodować zablokowanie ruchu do legalnie działających usług. W wyniku tego w niektórych przypadkach blokowanie ruchu jest nie tylko skomplikowane, ale w niektórych krajach może być nielegalne. Z kolei certyfikat (własnoręcznie podpisany) prezentowany przez serwery C&C i wykorzystywany przez protokół SSL został wystawiony na organizację Omeelage Tathagar SASU z siedzibą w New Delhi, Indie. Został on zarejestrowany na czarnej liście certyfikatów portalu Abuse.ch. O ile zebrane dane dot. Kanały C&C mogą posłużyć do korelowania z danymi z innych kampanii, należy pamiętać, że nie mogą stanowić żadnej konstruktywnej postawy do wskazania rzeczywistostego pochodzenia kampanii. Są one zwyczajnie zbyt łątwe do podrobienia. Struktura danych udostępniana przez kanał C&C jest prosta. Pierwsze cztery bajty zawierają skrót datagramu. Reszta stanowi zaszyfrowane dane. Po każdorazowym pobraniu nowych danych próbka wyznacza skrót szyfrogramu i porównuje go ze skrótem zawartym w nagłówku. Jeśli skróty nie są równe, dane są odrzucane. Rysunek 2: Struktura datagramu Cleopatra Po pozytywnym zweryfikowaniu ingralności szyfrogramu, następuje rozszyfrowanie danych. Szczegółowe omówienie algorytmu szyfrującego znajduje się w dalszej części raportu.

Operacje Pierwsza część pobranych danych (zasób /list) to konfiguracja Cleopatry, która po uprzednim zaszyfrowaniu jest zapisywana i przechowywana w rejestrze systemowym. Następnie pobierany jest zasób /bot. Dane te stanowią w zasadzie dowolny moduł PE, który będzie wstrzykiwany do procesu explorer.exe. Po wykonaniu tego kroku następuje przeglądanie działających w systemie procesów w poszukiwaniu procesu explorer.exe. Odpowiednia funkcja dla każdego z zarejestrowanych procesów pobiera jego nazwę i wylicza sumę kontrolną. Suma ta jest porównywana z zapisaną w próbce sumą 0xBE037055, która odpowiada właśnie nazwie explorer.exe. Rysunek 3: Weryfikacja nazwy procesu Po dokonaniu wyboru procesu, wykonywane jest wstrzykiwanie kodu. Większość złośliwych progrmów do wstrzyknięcia przygotowuje konkretny kod, w którym wykonywane jest wiele przekształceń w oparciu o rozkład fragmentów pamięci w procesie procesu-gospodarza. Implementacja wstrzykiwania przez Cleopatrę jest o tyle ciekawa, że umożliwia wstrzyknięcie dowolnego programu, bez względu na wykorzystywane biblioteki i wywołania. Pomysł opiera się na wstrzykiwaniu dwóch fragmentów kodu, z których pierwszy stanowi bot, a drugi specjalny kod rozruchowy. Kod ten wykonuje w procesie explorer.exe część zadań loadera procesów systemu Windows. Odnajduje importowane przez program biblioteki i funkcje i ładuje je do działającego procesu. Określa również na podstawie nagłówków PE punkt wejściowy programu (ang. Entry point) i przekazuje tam sterowanie jednego z wątków procesu explorer.exe.

Rysunek 4: Wstrzykiwanie modułu PE Po tych wszystkich drobnych modyfikacjach docelowy kod umieszczony w procesie gospodarza jest już gotowy do działania. Cleopatra tworzy w procesie nowy wątek, ktory rozpocznie wykonywanie pobranego programu. Dekodowanie łańcuchów znakowych Wykorzystywane w próbce łańcuchy znakowe jak zazwyczaj bywa w przypadku próbek złośliwego oprogramowania, nie są przechowywane w postaci jawnej. Zamiast zwykłych łańcuchów są wykorzystywane specjalne, zaszyfrowane algorytmem RC4 obiekty na stałe zapisane w próbce. Każdy z tych obiektów posiada swój identyfikator. Kiedy powstaje konieczność skorzystania z łańcucha znakowego, program odnosi się do obiektu o odpowienim identyfikatorze. Obiekt jest rozszyfrowywany i udostępniany jest łańcuch w postaci jawnej. Rysunek 5: Dekodowany łańcuch

Dzięki temu rozwiązaniu zawarte w próbce łańcuchy nie są dostępne w analizie statycznej ani w trakcie zwykłego działania aż do momentu, w którym sięga po nie próbka. Ciekawostkę stanowi fakt, różne fragmenty kodu, z których korzysta próbka, również są przechowywane w postaci zaszyfrowanych łańcuchów znakowych. Po odszyfrowaniu tych łańcuchów otrzymujemy liczbowy zapis kolejnych bajtów kodu, które są za pomocą specjalnej funkcji konwertowane do swojej binarnej postaci i wykonywane. Rysunek 6: Konwersja kodu z postaci ASCII do binarnej Ukrywanie wywołań bibliotecznych Podobnie, jak łancuchy znakowe, próbka ukrywa wykorzystywane wywołania biblioteczne. W wyjściowej postaci próbka nie zawiera żadnych informacji na temat nazw wykorzystywanych wywołań. Nie wykaże ich statyczna analiza importowanych wywołań pliku ani poszukiwanie łańcuchów znakowych. Jednak zamiast szyfrowania łańcuchów nazw wywołań bibliotecznych, zastosowano inne rozwiązanie. Każde z wywołań identyfikowane jest za pomocą pary skrótów o długości czterech bajtów. Pierwszy odpowiada za nazwę biblioteki, a drugi za nazwę funkcji. Na swoje potrzeby Cleopatra utrzymuje listę wywołań i każde wywołanie jest do niej dodawane dopiero w momencie pierwszego użycia.

Rysunek 7: Lista wywołań Tak więc, w przypadku zaistnienia potrzeby skorzystania z konkretnego wywołania, zamiast pary nazw biblioteki i wywołania, podawana jest właśnie para skrótów tych nazw. Program przystępuje do przeglądania istniejącej listy zarejestrowanych wywołań w poszukiwaniu zapisu ze skrótem zgodnym z zadanym. Jeśli zostanie on odnaleziony, wywołanie jest wykonywane od razu. Jeśli nie, program najpierw musi dodać je do listy. Dodawanie niezarejestrowanego wywołania do listy odbywa się w następujący sposób. Najpierw wyszukiwana jest biblioteka, której nazwa odpowiada zadanemu skrótowi nazwy biblioteki. Program przechowuje te nazwy na liście bardzo podobnej do listy wywołań.

Rysunek 8: Lista bibliotek W przypadku braku wymaganej biblioteki na liście, program rozpoczyna jej wyszukiwanie w pamięci. W pierwszym kroku sięga po strukturę systemową opisującą proces złośliwego programu, mianowicie strukturę Process Environment Block, który w każdym procesie jest przechowywany w pamięci pod adresem FS:[0x30]. W strukturze tej znajduje się wykaz załadowanych przez proces do pamięci bibliotek. Wykorzystując wspomniane struktury, odnajduje wszystkie załadowane biblioteki i pobiera ich nazwy. Wylicza skrót nazwy każdej z bibliotek i porównuje ze skrótem zadanym w wywołaniu. Jeśli skrót się zgadza, struktura opisująca bibliotekę (jej nazwa, flagi, skrót, oraz adres) jest dołączana do listy.

Po zidentyfikowaniu poszukiwanej biblioteki przeglądane są nazwy wszystkich eksportowanych przez nią wywołań. Dla każdej z tych nazw jest wyznaczany skrót i porównywany ze skrótem zadanym w wywołaniu. W przypadku zgodności skrótów wywołanie jest rejestrowane na liście. Generowanie nazw plików i kluczy Wszelkie nazwy plików, mutexów oraz kluczy rejestrów wykorzystywanych przez próbkę generowane są w sposób pseudolosowy. Ziarnem algorytmu jest data zainstalowania systemu Windows przechowywana w kluczu. Rysunek 9: Przykładowa nazwa klucza rejestru wygenerowana przez Cleopatrę Algorytmy szyfrowania Do szyfrowania i deszyfrowania danych odczytywanych i zapisywanych Cleopatra wykorzystuje algorytm oparty o RC4. Do zapisywania i odczytywania wykorzystywane są dwa różne klucze. Rysunek 10: Odzyskany z zaszyfrowanego obiektu klucz

Po wyodrębnieniu odpowiedniego klucza jest on przedłużany do długości 256 bajtów. Podczas tego procesu tworzona jest również pomocnicza tablica bajtów, wypeniona wartościami od 1 do 256, które w miara inicjowania i działania szyfru jest mieszana. Rysunek 11: Proces deszyfrowania RC4 Strumień szyfrujących bajtów jest poddawany działaniu operacji xor z tekstem jawnym lub szyfrogramem. Rysunek 12: Deszyfrowanie danych. Klucz (lewo, na górze), mieszana tablica (prawo, na górze), szyfrogram (lewo, na dole), tekst jawny (prawo, na dole)

Podsumowanie Najłatwiejszą metodą wstrzykiwania kodu jest jego przygotowanie w procesie droppera, który wstrzykuje już gotowy do działania kod, z określonymi adresami wymganych do działania bibliotek i wywołań. Metoda stosowana w analizowanej próbce, wstrzykuje cały plik PE. Dzięki temu umożliwia zupełną niezależność autora Cleopatry i autora wstrzykiwanej próbki i może służyć do wstrzyknięcia dowolnego programu. Przykładem znanego z przeszłosci złośliwego programu o zbliżonej funkcjonalności jest Piptea, który służył do instalowania m.in. oprogramowania Virut. Analizowana próbka w analizowanym wariancie (wstrzyknięcie kodu kod_1) prawdopodobnie realizuje funkcje platformy instalującej inne złośliwe oprogramowanie na zasadzie pay-per-install (PPP). Świadczy o tym ograniczona funkcjonalność oraz specyficzna metoda wstrzykiwania pobieranego kodu. Poziom zagrożenia w sieci Orange został określony jako niski. Klienci sieci Orange Polska są chronieni przed zagrożeniem Cleopatra, ponieważ złośliwy ruch do serwerów C&C jest blokowany. Niezależnie od środków, które stosujemy w celu ochrony naszych klientów, CERT Orange Polska rekomenduje zainstalowanie i utrzymywanie aktualnych rozwiązań antywirusowych, które pozwolą uchronić system przed infekcjami podobnym oprogramowaniem w przyszłości.

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres