niedziela, 29 marca 2015

Automatyzacja analizy złośliwego oprogramowania

Istotnym elementem, który ma wpływ na analizę złośliwego oprogramowania jest czas. Chodzi o to aby w jak najkrótszym czasie zidentyfikować funkcje pliku wykonywalnego/biblioteki. W przypadku złośliwego oprogramowania, którego celem jest infekcja stacji roboczych klientów banków przede wszystkim należy sprawdzić, klienci których banków są celem. Dla pracowników banków z kolei ważne jest w jaki sposób następuje kradzież środków, gdyż można próbować modyfikować mechanizmy wykrywające infekcje (np. kod javascript uruchamiany w kontekście sesji przeglądarki www z systemem bankowości internetowej, który ma wykryć malware, utrudnić „wstrzyknięcie” złośliwego kodu, uniemożliwić podmianę rachunku w schowku, i tak dalej).

Poniżej opiszemy jak uzyskać część z w/w informacji w sposób bardziej zautomatyzowany.

Z roku na rok zauważamy wzrost złośliwego oprogramowania, które przeznaczone jest dla 64 bitowego systemu operacyjnego. Zajmiemy się  plikiem, który jest wykrywany przez część z programów AV jako EMOTET (niektóre komponenty działają wyłącznie na 64 bitowym systemie operacyjnym). Dodatkowo twórcy malware w celu utrudnienia analizy szyfrują komunikację pomiędzy zainfekowaną stacją roboczą a serwerami C&C.

Pod koniec ubiegłego roku na jednej z konferencji w Warszawie pokazywaliśmy jak monitorować/modyfikować działanie malware za pomocą pakietu Microsoft Detours. Pakiet ten ma jedną wadę – wersja 64 bitowa jest płatna.

Jest co najmniej kilka rozwiązań, które mogą być alternatywą dla Detours włączając również Microsoft Debugging Tools. My dzisiaj opiszemy bibliotekę MinHook.

Zasada działania MinHook jest taka sama jak biblioteki Detours. Nadpisywane są pierwsze instrukcje funkcji które chcemy monitorować lub modyfikować (ang. „hooking”). Początek funkcji nadpisywany jest instrukcją JMP i wskazuje na nasz kod.

Na podanej poniżej stronie umieściliśmy szablon biblioteki, którą będziemy wstrzykiwali w proces, który chcemy monitorować. Należy również pobrać skompilowana wersję lub kod źródłowy biblioteki MinHook.

Dodawanie funkcji, którą chcemy monitorować składa się z kilku kroków:

  •  Deklarujemy i tworzymy wskaźnik do oryginalnej funkcji:
typedef int(WINAPI *CRYPTDECRYPT)(HCRYPTKEY hKey, HCRYPTHASH hHash, BOOL Final, DWORD dwFlags, BYTE *pbData, DWORD *pdwDataLen);
CRYPTDECRYPT fpcryptdecrypt = NULL;

  • Definiujemy funkcję, która zostanie wywołana zamiast oryginalnej funkcji:
int WINAPI Prevenitycryptdecrypt(HCRYPTKEY hKey, HCRYPTHASH hHash, BOOL Final, DWORD dwFlags, BYTE *pbData, DWORD *pdwDataLen)
{
    LoggerW(L"CryptDecrypt call");
    WriteToLogFile("Before CryptDecrypt call: ",pbData, rozmiar);
    dane = fpcryptdecrypt(hKey, hHash, Final, dwFlags, pbData, pdwDataLen);
    WriteToLogFile("After CryptDecrypt call: ",pbData, rozmiar);
    return dane;
}


WriteToLogFile() to kolejna przygotowana przez nas funkcja. Jej celem jest zapisywanie istotnych informacji dot. przechwytywanych funkcji. Czasami warto funkcję WriteToLogFile() wywołać dwa razy (przed wywołaniem oryginalnej funkcji i po jej wywołaniu - tutaj przykład z funkcją CryptDecrypt() wykorzystywaną przez analizowany malware).

pbData[in, out] to wskaźnik do bufora zawierającego dane do odszyfrowania co oznacza że zapiszemy w pliku dane przed odszyfrowaniem i po odszyfrowaniu.
  •  Odczytujemy i zapisujemy adres funkcji, która będziemy modyfikowali:
LPVOID pcryptdecrypt = NULL;
pcryptdecrypt = GetProcAddress(GetModuleHandleA("Advapi32.dll"), "CryptDecrypt");

  •  Wywołujemy MH_CreateHook(), która modyfikuje funkcję ale jeszcze nie aktywuje jej:
 MH_CreateHookEx(pcryptdecrypt, &Prevenitycryptdecrypt, &fpcryptdecrypt);
  •  Włączamy wszystkie modyfikacje:
 MH_EnableHook(MH_ALL_HOOKS);

Analogicznie powtarzamy punkty 1-4 dla innych funkcji, które pozwolą nam zidentyfikować zachowanie złośliwego oprogramowania. Aby sprawdzać co jest wysyłane i odbierane przez analizowany malware przechwycimy 3 funkcje:
  • CryptDecrypt()
  • CryptEncrypt()
  • CrypthashData()
Po kompilacji otrzymany bibliotekę, którą musimy wstrzyknąć do procesu ze złośliwym kodem. W tym konkretnym przypadku malware wstrzykuje złośliwy kod do procesu explorer.exe. Dostępny na podanej poniżej stronie szablon zawiera drugi projekt simple_injector. Jest to aplikacja która wstrzykuje bibliotekę mh_template.dll do wskazanego procesu. Wyniki działania funkcji WriteToLogFile() będą zapisywane w lokalizacji C:\Prevenity.

Uruchamiamy program, który załaduje bibliotekę do wskazanego procesu:

C:\simple_injector.exe
Podaj PID: 1148
Injecting DLL to PID: 1148


Sprawdzamy, czy w przestrzeni adresowej znajduje się nasza biblioteka.


Poniżej fragment szyfrowanej komunikacji pomiędzy malware a serwerami C&C.

 Poniżej fragment pliku z odszyfrowaną komunikacją:
  •  Wysyłane dane przez malware przed zaszyfrowaniem:
  •  Odebrana i odszyfrowana komunikacja z serwera C&C:

Analizowany malware co kilka minut pobierał nową konfigurację. Oprócz nazw banków, skryptów, serwerów C&C znajdowały się również adresy polskich serwerów na których umieszczone jest złośliwe oprogramowanie.

Źródła:
[1] https://github.com/TsudaKageyu/minhook
[2] https://github.com/Prevenity/malware_monitor
[3] MD5: BBB080336BC3BFA054D9C8491DB5E2D4
[4] http://research.microsoft.com/en-us/projects/detours/



niedziela, 8 marca 2015

EuroAPT

Nie tak dawno opisywaliśmy atak na klientów polskich banków. Tym razem opiszemy atak na pracowników instytucji rządowych.

Złośliwe oprogramowanie zostało umieszczone na kilka godzin na stronie organizacji powiązanej z Unią Europejską (www.EuropeanIssuers.eu). Do odbiorców został rozesłany email z linkiem do dokumentu Invitation1541.pdf. Intruzi podszyli się pod adres w domenie @europarl.europa.eu.

Z w/w strony do pobrania było archiwum 1541.zip zawierające plik wykonywalny exe. Plik exe zawierał dwa kolejne pliki: 1541.pdf oraz reader_sl.exe. Plik pdf wyświetlany jest na ekranie a w tle instalowane jest docelowe złośliwe oprogramowanie.
  • amd_opencl32.dll
  • amdhwdecoder_32.dll
  • atiglpxx.dll
  • amdocl_as32.exe
  • racss.dat
Pliki wykonywalne podpisane są niezaufanym certyfikatem:


Gdy konto w systemie z którego uruchamiany jest reader_sl.exe ma uprawnienia administracyjne (weryfikacja za pomocą funkcji AllocateAndInitializeSid(), CheckTokenMembership(), FreeSid()) to dodawane są wpisy do:
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Gdy konto jest "zwykłym" użytkownikiem to wpis dodawany jest do:
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Do klucza rejestru Run dodawana jest jedna z nazw: ativvsvl_Addon/ativvaxy_cik_nd_Addon/atikmdag_Addon. Wartość dla Windows 7 to „C:\Users\<username>\AppData\Roaming\ATI\amdocl_as32.exe C:\Users\<username>\AppData\Roaming\ATI\amdhwdecoder_32.dll, ADL2_DFP_HDMISupport_Get”

Amdocl_as32.exe to plik systemowy rundll32.exe. ADL2_DFP_HDMISupport_Get to funkcja eksportowana przez bibliotekę amdhwdecoder_32.dll.

