sábado, 8 de marzo de 2014

Falsa Postal Gusanito.com: Crimeware Citadel

Hace un tiempo que no veía este tipo de falsas postales de el Gusanito.com, estas casi siempre descargaban malware muy extendidos en Latam, como ser Dorkbot, S.A.P.Z, PiceBot, vOlks u otro simple QHost. 
Esta vez, para sorpresa, nos encontramos que descarga Citadel, un troyano muy sofisticado de la familia Zeus. Citadel hizo su aparición en el mundo del cibrecrimen luego de que se filtro su código fuente. 

Aquí vemos la falsa postal con un link que descarga un ejecutable.





Contador de descargas ubicado en la web donde esta alojado el malware.




 El análisis en V.T. demuestra que es casi indetectable ante las firmas de los AntiVirus





El ejecutable contiene un RAR, por lo que seguramente se trate de un extractor que luego de extrar el RAR intentara por ultimo ejecutar el Payload.


Lo cargamos en el Olly, y ponemos un BP a ShellExecuteExW para que se detenga antes de ejecutar la carga maliciosa.




Y tenemos éxito!

Podemos observar que se genero en la carpeta temp de Windows la extracción de los archivos con dos .bat
El primero .bat unirá con el comando copy /b todos los archivos en un solo ejecutable y por ultimo el otro .bat lo renombra y ejecuta.





También podemos observar lo que hace este extractor en la Sandbox de Comodo.

http://camas.comodo.com/cgi-bin/submit?file=5642f5231e5fad89edabf8913f1331ab0ca5105ca0045a242733c8e211ec815c


Icono del malware luego de la extracción.





Bajas detecciones en V.T. 





Este nuevo binario tiene una capa de ofuscación con un clásico crypter.

BP en IsDebuggerPresent + WriteProcessMemory luego Dumpear y listo..



Aquí la cosa cambia y es detectado por casi todos los Anti Virus.




Podemos observar un mensaje o dedicatoria a un reconocido investigador del Cybercrimen Brian Krebs




Strings Interesantes:



Anti virus que intenta desactivar (gracias @dimitribest):


00403D80 DD dumped.00409F98 UNICODE "Microsoft"
00403D84 DD dumped.00409F70 UNICODE "Microsoft"
00403D88 DD dumped.00409F44 UNICODE "Microsoft"
00403D8C DD dumped.00409F24 UNICODE "ESET"
00403D90 DD dumped.00409F04 UNICODE "ESET"
00403D94 DD dumped.00409EE8 UNICODE "AVG"
00403D98 DD dumped.00409ECC UNICODE "AVG"
00403D9C DD dumped.00409EB0 UNICODE "AVG"
00403DA0 DD dumped.00409E8C UNICODE "AntiVir"
00403DA4 DD dumped.00409E68 UNICODE "avast!"
00403DA8 DD dumped.00409E3C UNICODE "Kaspersky"
00403DAC DD dumped.00409E14 UNICODE "Kaspersky"
00403DB0 DD dumped.00409DEC UNICODE "Norton"
00403DB4 DD dumped.00409DC4 UNICODE "Symantec"
00403DB8 DD dumped.00409DA0 UNICODE "Symantec"
00403DBC DD dumped.00409D74 UNICODE "Symantec"
00403DC0 DD dumped.00409D50 UNICODE "Symantec"
00403DC4 DD dumped.00409D20 UNICODE "McAfee"
00403DC8 DD dumped.00409CF0 UNICODE "McAfee"
00403DCC DD dumped.00409CE0 UNICODE "McAfee"
00403DD0 DD dumped.00409CB8 UNICODE "SafenSoft"


00418CB9 PUSH dumped.00402648 UNICODE "nspr4.dll" 00418CE0 PUSH dumped.00402690 UNICODE "chrome.dll" 00418DF7 PUSH dumped.00409FC0 ASCII "GetProcAddress" 00418E01 PUSH dumped.00409FD0 ASCII "LoadLibraryA" 00418ECE PUSH dumped.00409FE0 ASCII "NtCreateThread" 00418ED6 PUSH dumped.00409FF0 ASCII "NtCreateUserProcess" 00418EE8 PUSH dumped.0040A004 ASCII "NtQueryInformationProcess" 00418EFA PUSH dumped.0040A020 ASCII "RtlUserThreadStart" 00418F0C PUSH dumped.0040A034 ASCII "LdrLoadDll" 00418F1E PUSH dumped.0040A040 ASCII "LdrGetDllHandle" 00419642 MOV ECX,dumped.00401C58 ASCII "C1F20D2340B519056A7D89B7DF4B0FFF" 004196FD MOV EDI,dumped.004084A0 UNICODE "SOFTWARE\Microsoft" 00419750 PUSH dumped.0040A060 UNICODE ".dat" 004197C4 PUSH dumped.004084A0 UNICODE "SOFTWARE\Microsoft" 0041A000 PUSH dumped.00402D30 ASCII "Coded by BRIAN KREBS for personal use only. I love my job & wife." 0041A012 CALL dumped.004131F8 (Initial CPU selection) 0041B3A3 PUSH dumped.0040A06C ASCII "RFB 003.003

00420C5D   MOV ECX,dumped.0040A1E0                   ASCII "GET "
00420C76   MOV ECX,dumped.0040A1E8                   ASCII "POST "
00421802   PUSH dumped.0040A1F0                      ASCII "FAIL"
00423332   PUSH dumped.0040A1F8                      ASCII ".swf"
0042334D   PUSH dumped.0040A200                      ASCII ".flv"
00423368   PUSH dumped.0040A208                      ASCII "facebook.com"
00423505   MOV ECX,dumped.0040A10C                   ASCII "https://"
00423876   MOV ECX,dumped.0040A21C                   ASCII "%BOTID%"
004238B3   MOV ECX,dumped.0040A224                   ASCII "%BOTNET%"
00423963   MOV ECX,dumped.0040A230                   ASCII "%BC-*-*-*-*%"
00423A30   MOV ECX,dumped.0040A240                   ASCII "%VIDEO%"
0042413F   MOV EDI,dumped.00407CAC                   ASCII "POST"
00424146   MOV EDI,dumped.00407CB4                   ASCII "GET"
00424168   PUSH dumped.00401A24                      ASCII "HTTP/1.1"
0042421B   PUSH dumped.0040A248                      ASCII "Cookie: %s



0042F0C8   PUSH dumped.00407C64                      UNICODE "ComSpec"
0042F135   MOV ECX,dumped.00407C74                   ASCII "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1)"
0042F273   MOV ECX,dumped.00407CAC                   ASCII "POST"
0042F27A   MOV ECX,dumped.00407CB4                   ASCII "GET"
0042F287   PUSH dumped.00401A24                      ASCII "HTTP/1.1"
0042F2AF   MOV DWORD PTR SS:[EBP+C],dumped.00407CB8  ASCII "Connection: close


Análisis dinámico de RED.


Se puede observar la conexión al C&C para la descarga de la config del zbot.






En el día de hoy ya no funciona....





Gracias a Dimitry Bestuzhev @dimitribest y Santiago Pontiroli @spontiroli por confirmar que se trata de Citadel y por sus buenos comentarios.






Muestas + dumps: https://www.dropbox.com/s/itaqjuq1i1lml0e/CITADEL-postal_gusanito.060314.zip

password = infected

Eso fue todo por el momento.




@Dkavalanche 2014



PD: La semana próxima no se pierdan de SegurInfo 2014 , va a estar muy interesante, sobre todo las charlas de Cesar Cerrudo, Julio Ardita, Gustavo Presman y las del Csirt Banelco entre otros.


 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!