Hoy vamos a analizar un exploit que se encuentra alojado en una web .org.ar, estimo que el Kit puede pertenecer a BlackHole Exploit o Phoenix. Esta pagina web seguramente esta utilizando una versión vulnerable de wordpress.
Para el análisis utilizamos la herramienta Malzilla, que lamentablemente no se sigue actualizando.
Al cargar la url podemos ver el javascript del exploit en el html de la web (parte superior).
Este javascript esta ofuscado, por lo que tenemos que jugar un poco con el código, para poder ir desencriptandolo, lo mio fue a prueba y error, dado que no soy un programador de javascript.
Aquí en la parte del Decoder de Malzilla, ejecutamos el script, para ver si tenemos suerte.
El Script corre y como resultado obtenemos lo siguiente:
Intento ejecutarlo pero no funciona.
Sacando la linea del IF (-1==.....) puedo seguir ejecutando y traceando el script, en la variable txt se puede observar que arma la url donde ira a buscar el exploit.
jpg="2";
tp="tru5.n10.nl";
txt="http://"+tp+"/in.cgi?"+jpg;
La variable txt queda como http://tru5.n10.nl/in.cgi?2
Esta url la cargamos en el Malzilla y volvemos a hacer un Get.
Me re dirige a otra web, que luego carga un javascript, en este caso contiene un applet malicioso.
Este applet nos fuerza bajar y ejecutar un .JAR malicioso, analizando este fichero en VirusTotal, observamos que se trata de un exploit.
Karpersky indica el exploit como:
CVE-2012-0507.
malicious Java applet stored within a Java archive (.JAR) that attempts to exploit a vulnerability in the Java Runtime Environment (JRE) up to and including versions 7 update 2, versions 6 update 30 and versions 5 update 33. The vulnerability is described in CVE-2012-0507.
Avira indica el exploit como: (me envío por e-mail su análisis)
CVE-2011-3544
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7 and 6 Update 27 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors related to Scripting.
Trato de investigar un poco mas este JAR, usando JD-GUI, pero no tengo éxito, el código esta ofuscado y necesito infectar una PC para ver la carga maliciosa que descarga, por lo que decido volver a intentar que el servidor me entregue otro javascript, esto lo logro cambiando el User-Agent en el Malzilla.
El nuevo javascript intenta explotar distintas vulnerabilidades, lanzando distintos exploits, del tipo pdf, html y swf, dependiendo de nuestro navegador y OS. (recuerden que utilizamos Malzilla y podemos informar lo que nosotros queramos.)
Desencripto parcialmente el código y obtengo las siguientes Urls:
http://sa.rotagilla.net/data/hhcp.php?c=182b5 baja un html
http://sa.rotagilla.net/data/ap1.php?f=182b5 baja un pdf
http://sa.rotagilla.net/data/ap2.php?f=182b5 baja un pdf
http://sa.rotagilla.net/data/score.swf baja un swf
Decido analizar uno de estos PDF.
Se pueden observar datos en ascii en el PDF.
Copiamos y pegamos los datos en la parte de Misc Decoders, luego utilizamos el boton
UCS2 to Hex para quitar los %u
Luego utilizamos el boton Hex to Bin, para pasar a binario y grabamos el archivo.
Este .bin, es un Shell, la subimos a Virus Total, y observamos un indice bajo de detecciones.
Revisando el binario con un editor Hexa se puede ver la Url a la cual se conecta.
Cargamos la Url en Malzilla y descargamos un ejecutable.
Si jugamos un poco con el Url podemos descargar tres ejecutables, que son el mismo, pero con otro nombre.
http://sa.rotagilla.net/d.php?f=182b5&e=1
http://sa.rotagilla.net/d.php?f=182b5&e=2
http://sa.rotagilla.net/d.php?f=182b5&e=3
Analizamos en VT, observando un indice bajo de detecciones.
Análisis de Comodo
http://camas.comodo.com/cgi-bin/submit?file=4abc4a885543dfff483e4437c7a605dc23ef25ccc27c8ac9b548ad737720f9bf
Todo indicaría que se trataría de un Zbot.
Symantec Trojan.Zbot 20120417
McAfee PWS-Zbot.gen.uh 20120417
eTrust-Vet Win32/Zbot.FMW!generic 20120417
Eso es todo por el momento.
@DkAvalanche 2012