Do serwera C&C przesyłany jest raport dotyczący instalacji. Fragment odszyfrowanej zawartości poniżej:


Plik racss.dat jest zaszyfrowanym plikiem konfiguracyjnym (w formacie XML). Jest tam między innymi adres serwera C&C, hasła do szyfrowania danych, hasło dostępu do serwera czy informacje o statusie ostatnich zadań odebranych z serwera.


Plik szyfrowany i odszyfrowywany jest za pomocą API CryptDecrypt() i CryptEncrypt() z ADVAPI32.dll.

Większość wywoływanych API, nazw bibliotek, nazwy rejestrów czy nawet parametry przesyłane do serwera są przez malware odkodowywana przed użyciem. Fragment funkcji odkodowującej API i nazwy parametrów z pliku konfiguracyjnego:

seg000:0000A5E3 loc_A5E3:                               ; CODE XREF: sub_A5D0+33
seg000:0000A5E3                 mov     esi, [ecx]
seg000:0000A5E5                 movsx   esi, byte ptr [esi+eax]
seg000:0000A5E9                 movzx   edi, byte ptr [ecx+8]
seg000:0000A5ED                 xor     si, di
seg000:0000A5F0                 xor     si, ax
seg000:0000A5F3                 mov     edi, 0FFh
seg000:0000A5F8                 and     si, di
seg000:0000A5FB                 mov     [edx+eax*2], si
seg000:0000A5FF                 inc     eax
seg000:0000A600                 cmp     eax, [ecx+4]
seg000:0000A603                 jb      short loc_A5E3
seg000:0000A605                 pop     edi
seg000:0000A606                 pop     esi


Fragment funkcji wykorzystującej różne klucze dla operacji XOR:


Malware korzysta z WMI aby sprawdzić zainstalowane aplikacje na zainfekowanej stacji roboczej:
  • SELECT * FROM AntiVirusProduct
  • SELECT * FROM FireWallProduct
Lista sprawdzanych produktów:
  • Bitdefender
  • SOPHOS
  • Dr. Web
  • KASPERSKY CRYSTAL
  • AVG
Funkcja kodująca dane, które przesyłane są do serwera bazuje na przesunięciu poszczególnych znaków z tablicy A…Za…z0…9+/AB. arg_4 w zależności od przesyłanego parametru jest inny.


Poniżej wysyłane do serwera zapytanie (komunikacja jest dodatkowo szyfrowana za pomocą SSL):


Dla przykładu wartość parametru as_rq to zakodowana powyższym algorytmem ciąg znaków: version150212=ranoekjx1wyxy
Lista odszyfrowanych parametrów: aff_id, as_dt, as_epq, as_eq, as_ft, as_lq, as_occt, as_oq, as_q, as_qdr, as_rq, curid, direct, file, filter, from, mode, name, oldid, option, page, page_id, popup, print, safe, search, sess_id, site, thread, title, topic, type, uselang, user, userid, variant, window.

Przykład zwracanej odpowiedzi. Wartość z komentarza (rodzaj ID sesji) jest używana do przygotowania i zakodowana kolejnego zapytania do serwera C&C.


Malware ma możliwość pobierania i uruchamiana funkcji zaimplementowanych w zewnętrznych modułach. Jeden z modułów tworzy zrzut ekranu i wynik przesyła do serwera. Moduł po wykonaniu zadania jest kasowany z zainfekowanego komputera. Fragment kodu modułu Reg_ativvsvl_Subsystem_.max odpowiedzialnego za wykonanie zrzutu ekranu na zainfekowanym komputerze.

Status wykonanych zadań również zapisywany jest w pliku konfiguracyjnym:


Lista funkcji skrótu MD5:

File:     1541.exe
MD5:      5EABC9C54B73FFFB5F3FDDB37A653D7B

File:     1541.pdf
MD5:      93176DF76E351B3EA829E0E6C6832BDF

File:     reader_sl.exe
MD5:      43C012086C1AE0A67C38B0926D6CBA3F

File:     amd_opencl32.dll
MD5:      4DF44CE045D2F4572B3B68B1EF0F9151

File:     amdhwdecoder_32.dll
MD5:      029568AE421E50EC62C4FA24535E0455

File:     amdocl_as32.exe (rundll32.exe)
MD5:      51138BEEA3E2C21EC44D0932C71762A8

File:     atiglpxx.dll
MD5:      D2D6093F0BD1FFDBC01EA7F1390A84B3

File:     Reg_ativvsvl_Subsystem_.max
MD5:      E0B6F0D368C81A0FB197774D0072F759