hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
25 października 2019

Archaiczny malware nieprzerwanie żywy

Analizując złośliwą aktywność w sieci Orange Polska czasami trafiamy na rzeczy, które można by określić mianem… wykopaliska? Choćby malware Conficker, który po raz pierwszy pojawił się w sieci w 2008 roku, regularnie „odpukujący” się w naszej CyberTarczy u +/- 500 zainfekowanych użytkowników. Albo Virlock – dość archaiczny prekursor dzisiejszych ransomware, na którego nasi eksperci natknęli się, analizując złośliwy ruch w naszej sieci.

Zaczęło się od podejrzanej komunikacji do adresu IP 40.121.206.97, który – jak się okazało – należy do firmy Microsoft. Dalsza analiza wykazała, że wszystkie połączenia odbywały się za pomocą metody POST ze strukturą nagłówka identyczną z tą, której używa Trojan Necurs, tj:

(content:!”NSIS|5f|Inetc |28|Mozilla|29|”; http_user_agent; pcre:”/^(?:d{1,3}.){3}d{1,3}/W”; pcre:”/^[x20-x7ern]{0,20}[^x20-x7ern]/P”; )

Po dokładniejszemu przyjrzeniu się aktywności okazało się, że mamy faktycznie do czynienia z Necursem, instalującym na komputerze ofiary ransomware NSB i Virlock (ransomware starej generacji, który zamiast szyfrowania plików straszy socjotechniką, blokuje ekran i usiłuje przekonać do zapłacenia okupu).

Co zdarzyło się po uruchomieniu próbki na maszynie wirtualnej?

Uruchomienie Virlocka:

  • Dodanie uruchomionego procesu do autostartu
  • Modyfikacja plików w folderze rozszerzeń do Chrome, w efekcie którego uruchomienie przeglądarki wyświetli żądanie okupu:

C:UsersadminAppDataLocalGoogleChromeUser DataDefaultExtensionsaapocclcgogkmnckokdopfmhonfmgoek.10_0icon_128.png.exe

  • Zrzucenie pliku instrukcji (z adresem portfela bitcoinowego) i zestawienie komunikacji z Virlockiem na porcie 9999

Uruchomienie NSB Ransomware:

  • Uruchomienie

cmd.exe /C del /Q /F „C:UsersadminAppDataLocalTemp79c01881.tmp

  • Ukrycie w rejestrze rozszerzeń plików samego pliku i wyłączenie User Account Control (EnableLUA 0)

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /f /v HideFileExt /t REG_DWORD /d 1

reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /d 0 /t REG_DWORD /f

Sieciowy hardening + Necurs:

  • Uruchomienie i modyfikacja usługi syshost

„C:WindowsInstaller{FCC7BCFA-4F9D-9B25-5F92-E2323F5B07FD}syshost.exe” /service

  • „Ostrzelenie” Firewalla

„C:Windowssystem32netsh.exe” advfirewall firewall set rule name=”Core Networking – System IP Core” dir=in new action=allow enable=yes profile=any

„C:Windowssystem32netsh.exe” advfirewall firewall set rule name=”Core Networking – System IP Core” dir=out new action=allow enable=yes profile=any

  • Komunikacja z botnetem na procie 7814
  • Olbrzymia liczba zapytań do dedykowanych serwerów DNS oraz komunikacji UDP/TCP na wysokie porty, a także charakterystyczne dla Necursa zapytania POST do wystawionych webserwisów.

Powyższe aktywności dowodzą, iż nawet w przypadku zagrożenia starego, dobrze opisanego i wyłapywanego przez sieciowe urządzenia bezpieczeństwa wciąż trafiają się zainfekowane ofiary. Ciekawe, co łączy wszystkich, do których usiłuje (bo blokuje ją CyberTarcza – i, w co najmniej jednym przypadku, Microsoft, którego sinkholem okazał się adres, budzący na początku nasze zainteresowanie) „dobić” się infrastruktura botnetu? Stare, niełatane systemy operacyjne? Luki bezpieczeństwa w aplikacjach, o których dawno zapomnieli nawet ich twórcy? A może po prostu to jakieś stare, wciśnięte od lat w kąt szafy albo pod stół serwery, o istnieniu których wskazuje tylko wyższy rachunek za prąd? To pozostanie tajemnicą ofiar.

Indicators of Compromise

200.87.164.69:9999 (Virlock)
190.186.45.170: 9999 (Virlock    
109.1999.229.10:7814 (początkowa komunikacja)

Adresy zapytań POST (każdy zakończony ścieżką /forum/db.php)

hxxp://95.158.198.115
hxxp://203.54.16.77
hxxp://195.157.15.100
hxxp://203.118.175.251
hxxp://95.126.202.219
hxxp://200.246.15.148
hxxp://94.158.157.246
hxxp://94.94.213.157
hxxp://92.94.31.34
hxxp://76.254.108.197
hxxp://188.68.43.28
hxxp://77.222.0.67
hxxp://219.214.58.232
hxxp://202.214.238.123
hxxp://95.94.108.186
hxxp://201.214.29.30
hxxp://92.190.14.53
hxxp://76.158.113.136
hxxp://195.157.15.100 (botnet Ponego)
hxxp://40.121.206.97 (sinkhole Microsoftu)

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

22 kwietnia 2025
(nie)Bezpieczna Sieć – seniorzy, ten film jest dla Was!
Dowiedz się więcej
16 kwietnia 2025
Raport CERT Orange Polska 2024 już dostępny!
Dowiedz się więcej
15 kwietnia 2025
PKO BP na celowniku przestępców – nowa kampania Remcos RAT
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance