poniedziałek, 22 października 2018

GreyEnergy w Polsce

W ubiegłym tygodniu opublikowany został raport [1] firmy ESET na temat ataków z użyciem złośliwego oprogramowania GreyEnergy na infrastrukturę krytyczną między innymi w Polsce. Należy dodać, że w lipcu tego roku firma FireEye również opisywała [2] ten atak nazywając instalowane złośliwe oprogramowanie jako backdoor FELIXROOT.
Ponieważ nie ma tam podanych wszystkich szczegółów, poniżej umieszczamy jeszcze kilka informacji dotyczących Polski i ataku jaki miał miejsce na początku czerwca tego roku między innymi na Ministerstwo Spraw Zagranicznych.
Jeden ze scenariuszy ataków polegał na stworzeniu fałszywej strony www. Intruzi wykonali kopię serwera informacyjnego Ministerstwa Finansów i umieścili na nim pliki ze złośliwym oprogramowaniem. Strona była dostępna pod adresem hxxp://148.251.8.54/.


Jednocześnie rozsyłana była wiadomość email z załącznikiem w formacie RTF. Dokument zawierał między innymi exploit wykorzystujący podatność komponentu Microsoft Office – Equation Editor (CVE-2017-11882).


Za pomocą narzędzia RTFScan.exe możemy odczytać zawarte w pliku rtf obiekty OLE. Otwierając obiekt edytorem możemy szybko zidentyfikować link do pliku na serwerze o wspomnianym wcześniej adresie IP.


Pobierany i uruchamiany plik ma 3 kilobajty. Kod wykonywalny ma za zadanie pobranie kolejnego pliku i uruchomienie go. Pobierany plik jest plikiem wykonywalnym, który ma przypominać komponent firmy Asus (ASUS GPU Tweak). Pobierany jest z tego samego źródła.



Po uruchomieniu następuje instalacja w systemie operacyjnym złośliwego oprogramowania. Tworzona jest biblioteka w katalogu C:\Users\<username>\AppData\Roaming\Microsoft\. Analizowany plik miał rozszerzenie dbf.


 Auto start realizowany jest za pomocą skrótu LNK utworzonego w katalogu Startup.


Po uruchomieniu docelowej biblioteki właściwy kod jest odszyfrowywany i uruchamiany bezpośrednio z pamięci komputera.
Za pomocą zapytań WMI pobierane są następnie informacje dotyczące zainfekowanego komputera. Są to między innymi informacje na temat: system operacyjny, zainstalowany produkt AV, firewall, nazwa konta użytkownika z którego jest uruchomiony malware oraz uruchomione procesy. Komunikacja odbywał się za pomocą protokołu https. Dodatkowy zawartość zwracanych danych szyfrowana jest za pomocą algorytmu AES.
Program jest typowym złośliwym oprogramowaniem typu backdoor. Pozwala na utworzenie zdalnej powłoki shell, pobrania i uruchomienia pliku bat czy pliku wykonywalnego oraz załadowanie pliku lokalnego na serwer C&C.
Poniższy zrzut ekranu przedstawia odszyfrowaną podstawową konfigurację. Analizowany malware łączył się z serwerem C&C znajdującym się pod adresem IP 217.12.204.100.



Źródła:
[1] https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf
[2] https://www.fireeye.com/blog/threat-research/2018/07/microsoft-office-vulnerabilities-used-to-distribute-felixroot-backdoor.html
[3]
SHA1: E05012F661B75693C75932771752467EB79A1F72
SHA1: 12A7C39232C251E0A9649FC4862A35CD63BB81C9
SHA1: D5AC50D38F8B98DECDA52FB8FCF85A576B0494C7
SHA1: 30AF51F1F7CB9A9A46DF3ABFFB6AE3E39935D82C
SHA1: 6F7CBB6DF73E1DD4FDEB35F464595060119098C0