Zaloguj się do usług
bezpieczeństwa
25 października 2019
Archaiczny malware nieprzerwanie żywy

Analizując złośliwą aktywność w sieci Orange Polska czasami trafiamy na rzeczy, które można by określić mianem... wykopaliska? Choćby malware Conficker, który po raz pierwszy pojawił się w sieci w 2008 roku, regularnie „odpukujący” się w naszej CyberTarczy u +/- 500 zainfekowanych użytkowników. Albo Virlock – dość archaiczny prekursor dzisiejszych ransomware, na którego nasi eksperci natknęli się, analizując złośliwy ruch w naszej sieci.

Zaczęło się od podejrzanej komunikacji do adresu IP 40.121.206.97, który – jak się okazało – należy do firmy Microsoft. Dalsza analiza wykazała, że wszystkie połączenia odbywały się za pomocą metody POST ze strukturą nagłówka identyczną z tą, której używa Trojan Necurs, tj:

(content:!"NSIS|5f|Inetc |28|Mozilla|29|"; http_user_agent; pcre:"/^(?:\d{1,3}\.){3}\d{1,3}/W"; pcre:"/^[\x20-\x7e\r\n]{0,20}[^\x20-\x7e\r\n]/P"; )

Po dokładniejszemu przyjrzeniu się aktywności okazało się, że mamy faktycznie do czynienia z Necursem, instalującym na komputerze ofiary ransomware NSB i Virlock (ransomware starej generacji, który zamiast szyfrowania plików straszy socjotechniką, blokuje ekran i usiłuje przekonać do zapłacenia okupu).

Co zdarzyło się po uruchomieniu próbki na maszynie wirtualnej?

Uruchomienie Virlocka:

  • Dodanie uruchomionego procesu do autostartu
  • Modyfikacja plików w folderze rozszerzeń do Chrome, w efekcie którego uruchomienie przeglądarki wyświetli żądanie okupu:

C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek\0.10_0\icon_128.png.exe

  • Zrzucenie pliku instrukcji (z adresem portfela bitcoinowego) i zestawienie komunikacji z Virlockiem na porcie 9999

Uruchomienie NSB Ransomware:

  • Uruchomienie

cmd.exe /C del /Q /F "C:\Users\admin\AppData\Local\Temp\79c01881.tmp

  • Ukrycie w rejestrze rozszerzeń plików samego pliku i wyłączenie User Account Control (EnableLUA 0)

reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /f /v HideFileExt /t REG_DWORD /d 1

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /d 0 /t REG_DWORD /f

Sieciowy hardening + Necurs:

  • Uruchomienie i modyfikacja usługi syshost

"C:\Windows\Installer\{FCC7BCFA-4F9D-9B25-5F92-E2323F5B07FD}\syshost.exe" /service

  • "Ostrzelenie" Firewalla

"C:\Windows\system32\netsh.exe" advfirewall firewall set rule name="Core Networking - System IP Core" dir=in new action=allow enable=yes profile=any

"C:\Windows\system32\netsh.exe" advfirewall firewall set rule name="Core Networking - System IP Core" dir=out new action=allow enable=yes profile=any

  • Komunikacja z botnetem na procie 7814
  • Olbrzymia liczba zapytań do dedykowanych serwerów DNS oraz komunikacji UDP/TCP na wysokie porty, a także charakterystyczne dla Necursa zapytania POST do wystawionych webserwisów.

Powyższe aktywności dowodzą, iż nawet w przypadku zagrożenia starego, dobrze opisanego i wyłapywanego przez sieciowe urządzenia bezpieczeństwa wciąż trafiają się zainfekowane ofiary. Ciekawe, co łączy wszystkich, do których usiłuje (bo blokuje ją CyberTarcza – i, w co najmniej jednym przypadku, Microsoft, którego sinkholem okazał się adres, budzący na początku nasze zainteresowanie) „dobić” się infrastruktura botnetu? Stare, niełatane systemy operacyjne? Luki bezpieczeństwa w aplikacjach, o których dawno zapomnieli nawet ich twórcy? A może po prostu to jakieś stare, wciśnięte od lat w kąt szafy albo pod stół serwery, o istnieniu których wskazuje tylko wyższy rachunek za prąd? To pozostanie tajemnicą ofiar.

Indicators of Compromise

200.87.164.69:9999 (Virlock)
190.186.45.170: 9999 (Virlock    
109.1999.229.10:7814 (początkowa komunikacja)

Adresy zapytań POST (każdy zakończony ścieżką /forum/db.php)

hxxp://95.158.198.115
hxxp://203.54.16.77
hxxp://195.157.15.100
hxxp://203.118.175.251
hxxp://95.126.202.219
hxxp://200.246.15.148
hxxp://94.158.157.246
hxxp://94.94.213.157
hxxp://92.94.31.34
hxxp://76.254.108.197
hxxp://188.68.43.28
hxxp://77.222.0.67
hxxp://219.214.58.232
hxxp://202.214.238.123
hxxp://95.94.108.186
hxxp://201.214.29.30
hxxp://92.190.14.53
hxxp://76.158.113.136
hxxp://195.157.15.100 (botnet Ponego)
hxxp://40.121.206.97 (sinkhole Microsoftu)


Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl