jueves, 19 de diciembre de 2013

Pandora Rat - Falsa "Actualización documentación impositiva".


Volvieron las campañas de ataque con troyanos RAT, en este caso se trata de un falso correo que intenta apelar a la ingeniería social con el fin de infectar a las victimas con Pandora Rat.


Falso correo.

El link descarga el archivo IvaConstaExclunull 12-2013.rar que en su interior contiene un ejecutable.


El sitio web donde se encuentra alojado el troyano, permite leer el index y podemos ver que estarían preparando un ataque dirigido a una empresa.



Analisis de la amenaza en V.T. con un indice muy bajo en detecciones. 6/49


Clásico PUSHAD de UPX



Rutina anti-debugging


Analisis en V.T. del Dump de la muestra sin la capa de ofuscación, el numero cambia y es detectado por mas A.V.




ESET-NOD32  a variant of Win32/SchwarzeSonne.B  20131218 


Se trata de un ejecutable compilado en Delphi. En uno de sus recursos se encuentra la configuración del servidor, sin ofuscar, se ve en texto plano la ip donde reporta, port, password y nombre que tendrá en el sistema el troyano, luego de ser ejecutado por primera vez.



moroccanghosts.no-ip.biz****##6622##jcc272e2a##Application Data##_xx_sms.exe##sms##{6407DA27-7D42-4D95-9273-3C0EF4316ECB}##1##1##1##1##PndrCH5!!X- PnDr##1##1##1##Overdose##1##1##

IP:               moroccanghosts.no-ip.biz
PORT:        6622
PWD:         jcc272e2a
EXE:          _xx_sms.exe
TROJAN-ID:  Overdose


Me guío por ESET y me bajo el código fuente y el builder del Schwarze Sonne Rat para ver si con los datos que tengo, puedo infectar una maquina virtual y con otra maquina simular ser el comando y control para que el troyano se reporte......... pero no tengo éxito.

Hasta que encuentro en los srtrings del Dump el siguiente String....... 

0047A9CC   PUSH dumpXtre.0047AA70                    ASCII "PANDORA_RAT"
0047AA70   ASCII "PANDORA_RAT",0

Pandora Rat, tiene la capacidad de:
File Manager
Process Manager
Window Manager
Service Manager
CMD Remoto
Editor de Registro de Windows.
Keylogger
Captura de video (Webcam)
Captura de Audio
Captura de pantalla 
Robo de credenciales cacheadas en los navegadores (Plug-In by Nirsoft)
Descarga y ejecución de otras amenazas/

Apertura remotas de paginas Web



Puedo llegar a decir que Pandora Rat comparte gran cantidad de código de Schwarze Sonne.


Configuración del comando y control para que escuche en el port 6622 con las misma password que esta en el recurso.




En la maquina victima seteamos en el .host la siguiente entrada para que el troyano pueda ver la maquina de comando y control  (estamos dentro de una misma red entre dos maquinas virtuales y la Ip es la que tengan en la maquina de control)

192.168.1.37    moroccanghosts.no-ip.biz


 Aquí el troyano se reporta al comando y control.


En la captura de trafico, se observan los datos que envía el troyano al comando y control, cuando este se reporta, estos datos van ofuscados.

[19/12/2013 01:43:33 p.m.:235]
00000000  C3 B8 BA AB A0 BC B0 B1  C1 7C BE 9B 92 96 91 96   ........ .|...... 
00000010  8C 8B 8D 9E 9B 90 8D 40  BA 8E 8A 96 8F 90 CF CE   .......@ ........ 
00000020  7C A8 96 91 9B 90 88 8C  DF A7 AF 7C BA AC AF 7C   |....... ...|...| 
00000030  CD C6 C7 CB 7C 4E 7C B0  89 9A 8D 9B 90 8C 9A 7C   ....|N|. .......| 
00000040  CD D1 CE 7C BC 9E 8F 8B  8A 8D 96 91 98 DF 99 8D   ...|.... ........ 
00000050  90 92 DF BC 90 91 9A 87  96 0C 91 DF 9B 9A DF 1E   ........ ........ 
00000060  8D 9A 9E DF 93 90 9C 9E  93 DF DF DF DF A4 A8 96   ........ ........ 
00000070  8D 9A 8C 97 9E 8D 94 DF  CE D1 CE CF D1 CF DF DF   ........ ........ 
00000080  D7 AC A9 B1 DF AD 9A 89  DF CB C6 C8 C6 CF DF 99   ........ ........ 
00000090  8D 90 92 DF D0 8B 8D 8A  91 94 D2 CE D1 CE CF D6   ........ ........ 
000000A0  A2 7C 0A 50 49 4E 47 7C  30 0A 50 49 4E 47 7C 30   .|.PING| 0.PING|0 
000000B0  0A                                                 .

Se informa la ip, geo-localización , ID del troyano, ID del usuario conectado, versión de Windows, si tiene Webcam, la versión del troyano y ventana activa de la victima.




                   
Captura de Comandos (van sin ofuscar)




ID de comando | Sub comando 

1021|||0|err|0                Envía un mensaje de error .     




1036|Hola                    Dice "Hola" por el parlante de la PC        


 402|5637 4|0|1100    Toma un screen shot de la pantalla.




400|1100|  Graba audio


Información de la PC, también viaja en texto plano.





Update del servidor (troyano) con otro dns y otra password.

Agregamos otro host.



Comunicación para el envío del nuevo binario.

 Envío del binario.



Persistencia en el sistema.



Lo raro es que si se setea otra clave en el Comando y Control el troyano igual se reporta y envía los datos, osea que con solo el host:port el troyano se reporta. En el hipotetico caso de apoderarnos del dns dinámico, nos estaríamos apoderando de toda la botnet.


 El nuevo Recurso....





Otros comandos que se pueden realizar sobre la victima.






Strings Interesantes:


0047F1F4   DD dumpXtre.0047F240                      ASCII 0A,"TKeylogger"
0047F214   DD dumpXtre.0047F240                      ASCII 0A,"TKeylogger"
0047F241   ASCII "TKeylogger"

Aquí quedan grabadas las pulsaciones de teclas \logs.dat

0047F298   MOV EDX,dumpXtre.0047F384                 ASCII "\logs.dat"
0047F2C2   MOV EDX,dumpXtre.0047F384                 ASCII "\logs.dat"
92FD8   ASCII "Keyboard and mou"
00492FE8   ASCII "se inputs blocke"
00492FF8   ASCII "d...",0
00493008   ASCII "Keyboard and mou"
00493018   ASCII "se inputs unbloc"
00493028   ASCII "ked...",0
00493030   ASCII "ShellDll_DefView"
00493040   ASCII 0
00493044   ASCII "Progman",0
00493054   ASCII "Disabled desktop"
00493064   ASCII "...",0
00493070   ASCII "Enabled desktop."
00493080   ASCII "..",0
00493084   ASCII "Program Manager",0
0049309C   ASCII "Showing desktop "
004930AC   ASCII "icons...",0
004930C0   ASCII "Hiding desktop i"
004930D0   ASCII "cons...",0
004930E0   ASCII "Monitor opened.."
004930F0   ASCII ". ",0
004930FC   ASCII "Monitor closed.."
0049310C   ASCII ".",0
00493118   ASCII "SeDebugPrivilege"
00493128   ASCII 0
00493134   ASCII "Remote computer "
00493144   ASCII "is crashed...",0
0049315C   ASCII "Remote computer "
0049316C   ASCII "is closed",0
00493180   ASCII "Remote computer "
00493190   ASCII "is logoff...",0
004931A8   ASCII "Remote computer "
004931B8   ASCII "is restarting..."

004860FC   MOV ECX,dumpXtre.00486118                 ASCII "ProductID"
00486118   ASCII "ProductID",0
004861B2   MOV EDX,dumpXtre.00486310                 ASCII "Windows NT"
004861C3   MOV EDX,dumpXtre.00486324                 ASCII "Windows 2000"
004861D4   MOV EDX,dumpXtre.0048633C                 ASCII "Windows XP"
004861E5   MOV EDX,dumpXtre.00486350                 ASCII "Windows Vista"
004861F6   MOV EDX,dumpXtre.00486368                 ASCII "Windows Server 2008"
00486207   MOV EDX,dumpXtre.00486384                 ASCII "Windows 95"
00486218   MOV EDX,dumpXtre.00486398                 ASCII "Windows 98"
00486229   MOV EDX,dumpXtre.004863AC                 ASCII "Windows Me"
0048623A   MOV EDX,dumpXtre.004863C0                 ASCII "Windows Server 2003"
0048624B   MOV EDX,dumpXtre.004863DC                 ASCII "Windows Server 2003 R2"
0048627F   MOV EAX,dumpXtre.004863FC                 ASCII "Windows Version %d.%d"
0048628D   MOV EDX,dumpXtre.0048641C                 ASCII "Windows 7"
0048629B   MOV EDX,dumpXtre.00486430                 ASCII "Windows Server 2008 R2"
004862A9   MOV EDX,dumpXtre.00486450                 ASCII "Windows 8"

004862B7   MOV EDX,dumpXtre.00486464                 ASCII "Windows Server 2012"





Muestra https://www.dropbox.com/s/jlyx1zc2wjs4vvq/IvaConstaExclunull%2012-2013.rar

password = infected





Felices Fiestas!




Es todo por el momento.

@Dkavalanche 2013

2 comentarios:

- Raúl - dijo...

Muy buena y detallada investigación. Es sorprendente la capacidad de este malware delictivo. Temible.

@Dkavalanche dijo...

Gracias Raul!! Saludos!

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!