Analiza malware Keylogger iSPY - CERT Orange …Analiza Malware Keylogger iSPY Autor Iwo Graj CERT...
Transcript of Analiza malware Keylogger iSPY - CERT Orange …Analiza Malware Keylogger iSPY Autor Iwo Graj CERT...
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Analiza malware
Keylogger iSPY
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Instalacja złośliwego oprogramowania W październiku na skrzynkę funkcyjną CERT Orange Polska otrzymaliśmy przysłany przez użytkownika
mail z podejrzanym załącznikiem.
Jeśli użytkownik otworzył załączony dokument Microsoft Office, następowała infekcja jego
komputera.
W pliku Microsoft Office znajdował się złośliwy kod, uruchamiający po otwarciu pliku na komputerze
ofiary skrypt PowerShell, który ściągał złośliwe oprogramowanie z zewnętrznego serwera, a
następnie je uruchamiał.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Wirusa można następnie znaleźć w dwóch lokalizacjach systemu operacyjnego Windows.
Pierwszy plik wirusa, który inicjował jego uruchomienie przy starcie systemu to skrót o nazwie
„WCciiQNFHhdY.lnk ” znajdował się w lokalizacji:
C:\[Użytkownicy]\[Nazwa_użytkownika]\AppData\Roaming\Microsoft\Windows\Start
Menu\Programs\Startup\
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Zawartość skrótu wygląda następująco:
Jego zadanie to uruchomienie pliku „PhFM.exe” który to następnie uruchamia kolejny plik (packer),
napisany w języku skryptowym AutoIT – „PhMA.au3”
W celu ukrycia wirus zmieniał atrybuty systemowe swoich plików nadając im atrybuty +SH.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Po usunięciu atrybutów pliki były widoczne z poziomu systemu Windows.
Poniżej fragment zdeobfuskowanego kodu z pliku PhFMA.au3 wraz z funkcjami, które odpowiadały za
tworzenie się plików w danych lokalizacjach oraz dodawanie atrybutów.
Dodatkowo malware dzięki mechanizmom w pliku PhFMA.au3 sprawdzał obecność na zarażonym
komputerze oprogramowania antywirusowego Avast oraz testował, czy jest uruchamiany w
środowisku wirtualnym, służącym do analizy złośliwego oprogramowania, szukając w systemie
działających procesów:
AvastUI.exe
VboxTray.exe
vmtoolsd.exe
SandboxieRpcSs.exe
Analiza działania Oprogramowanie iSpy Keylogger składa się z trzech funkcjonalnych modułów:
Screenshot
Keyboard
Clipboard
Moduł Screenshot odpowiedzialny jest za wykonywanie na zainfekowanym komputerze zrzutów
ekranu, a następnie wysyłanie ich do cyberprzestępcy.
Analizę złośliwego oprogramowania – w celu zaprezentowania dokładnej zasady kradzieży loginów i
haseł – wykonano przy użyciu nieistniejącego loginu i hasła w serwisie orange.pl
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Wykorzystane dane:
Login: CERT ORANGE; Hasło: TEST1
Na początku moduł wykonywał zrzut ekranu do pliku .bmp, zapisując go w lokalizacji
„C:\[UŻYTKOWNICY]\[NAZWA_UŻYTKOWNIKA]\AppData\Local\Temp\” pod losowo wygenerowaną
alfanumeryczną nazwą, składającą się zawsze z tego samego typu ciągu znaków oddzielonych od
siebie znakiem dywizu (-), wg. wzorca: 8 znaków-4 znaki-4 znaki-4 znaki-12 znaków. Przykładowo na
poniższym zrzucie ekranu widzimy ścieżkę do pliku b9becc20-b754-418b-ad01-73ee77b8f49d.bmp
Funkcje związane ze złośliwym działaniem wirusa inicjował proces o nazwie PhFM.exe, wykorzystując
swój drugi komponent w postaci pliku PhFMA.au3. Złośliwy kod wykonywał wstrzyknięcie funkcji do
przestrzeni pamięci procesu uruchomionego przez siebie wcześniej pliku „RegSvcs.exe”, alokując
następnie swoje złośliwe funkcje w jego przestrzeni pamięci. Celem tego typu działania jest
uniknięcie detekcji przez oprogramowanie antywirusowe.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Poniżej na zrzucie ekranu dla przykładu przedstawiono łańcuchy znakowe wyciągnięte z działającego
w pamięci procesu RegSvcs.exe.
