Analiza aktywności złośliwego oprogramowania Njw0rm

Podobne dokumenty
Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Analiza malware Keylogger ispy

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Analiza aktywności złośliwego oprogramowania Orcus RAT

Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject

Trojan bankowy Emotet w wersji DGA

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Necurs analiza malware (1)

OCHRONA PRZED RANSOMWARE

Analiza malware Remote Administration Tool (RAT) DarkComet

KONFIGURACJA INTERFEJSU SIECIOWEGO

DESlock+ szybki start

Memeo Instant Backup Podręcznik Szybkiego Startu

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Instalacja Wirtualnego Serwera Egzaminacyjnego

Kancelaria Prawna.WEB - POMOC

Instrukcja logowania do systemu e-bank EBS

Projektowanie bezpieczeństwa sieci i serwerów

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Instrukcja instalacji usługi Sygnity SmsService

Instrukcja instalacji usługi Sygnity Service

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Instrukcja obsługi serwera FTP v

Poradnik korzystania z usługi FTP

Konfiguracja współpracy urządzeń mobilnych (bonowników).

Analiza Trojana NotCompatible.C

Rejestracja użytkownika Bentley Często zadawane pytania techniczne

Ćw. I. Środowisko sieciowe, połączenie internetowe, opcje internetowe

Wykaz zmian w programie SysLoger

Mirror Tool.

System zdalnego dostępu (VPN) do sieci Wydziału Elektrycznego PW

Windows Server 2008 Standard Str. 1 Ćwiczenia. Opr. JK. I. Instalowanie serwera FTP w Windows Server 2008 (zrzuty ekranowe z maszyny wirtualnej)

INSTRUKCJA INSTALACJI I PIERWSZEGO URUCHOMIENIA APLIKACJI Rodzajowa Ewidencja Wydatków plus Zamówienia i Umowy

Aplikacja VISO Mobile (Android) Instrukcja instalacji i obsługi

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

Nowe notowania epromak Professional

Instrukcjaaktualizacji

Pracownia internetowa w szkole ZASTOSOWANIA

Zadanie 1 Treść zadania:

F-Secure Anti-Virus for Mac 2015

Silent setup SAS Enterprise Guide (v 3.x)

Instrukcja instalacji usługi Sygnity SmsService

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Aplikacja VISO Mobile v1.0 (Android) Instrukcja instalacji i obsługi

Tytuł: Projekt realizacji prac prowadzących do zlokalizowania i usunięcia usterek systemu komputerowego.

Laboratorium - Poznawanie FTP

Pierwsze kroki w programie QuarkXPress

Instrukcja instalacji Control Expert 3.0

Instrukcja instalacji oraz obsługi czytników i kart procesorowych dla Klientów SBI Banku BPH S.A.

KOMPUTEROWY SYSTEM WSPOMAGANIA OBSŁUGI JEDNOSTEK SŁUŻBY ZDROWIA KS-SOMED

INSTRUKCJA INSTALACJI SYSTEMU

Usługi sieciowe systemu Linux

SYSTEMY OPERACYJNE I SIECI KOMPUTEROWE. Tryb konsolowy ćwiczenie b

Instrukcja podłączenia bramki IP 1R+L oraz IP 2R+L w trybie serwisowym za pomocą usługi telnet.

Autoryzacja zleceń z użyciem aplikacji Java Web Start "Pocztowy24Podpis"

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Instalacja aplikacji

Instrukcja instalacji wersji sieciowej. EuroPlus+ Reward

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

Podręcznik Google. Cloud Print. Informacje o usłudze Google Cloud Print. Drukowanie przy użyciu usługi Google. Cloud Print.

Sieciowa instalacja Sekafi 3 SQL

Instrukcja wgrywania Certyfikatu Klienta do przeglądarki Mozilla Firefox. System Bankowości Internetowej KIRI BS 2012

Instalacja i konfiguracji czytników kart kryptograficznych, aplikacji procertum CardManager w systemach Mac OS X

Instrukcja instalacji i konfiguracji Karty EDGE/GPRS SonyEricsson GC85

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Instrukcja uruchomienia egzaminu z użyciem Wirtualnego Serwera Egzaminacyjnego

Tomasz Greszata - Koszalin

Instrukcja konfiguracji funkcji skanowania

NetDrive czyli jak w prosty sposób zarządzać zawartością FTP

NSA GB HDD. Skrócona instrukcja obsługi. 1-wnękowy serwer mediów. Domyślne dane logowania. Adres WWW: nsa310 Hasło: 1234

Instrukcja instalacji usługi Sygnity Service

IBM SPSS Modeler Social Network Analysis 16 podręcznik instalowania i konfigurowania

Nowe notowania epromak Professional

weblsp Wybór przeglądarki i jej ustawienia Instrukcja ADH-Soft sp. z o.o., ul. 17 Stycznia 74, Warszawa

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Currenda EPO Instrukcja Konfiguracji. Wersja dokumentu: 1.3

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

SEPI podpis elektroniczny

Instalacja programu Warsztat 3 w sieci

MenadŜer haseł Instrukcja uŝytkownika

Rozdział 1: Rozpoczynanie pracy...3

Migracja Business Intelligence do wersji

Połączenia. Obsługiwane systemy operacyjne. Instalowanie drukarki przy użyciu dysku CD Oprogramowanie i dokumentacja

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Instalacja i konfiguracja serwera IIS z FTP

Otwock dn r. Do wszystkich Wykonawców

Instrukcja aktualizacji oprogramowania routera D-Link DWR-932 C1 (do wersji 1.0.3CPGb01)

Jak się zalogować do Pocztowy24 Biznes

Forte Zarządzanie Produkcją Instalacja i konfiguracja. Wersja B

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

SZYBKI START. Tworzenie nowego połączenia w celu zaszyfrowania/odszyfrowania danych lub tekstu 2. Szyfrowanie/odszyfrowanie danych 4

Tomasz Greszata - Koszalin

Windows Serwer 2008 R2. Moduł 5. Zarządzanie plikami

Windows Serwer 2008 R2. Moduł x. IIS

Transkrypt:

Warszawa, 17.05.2016 Analiza aktywności złośliwego oprogramowania Njw0rm CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 1 z 22

W ostatnich dniach CERT Orange Polska wykrył w sieci klienckiej Orange Polska wzmożoną aktywność popularnego złośliwego oprogramowania Njw0rm (identyfikowany również jako Backdoor.LV), pozwalającemu cyber-przestępcy na przejęcie pełnej kontroli nad zainfekowanym komputerem (w tym kradzież loginów i haseł, wykonywanie dowolnych poleceń systemowych oraz otrzymywanie przyszłych aktualizacji od botmastera). Dla potrzeb niniejszej analizy przeprowadzone zostały również próby działania w realnym zainfekowanym środowisku systemowym, odizolowanym od sieci internet. Pozwoliło to na dokładne przedstawienie złośliwych funkcji oprogramowania Njw0rm wraz z odpowiedzialnymi za nie fragmentami kodu. Pod względem komunikacji z Centrum Kontroli (Command&Control, C&C) analizowane oprogramowanie przypomina njrat, analizowanego niedawno na stronie CERT Orange Polska. Command&Control wirusa napisany jest w języku Visual Basic, zaś jego dropper w języku AutoIT. Poniższy kod posiadał zdefiniowany adres serwera C&C wraz z numerem portu na którym się komunikuje oraz informacje w jakim katalogu użytkownika zostanie docelowo zapisany (AppData) i pod jaką nazwą (IE_10_update.exe). Fragment kodu odpowiedzialny za instalację złośliwego oprogramowania w rejestrze systemowym oraz dopisanie kluczy, uruchomiających wirusa przy każdym starcie systemu użytkownika oraz skopiowanie go do autostartu systemowego. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 2 z 22

Zawierający wirusa plik o nazwie IE_10_update.exe widzimy po wejściu do lokalizacji C:\Użytkownicy\Nazwa_użytkownika\AppData\Roaming\Microsoft\Windows\Menu Start\Programy\Autostart\ zaś rejestr systemowy potwierdza utworzenie pliku wirusa w danej lokalizacji C:\Użytkownicy\Nazwa_użytkownika\AppData\Roaming\ co widać również poniżej: CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 3 z 22

Wirus propaguje się również poprzez przenośne pamięci USB (pendrive y), co przedstawia poniższy kod. Wirus cały czas sprawdza czy do komputera podłączone są urządzenia wymienne. Jeśli wykryje napęd o pojemności 1024 MB i większej o statusie READY, tworzy katalog ukryty My Pictures. Następnie pobiera listę nazw dziesięciu folderów na dysku wymiennym a następnie ukrywa je tworząc pliki w postaci skrótów.lnk o tych samych nazwach dla każdego z nich. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 4 z 22

W kolejnym kroku ukrywa faktyczne foldery dla użytkownika, pozostawiając udające je pliki.lnk. W ostatnim etapie kopiuje się na zainfekowane urządzenie pod nazwą IE_10_update.exe. Poniższy zrzut przedstawia skopiowany plik wirusa. Dzięki wybraniu opcji systemowej Pokaż ukryte pliki możemy zobaczyć pełną instalację wirusa na zewnętrznym nośniku. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 5 z 22

Kolejny zrzut przedstawia zawartość tworzonego przez malware skrótu ze złośliwym skryptem. Wywołuje on linię poleceń cmd.exe, by następnie uruchomić plik IE_10_update.exe z przełącznikiem /c start, powodując infekcję systemu kolejnego użytkownika. Przy infekcji wirus modyfikował również ustawienia firewalla systemowego, dodając wpis netsh co powodowało dodanie wirusa do zaufanych programów, uruchamianych przy starcie systemu w katalogu Autostart. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 6 z 22

Ścieżka Autostart w systemie Windows w którą kopiował się wirus. Panel logowania przedstawiony poniżej przedstawia okno z informacjami o aktywnych zainfekowanych komputerach które cyberprzestępca ma pod swoją kontrolą. Panel C&C zawiera informacje na temat lokalizacji kraju urządzenia (POL), wersji systemu operacyjnego (WIN_7_X86 SP1), wersji złośliwego oprogramowania (3.5), informacji na temat podłączonych wymiennych urządzeń pamięci masowej obecnie ( No / Yes) i aktualnie aktywnych oknach użytkownika. Zadaniem okna Logs jest informowanie botmastera jakie polecenia zostały do tej wykonane na danym zainfekowanym komputerze. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 7 z 22

Poniższy kod źródłowy wirusa przedstawia komendy wraz z ich funkcjonalnością. Kod wirusa, który jest odpowiedzialny za przekazywanie do C&C takich informacji, jak: nazwa kampanii wirusa($name), adres IP urządzenia ($k), nazwa systemu operacyjnego ($os), wersja malware ($vr), czy też danych na temat podpiętej pamięci przenośnej USB ($usb) i informacji o aktywnym otwartym oknie (WinGetTitle) CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 8 z 22

Komunikacja Malware Zainfekowany komputer łączy się z serwerem C&C, przesyłając informacje o obecnych działaniach użytkownika i jego aktywnych oknach, czekając na polecenia z C&C. Przyjrzyjmy się podsłuchanej komunikacji między C&C a zainfekowanym komputerem: przesłaniu informacji o aktywnym oknie Program Manager z zainfekowanego komputera do C&C oraz komunikacji z C&C do komputera z poleceniem uruchomienia pliku dwduwfkklp.exe Wirus posiadał też w kodzie funkcję odinstalowującą go ze wszystkich lokalizacji systemu operacyjnego użytkownika. Za pomocą funkcji RegDelete usuwał z rejestru systemowego klucze aktywujące przy restarcie, FileDelete powodowała usunięcie pliku z autostartu systemowego, ShellExecute z wartościami netsh firewall delete allowedprogram usuwała wpis reguły lokalnego firewalla, na koniec usuwając plik wykonywalny wirusa. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 9 z 22

Poniższy kod odpowiada natomiast za odinstalowanie wirusa z urządzenia przenośnego przez usunięcie atrybutów na ukrytych plikach oraz usunięcie pliku z wirusem i stworzonych przez niego skrótów. Funkcje wirusa MsgBox. Wysłanie na zainfekowany komputer i uruchomienie okna dialogowego użytkownikowi o dowolnej zawartości. Wpisanie i komunikacja: CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 10 z 22

Efekt na zainfekowanym komputerze wyświetlenie okna. Bluescreen. Wywołanie na komputerze użytkownika Niebieskiego ekranu śmierci ze zdefiniowanym komunikatem: CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 11 z 22

Jak widać, kod odpowiedzialny za powyższe działanie pozwala dowolnie modyfikować wyświetlany komunikat. Wywołany efekt funkcji po lekkim zmodyfikowaniu kodu wirusa: CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 12 z 22

Open Page. Zdalne otwarcie dowolnej strony na zainfekowanym komputerze. Wywołanie: Efekt dla strony www.cert.orange.pl na zainfekowanym komputerze użytkownika. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 13 z 22

DDoS. Pozwala na użycie zainfekowanego urządzenia do przeprowadzenia ataku DDoS. Dla potrzeb analizy przeprowadzono test, uruchamiając w sieci wirtualnej trzy instancje. Pierwsza, pod adresem 204.95.99.26 (Command&Control), druga (204.95.99.20) to zainfekowana stacja użytkownika, zaś trzecia 204.95.99.23 to docelowa ofiara DDoS, zdefiniowana przez botmastera. Zdefiniowanie parametrów DDoS: CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 14 z 22

Poniższy listing przedstawia fragment ruchu z przeprowadzonego DDOS z komputera atakowanej trzeciej instancji o adresie 204.95.99.23. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 15 z 22

