23 marzo 2013

FedEX malware

 
El malware se distribuye de muchas maneras, una de ellas es mediante el envío de correos electrónicos. El malware puede venir adjunto con otra extensión o es posible que te den un enlace que te lleve hasta un exploit kit.

 En el caso de hoy, he recibido un correo sospechoso que parece venir de FedEX,  así que he analizado la muestra en un laboratorio para saber como actuaba la muestra, donde se conectaba, que acciones realizaba etc...


Lo primero de todo es mirar el correo, mediante ingeniería social intentan que el mensaje parezca que proviene del proveedor legítimo, de esta manera hacen más fácil la infección al usuario final.


El correo básicamente dice que me han intentado entregar un paquete y que no han podido, así que invitan a  descargar un recibo y entregarlo para que me den el paquete. Para descargar el recibo, tenemos que hacer click en el enlace.

El enlace es de una web japonesa, antes de descargar el fichero, miramos el whois del dominio, así podríamos saber quien lo ha registrado y cuando se ha registrado, por si se trata de un dominio registrado para una reciente campaña de distribución de malware, por ejemplo.

darkmac:Desktop marc$ whois sakura.ne.jp
[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]

Domain Information: [B%I%a%$%s>pJs]
a. [B%I%a%$%sL>]                 SAKURA.NE.JP
b. [B$M$C$H$o!<$/$5!<$S$9$a$$]
c. [B%M%C%H%o!<%/%5!<%S%9L>]     B$5$/$i%$%s%?!<%M%C%H
d. [Network Service Name]       SAKURA Internet
k. [BAH?%<oJL]                   B%M%C%H%o!<%/%5!<%S%9
l. [Organization Type]          Network Service
m. [BEPO?C4Ev<T]                 TU053JP
n. [B5;=QO"MmC4Ev<T]             TS22695JP
n. [B5;=QO"MmC4Ev<T]             KW419JP
p. [B%M!<%`%5!<%P]               ns1.dns.ne.jp
p. [B%M!<%`%5!<%P]               ns2.dns.ne.jp
s. [B=pL>80]
[B>uBV]                          Connected (2013/01/31)
[BEPO?G/7nF|]                    1997/01/13
[B@\B3G/7nF|]                    1997/02/10
[B:G=*99?7]                      2012/02/01 01:11:32 (JST)

Parece que el dominio se creó hace bastante tiempo por lo que no se trata de una campaña en la que se haya registrado un dominio específico para distribuir la muestra.

Si el dominio no se ha registrado en una campaña de distribución de malware, pueden haberlo comprometido, es una práctica habitual entre los ciber criminales.

¿Es posible por lo tanto que hayan comprometido este host?

Si miramos el host remoto:


Parece que es un host vulnerable, por lo que podemos imaginar que se trata de un host comprometido.

PORT     STATE    SERVICE        VERSION
21/tcp   open     ftp            ProFTPD 1.3.3g
22/tcp   open     ssh            OpenSSH 5.1p1 (FreeBSD 20080901; protocol 1.99)
|_sshv1: Server supports SSHv1
|_ssh-hostkey: ERROR: Script execution failed (use -d to debug)
25/tcp   open     smtp           Sendmail 8.14.3/8.14.3
69/tcp   filtered tftp
79/tcp   filtered finger
80/tcp   open     http           Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: pontile*
|_http-methods: GET HEAD OPTIONS
110/tcp  open     pop3           Courier pop3d
111/tcp  filtered rpcbind
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
143/tcp  open     imap           Courier Imapd (released 2008)
443/tcp  open     ssl/http       Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: \x82\xB3\x82\xAD\x82\xE7\x82\xCC\x83\x8C\x83\x93\x83^\x83\x8B\x83T\x81[\x83o
|_http-methods: GET HEAD OPTIONS
445/tcp  filtered microsoft-ds
587/tcp  open     smtp           Sendmail 8.14.3/8.14.3
623/tcp  filtered oob-ws-http
664/tcp  filtered secure-aux-bus
787/tcp  open     drac           1 (RPC #900101)
993/tcp  open     ssl/imap       Courier Imapd (released 2008)
995/tcp  open     ssl/pop3       Courier pop3d
3339/tcp filtered unknown
8025/tcp filtered ca-audit-da
Service Info: OSs: Unix, FreeBSD; CPE: cpe:/o:freebsd:freebsd