W kolejnym kroku wirus przesyłał utworzony wcześniej plik (w naszym przypadku b9becc20-b754-
418b-ad01-73ee77b8f49d.bmp ze zrzutem ekranu z zainfekowanego komputera na serwer
wykorzystywany jako dropzone.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Następnie pobierał informacje o lokalizacji pliku na serwerze w postaci linków.
Przy analizie wirusa został wygenerowany plik o nazwie „DHbBP.png” jest on widoczny na poniższym
zrzucie ekranu:
Następnie malware łączył się z zarządzanym przez cyberprzestępcę serwerem SMTP. Poniższy zrzut
ekranu przedstawia autoryzację wirusa z zainfekowanego komputera do serwera SMTP w celu
przesłania informacji, skąd przestępca może pobrać zrzut ekranu. iSpy uwierzytelniał się do serwera
SMTP, który posiadał możliwość wysyłania e-maili na wskazany adres poczty. Login i hasło były
zakodowane standardowym przy tego typu połączeniach trywialnym do zdekodowania algorytmem
BASE64, co pozwoliło na poznanie loginu i hasła, używanych przez przestępcę.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Powyżej można zaobserwować, iż e-mail posiadał temat, precyzujący jakiego modułu dotyczy, wraz z
nazwą użytkownika oraz zainfekowanego komputera (w tym przypadku „Iwo Graj \ CERT-ORANGE-
LAB”).
Kolejny zrzut ekranu pokazuje link prowadzący bezpośrednio do pobrania pełnego zrzutu ekranu w
postaci pliku „DHbBP.png” z zainfekowanego komputera użytkownika.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Kolejnym modułem analizowanego malware’u jest Keylogger – Keyboard, odpowiedzialny za
logowanie klawiszy naciśniętych przez użytkownika na jego klawiaturze.
Poniższy zrzut pokazuje, że login i hasło wykradzione z zainfekowanego komputera było
przekazywane w analogiczny sposób, jak w przypadku modułu „Screenshot”, różniąc się tematem
wiadomości „Keyboard Log” oraz oczywiście jej treścią.
Analogicznie wygląda sytuacja w przypadku trzeciego modułu wirusa, odpowiedzialnego za
logowanie skopiowanego przez użytkownika fragmentu tekstu.
Na potrzeby analizy został utworzony dokument tekstowy z treścią, która następnie została
skopiowana
.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Sposób przesłania informacji do przestępcy:
W trakcie analizy złośliwego oprogramowania zweryfikowano również poprawność działania serwera
SMTP cyberprzestępcy. Przy użyciu danych pochodzących z analizy kodu malware zalogowano się na
port 587 serwera przy użyciu protokołu telnet, preparując wiadomość wysyłaną przez
cyberprzestępcę tak, by wiadomość trafiła na adres e-mail stworzony na potrzeby niniejszej analizy.
Jak widać poniżej uwierzytelnienie przebiegło poprawnie i zakończyło się sukcesem na serwerze.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
W kolejnym kroku spreparowano wiadomość i wysłano na utworzony wcześniej adres e-mail.
Poniższy zrzut ekranu dowodzi, iż serwer SMTP cyberprzestępcy działa poprawnie, a na e-mail
przyszła spreparowana wiadomość zawierająca dane z modułu Keylogger’a. W takiej właśnie formie
cyberprzestępca odbierał na skrzynce pocztowej wykradzone dane z zainfekowanych komputerów
uzytkowników.
Analiza Malware Keylogger iSPY
Autor Iwo Graj CERT Orange Polska
Rekomendacje
CERT Orange Polska stanowczo zaleca używanie oprogramowania antywirusowego i jego stałą
aktualizację, które z dużym prawdopodobieństwem ułatwi uniknięcia kolejnych infekcji złośliwym
oprogramowaniem i pomoże zminimalizować skutki kolejnych infekcji, a także oprogramowanie typu
firewall, którego zadaniem jest zablokowanie niecharakterystycznego dla zainfekowanej maszyny
ruchu sieciowego.
Wszyscy klienci usług Orange Polska, którzy otrzymali i uruchomili złośliwy załącznik, są chronieni
przed wyciekiem swoich danych dzięki CyberTarczy.
W przypadku braku oprogramowania antywirusowego zalecana jest również instalacja i
przeskanowanie swojego systemu operacyjnego pod względem złośliwego oprogramowania, które
może znajdować się na komputerach użytkowników, na których uruchomiono analizowany malware.