hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
25 października 2019

Archaiczny malware nieprzerwanie żywy

Analizując złośliwą aktywność w sieci Orange Polska czasami trafiamy na rzeczy, które można by określić mianem… wykopaliska? Choćby malware Conficker, który po raz pierwszy pojawił się w sieci w 2008 roku, regularnie „odpukujący” się w naszej CyberTarczy u +/- 500 zainfekowanych użytkowników. Albo Virlock – dość archaiczny prekursor dzisiejszych ransomware, na którego nasi eksperci natknęli się, analizując złośliwy ruch w naszej sieci.

Zaczęło się od podejrzanej komunikacji do adresu IP 40.121.206.97, który – jak się okazało – należy do firmy Microsoft. Dalsza analiza wykazała, że wszystkie połączenia odbywały się za pomocą metody POST ze strukturą nagłówka identyczną z tą, której używa Trojan Necurs, tj:

(content:!”NSIS|5f|Inetc |28|Mozilla|29|”; http_user_agent; pcre:”/^(?:d{1,3}.){3}d{1,3}/W”; pcre:”/^[x20-x7ern]{0,20}[^x20-x7ern]/P”; )

Po dokładniejszemu przyjrzeniu się aktywności okazało się, że mamy faktycznie do czynienia z Necursem, instalującym na komputerze ofiary ransomware NSB i Virlock (ransomware starej generacji, który zamiast szyfrowania plików straszy socjotechniką, blokuje ekran i usiłuje przekonać do zapłacenia okupu).

Co zdarzyło się po uruchomieniu próbki na maszynie wirtualnej?

Uruchomienie Virlocka:

  • Dodanie uruchomionego procesu do autostartu
  • Modyfikacja plików w folderze rozszerzeń do Chrome, w efekcie którego uruchomienie przeglądarki wyświetli żądanie okupu:

C:UsersadminAppDataLocalGoogleChromeUser DataDefaultExtensionsaapocclcgogkmnckokdopfmhonfmgoek.10_0icon_128.png.exe

  • Zrzucenie pliku instrukcji (z adresem portfela bitcoinowego) i zestawienie komunikacji z Virlockiem na porcie 9999

Uruchomienie NSB Ransomware:

  • Uruchomienie

cmd.exe /C del /Q /F „C:UsersadminAppDataLocalTemp79c01881.tmp

  • Ukrycie w rejestrze rozszerzeń plików samego pliku i wyłączenie User Account Control (EnableLUA 0)

reg add HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced /f /v HideFileExt /t REG_DWORD /d 1

reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem /v EnableLUA /d 0 /t REG_DWORD /f

Sieciowy hardening + Necurs:

  • Uruchomienie i modyfikacja usługi syshost

„C:WindowsInstaller{FCC7BCFA-4F9D-9B25-5F92-E2323F5B07FD}syshost.exe” /service

  • „Ostrzelenie” Firewalla

„C:Windowssystem32netsh.exe” advfirewall firewall set rule name=”Core Networking – System IP Core” dir=in new action=allow enable=yes profile=any

„C:Windowssystem32netsh.exe” advfirewall firewall set rule name=”Core Networking – System IP Core” dir=out new action=allow enable=yes profile=any

  • Komunikacja z botnetem na procie 7814
  • Olbrzymia liczba zapytań do dedykowanych serwerów DNS oraz komunikacji UDP/TCP na wysokie porty, a także charakterystyczne dla Necursa zapytania POST do wystawionych webserwisów.

Powyższe aktywności dowodzą, iż nawet w przypadku zagrożenia starego, dobrze opisanego i wyłapywanego przez sieciowe urządzenia bezpieczeństwa wciąż trafiają się zainfekowane ofiary. Ciekawe, co łączy wszystkich, do których usiłuje (bo blokuje ją CyberTarcza – i, w co najmniej jednym przypadku, Microsoft, którego sinkholem okazał się adres, budzący na początku nasze zainteresowanie) „dobić” się infrastruktura botnetu? Stare, niełatane systemy operacyjne? Luki bezpieczeństwa w aplikacjach, o których dawno zapomnieli nawet ich twórcy? A może po prostu to jakieś stare, wciśnięte od lat w kąt szafy albo pod stół serwery, o istnieniu których wskazuje tylko wyższy rachunek za prąd? To pozostanie tajemnicą ofiar.

Indicators of Compromise

200.87.164.69:9999 (Virlock)
190.186.45.170: 9999 (Virlock    
109.1999.229.10:7814 (początkowa komunikacja)

Adresy zapytań POST (każdy zakończony ścieżką /forum/db.php)

hxxp://95.158.198.115
hxxp://203.54.16.77
hxxp://195.157.15.100
hxxp://203.118.175.251
hxxp://95.126.202.219
hxxp://200.246.15.148
hxxp://94.158.157.246
hxxp://94.94.213.157
hxxp://92.94.31.34
hxxp://76.254.108.197
hxxp://188.68.43.28
hxxp://77.222.0.67
hxxp://219.214.58.232
hxxp://202.214.238.123
hxxp://95.94.108.186
hxxp://201.214.29.30
hxxp://92.190.14.53
hxxp://76.158.113.136
hxxp://195.157.15.100 (botnet Ponego)
hxxp://40.121.206.97 (sinkhole Microsoftu)

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

19 kwietnia 2024
Jak stracić pieniądze dwa razy, czyli kancelaria jak z Incepcji
Dowiedz się więcej
8 kwietnia 2024
Poznaj swoją podatność – CVE-2024-1597
Dowiedz się więcej
5 kwietnia 2024
Czy Twoje dziecko gra w (czat) ruletkę?
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas