El malware se distribuye de muchas maneras, una de ellas es mediante el envío de correos electrónicos. El malware puede venir adjunto con otra extensión o es posible que te den un enlace que te lleve hasta un exploit kit.
En el caso de hoy, he recibido un correo sospechoso que parece venir de FedEX, así que he analizado la muestra en un laboratorio para saber como actuaba la muestra, donde se conectaba, que acciones realizaba etc...
Lo primero de todo es mirar el correo, mediante ingeniería social intentan que el mensaje parezca que proviene del proveedor legítimo, de esta manera hacen más fácil la infección al usuario final.
El correo básicamente dice que me han intentado entregar un paquete y que no han podido, así que invitan a descargar un recibo y entregarlo para que me den el paquete. Para descargar el recibo, tenemos que hacer click en el enlace.
El enlace es de una web japonesa, antes de descargar el fichero, miramos el whois del dominio, así podríamos saber quien lo ha registrado y cuando se ha registrado, por si se trata de un dominio registrado para una reciente campaña de distribución de malware, por ejemplo.
darkmac:Desktop marc$ whois sakura.ne.jp
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Domain Information: [B%I%a%$%s>pJs]
a. [B%I%a%$%sL>] SAKURA.NE.JP
b. [B$M$C$H$o!<$/$5!<$S$9$a$$]
c. [B%M%C%H%o!<%/%5!<%S%9L>] B$5$/$i%$%s%?!<%M%C%H
d. [Network Service Name] SAKURA Internet
k. [BAH?%<oJL] B%M%C%H%o!<%/%5!<%S%9
l. [Organization Type] Network Service
m. [BEPO?C4Ev<T] TU053JP
n. [B5;=QO"MmC4Ev<T] TS22695JP
n. [B5;=QO"MmC4Ev<T] KW419JP
p. [B%M!<%`%5!<%P] ns1.dns.ne.jp
p. [B%M!<%`%5!<%P] ns2.dns.ne.jp
s. [B=pL>80]
[B>uBV] Connected (2013/01/31)
[BEPO?G/7nF|] 1997/01/13
[B@\B3G/7nF|] 1997/02/10
[B:G=*99?7] 2012/02/01 01:11:32 (JST)
[ JPRS database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e' ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'. ]
Domain Information: [B%I%a%$%s>pJs]
a. [B%I%a%$%sL>] SAKURA.NE.JP
b. [B$M$C$H$o!<$/$5!<$S$9$a$$]
c. [B%M%C%H%o!<%/%5!<%S%9L>] B$5$/$i%$%s%?!<%M%C%H
d. [Network Service Name] SAKURA Internet
k. [BAH?%<oJL] B%M%C%H%o!<%/%5!<%S%9
l. [Organization Type] Network Service
m. [BEPO?C4Ev<T] TU053JP
n. [B5;=QO"MmC4Ev<T] TS22695JP
n. [B5;=QO"MmC4Ev<T] KW419JP
p. [B%M!<%`%5!<%P] ns1.dns.ne.jp
p. [B%M!<%`%5!<%P] ns2.dns.ne.jp
s. [B=pL>80]
[B>uBV] Connected (2013/01/31)
[BEPO?G/7nF|] 1997/01/13
[B@\B3G/7nF|] 1997/02/10
[B:G=*99?7] 2012/02/01 01:11:32 (JST)
Parece que el dominio se creó hace bastante tiempo por lo que no se trata de una campaña en la que se haya registrado un dominio específico para distribuir la muestra.
Si el dominio no se ha registrado en una campaña de distribución de malware, pueden haberlo comprometido, es una práctica habitual entre los ciber criminales.
¿Es posible por lo tanto que hayan comprometido este host?
Si miramos el host remoto:
Parece que es un host vulnerable, por lo que podemos imaginar que se trata de un host comprometido.
PORT STATE SERVICE VERSION
21/tcp open ftp ProFTPD 1.3.3g
22/tcp open ssh OpenSSH 5.1p1 (FreeBSD 20080901; protocol 1.99)
|_sshv1: Server supports SSHv1
|_ssh-hostkey: ERROR: Script execution failed (use -d to debug)
25/tcp open smtp Sendmail 8.14.3/8.14.3
69/tcp filtered tftp
79/tcp filtered finger
80/tcp open http Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: pontile*
|_http-methods: GET HEAD OPTIONS
110/tcp open pop3 Courier pop3d
111/tcp filtered rpcbind
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
143/tcp open imap Courier Imapd (released 2008)
443/tcp open ssl/http Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: \x82\xB3\x82\xAD\x82\xE7\x82\xCC\x83\x8C\x83\x93\x83^\x83\x8B\x83T\x81[\x83o
|_http-methods: GET HEAD OPTIONS
445/tcp filtered microsoft-ds
587/tcp open smtp Sendmail 8.14.3/8.14.3
623/tcp filtered oob-ws-http
664/tcp filtered secure-aux-bus
787/tcp open drac 1 (RPC #900101)
993/tcp open ssl/imap Courier Imapd (released 2008)
995/tcp open ssl/pop3 Courier pop3d
3339/tcp filtered unknown
8025/tcp filtered ca-audit-da
Service Info: OSs: Unix, FreeBSD; CPE: cpe:/o:freebsd:freebsd
21/tcp open ftp ProFTPD 1.3.3g
22/tcp open ssh OpenSSH 5.1p1 (FreeBSD 20080901; protocol 1.99)
|_sshv1: Server supports SSHv1
|_ssh-hostkey: ERROR: Script execution failed (use -d to debug)
25/tcp open smtp Sendmail 8.14.3/8.14.3
69/tcp filtered tftp
79/tcp filtered finger
80/tcp open http Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: pontile*
|_http-methods: GET HEAD OPTIONS
110/tcp open pop3 Courier pop3d
111/tcp filtered rpcbind
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
143/tcp open imap Courier Imapd (released 2008)
443/tcp open ssl/http Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: \x82\xB3\x82\xAD\x82\xE7\x82\xCC\x83\x8C\x83\x93\x83^\x83\x8B\x83T\x81[\x83o
|_http-methods: GET HEAD OPTIONS
445/tcp filtered microsoft-ds
587/tcp open smtp Sendmail 8.14.3/8.14.3
623/tcp filtered oob-ws-http
664/tcp filtered secure-aux-bus
787/tcp open drac 1 (RPC #900101)
993/tcp open ssl/imap Courier Imapd (released 2008)
995/tcp open ssl/pop3 Courier pop3d
3339/tcp filtered unknown
8025/tcp filtered ca-audit-da
Service Info: OSs: Unix, FreeBSD; CPE: cpe:/o:freebsd:freebsd
Tiene bastantes servicios al descubierto y se confirma la versión de NMAP Apache 1.3.4.
El tener el servidor web, entre otros servicios con vulnerabilidades da que pensar que igual han vulnerado el host remoto y que han subido ahí la muestra. Comprobamos el enlace a ver si la muestra está todavía disponible.
darkmac:Desktop marc$ curl -I iyukicks.sakura.ne.jp/RFCRPYZLDP.php?php=receipt
HTTP/1.1 200 OK
Date: Sat, 05 Jan 2013 11:45:01 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Content-Disposition: attachment; filename=PostalReceipt.zip
Content-Length: 35398
Content-Type: application/zip
HTTP/1.1 200 OK
Date: Sat, 05 Jan 2013 11:45:01 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Content-Disposition: attachment; filename=PostalReceipt.zip
Content-Length: 35398
Content-Type: application/zip
El host responde con un 200 y lo que tenemos para descargar es un fichero ZIP, así que lo bajamos y descomprimos el archivo.
Una de las primeras cosas que se pueden hacer es saber si alguien ya ha escaneado este archivo, por lo tanto lo comprobamos en Virus Total, por ejemplo.
Primero miramos el MD5
darkmac:~ marc$ md5 Downloads/PostalReceipt.exe
MD5 (Downloads/PostalReceipt.exe) = ca0393c3d4ae30f258266329b8b8867a
MD5 (Downloads/PostalReceipt.exe) = ca0393c3d4ae30f258266329b8b8867a
Y luego se comprueba si el archivo ha sido subido a Virus Total:
darkmac:~ marc$ python tools/malware/virustotal/virustotal.py get ca0393c3d4ae30f258266329b8b8867a
INFO:virustotal:Get report of 'ca0393c3d4ae30f258266329b8b8867a'
********************************************************************************
Report:
- MicroWorld-eScan (12.0.250.0, 20130105): Trojan.Generic.KDV.820505
- nProtect (2013-01-04.03, 20130104): Trojan/W32.Small.49152.CEB
- CAT-QuickHeal (12.00, 20130104): TrojanDownloader.Kuluoz.agy
- McAfee (5.400.0.1158, 20130105): Generic Downloader.x!gpd
- Malwarebytes (1.62.0.140, 20130105): Trojan.Fakeword
- K7AntiVirus (9.156.8074, 20130104): Riskware
- TheHacker (None, 20130105): Posible_Worm32
- NANO-Antivirus (0.22.6.49175, 20130105): None
- F-Prot (4.6.5.141, 20130104): None
- Symantec (20121.2.1.2, 20130105): Trojan.Gen.2
- Norman (6.08.06, 20130104): W32/Troj_Generic.GJHER
- TotalDefense (37.0.10238, 20130104): Win32/Kuluoz.DA
- TrendMicro-HouseCall (9.700.0.1001, 20130105): TROJ_KULUOZ.GC
- Avast (6.0.1289.0, 20130105): Win32:Malware-gen
- eSafe (7.0.17.0, 20130103): None
- ClamAV (0.97.3.0, 20130105): None
- Kaspersky (9.0.0.837, 20130105): Trojan-Downloader.Win32.Kuluoz.agy
- BitDefender (7.2, 20130105): Trojan.Generic.KDV.820505
- Agnitum (5.5.1.3, 20130104): None
- SUPERAntiSpyware (5.6.0.1008, 20130105): None
- Emsisoft (3.0.0.569, 20130105): Trojan.Win32.Agent.AMN (A)
- Comodo (14796, 20130105): TrojWare.Win32.Trojan.Agent.Gen
- F-Secure (9.0.17090.0, 20130104): Trojan.Generic.KDV.820505
- DrWeb (7.0.4.09250, 20130105): BackDoor.Kuluoz.3
- VIPRE (14848, 20130104): Trojan.Win32.Generic.pak!cobra
- AntiVir (7.11.55.234, 20130104): TR/Rogue.kdv.820505.1
- TrendMicro (9.561.0.1035, 20130105): TROJ_KULUOZ.GC
- McAfee-GW-Edition (2012.1, 20130104): Generic Downloader.x!gpd
- Sophos (4.84.0, 20130105): Troj/Zbot-DKL
- Jiangmin (13.0.900, 20121221): None
- Antiy-AVL (2.0.3.7, 20130104): None
- Kingsoft (2012.12.21.213, 20130104): Win32.Malware.Generic.a.(kcloud)
- Microsoft (1.9002, 20130105): TrojanDownloader:Win32/Kuluoz.B
- ViRobot (2011.4.7.4223, 20130104): Trojan.Win32.S.Downloader.49152.CQ
- AhnLab-V3 (2013.01.05.00, 20130104): Win-Trojan/Downloader.49152.UF
- GData (22, 20130105): Trojan.Generic.KDV.820505
- Commtouch (5.3.2.6, 20130104): None
- ByteHero (1.0.0.1, 20121226): None
- VBA32 (3.12.18.4, 20130104): None
- PCTools (8.0.0.5, 20130105): Trojan.Gen
- ESET-NOD32 (7862, 20130104): a variant of Win32/Kryptik.ARME
- Rising (24.43.04.02, 20130104): None
- Ikarus (T3.1.1.122.0, 20130104): Trojan-Downloader.Win32.Kuluoz
- Fortinet (5.0.26.0, 20130105): W32/Kuluoz.AGY!tr.dldr
- AVG (10.0.0.1190, 20130105): Downloader.Generic13.XMH
- Panda (10.0.3.5, 20130104): Trj/CI.A
Parece que hay premio, es detectado por la mayoría de antivirus. Antes de empezar ningún análisis dinámico o estático podemos ver mas información del binario:
root@remnux:/home/remnux# pescanner PostalReceipt.exe
################################################################################
Record 0
################################################################################
Meta-data
================================================================================
File: PostalReceipt.exe
Size: 49152 bytes
Type: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5: ca0393c3d4ae30f258266329b8b8867a
SHA1: be8ce26449980e5aecba2d2f793f5e4e5123ff61
ssdeep: 768:zWZkk1ZcczE0AGalM8eF7sft+FZqUATV9ddobwttIK1K4bKI/2X:SZF1ZZzE0P3wftytApl1Kj1X
Date: 0x50E4C291 [Wed Jan 2 23:28:17 2013 UTC]
EP: 0x4282d0 UPX1 1/3 [SUSPICIOUS]
CRC: Claimed: 0x0, Actual: 0x10922 [SUSPICIOUS]
Packers: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
Resource entries
================================================================================
Name RVA Size Lang Sublang Type
--------------------------------------------------------------------------------
RT_ICON 0x290a4 0x4228 LANG_ENGLISH SUBLANG_ENGLISH_US data
RT_GROUP_ICON 0x2d2d0 0x14 LANG_ENGLISH SUBLANG_ENGLISH_US MS Windows icon resource - 1 icon
Sections
================================================================================
Name VirtAddr VirtSize RawSize Entropy
--------------------------------------------------------------------------------
UPX0 0x1000 0x20000 0x0 0.000000 [SUSPICIOUS]
UPX1 0x21000 0x8000 0x7600 7.825471 [SUSPICIOUS]
.rsrc 0x29000 0x5000 0x4600 3.971729
Es un binario empaquetado con UPX y se ha compilado hace bien poquito, por el timestamp del ejecutable.
Análisis dinámico
Lo que haremos ahora es ejecutar la muestra en un entorno controlado para ver que hace exactamente.
Ejecutamos la muestra,
Al ejecutar la muestra se nos abre un archivo TXT, supuestamente es el que tendría que imprimir para que me entregaran el paquete....
Pero, en segundo plano se abren varias conexiones en paralelo.
Tenemos muchas Ip's además de diferente Content-Type.
Si miramos por ejemplo el que es de tipo application,
Nos encontramos con un bonito ejecutable :)
Artículo cortesía de Marc Rivero López
14 comments :
- Para que fuera algo más didáctico,..
Si miramos el host remoto: Con qué aplicación?
- Pero, en segundo plano se abren varias conexiones en paralelo.
Igual que antes, con qué lo miramos?
Gracias
Hola,
Después de leer el post completo me he quedado con las ganas de saber que hace o que busca exactamente ese bichito, sabemos que es un Malware ¿Pero de que tipo?, roba passwords, intenta controlar remotamente la maquina para hacerla una zombi de Spam, un Keylogger...en fin ¿Una vez encontrado, que hace?, saludos.
Queda claro es el patrón de infección, ¿y lo demás?
Lo demás lo pones tu en un comentario.
Ya no da 200, ahora da 403 (prohibido)
curl -I iyukicks.sakura.ne.jp/RFCRPYZLDP.php?php=receipt
HTTP/1.1 403 Forbidden
Date: Sat, 23 Mar 2013 18:06:22 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Content-Type: text/html; charset=iso-8859-1
:-)
Pero si ya es detectado por los AV? que tiene de novedoso para un artículo? Es un spam q te hace bajar un exe.... Ya está como 1000 más.
La gente sólo se encarga de criticar, para los que poco sabemos de seguridad informática, esto nos ayuda muchisimo. Un saludos chicos, siempre hacéis un buen trabajo.
Yo he recibido unos de estos correos y al trabajar con Fedex he abierto el link, eso si, uso Ubuntu ¿entiendo que no debería estar preocupado por el exe verdad?.
Se agradece el trabajo que haceís "por amor al arte" sobre todos para los que no somos muy duchos en el tema, aunque me abría gustado que hubierais seguido un poco mas tirando del hilo. GRACIAS!.
Muy interesante !
Sólo he echado en falta se especificaran las herramientas utilizadas para aquellos que estamos aprendiendo. Gracias !!
Muy interesante para los novatos!!
Sería posible saber las herramientas utilizadas. Especialmente la dos últimas, ya que parecen muy interesantes.
Hola, soy el responsable de Respuesta ante incidentes de Correos, simplemente felicitarte por el post y comentar que por desgracia en Correos tambien sufrimos "ataques" como este. Realmente no es un ataque a Correos o a Fedex, lo que hacen es utilizar nuestra buena imagen y su alcance a cualqueir ciudadano como señuelo para infectarlo con un troyano Bancario. Sale mas rentable para los que lo envian que generar un correo suplantando a cada banco.
Tambien decir que cuando nosotros los detectamos, pasa que todavia no hay ninguna deteccion en Virustotal, cada vez mas los antivirus tardan mas en tiempo enterarse.
Lo que transmitimos siempre es que Correos no envia adjuntos ejecutables en sus comunicaciones por correo electrónico, ni solicita claves... Y que en caso de duda o de no esperar recibir esta comunicación se borre o se llame al telefono de atención al cliente.
Estamos trabajando en mejorar la comunicacion y explicar estos casos en nuestra web, pues tenemos unos cuantos al año.
las 2 ultimas son muy sencillas la ultima un sniffer de headers lo puedes hacer con muchos programas para manipular los encabezados una bastante completa para windows aunque es de pago es Acunetix VS que tambien hace lo q la primera un scanner de vulneravilidades lo q quisiera saber que herramienta utilizaron para hacerlo en este caso y en el caso de las conecciones abiertas del ordenador hay muchisimos programas incluso de sofware libre para plataformas windows salu2
A mi ya me lo han enviado unas 10 veces y pasa directamente de correo no deseado a la papelera.
Hola
No se si alguien me podría informar que web o herramienta utilizaron para determinar algunas características al principio del post donde eran catalogadas en términos alto,medio y bajo.
Gracias
Publicar un comentario