Win32.PWSZbot.fc - CERT Orange Polska
Transkrypt
Win32.PWSZbot.fc - CERT Orange Polska
Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa Warszawa, dnia 05.02.2016 Analiza kampanii złośliwego Oprogramowania – „E-Faktura” Orange Win32.PWSZbot.fc CERT OPL analiza malware; autor: Iwo Graj Strona 1 z 7 Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa 1. Wstęp Znaczna liczba polskich internautów – w tym klienci Orange Polska – otrzymała we wtorek 2 lutego 2016 roku na swoje skrzynki e-mail wyglądający jak załącznik z fakturą do Orange. Wiadomość wraz z rozsyłanym załącznikiem posiadała tylko i wyłącznie nadawcę, oraz temat wiadomości „Fwd: E-Faktura Orange” bez treści. W załączniku wiadomości znajdował się plik o nazwie „FAKTURA-P15483212-34576224252-000233455.pdf.xml.sig.zip” który był skompresowanym archiwum. 2. Analiza Po rozpakowaniu archiwum znajdował się w nim wykonywalny plik binarny z rozszerzeniem „.exe” o nazwie „FAKTURA-P-15476021-65910650327719-00056067.pdf.xml.sig_.png.exe” CERT OPL analiza malware; autor: Iwo Graj Strona 2 z 7 Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa Po otworzeniu pliku, złośliwe oprogramowanie tworzyło nowy plik wykonywalny w innym katalogu i lokalizacji w systemie jak również dopisywało do rejestru klucz w celu ponownego uruchomienia się przy starcie systemu oraz tworzyło skrypt, który miał za zadanie usunąć uruchamiany przez użytkownika plik. Procedura zawarta w kodzie wirusa tworzyła skrypt BATCH pod losową nazwą w lokalizacji użytkownika systemu podczas analizy kodu ścieżka wyglądała następująco „C:\Users\IwoGraj\AppData\Local\Temp\711B\711B.bat” CERT OPL analiza malware; autor: Iwo Graj Strona 3 z 7 Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa Złośliwy kod tworzył w rejestrze systemowym klucz o losowo wygenerowanej nazwie w lokalizacji „HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run” a następnie tworzył plik i katalog również o losowej nazwie w lokalizacji „C:\Users\<Użytkownik>\AppData\Roaming\” . Podczas analizy tego przypadku stworzona przez wirusa nazwa pliku to „api-esvc.exe” w lokalizacji „C:\Users\<Użytkownik>\AppData\Roaming\blbrsapi\” Jedną z funkcji malware było przechwytywanie informacji z przeglądarek użytkownika w postaci loginów i haseł, a także zawartości ciasteczek (cookies). Następnie były one kopiowane do lokalizacji „C:\Users\<Użytkownik>\AppData\Local\Temp\”, gdzie malware tworzył archiwa w postaci plików o losowych nazwach z rozszerzeniem .bin: Po rozpakowaniu archiwum o nazwie „E11F.bin” w utworzonym katalogu znajdowały się wygenerowane pliki o losowych nazwach bez rozszerzenia. Na potrzeby tej analizy został stworzony użytkownik o nazwie jankowalczyk.1955 oraz haśle qwe.123 – następnie tymi danymi zalogowano się na konto pocztowe, by przedstawić sposób działania wirusa. Plik zawierał: - datę oraz czas uruchomienia przeglądarki: 04-02-2016 06:15:42 CERT OPL analiza malware; autor: Iwo Graj Strona 4 z 7 Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa - nazwę użytkownika systemu Windows: Iwo Graj adres strony na którą wszedł użytkownik: https://poczta.o2.pl/login.html zawartość cookie login oraz hasło do poczty: [email protected] , qwe.123 W takiej formie wszystkie wykradzione z komputera użytkownika informacje w postaci haseł i loginów trafiają do przestępcy. Następnie malware przesyłał spakowane archiwa z rozszerzeniem „.bin” z zawartością loginów i haseł oraz innych informacji do Command&Control do dyspozycji cyber-przestępcy. Poniżej dla przykładu komunikacja związana z przesłaniem pliku „62c9.bin” z zainfekowanego komputera na jedną z domen wykorzystywanych przez cyberprzestępce na adres „mempobuthousesbexecutive.com”. Złośliwy kod wykorzystywał wiele inny domen w celach komunikacji ze swoim Command&Control. CERT OPL analiza malware; autor: Iwo Graj Strona 5 z 7 Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa Inną równie ciekawą funkcją wirusa jest logowanie klawiszy wpisanych przez użytkownika. Dla przykładu analizy był to ciąg znakowany złożony z litery „a”. Ciąg dwudziestu liter „a” został wpisany do nowo powstałego dokumentu tekstowego. Na poniższym zrzucie ekranowym można zauważyć, że wirus utworzył archiwum o nazwie „6769.bin”. CERT OPL analiza malware; autor: Iwo Graj Strona 6 z 7 Orange Polska S.A. Bezpieczeństwo Systemów Teleinformatycznych / Wydział Operacji Bezpieczeństwa Po przeanalizowaniu zawartości archiwum w pliku bez rozszerzenia o losowo wygenerowanej nazwie znajdowała się zawartość ciągu złożonego z dwudziestu liter „a” oraz inne informacje, dotyczące aktywności użytkownika: - datę oraz czas uruchomionej aplikacji: 04-02-2016 06:34:22 - ścieżkę do uruchomionej aplikacji: C:\Windows\system32\NOTEPAD.EXE - nazwę pliku - wpisany tekst: „aaaaaaaaaaaaaaaaaaaa” 3. Rekomendacje CERT Orange Polska zaleca stosowanie oprogramowania antywirusowego, które może przyczynić się do uniknięcia i zminimalizowania skutków kolejnych infekcji rożnego rodzaju złośliwym oprogramowaniem w przyszłości. Wszyscy użytkownicy Orange, którzy dostali złośliwy załącznik i go uruchomili są chronieni przed wyciekiem swoich danych za pomocą CyberTarczy. CERT OPL analiza malware; autor: Iwo Graj Strona 7 z 7