Tiene bastantes servicios al descubierto y se confirma la versión de NMAP Apache 1.3.4.
El tener el servidor web, entre otros servicios con vulnerabilidades da que pensar que igual han vulnerado el host remoto y que han subido ahí la muestra. Comprobamos el enlace a ver si la muestra está todavía disponible.

darkmac:Desktop marc$ curl -I iyukicks.sakura.ne.jp/RFCRPYZLDP.php?php=receipt
HTTP/1.1 200 OK
Date: Sat, 05 Jan 2013 11:45:01 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Content-Disposition: attachment; filename=PostalReceipt.zip
Content-Length: 35398
Content-Type: application/zip

El host responde con un 200 y lo que tenemos para descargar es un fichero ZIP, así que lo bajamos y descomprimos el archivo.

Una de las primeras cosas que se pueden hacer es saber si alguien ya ha escaneado este archivo, por lo tanto lo comprobamos en Virus Total, por ejemplo.
Primero miramos el MD5

darkmac:~ marc$ md5 Downloads/PostalReceipt.exe
MD5 (Downloads/PostalReceipt.exe) = ca0393c3d4ae30f258266329b8b8867a

Y luego se comprueba si el archivo ha sido subido a Virus Total:

darkmac:~ marc$ python tools/malware/virustotal/virustotal.py get ca0393c3d4ae30f258266329b8b8867a
INFO:virustotal:Get report of 'ca0393c3d4ae30f258266329b8b8867a'

********************************************************************************
Report:
- MicroWorld-eScan (12.0.250.0, 20130105):    Trojan.Generic.KDV.820505
- nProtect (2013-01-04.03, 20130104):    Trojan/W32.Small.49152.CEB
- CAT-QuickHeal (12.00, 20130104):    TrojanDownloader.Kuluoz.agy
- McAfee (5.400.0.1158, 20130105):    Generic Downloader.x!gpd
- Malwarebytes (1.62.0.140, 20130105):    Trojan.Fakeword
- K7AntiVirus (9.156.8074, 20130104):    Riskware
- TheHacker (None, 20130105):    Posible_Worm32
- NANO-Antivirus (0.22.6.49175, 20130105):    None
- F-Prot (4.6.5.141, 20130104):    None
- Symantec (20121.2.1.2, 20130105):    Trojan.Gen.2
- Norman (6.08.06, 20130104):    W32/Troj_Generic.GJHER
- TotalDefense (37.0.10238, 20130104):    Win32/Kuluoz.DA
- TrendMicro-HouseCall (9.700.0.1001, 20130105):    TROJ_KULUOZ.GC
- Avast (6.0.1289.0, 20130105):    Win32:Malware-gen
- eSafe (7.0.17.0, 20130103):    None
- ClamAV (0.97.3.0, 20130105):    None
- Kaspersky (9.0.0.837, 20130105):    Trojan-Downloader.Win32.Kuluoz.agy
- BitDefender (7.2, 20130105):    Trojan.Generic.KDV.820505
- Agnitum (5.5.1.3, 20130104):    None
- SUPERAntiSpyware (5.6.0.1008, 20130105):    None
- Emsisoft (3.0.0.569, 20130105):    Trojan.Win32.Agent.AMN (A)
- Comodo (14796, 20130105):    TrojWare.Win32.Trojan.Agent.Gen
- F-Secure (9.0.17090.0, 20130104):    Trojan.Generic.KDV.820505
- DrWeb (7.0.4.09250, 20130105):    BackDoor.Kuluoz.3
- VIPRE (14848, 20130104):    Trojan.Win32.Generic.pak!cobra
- AntiVir (7.11.55.234, 20130104):    TR/Rogue.kdv.820505.1
- TrendMicro (9.561.0.1035, 20130105):    TROJ_KULUOZ.GC
- McAfee-GW-Edition (2012.1, 20130104):    Generic Downloader.x!gpd
- Sophos (4.84.0, 20130105):    Troj/Zbot-DKL
- Jiangmin (13.0.900, 20121221):    None
- Antiy-AVL (2.0.3.7, 20130104):    None
- Kingsoft (2012.12.21.213, 20130104):    Win32.Malware.Generic.a.(kcloud)
- Microsoft (1.9002, 20130105):    TrojanDownloader:Win32/Kuluoz.B
- ViRobot (2011.4.7.4223, 20130104):    Trojan.Win32.S.Downloader.49152.CQ
- AhnLab-V3 (2013.01.05.00, 20130104):    Win-Trojan/Downloader.49152.UF
- GData (22, 20130105):    Trojan.Generic.KDV.820505
- Commtouch (5.3.2.6, 20130104):    None
- ByteHero (1.0.0.1, 20121226):    None
- VBA32 (3.12.18.4, 20130104):    None
- PCTools (8.0.0.5, 20130105):    Trojan.Gen
- ESET-NOD32 (7862, 20130104):    a variant of Win32/Kryptik.ARME
- Rising (24.43.04.02, 20130104):    None
- Ikarus (T3.1.1.122.0, 20130104):    Trojan-Downloader.Win32.Kuluoz
- Fortinet (5.0.26.0, 20130105):    W32/Kuluoz.AGY!tr.dldr
- AVG (10.0.0.1190, 20130105):    Downloader.Generic13.XMH
- Panda (10.0.3.5, 20130104):    Trj/CI.A


Parece que hay premio, es detectado por la mayoría de antivirus. Antes de empezar ningún análisis dinámico o estático podemos ver mas información del binario:

root@remnux:/home/remnux# pescanner PostalReceipt.exe
################################################################################
Record 0
################################################################################

Meta-data
================================================================================
File:    PostalReceipt.exe
Size:    49152 bytes
Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:     ca0393c3d4ae30f258266329b8b8867a
SHA1:    be8ce26449980e5aecba2d2f793f5e4e5123ff61
ssdeep:  768:zWZkk1ZcczE0AGalM8eF7sft+FZqUATV9ddobwttIK1K4bKI/2X:SZF1ZZzE0P3wftytApl1Kj1X
Date:    0x50E4C291 [Wed Jan  2 23:28:17 2013 UTC]
EP:      0x4282d0 UPX1 1/3 [SUSPICIOUS]
CRC:     Claimed: 0x0, Actual: 0x10922 [SUSPICIOUS]
Packers: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

Resource entries
================================================================================
Name               RVA      Size     Lang         Sublang                  Type
--------------------------------------------------------------------------------
RT_ICON            0x290a4  0x4228   LANG_ENGLISH SUBLANG_ENGLISH_US       data
RT_GROUP_ICON      0x2d2d0  0x14     LANG_ENGLISH SUBLANG_ENGLISH_US       MS Windows icon resource - 1 icon

Sections
================================================================================
Name       VirtAddr     VirtSize     RawSize      Entropy    
--------------------------------------------------------------------------------
UPX0       0x1000       0x20000      0x0          0.000000    [SUSPICIOUS]
UPX1       0x21000      0x8000       0x7600       7.825471    [SUSPICIOUS]
.rsrc      0x29000      0x5000       0x4600       3.971729   


Es un binario empaquetado con UPX y se ha compilado hace bien poquito, por el timestamp del ejecutable.

Análisis dinámico

Lo que haremos ahora es ejecutar la muestra en un entorno controlado para ver que hace exactamente.
Ejecutamos la muestra,


Al ejecutar la muestra se nos abre un archivo TXT, supuestamente es el que tendría que imprimir para que me entregaran el paquete....

Pero, en segundo plano se abren varias conexiones en paralelo.


Tenemos muchas Ip's además de diferente Content-Type.

Si miramos por ejemplo el que es de tipo application,


Nos encontramos con un bonito ejecutable :)

Artículo cortesía de Marc Rivero López

14 comments :

Dudasmil dijo...

- Para que fuera algo más didáctico,..


Si miramos el host remoto: Con qué aplicación?

- Pero, en segundo plano se abren varias conexiones en paralelo.


Igual que antes, con qué lo miramos?


Gracias

Car dijo...

Hola,


Después de leer el post completo me he quedado con las ganas de saber que hace o que busca exactamente ese bichito, sabemos que es un Malware ¿Pero de que tipo?, roba passwords, intenta controlar remotamente la maquina para hacerla una zombi de Spam, un Keylogger...en fin ¿Una vez encontrado, que hace?, saludos.

Anónimo dijo...

Queda claro es el patrón de infección, ¿y lo demás?

Alejandro Ramos dijo...

Lo demás lo pones tu en un comentario.

javcasta dijo...

Ya no da 200, ahora da 403 (prohibido)



curl -I iyukicks.sakura.ne.jp/RFCRPYZLDP.php?php=receipt
HTTP/1.1 403 Forbidden
Date: Sat, 23 Mar 2013 18:06:22 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Content-Type: text/html; charset=iso-8859-1



:-)

Burup dijo...

Pero si ya es detectado por los AV? que tiene de novedoso para un artículo? Es un spam q te hace bajar un exe.... Ya está como 1000 más.

guzzan0 dijo...

La gente sólo se encarga de criticar, para los que poco sabemos de seguridad informática, esto nos ayuda muchisimo. Un saludos chicos, siempre hacéis un buen trabajo.

Kroket dijo...

Yo he recibido unos de estos correos y al trabajar con Fedex he abierto el link, eso si, uso Ubuntu ¿entiendo que no debería estar preocupado por el exe verdad?.
Se agradece el trabajo que haceís "por amor al arte" sobre todos para los que no somos muy duchos en el tema, aunque me abría gustado que hubierais seguido un poco mas tirando del hilo. GRACIAS!.

Alejandro Gomez Gomez dijo...

Muy interesante !

Sólo he echado en falta se especificaran las herramientas utilizadas para aquellos que estamos aprendiendo. Gracias !!

Angel dijo...

Muy interesante para los novatos!!

Sería posible saber las herramientas utilizadas. Especialmente la dos últimas, ya que parecen muy interesantes.

David Matesanz dijo...

Hola, soy el responsable de Respuesta ante incidentes de Correos, simplemente felicitarte por el post y comentar que por desgracia en Correos tambien sufrimos "ataques" como este. Realmente no es un ataque a Correos o a Fedex, lo que hacen es utilizar nuestra buena imagen y su alcance a cualqueir ciudadano como señuelo para infectarlo con un troyano Bancario. Sale mas rentable para los que lo envian que generar un correo suplantando a cada banco.
Tambien decir que cuando nosotros los detectamos, pasa que todavia no hay ninguna deteccion en Virustotal, cada vez mas los antivirus tardan mas en tiempo enterarse.
Lo que transmitimos siempre es que Correos no envia adjuntos ejecutables en sus comunicaciones por correo electrónico, ni solicita claves... Y que en caso de duda o de no esperar recibir esta comunicación se borre o se llame al telefono de atención al cliente.
Estamos trabajando en mejorar la comunicacion y explicar estos casos en nuestra web, pues tenemos unos cuantos al año.

Rassiel dijo...

las 2 ultimas son muy sencillas la ultima un sniffer de headers lo puedes hacer con muchos programas para manipular los encabezados una bastante completa para windows aunque es de pago es Acunetix VS que tambien hace lo q la primera un scanner de vulneravilidades lo q quisiera saber que herramienta utilizaron para hacerlo en este caso y en el caso de las conecciones abiertas del ordenador hay muchisimos programas incluso de sofware libre para plataformas windows salu2

kadett dijo...

A mi ya me lo han enviado unas 10 veces y pasa directamente de correo no deseado a la papelera.

Andres dijo...

Hola

No se si alguien me podría informar que web o herramienta utilizaron para determinar algunas características al principio del post donde eran catalogadas en términos alto,medio y bajo.

Gracias