Ta witryna korzysta z plików cookies. Korzystając z witryny akceptujesz: polityka prywatności.   [×]
Online: 0x0F (15)
haker.iиfø — Etyczny hacking
Spreading knowledge like a virus. _

Analiza przykładowej próbki malware

🕰 ✒️ Dawid Farbaniec 📄 490 słów

0x01. Słowem wstępu

Dzisiaj do laboratorium trafił plik o nazwie Podręczniki oprogramowania.exe. Jednak nazwę pliku można nadać dowolną i nie jest to dobry identyfikator. Lepiej jest obliczyć funkcje skrótu (tzw. hash), które wyróżniają się tym, że nawet najmniejsza zmiana w danych wejściowych powoduje dużą zmianę zwróconej wartości. Przeważnie wystarcza jeden rodzaj algorytmu, ale dla łatwiejszego znalezienia tej analizy przez wyszukiwarki można obliczyć kilka rodzajów funkcji (Czy tylko ja wklejam hash'e w Google?).

SHA3-512: BC4345B9603A5CD772CC9BBE5EE6620EF7732FA3EAF59C5B9B20EAB8C3D93DC75DEFE7B031E0D289084FE653D63B9E29A5E2C2B01F909468ACB0FFE9EE6EED38
SHA2-512: 97AFFC468FAD12E65ECD8C1F205C6D3BA04936F9557B35E45D8A8704028AC1E051A63512FBFD001B4C4532794137F911280D7432ABD00FF88E09CEE500BCA983
SHA2-384: CE95120AC1EF362D6BD3EB965CA0C070E2D4C0668D0F2039642FF21BAE4297CC32CF4663F13BE6E4D5398C5764AC1582
SHA2-256: 2DDE2B25FDECA33DCD42BD9E38539A73DFB75B3F9F79106189ED624D692244D8
SHA1: CA70132D25851D9A164E9A7DE3E49C301DD5786F
RIPEMD-320: B011A7A86F3FC96890A4F053C52FEC47A2C7B764FC2616E11407EE559773AF2D79053D450A19BE8B
RIPEMD-256: 810D2C473D5E16559CCF6D8AD233EF4AE70EBDB689AFDDBBC6F4249B244707C2
RIPEMD-160: 69534AC62930D2C928F8C6873813062D7833B6B4
RIPEMD-128: 6BBFFEAEB0E747E9A375857A6B346741
Whirlpool: 63776975D37D34A4147CC7EF653191503A7CA73E60E0828627A663A41DE207D705C7AA1503F40D91D772ACD4177CE21923B4EF4C3DCBE99BEADC5DDD9B5E5874
Keccak-288: F46C64B2133EAC714D5E36AD8B7D2B4CF728D8BD841B5C090C98A0E22BAAA73FFA962DC7
MD5: 8C094CCF027645C1C8EF1039A93EE207

0x02. Analiza za pomocą VirusTotal

Przesłanie próbki złośliwego oprogramowania do serwisu, który wykona automatyczną analizę da ogólny pogląd z czym ma się doczynienia.

47 security vendors flagged this file as malicious
(47 dostawców oznaczyło plik jako złośliwy)

Wśród sygnatur można spotkać m.in.:

🦠 Trojan-Downloader
Program ściąga dodatkowe złośliwe ładunki (ang. payload) z sieci.

🦠 Win.Malware.Redline-9866075-1
Według witryny https://www.proofpoint.com/us/blog/threat-insight/new-redline-stealer-distributed-using-coronavirus-themed-email-campaign program RedLine Stealer, to narzędzie nieetycznych hakerów, które potrafi m.in. wykradać dane (np. z przeglądarek), logować informacje o użytkowniku (IP, lokalizacja, informacje o systemie) czy za pomocą techniki RunPE wstrzykiwać złośliwy kod w inne procesy.

🦠 Spyware.InfoStealer.MSIL.Generic
To oznaczenie również dotyczy, że program może wykradać różne dane. Warto zwrócić uwagę na skrót MSIL w sygnaturze. Jest to Microsoft Intermediate Language, czyli w prostych słowach oznacza to, że plik wykonywalny to program dla środowiska .NET

Złośliwy program komunikuje się z następującymi adresami URL:

  • hxxps://api.ip.sb/geoip
  • hxxp://176.9.?.?:41107/
  • hxxps://???.gofast24.ru/SystemDataOleDbOleDbConnectionStringUDL98178

Pierwszy link najprawdopodobniej służy do pobrania informacji adresie IP zainfekowanej maszyny:

image
Rysunek: Geolokalizacja po adresie IP

Pod drugim linkiem odezwała się usługa WCF:

image
Rysunek: Usługa Windows Communication Foundation

Trzeci link zwraca jakieś dane, które są zakodowane Base64, albo tylko udają.

image
Rysunek: Dane są najprawdopodobniej zaciemnione

Jeśli ufać nazwie SystemDataOleDbOleDbConnectionStringUDL98178 w trzecim linku, to te dane mogą być tzw. Connection String, czyli napisem zawierającym informacje dot. połączenia np. z bazą danych.

https://docs.microsoft.com/en-us/dotnet/api/system.data.sqlclient.sqlconnection.connectionstring

Jakby ktoś by się zabierał za rozszyfrowanie to prawdopodobnie z ciągu usuwany jest fragment DomainNameHelper88688.

image
Rysunek: Dekompilacja kodu .NET za pomocą narzędzia dnSpy

Fragment o plikach otwieranych przez program w raporcie VirusTotal wskazuje, że informacje z przeglądarek mogą być wykradane:

image
Rysunek: Możliwe wykradanie danych z przeglądarek

Program sprawdza również jakie oprogramowanie zabezpieczające jest zainstalowane:

image
Rysunek: Sprawdzanie zainstalowanego oprogramowania

0x03. Analiza za pomocą AnyRun

Usługa pod adresem https://app.any.run/ pozwala na automatyczną analizę wraz z dokładną możliwością zbadania np. przesyłanych danych.

image
Rysunek: Automatyczna analiza złośliwego oprogramowania

Z prawej strony zakładki HTTP Requests można pobrać co złośliwy program wysłał.

image
Rysunek: Program jak widać zbiera dane z przeglądarek

Zebranych informacji jest dość sporo. Zrzut ekranu przedstawia wykradzione dane z przeglądarek. Oczywiście są to dane z honeypot na którym uruchomiliśmy próbkę.

Ciekawą sprawą jest, że złośliwy program w pętli odwiedza domenę ???.gofast24.ru. Rejestrator ruchu sieciowego Fiddler pokazał bardzo dużo takich zapytań. Jednak usługa AnyRun wykazała, że skradzione dane są wysyłane do hxxp://176.9.???.???:41107//.

image
Rysunek: Pętla wysyłanych zapytań

0x04. Podsumowanie

Program może być odmianą Redline Stealer lub złośliwym programem złożonym z wielu modułów. Niniejsza analiza to tylko ogólne przyjrzenie się zagrożeniu.

Wykaz literatury (bibliografia)

[1] https://www.virustotal.com/gui/file/2dde2b25fdeca33dcd42bd9e38539a73dfb75b3f9f79106189ed624d692244d8/summary [dostęp: 07.06.2021 r.]
[2] https://app.any.run/tasks/d0a6b246-b1f0-4e13-8432-3177d9dd7809# [dostęp: 07.06.2021 r.]


Komentarze czytelników

📖 Trzymaj e-booka! 👋🏻

\\ więcej książek i e-booków »

💬 Komentarze [0]

jas napisał komentarz do ↴
🔳 Dekodowanie kodu Aztec 2D z dowodu rejestracyjnego
[🕰 / 🌎 IP address logged ]
jas napisał komentarz do ↴
🔳 Mowa szesnastkowa (ang. hex speech)
[🕰 / 🌎 IP address logged ]
Iceman napisał komentarz do ↴
🔳 Mowa szesnastkowa (ang. hex speech)
[🕰 / 🌎 IP address logged ]

🎲 Losowe wpisy

Kod relokowalny/wstrzykiwalny (x64) (3020 słów) Przeczytaj teraz »
Hacking i wartości moralne – przemyślenia (780 słów) Przeczytaj teraz »
Metodyki wytwarzania oprogramowania (770 słów) Przeczytaj teraz »

Maskotka haker.info

Postać Mr. At nawiązuje do gier z gatunku roguelike/ASCII RPG w których do wyświetlania grafiki korzysta się ze znaków tekstowych. Znak @ (at) w grach roguelike przeważnie oznacza postać bohatera.

Kontakt

mgr inż. Dawid Farbaniec  //  haker.iиfø

E-mail:
office@haker.info

Odwiedź mnie również na:

 

Wyrazy uznania: 📜 Credits page

Wszystkie treści umieszczone na tej witrynie są chronione prawem autorskim. Surowo zabronione jest kopiowanie i rozpowszechnianie zawartości tej witryny bez zgody autora. Wszelkie opublikowane tutaj treści (w tym kody źródłowe i inne) służą wyłącznie celom informacyjnym oraz edukacyjnym. Właściciele tej witryny nie ponoszą odpowiedzialności za ewentualne niezgodne z prawem wykorzystanie zasobów dostępnych w witrynie. Użytkownik tej witryny oświadcza, że z zamieszczonych tutaj danych korzysta na własną odpowiedzialność. Wszelkie znaki towarowe i nazwy zastrzeżone zostały użyte jedynie w celach informacyjnych i należą wyłącznie do ich prawnych właścicieli. Autor tej witryny w czasie tworzenia treści nie działa w imieniu firm, których technologie czy produkty opisuje — chyba, że jest to jasno oznaczone. Korzystając z zasobów witryny haker.info oświadczasz, że akceptujesz powyższe warunki oraz politykę prywatności.