Treinamentos em Segurança da Informação

Olá pessoal tudo bem?

Sei que treinamentos de segurança em um formato diferenciado e que realmente tragam conteúdo de alto nível tanto para iniciantes quanto profissionais da área são algo difícil de encontrar.

Pensando nisto estou com planos para um projeto em 2014 voltado exclusivamente para treinamentos técnicos de alto nível que possam abranger tanto os que pretendem ingressar na área de segurança quanto profissionais de nível Sênior que desejam consolidar seus conhecimentos em áreas que talvez não sejam sua principal.

Disto isto gostaria de ouvir a opinião dos senhores, irei iniciar as rodadas de cursos com 3 principais categorias e que gostaria de saber entre estas quais vocês gostariam de participar caso houvesse esta turma:

– Malware Analysis: Analisando a fundo funcionalidades de malwares

– Penetration Testing:  Curso voltando a demonstrar técnicas e conceitos envolvidos em testes de penetração em ambientes corporativos tendo cenários realísticos e utilizando ferramental que irá ajudar você a criar seu próprio framework de trabalho.

– Web Application Hacking: Curso voltado a mostrar as principais falhas de segurança existentes em aplicações web, como por exemplo SQL Injection, XSS, entre outros. Curso totalmente hands-on onde o aluno irá aprender como funcionam as vulnerabilidades explorando-as e entendendo como auditar e corrigir.

Caso tenham alguma outra ideia de curso, também gostaria de saber. Enviem uma mensagem para  y2h4ck[at] gmail [dot] com com o subject [CURSO] e diga oque acha interessante.  Sua colaboração será muito bem vinda e será recompensada :D

Grande abraço! Enviem sua mensagem!

 

Análise de Malware: Win32 ProxyChanger

Este malware foi obtido em um ataque de Phishing Scam. O atacante encaminhou um link contendo um executável se passando por um arquivo compactado que faz referência a um boleto de cobrança vencido em nome da vítima. Ataques de engenharia social deste tipo visam fazer com que o usuário sinta-se atraido por visualizar seu conteúdo, sendo assim,  boletos de cobrança, faturas e chamarizes que façam alusão a dados pessoais sempre acabam sendo empregados.

Segue abaixo o e-mail recebido na íntegra:

phishing01

É possível visualizar na imagem acima que o campo de destinatário consta o valor “Recipientes”. Isso nos diz duas coisas:

1 Este ataque não foi o que chamamos de Spear Phishing Attack, ou seja, não foi uma mensagem criada especificamente para um ataque direcionado e sim um Phishing em massa.

2 A mensagem não tem nenhum resquicio de técnica avançada para disparo da mensagem. Foi utilizado apenas um e-mail em HTML com um Hyperlink no corpo da mensagem, nenhum tipo de payload malicioso (ex. Drive-by Exploit).

O host responsável pelo disparo da campanha de Phishing pertence a empresa Dytech.

É muito comum que criminosos que utilizam este tipo de abordagem procurem por contas de e-mail hospedadas em domínios .COM.BR.  Isto faz com que diversos filtros de conteúdo de e-mail, reputação e antispam sejam contornados. Geralmente domínios corporativos por padrão tem reputação elevada nos Scores de análise.

Abaixo o whois do domínio utilizado como difusor da Campanha:

whois01

Efetuando uma rápida checagem através do site http://mxtoolbox.com  é possível identificar falhas na configuração que permitiriam utilizar o servidor MX do domínio de forma maliciosa (relay aberto):

whois04

A credencial utilizada pelo criminoso pode ter sido comprometida através de algum phishing diretamente na rede corporativa. Outras possibilidades são de que o usuário possua uma senha muito simples que pode ser facilmente descoberta utilizando algum tipo de Brute-Force, ou então alguma aplicação web vulnerável que permita o envio indiscriminado de mensagens.

Ao clicar no link anexado no corpo do e-mail o usuário é direcionado para o download de um binário com nome de “cobranca.docx.exe” a partir do seguinte link:

http ://nwgawomensexpo  com/modules/ mod_finder/ cobranca.doc/ 

host01

Abaixo segue o Whois do domínio que hospeda o artefato:

whois03

Criminosos procuram por aplicações web vulneráveis para efetuar Upload de seus artefatos e hospeda-los de forma não rastreável.

Vamos agora analisar o artefato coletado e verificar o seu comportamento e que tipo de dano ele causa na máquina infectada.

ANÁLISE HEURÍSTICA

File name: COBRAN~1.EXE
File size: 93184 bytes
File type: PE32 executable for MS Windows (console) Intel 80386 32-bit
MD5: 47b405e428b345fcb4b23ac73bb24031

Sections

Name Virtual Address Virtual Size Size of Raw Data Entropy
UPX0 0x1000 0x2d000 0x0 0.0
UPX1 0x2e000 0x17000 0x16200 7.8974382553
.rsrc 0x45000 0x1000 0x600 2.89353823492

Como pode ser observado nas Sections acima, o artefato está compactado utilizando o UPX. Logo mais iremos efetuar o unpacking para poder analisa-lo de forma mais completa.

Após submete-lo ao VirusTotal obtivemos o seguinte resultado:

Antivirus Assinatura
McAfee Generic-FRAX!0958FA229CEB
TheHacker Posible_Worm32
Norman Sample.G.dropper
TrendMicro-HouseCall PAK_Generic.001
Kaspersky Trojan-Banker.Win32.Banbra.axlz
AntiVir TR/ATRAPS.Gen
TrendMicro PAK_Generic.001
McAfee-GW-Edition Generic-FRAX!0958FA229CEB
Emsisoft Gen:Trojan.Heur.GZ.fmGfbOVgePi (B)
Jiangmin Backdoor/Delf.hux
SUPERAntiSpyware Trojan.Agent/Gen-Autorun[Swisyn]
AhnLab-V3 Trojan/Win32.Banker
ESET-NOD32 Win32/ProxyChanger.HG
Ikarus Trojan-Dropper.Delf

Taxa de Detecção:  14 / 45

Este artefato já havia sido submetido para o VirusTotal no dia 15/02. Em sua primeira análise contava com uma taxa de detecção de 6 Engines.

Vamos verificar algumas informações do binário:

pefile

Temos então que este artefato foi criado utilizando Delphi e compactado com o UPX.

O UPX é um packer muito conhecido.  É utilizado também por atacantes para tentar obsfuscar o seu binário e dependendo de como é feita a detecção do binário por parte do antivirus, o simples fato dele estar packed é suficiente para que passe batido pela detecção Heurística.

Para poder efetuar o disassembly do artefato de forma mais completa iremos primeiramente remover a compactação pelo UPX:

reverse_upx

Agora vamos efetuar o disassembly do artefato:

reverse01_jpg

Ao ser executado ele carrega o componente TRegistry. Este componente é nativo do Delphi e permite ao artefato manipular chaves de registro.  Após carregar o objeto  ele determina que o valor para o TRegistry.SetRootKey  será  “Software\Microsoft\Windows\CurrentVersion\Internet Settings”.

Após definir a chave a ser modificada ele efetua um TRegistry.OpenKey e carrega  a chave “ProxyEnable” modificando o valor dela para “1”.  Ou seja, o artefato modificou o comportamento do sistema operacional dizendo que a partir de agora ele deve utilizar um endereço Proxy para navegar.

Em seguida ele chama o componente com a instrução TRegistry.WriteInteger  e escreve o valor “http:// lashlerouxsafaris co.za/components/com_jce/js/in.jsp”  na chave “AutoConfigUrl”.

Esta chave é responsável por configurar a URL com script para Auto Configuração de proxy.  Setando esta URL o browser irá buscar pela configuração do proxy que irá utilizar neste endereço a cada vez que for carregado. Assim o atacante pode manter o endereço IP do servidor de Proxy sempre atualizado caso migre para outro host.

Abrindo a configuração do Internet Options do  IExplorer conseguimos visualizar na íntegra a configuração que o malware realizou.

proxy02

Após efetuar a configuração do proxy no Internet Explorer o malware chama o browser padrão e direciona ele para a url “http://palhacopeteleco.com/res/ws/jjjjjjj/su.php” através da instrução Shell32.ShellExecuteA.

reverse02_jpg

Esta URL redireciona o acesso para o Google. Acredito que este PHP armazena informações do Client como por exemplo, ip, browser e afins. Muito provavelmente serve para que o criminoso tenha algum tipo de controle da quantidade de Hosts infectados.

reverse03_jpg

Como processo final de sua execução o executável cria um .bat  com o nome de cobranca.docx.bat. Este batch entra em loop para apagar o executável original, e após isso o Executável finaliza sua execução e o artefato é eliminado da máquina.

Aproveitei e submeti  o  artefato sem estar protegido pelo UPX. Ninguem havia submetido ainda esta amostra sem a proteção e o resultado foi o seguinte:

AntiVir TR/ATRAPS.Gen 20130218
AVG Proxy.AZEZ 20130218
ESET-NOD32 Win32/ProxyChanger.HG 20130218
Ikarus Trojan-Dropper.Delf 20130218
Kaspersky Trojan-Banker.Win32.Banbra.axma 20130218
Malwarebytes Trojan.Agent.DF 20130218
McAfee Generic-FRAX!60A450670696 20130218
McAfee-GW-Edition Generic-FRAX!60A450670696 20130218

Taxa de Detecção:  8/46

Abaixo segue o Whois do domínio que hospedava o script “su.php”

whois02

Screenshot do momento em que o malware foi executado

sandbox01

Script de Configuração de Proxy

Como vimos acima o nosso artefato não se tratava de um Trojan ou Backdoor.  Após ser executado ele modifica a configuração padrão do proxy do sistema e depois se auto-remove da máquina infectada.

Acessando a URL adicionada no AutoConfigUrl do Browser podemos ver o seguinte script:

script01

Este JavaScript efetua uma checagem de alguns itens para validar se a conexão irá ou não ser redirecionara através do Proxy.  Podemos ver na linha 23 que ele inicia o FOR para efetuar o decrypt do ArrayList utilizando um XOR. Após efetuar o decrypt da linha ele faz uma comparação na linha 32. Caso a variavel “Host” esteja contida no shExpMatch da variável “the_res” ele faz o return na linha 33. Este  está fragmentado para evitar algum tipo de identificação por assinatura de antivirus ou HIDS.

script02

Basta efetuar uma organização manual baseada nos valores demonstrados no script e temos que quando o Match da expressão ocorre ele retorna para o Browser  “PROXY 178.33.168.31”.  A partir daí o browser irá direcionar aquele acesso por dentro do proxy e interceptar a comunicação.

whois05

Uma vez que identificamos o comportamento vem a pergunta:

– Para que hosts este proxy irá fazer o direcionamento da conexão ?

Como vimos acima os itens do ArrayList são muito provavelmente os domínios que ele irá interceptar. Como estão encriptados pelo XOR não conseguimos identificar a olho nú. Para poder termos a lista de quais são os dominios visados pelo criminoso iremos criar um HTML e carregar o JavaScript de configuração do Proxy.

decrypt

Colocamos o Action do JavaScript em um Botão no HTML e ao invés de chamar o Return com o valor do endereço do Proxy iremos fazer um Print dos valores decriptados em nosso form HTML. Com isso teremos uma lista completa dos hosts que estão sendo monitorados.

Domínios interceptados pelo Proxy:

Agora que conhecemos o comportamento e a finalidade do malware, vamos efetuar um laboratório para ver como o ataque é de fato executado na máquina de um usuário comprometido. Para isto irei executar o artefato em uma Máquina Virtual e navegar para algum dos sites listados acima. Por ter experiência com o BankLine do Itaú resolvi elege-lo como portal alvo.

Uma vez que a máquina foi comprometida pelo  malware e a configuração do proxy foi adicionada no browser basta navegar para o endereço http://www.bancoitau.com.br

itau01

A primeira vista o portal do Banco Itaú e carregado para visualização. Foi feito um clone idêntico ao site original para que a vítima não perceba que está acessando na verdade um site falso.

itau02

Uma vez que o usuário coloca a Agência e Conta é direcionada a uma próxima página onde deve confirmar o número da conta. No caso coloquei como dados Agência: 1337 e Conta: 31337-0.

É possível logo de cara identificar que o site não possui Certificado Digital o que por sí só ja iria mostrar que o site é falso. Infelizmente este detalhe ainda é pouco identificado por usuários. Em verdade a grande maioria nem sabe de sua existência ou funcionalidade.

itau03

Na próxima tela o usuário é conduzido a colocar sua senha numérica utilizando o Teclado Virtual fornecido pelo site.  Colocarei um sequência qualquer.

itau04

Independente do valor digitado na tela anterior o portal irá direcionar o usuário para esta tela que diz que a senha está errada e obrigando o usuário a digita-la novamente. Com esta tática o criminoso pode evitar que o usuário digite uma senha errada na primeira tentativa e ele perca então uma Conta devido o descuido da vítima.  Digito qualquer outra senha e o acesso prossegue.

itau05

Na próxima tela o usuário se depara com a Página inicial de seu Home Bank. É possível ver no cabeçalho o número da agência e conta que usamos, um relógio marcando horário da sessão e tudo mais.  Não existe nenhum dado como Nome do titular.  É uma tela totalmente Inóqua e a partir de agora qualquer link que o usuário clicar irá direciona-lo para o roubo dos próximos dados e prover as informações finais que o criminoso necessita para efetuar fraudes em nome da vítima.

itau06

Após clicar no link de “Transferência, DOC e TED” o portal me direciona para uma tela onde sou solicitado a escolher qual o mecanismo de segurança utilizo para o acesso.  Iremos clicar no “Cartão de Segurança Itaú”. Este cartão é um método de segurança utilizando OTP (One-Time Passwords) e é um método muito comum entre usuários bancários para validar e proteger transações em sessões online e em Caixas Eletrônicos.

itau07

Nesta tela totalmente desconexa do contexto da nossa transação atual é pedido ao usuário que ele digite no template o número do cartão de crédito e a validade para “confirmação”.  Um detalhe interessante a ver é a falha no caracter no Title da Janela.

itau08

itau09

Após preencher os dados referentes ao cartão de crédito, a próxima tela irá pedir para o usuário preencher o template do cartão de senhas com o número de referência e os números de cada posição.

Caso o usuário preencha estes campos corretamente e envie o criminoso irá ter acesso total aos dados necessários para efetuar transações compras e tudo mais.

itau10

Após clicar em  Continuar é exibida uma tela dizendo que o acesso foi finalizado e a sessão foi encerrada. Após isso o usuário é direcionado para a sessão HTTPS original do banco do cliente.

Para usuários leigos que não tem conhecimento deste tipo de fraude é muito difícil identificar que o site do banco é falso e que os dados que ele está digitando serão utilizados para fraudes. Imagino que devido ao grande número de sites que o criminoso clonou, deve estar coletando muitas credenciais.

Todos os responsáveis  pelos hosts envolvidos neste ataque foram notificados para que possam tomar alguma providência e remover do ar os acessos responsáveis pelo ataque. Foi efetuada também uma denúncia em Blacklists diversas, como por exemplo PhishingTank.org.

Malzilla: Malware hunting tool

Infecções de malwares causadas por Drive-By Applets tem feito cada vez mais vitimas. Muitas vezes é dificil perceber que o website foi modificado. Muitas vulnerabilidades permitem que o atacante modifique o conteúdo da aplicação que o usuário visualiza, fazendo com que se torne cada vez mais dificil identificar possíveis ataques.
Uma tecnica utilizada por atacantes, que torna seus scripts maliciosos dificeis de serem detectados por engines de IDS, antivirus e afins, é a criptografia e ofuscamento do source, utilizando-se de multiplas camadas de javascript, e codificações como por exemplo Base64Encode, HTMLencode, entre outros.
Páginas que contem exploits geralmente usam uma série de redirecionamentos e códigos ofuscados para torna-la mais dificil para alguem identificar. Malzilla é um programa muito útil para explorar páginas maliciosas. Ele permite que você escolha seu próprio “user agent” e “referrer”, e tem a habilidade de usar inclusive proxies (webscarab, paros proxy, zap).
Através do Malzilla você pode visualizar o source da página e todos os headers HTTP. Além disso a ferramenta fornece diversos decodificadores e também possui a opção para Deobfuscate javascript.

Na imagem abaixo temos um exemplo de código ofuscado utilizado em um Phishing Scam, enviado por e-mail para usuários. A utilização do código ofuscado, faz com que filtros de conteúdo, falhem em identificar tags maliciosas que podem estar previamente cadastrada em alguma blacklist.

01

Este é o conteúdo de um link que recebemos por e-mail em um eCard Spam.

Para conseguir o link direto do malware, teremos que trabalhar com a função JavaScript unescape.  Vamos clicar em “Send Script to Decoder” e “Run Script” na aba do decoder, assim conseguiriamos os seguintes resultados:

02

Na janela abaixo, podemos ver decodificado um VBScript utilizado para fazer o download  de um arquivo malicioso.

Outro exemplo muito comum, durante um ataque de Drive-by Download, é o uso de scripts que tentam escrever diretamente o Binário através de um script no disco.

03

Com o Malzilla podemos trabalhar os diversos filtros para gerar uma cadeia de identificação que pode ajudar muitos especialistas de segurança a identificar ameaças que chegam por links de Spam.

A ferramenta é disponibilizada para Windows, assim como você baixar o Source dela para compilar  e utilizar em plataformas Unix.

Para maiores informações:

http://malzilla.sourceforge.net/documents.html

Hackito: Injetando Malware no Hardware

Foi publicado em larga escala que um time com os melhores engenheiros de software do mundo levou anos para criar os malwares Stuxnet e Flame, ironicamente entretanto, apenas uma pessoa levou 4 semanas para criar um código que coloca os dois malwares alí no chinelo!

Johan Brossard, researcher da Toucan System, recentemente desenvolveu uma backdoor para hardware que nos dá por agora uma pequena ideia do imenso potencial de exploração que este tipo de técnica pode proporcionar. Utilizando em sua maioria códigos open source, ele desenvolveu uma backdoor que pode ser injetada diretamente na BIOS através de PCI peripheral injection ou um upgrade padrão de BIOS – ou pior, durante o processo de linha de montagem – e uma vez instalada pode efetuar conexões para um Command Center e automaticamente capturar e executar payloads maliciosos através de Wifi/Wimax ou pacotes Ethernet (inclusive sobre HTTPS).

Isto não é tudo, e o que está por vir podemos apenas imaginar. Uma vez que os payloads são executados via BIOS diretamente na memória, isto permite que as maiores e melhores proteções existentes via Hardware/Software sejam desabilitadas.  Entre algumas das possibilidades que este tipo de approach fornece, podemos citar os seguintes:
– Bypass TPM/UEFI (Hardware/Signature Protection)
– Remoção do NX bit em hardware/software  (Heap/Stack Protection)
– Possibilidade de desabilitar o ALSR  (Memory Randomization Protection)
– Permite escrever diretamente no  Ring 0 (Kernel Memory Space Writes)
– Desabilitar CPU microcode updates (Code Execution Updates)
– Remover anti-SMM projection (Hardware Debug Management)
– Tornar TrueCrypt e BitLocker obsoletos (Password/Key Extraction)

e para finalizar:
– Completamente escalável, furtivo e suporta 230 modelos de placa mãe :D

Abaixo segue o link com o video da apresentação feita na DEFCON 20:

Hackito

[fb_like] [fb_count]

ZeroWine – Open Source Malware Analysis Framework

Neste post vamos conhecer o Zero Wine, uma plataforma open source para análise de malwares. Com o Zero Wine você consegue analisar o comportamento de um malware de forma segura. Basta iniciar a sandbox, acessar a interface web e fazer o upload do artefato que você deseja analisar.

O projeto consiste de uma suíte de scripts e serviços emulados através de um wine configurado para simular um ambiente real. Você pode efetuar a análise utilizando diferentes versões de sistema operacional: Windows Xp Sp2, Sp3, etc…

Devido ao longo período sem atualização do ZeroWine (a ultima atualização foi em 2009) surgiu um fork chamado “ZeroWine Tryouts”. Basicamente consiste do mesmo projeto, porém com atualizações e melhorias.

Você pode baixar uma imagem ja preparada do QEMU, ou se preferir pode baixar os fontes.

Para nosso lab, vamos utilizar a imagem do QEMU, para tanto estou levando em consideração que você ja tem o QEMU instalado e funcionando em seu Linux/Windows.

Caso você queira executar o QEMU no Windows, existe um port que pode ser baixado aqui: http://www.h7.dion.ne.jp/%7Eqemu-win/

Depois disto baixe o ZeroWine Tryouts Alpha-4.1: http://downloads.sourceforge.net/zerowine-tryout/zerowine-tryout-alpha4.1-image.7z

Após, é so descompactar e inicializar a imagem:

qemu -hda zerowine.img -boot c -m 1024 -redir tcp:8000::8000 -redir tcp:2022::22

Caso você queira acessar a shell da sandbox Linux você pode utilizar o usuário “malware” senha “malware1”

Uma vez que a máquina carregou, basta você acessar utilizando seu Browser o endereço http://127.0.0.1:8000

Neste box basta selecionar o OS que deseja emular para a análise e fazer o upload do malware. Depois disto é so esperar, e devo admitir que talves demore um pouquinho até que a análise fique completa.

Após finalizada, basta você ir na pagina “View” e fazer uma busca, você pode colocar o hash md5 do arquivo que você fez upload, o nome do arquivo, ou simplesmente “*” e a interface irá lhe mostrar os resultados disponíveis para aquela sessão:


Abaixo um exemplo de um report gerado pelo Zero Wine:

A primeira sessão mostra a análise do comportamento do malware, e este deveria ser o principal componente a respeito do framework ZeroWine. Entretanto como a propria documentação no site do ZeroWine diz, os resultados são “muito longos, e sendo assim, dificeis de se entender”. Outro aspecto dificil de verificar é a diferença entre as system calls feitas  pelo malware e as feitas pelo framework de análise.  Como resultado definitivo, eu pessoalmente acho o resultado do report do ZeroWine bem menos útil do que poderia ser.

Existem muitos frameworks que podem ser utilizados gratuitamente, como por exemplo, o ThreatExpert e o Anubis. Porém existem alguns casos onde você não pode distribuir o artefato coletado para análise em plataformas de terceiros. O ZeroWine é uma excelente ferramenta para ajudar a análisar diversos fatores, porém não dispensa em hipotese alguma a análise estática do artefato.

Site do Projeto:  http://zerowine-tryout.sourceforge.net/

Sandbox: ThreatExpert – Automated Threat Analysis

Malware Analysis: TRF2012.DOC.exe (TSPY_BANKER)

Coletei esta amostra a no dia 02 de outubro utilizando um crawler, após o seguinte link ser denunciado no PhishingTank:

http://www.lanterncreekproductions.com/wp-content/plugins/TRF2012.DOC.exe

Este foi submetido no dia 01 de outubro e adicionado à database de Phishing Scam do site. Vamos dar uma olhada sobre o compartamento deste artefato malicioso.

Visão Geral

File name: TRF2012.DOC.exe
File size: 327662 bytes
File type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
CRC32: F945915F
MD5: 1985993d5dfa6f716464d5b83e2cefea

Name

Virtual Address

Virtual Size

Size of Raw Data

Entropy

.text 0x1000 0x116de 0x11800 6.55331181321
.rdata 0x13000 0x1c05 0x1e00 4.8620272429
.data 0x15000 0xff2c 0x200 3.5238242517
.CRT 0x25000 0x10 0x200 0.21310128451
.rsrc 0x26000 0x3bb8 0x3c00 5.25043836477

Na data em que a análise foi realizada, o artefato foi identificado por 11 das 43 engines do VirusTotal:

Antivirus

Result

TotalDefense Win32/Bancos.ABZL
K7AntiVirus Spyware
TrendMicro-HouseCall TROJ_GEN.F47V1001
Kaspersky HEUR:Trojan.Win32.Generic
VIPRE Trojan.Win32.Generic!BT
AntiVir TR/Spy.Banker.LW.191
McAfee-GW-Edition Artemis!1985993D5DFA
ESET-NOD32 probably a variant of Win32/Spy.Delf.OJR
VBA32 BScope.Trojan.Banker.01673
Ikarus Trojan-Spy.Win32.Banker
AVG PSW.Banker_c.AMX

Características Gerais do Artefato

– Executa atividades no Registro do sistema, criando ou modificando entradas de registro;

– Cria um executável do Windows no filesystem

– Cria um arquivo vazio

– Se copia para o Startup do Windows

Arquivos Criados pelo Artefato

File name: __tmp_rar_sfx_access_check_1747328
File size: 0 bytes
File type: empty
MD5: d41d8cd98f00b204e9800998ecf8427e
File name: FFCImage.exe
File size: 560128 bytes
File type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: ab00ad168faa98837c515f9c0c5107f4

Principais Calls executadas pelo Artefato

20:22:42,566 1548 NtCreateFile FileHandle => 0x000000d0
DesiredAccess => 3222274176
FileName => __tmp_rar_sfx_access_check_1747328
CreateDisposition => 5
20:22:42,597 1548 NtCreateFile FileHandle => 0x000000d0
DesiredAccess => 3222274176
FileName => FFCImage.exe
CreateDisposition => 5
20:22:42,925 1548 ShellExecuteExW FilePath => C:\FFCImage.exe
Parameters =>
Show => 1
20:22:42,925 1548 ExitProcess ExitCode => 0

Como podemos ver, ele é um arquivo de instalação gerado pelo SFX do WinRAR que após inicializar cria um novo arquivo chamado FFCImage.exe. Executa ele e mata sua própria execução.

Vamos verificar a análise do arquivo FFCImage.exe

Visão Geral

File name: FFCImage.exe
File size: 560128 bytes
File type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
CRC32: 9252E111
MD5: ab00ad168faa98837c515f9c0c5107f4

Análise Estática – Sessions

Name

Virtual Address

Virtual Size

Size of Raw Data

Entropy

CODE 0x1000 0x73a04 0x73c00 6.64853596153
DATA 0x75000 0x1f24 0x2000 4.8376185419
BSS 0x77000 0xf91 0x0 0.0
.idata 0x78000 0x22f2 0x2400 4.95743023695
.tls 0x7b000 0x10 0x0 0.0
.rdata 0x7c000 0x18 0x200 0.266250557312
.reloc 0x7d000 0x8d48 0x8e00 6.65598337195
.rsrc 0x86000 0x7800 0x7800 4.11603180716

Na data em que a análise foi gerada, o artefato foi identificado por 25 das 43 engines do VirusTotal:

Antivirus

Resultado

McAfee Generic BackDoor.h
Norman W32/Troj_Generic.EMOLI
TotalDefense Win32/Bancos.ABZL
TrendMicro-HouseCall TROJ_GEN.F47V1001
Avast Win32:Banker-GLH [Trj]
Kaspersky HEUR:Trojan.Win32.Generic
BitDefender Gen:Trojan.Heur.KS.5
Agnitum TrojanSpy.Delf!Mhjo8cVHH0A
Sophos Troj/Banker-FPX
Comodo UnclassifiedMalware
F-Secure Gen:Trojan.Heur.KS.5
DrWeb Trojan.PWS.Siggen.40592
VIPRE Trojan.Win32.Generic!BT
AntiVir TR/Spy.Banker.LW.190
TrendMicro TSPY_BANKER.SMAW
McAfee-GW-Edition Generic BackDoor.h
Emsisoft Trojan-Spy.Win32.Banker!IK
GData Gen:Trojan.Heur.KS.5
AhnLab-V3 Spyware/Win32.Banker
VBA32 BScope.Trojan.Banker.01673
ESET-NOD32 probably a variant of Win32/Spy.Delf.OJR
Ikarus Trojan-Spy.Win32.Banker
Fortinet W32/Delf.BBYC!tr.dldr
AVG BackDoor.Generic15.CJTK
Panda Generic Trojan

Arquivos criados pelo Malware

File name: xs1092.txt
File size: 100 bytes
File type: ASCII text, with CRLF, CR, LF line terminators
MD5: 281e9715a7ae03673b2207ed93a79642

Mutexes Criados

  • Global\ProxifierProcIdMutex1308
  • Global\ProxifierStd300Mutex

Chaves de Registro acessadas pelo Malware

  • HKEY_CURRENT_USER\Software\Borland\Locales
  • HKEY_LOCAL_MACHINE\Software\Borland\Locales
  • HKEY_CURRENT_USER\Software\Borland\Delphi\Locales
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Account Manager\Accounts
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog90000009
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000001
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000002
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000003
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000004
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000005
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000006
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000007
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000008
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000009
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000010
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000011
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000012
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000013
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries00000000014
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog50000006
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries00000000001
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries00000000002
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries00000000003
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries00000000004
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc\SecurityService
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock\Parameters
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Winsock
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DnsCache\Parameters
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\DnsClient
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\System\DNSClient

Análise do Comportamento do Malware – Calls

20:57:11,309 204 RegOpenKeyExA Registry => 0x80000001
SubKey => Software\Microsoft\Internet Account Manager\Accounts
Handle => 0x00000000
20:57:11,340 204 NtCreateFile FileHandle => 0x00000068
DesiredAccess => 1074790528
FileName => C:\xs1092.txt
CreateDisposition => 5
20:57:11,340 204 NtWriteFile FileHandle => 0x00000068
Buffer => 0x0012fed0
20:57:11,340 204 NtCreateFile FileHandle => 0x00000068
DesiredAccess => 2148532352
FileName => C:\xs1092.txt
CreateDisposition => 1

Quando executado, este binário acessa a chave de registro do “Internet Account Manager” e exporta todas as entradas existents na chave “Accounts”. Esta chave é responsável por armazenar todas as informações, usuários e senhas de contas adicionadas no Outlook Express. Caso a senha do usuário esteja salva no Pop-up de Autenticação, o artefato irá coletar a mesma e exportar. O dono do malware poderá simplesmente adicionar os valores eu seu próprio outlook e baixar as mensagens do usuário.

Após ele gerar o arquivo xs1092.txt, ele faz uma chamada ao seguinte host:

Hostname

IP Address

muarb3901.batcave.net 83.125.22.186

Abaixo a tela do GeoTracert mostrando a localização do servidor:

Após coletar o tráfego gerado pelo malware, importei o arquivo PCAP no RSA NetWitness para efetuar a análise do tráfego. Abaixo conseguimos remontar e visualizar o pacote enviado pelo Malware:

Conseguimos verificar que o Malware submete as informações através de um  POST em um arquivo post.php. No caso acima as variáveis estavam vazias pois na chave de registro da máquina utilizada como sandbox não havia nenhuma informação.

Após transmitir as informações o binário apaga o txt gerado:

20:57:12,497 204 DeleteFileW FileName => C:\xs1092.txt

O binário estava compactado utilizando o PECompact.