Download execute. Umożliwia botmasterowi zdefiniowanie w Command&Control adresu serwera, z którego ma być pobrany inny plik ze złośliwym kodem. W tym przypadku pobrano i uruchomiono na zainfekowanym komputerze aplikację putty.exe z lokalizacji https://theearth.li/~sqtatham/putty/latest/w32/putty.exe Następnie plik został umieszczony w lokalizacji tymczasowej zainfekowanego systemu (folder Temp z nazwą pliku losowo zmienioną na sbekzhpjft.exe CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 16 z 22

a następnie uruchomiony został na zainfekowanym komputerze: AutoIt Script. Uruchomienie na komputerze ofiary dowolnego skryptu przez kod AutoIt. W tym przypadku jest to wywołanie zmodyfikowanego okna dialogowego systemu Windows za pomocą funkcji MsgBox, ta funkcja daje jednak atakującemu znacznie większe możliwości, jak np. uruchomienie kolejnego złośliwego skryptu. Na potrzeby analizy wywołano okno dialogowe o nazwie Analiza Wirusa z komunikatem ANALIZA Njw0rm Dla CERT Orange Polska. Wywołanie skryptu MsgBox Autoit na potrzeby analizy CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 17 z 22

Efektem działania tej funkcji jest wywołanie okna dialogowego po stronie zainfekowanego komputera użytkownika. Script. Dla przedstawienia jej działania wykorzystano przykład otwarcia poprawnej bezpiecznej witryny za pomocą linii poleceń, przestępca mógłby w ten sposób wywołać witrynę phishingową, zachęcając ofiarę do zalogowania się i pozostawienia loginu i hasła, np. do banku. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 18 z 22

Po wydaniu polecenia ze zdefiniowanym adresem i komendy /c start https://www.cert.orange.pl/czym-jest-cert po stronie użytkownika uruchamia się witryna. Get passwords. Umożliwia kradzież danych uwierzytelniających (login+hasło) z trzech typów oprogramowania: przeglądarki Google Chrome (poniższy kod odczytuje przechowywane w przeglądarce Google Chrome dane) by następnie, za pomocą API w postaci funkcji uncryptrdppassword() odszyfrować hasła szyfrowane algorytmem Triple-DES CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 19 z 22

usługi No-ip (usługa dynamicznych domen DNS). Login i hasło znajdujące się w odpowiedniej ścieżce rejestru systemu Windows: klienta ftp Filezilla. Poniżej szczegółowy przykład odczytu i wykradania danych uwierzytelniających do serwerów FTP. Wirus odczytuje z pliku o nazwie recentservers.xml z lokalizacji AppData z katalogu FileZilla następujące wiersze: <Host> (adres serwera FTP), <Port> (port połączenia z serwerem FTP), <User> (nazwa użytkownika) oraz <Pass> (hasło) CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 20 z 22

Poniżej zawartość pliku recentservers.xml z jego docelową lokalizacją w drzewie katalogów C:\Użytkownicy\Nazwa Użytkownika\AppData\Roaming\FileZilla. Zawiera on dokładnie te same wiersze, które odczytuje wirus, zawarte w opisywanym wcześniej źródle kodu wirusa wraz z nazwą serwera FTP, jego portem, loginem użytkownika oraz hasłem. CERT Orange Polska radzi: CERT Orange Polska stanowczo zaleca używanie oprogramowania antywirusowego i jego stałą aktualizację, które z dużym prawdopodobieństwem pomoże uniknąć kolejnych infekcji złośliwym oprogramowaniem i/lub pomoże zminimalizować skutki infekcji. Zaleca również stosowanie oprogramowania typu firewall, którego zadaniem jest zablokowanie niechcianego ruchu sieciowego. Warto podkreślić po raz kolejny, że nigdy nie należy otwierać załączników z maili, co do których pochodzenia nie mamy 100% pewności. Jeśli nagle otrzymujesz drogą elektroniczną informacje o paczce, której nigdy nie zamawiałeś, wygranej w loterii w której nie brałeś udziału, fakturze od operatora z którego usług nie korzystasz, rachunku za coś czego nie kupowałeś itp. warto przezwyciężyć ciekawość i taki mail po prostu od razu usunąć, lub przesłać do nas na adres: cert.opl@orange.com CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 21 z 22

W przypadku tej kampanii, użytkownicy Orange, którzy dostali złośliwy załącznik i go uruchomili są chronieni przed wyciekiem swoich danych za pomocą CyberTarczy. W przypadku braku oprogramowania antywirusowego zalecana jest również instalacja i przeskanowanie swojego systemu operacyjnego pod kątem złośliwego oprogramowania, które może znajdować się na komputerach użytkowników, którzy uruchomili analizowany malware. CERT OPL, Analiza Njw0rm; Autor: Iwo Graj Strona 22 z 22

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres