Quant Pro – analiza malware

W ostatnich dniach nasze systemy bezpieczeństwa wyłapały w sieci Orange Polska aktywność trojan droppera Quant Pro. W ciągu niecałego roku od powstania (pierwsze poważne kampanie datowane są na 2017 rok), kod nieco wyewoluował, jednak ogólne założenia pozostały bez zmian:

• Załącznik w formie pliku .js lub .wsf, udający archiwum
• Pobranie zaszyfrowanego payloadu, złożenie „w locie” i uruchomienie na zainfekowanej maszynie)
• Hardening wirusa – dopisywanie reguł na firewallu, podłączanie swoich procesów do svchosts, przygotowywanie plików i katalogów do zapisywania wykradzionych informacji, pozyskiwanie danych komputera ofiary
• Zestawienie komunikacja z serwerem Command&Control, gdzie kolejne stringi URI pozwalają zidentyfikować hosta i wysłać mu – stosownie do używanego przez przestępcę algorytmu –  właściwą odpowiedź

Rosyjskojęzyczni twórcy opisywanego malware’u podchodzą do tej swoistej odmiany biznesu bardzo profesjonalnie, wystawiając go jako usługę (Malware-as-a-Service) w darknecie.

W opisie usługi chwalą się możliwościami swojego malware:

• Wspiera pobieranie i uruchamianie plików exe i dll (do nas trafiła wyłącznie próbka z plikiem exe)
• Umożliwia eskalację uprawnień bez użycia „agresywnych” technik (potwierdzone)
• Daje dostęp do panelu administracyjnego
• Pozwala na geograficzne ukierunkowanie ataków (potwiedzone, weryfikuje strefę czasową, zbiera wartości MachineGuid z rejestru)
• Load balancing między serwerami

W przypadku testowanej próbki wszystko zaczęło się od phishingu na adres e-mail w domenie @wp.pl. z załączonym plikiem Faktura.PDF.rar. Wewnątrz dokumentu znajduje się zobfuskowany javascript zawierający poniższą funkcję:

W kolejnym kroku na infekowany komputer ściągany jest skrypt Jk5.vbs, pobierany z serwisu wrzucacz.pl, który następnie dostarcza na urządzenie plik FUC.exe (warto zwrócić uwagę na sprytne wykorzystanie funkcji timeoutu).

Potem malware modyfikuje politykę lokalnego firewalla dla konkretnych procesów:

Pobiera sobie nazwę użytkownika, uruchamia proces dwm.exe:

I w powłoce shella uruchamia kod w trybie cichym:

Umożliwiając między innymi dostęp do systemowego schowka, klawiatury i myszki:

W dalszym etapie realizowane są połączenia do serwera Command&Control (C&C, C2) pod adresem tytoldran.win (w sieci Orange Polska blokowany przez CyberTarczę) – GET tytoldran.win/q/index.php?id=80554874&c=1&mk=6a7936&il=H&vr=1.72&bt=32). Kolejne funkcje pozwalają zidentyfikować użytkownika jako członka sieci botnetowej oraz zameldować do C2 podstawowe informacje o systemie ofiary i wersji złośliwego oprogramowania (1.72). W odpowiedzi serwer C2 jest w stanie dostarczyć na stacje właściwe komendy – w tym instrukcje dotyczące pobrania i uruchomienia dodatkowego pliku, aktualizacji, deinstalacji bota czy pobrania danych z zainfekowanej stacji.

Dodatkowo po wykonaniu funkcjonalności wyciągania haseł w katalogu appdatageneric string odkładane są pliki ini z wydobytymi hasełkami w zależności od metody pozyskania:

• (no name): Keylog data
• rg.ini: Chrome passwords
• rf.ini: Firefox passwords
• rt.ini: Thunderbird passwords
• ri.ini: Internet Explorer passwords
• rc.ini: Outlook passwords
• rv.ini: Windows Vault passwords
• ro.ini: Opera passwords

Analizy CERT Orange Polska wykazują obecnie liczbę infekcji w naszej sieci na poziomie ok. 1500 użytkowników. Warto jednak zaznaczyć, iż komunikacja z C&C botnetu blokowana jest przez CyberTarczę. Oznacza to, że ewentualne zainfekowane urządzenia klientów naszych usług pozostając w sieci Orange Polska nie będą mogłby skomunikować się z serwerem Command&Control botnetu.