Nowy wariant ataków na skrzynki Polaków – uwaga na pliki DOCM

dodał 5 stycznia 2016 o 21:47 w kategorii Złośniki  z tagami:
Nowy wariant ataków na skrzynki Polaków – uwaga na pliki DOCM

Około tygodnia temu w skrzynkach Polaków zaczął pojawiać się nowy rodzaj ataków złośliwego oprogramowania. Choć używa kombinacji wcześniej znanych metod ataku, warto przyjrzeć się jego nietypowym szczegółom.

Autorem poniższej analizy jest nasz nowy współpracownik, miłośnik dziwnego, głównie polskiego złośliwego oprogramowania, Łukasz. Liczymy na to, że dzięki tej współpracy jakość naszych analiz nowych zagrożeń znacząco się poprawi. Oddajmy głos Łukaszowi.

Ciekawa kampania

Ostatnio do laboratorium Zaufanej Trzeciej Strony trafiła wiadomość e-mail, której załącznik zawierał złośliwy dokument programu Microsoft Word. Wiadomość o temacie FS-VAT, 30.12.2015 zawierała następującą treść:

W załączniku znajdował się plik FV_30_12_2015.zip a w nim plik o nazwie FV_30_12_2015.docm. Pliki o rozszerzeniu DOCM są plikami dokumentów Microsoft Word 2007 ze wsparciem dla makr. Użycie tak niestandardowego rozszerzenia ma za zadanie ominąć proste i przeważnie i tak nieskuteczne filtry poczty, które implementują niektórzy administratorzy. Sprawdzają one rozszerzenia załączonych plików jak i rozszerzenia plików w załączonych skompresowanych archiwach. W przypadku gdy zostanie wykryte jedno ze zdefiniowanych, potencjalnie złych rozszerzeń e-mail jest oznaczony jako podejrzany. Warto zauważyć, że w przypadku szyfrowanych plików ZIP lista plików nie jest szyfrowana, więc takie filtry zadziałają normalnie.

Po otwarciu rozpakowanego pliku DOCM zobaczymy następujący dokument:

Wygląd fałszywej faktury

Wygląd fałszywej faktury

Jak widać, użytkownik jest zachęcany do włączenia obsługi makr aby zobaczyć konto na które należy przelać kwotę faktury. Co ciekawe, w dokumencie wymieniona jest stawka VAT 22%, która aktualnie nie istnieje w polskim systemie podatkowym. Po otwarciu dokumentu i włączeniu obsługi makr zostanie wykonana procedura “Document_Open”, która w tym przypadku wygląda następująco:

Okno dialogowe z napisem “This is fun” nie zostanie wyświetlone, gdyż linia ta zaczyna się od znaku komentarza (‘). Następnie wywołana jest funkcja o nazwie dupax (co, jak i inne wulgaryzmy w kodzie, może wskazywać na polskie pochodzenie atakującego). Funkcja ta ma za zadanie pobrać plik, zapisać go pod odpowiednią nazwą, a następnie uruchomić. Kod dupax jest przedstawiony poniżej.

Obecność pliku “C:\ProgramData\serverent.exe” na naszym dysku może oznaczać infekcję tym złośliwym oprogramowaniem. Analiza pobranego pliku w serwisie VirusTotal znajduje się pod tym linkiem.

Po kilku dniach do naszego laboratorium trafiła kolejna wiadomość nosząca duże znamiona podobieństwa. 4 stycznia do skrzynek ofiar rozsyłana była wiadomość o temacie wezwanie do zaplacenia i treści

Załączony plik wezwanie_windyk.docm zawierał podobny kod. Był to znowu plik DOCM (analiza na VirusTotal), tym razem pobierał plik z adresu URL

Plik był pobierany do obecnego katalogu pod nazwą “serv.exe”, jednak jest to dokładnie to samo złośliwe oprogramowanie.

Z kolei 5 stycznia rozsyłana była wiadomość o temacie FV-rozliczeniowa i treści

oraz załączniku FV_05_01_2015.zip (FV_05_01_2015.doc:).

Dalsza analiza próbek które do nas dotarły wskazała, że pierwszy ślad ataku noszącego znamiona istotnego podobieństwa pochodzi z 28 grudnia 2015, kiedy to w innej wiadomości rozsyłany był plik windykac_28_12_2015.pdf.scr, uruchamiający identyczne złośliwe oprogramowanie jak to rozsyłane w dwóch pozostałych kampaniach.

Co ciekawe, w makrach plików pochodzących z najnowszej kampanii znajduje się procedura dekodująca używająca ROT13. Nie jest aktualnie używana, ale być może jest to element, który zostanie wykorzystany w późniejszych wysyłkach. Jak widać, kampania jest wciąż aktywna i możemy się spodziewać, że jeszcze trochę potrwa. Interesujący jest także fakt, ze w przeciwieństwie do innych obserwowanych przez nas ataków, gdzie widujemy po 50-100 próbek dziennie, w tych kampaniach docierają do nas jedynie pojedyncze wysyłki. Sugeruje to, że jej autorzy stosują ograniczoną dystrybucję.

NetWire RAT i jego protektor

Pobrany plik to RAT (Remote Administration Tool) o nazwie NetWire. Stąd pewnie pochodzi nazwa pobieranego pliku – nw.exe. Po uruchomieniu złośliwe oprogramowanie kopiuje się do pliku C:\WINDOWS\xoudbpxxzzoufff.exe, dodaje się do autostartu systemu Windows (z nazwą “avast”) i jest ponownie uruchamiane. W kolejnym kroku uruchamia swoją kopię i rozpakowuje kod właściwego programu za pomocą techniki “process hollowing”. Technika “process hollowing” polega na uruchomieniu programu w trybie SUSPENDED, nadpisaniu kodu tego programu i przywróceniu jego działania. Właściwy, wykonywany kod różni się zatem od tego obecnego na dysku.

Rozpakowana wersja złośliwego oprogramowania jest już wykrywana przez 29/55 rozwiązań antywirusowych, a nie 4/53 jak wersja zaciemniona. Warto zwrócić uwagę na to, że większość rozwiązań antywirusowych działających w normalnych warunkach (tzn. na prawdziwym komputerze, a nie w serwisie VirusTotal) skanuje także pamięć programu podczas działania. Zatem pewnie wykrywalność rozpakowanej wersji jest bardziej bliska rzeczywistości.

Cały proces rozpakowywania jest wykonywany przez protektor o nazwie MadProtect, napisany przez osobę o pseudonimie “prick”. Protektor wykorzystuje również technikę zaciemniania kodu, która ma za zadanie utrudnić, a może bardziej uprzykrzyć, analizę złośliwego oprogramowania. Polega ona na wywołaniu bezsensownych funkcji (w tym przypadku pochodzącej z tej strony) oraz nadmiarowych instrukcji pustych (nop) i skoków nie zmieniających przebiegu programu. Poniżej widać przykład takich instrukcji. Na szczęście łatwo je odróżnić od innych, sensownych wywołań.

Fragment kodu NetWire

Fragment kodu NetWire

NetWire RAT jest publicznie dostępnym złośliwym oprogramowaniem. Licencję pozwalają na używanie go przez 6 miesięcy można kupić za 85 dolarów w jednym ze sklepów online. Warto zaznaczyć, że działa on na systemach Linuks, Windows lub Mac. Analizowana próbka posiada następujące możliwości:

  • logowanie wciśniętych klawiszy (keylogger)
  • zdalne wyświetlanie pulpitu
  • kradzież haseł z m.in.: Firefox, Thunderbird, SeaMonkey, Opera, Pidgin, Internet Explorer, Chrome, Chromium czy MS Outlook
  • wyświetlanie obrazu z kamery i dźwięku z mikrofonu
  • kradzież plików
  • wysyłanie podstawowych informacji o komputerze: lista zainstalowanych programów, informacje o używanym sprzęcie etc.
  • pobranie i wykonanie pliku
  • usunięcie się z systemu – realizowane przez stworzenie pliku bat z komendami usuwającymi malware

Analizowana próbka łączy się z serwerem C&C o adresie IP 213.152.161.69 na port TCP/3838 albo TCP/3837. Taka sama próbka była opakowana we wspomniany wcześniej plik o nazwie “windykac_28_12_2015.pdf.scr”, który po raz pierwszy zeskanowany został w serwisie VirusTotal 28 grudnia 2015 roku. Plik nw.exe był za to pierwszy raz zeskanowany 30 grudnia 2015 roku.

Wcześniejsze (?) złośliwe oprogramowanie

Adres IP serwera C&C – 213.152.161.69 – w listopadzie był przypisany do domeny pfo3a4lsg0.airdns.org, która we wrześniu rozwiązywała się na adres IP innego serwera C&C – 213.152.161.74. Oczywiście to może być zupełnie przypadkowe powiązanie, ale doprowadziło ono do ciekawej próbki złośliwego oprogramowania. Celem tego napisanego w języku .NET programu jest przeszukanie wszystkich plików i zlokalizowanie tych o rozszerzeniach DOC(X), XLS(X), PPT(X) lub PDF. Następnie lista plików jest wysyłana do serwera C&C. Definicje adresów serwerów C&C z badanej próbki znajdują się poniżej.

Serwery C&C

Serwery C&C

Po wysłaniu listy plików, wysyłane są kolejne pliki z tej listy. Proces skanowania i wysyłania nowych plików odbywa się co 5 minut. Program, oprócz tej podstawowej funkcji, potrafi również wykonać swoją aktualizację.

Złośliwe oprogramowanie również pobiera z serwera C&C bibliotekę DLL udostępniającą wygodny interfejs do tworzenia zadań systemowych w języku .NET. Następnie dodaje zadanie, które zapewnia, że będzie uruchamiany przy każdym logowaniu. W tej sposób zapewnia sobie dostęp do wszystkich przyszłych plików, które zainfekowany użytkownik stworzy.

Jak widać, pojawia się coraz więcej polskich cyberprzestepców. Przeważnie korzystają oni – jak w tym przypadku – z gotowych rozwiązań, ale zdarzają się też autorskie pomysły (jak np. Banatrix). Korzystają również z coraz nowszych metod unikania filtrów antyspamowych, zaciemnienia kodu czy w końcu tworząc bardzo skomplikowane, wiarygodne kampanie mailingowe.