jueves, 17 de diciembre de 2015

Campaña RAT Cybergate Falso correo:

"Hola todo el mundo lo sabe menos tu te están engañando abre los ojos‏"


Contiene tres links que descarga un ejecutable con el icono de adobe flash.



http://urlquery.net/report.php?id=1450312796496
http://urlquery.net/report.php?id=1450312974084





Icono


Contiene una capa de Crypter básica pero efectiva, solo 8 antivirus lo reconocían.



Dumpeamos con bp en WriteVirtualMemory



Ahora sin la capa del Crypter la cosa cambia y es detectado por mas A.V.






Strings Interesantes:


Anti-VM


00407AB3   MOV EAX,1.00407B40                        ASCII "VBoxService.exe"
00407B40   ASCII "VBoxService.exe",0
00407B53   PUSH 1.00407B68                           ASCII "SbieDll.dll"
00407B68   ASCII "SbieDll.dll",0
00407B77   PUSH 1.00407B8C                           ASCII "dbghelp.dll"
00407B8C   ASCII "dbghelp.dll",0



00407BA6   PUSH 1.00407C00                           ASCII "Software\Microsoft\Windows\CurrentVersion"
00407BCF   PUSH 1.00407C2C                           ASCII "ProductId"
00407BE2   CMP EAX,1.00407C38                        ASCII "55274-640-2673064-23950"


Anti-Debugging


00407EA6   PUSH 1.00407ED4                           ASCII "IsDebuggerPresent"



00408798   MOV EDX,1.004089E0                        ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
004087E1   MOV EDX,1.004089E0                        ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
0040880F   MOV EDX,1.004089E0                        ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
00408858   MOV EDX,1.004089E0                        ASCII "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run"
00408890   MOV EDX,1.00408A28                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
004088D9   MOV EDX,1.00408A28                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
00408911   MOV EDX,1.00408A28                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
0040895A   MOV EDX,1.00408A28                        ASCII "Software\Microsoft\Windows\CurrentVersion\Run"
004089D4   ASCII "\",0

En el analisis Dinámico vemos donde se conecta y su persistencia en el sistema.


Archivo Oculto:









Network Traffic

DNS Requests

unshowmas.ddns.net 181.131.80.198 Colombia
analaloca.chickenkiller.com 181.131.80.198 Colombia
unshowmas.no-ip.biz 181.131.80.198 Colombia
Contacted Hosts

191.90.223.133 3460 TCP Colombia


El RAT se inyecta en un proceso Firefox.exe, haciendo un dump de este proceso y luego volcando los strings encontramos lo siguiente:

(para esto podemos utilizar la suite de sysinternals)


unshowmas.no-ip.biz
ALOCA.CHICKENKILLER.COM
unshowmas.no-ip.biz
stem\CurrentControlSet\Services\Tcpip\Parameters
cybergate

CyberGate 
v1.18.0 - Trial version
.txt



Ya sabemos que es el troyano RAT Cybergate, por lo que podemos correr un decoder del config para ver que datos obtenemos.

https://github.com/kevthehermit/RATDecoders/blob/master/CyberGate.py



Key: Activate Keylogger Value: TRUE
Key: Active X Startup Value: {O8WU086S-76RM-CBK3-8KVD-3P1LU050V080}
Key: Change Creation Date Value: TRUE
Key: CyberGate Version Value: 
Key: Domain Value: analaloca.chickenkiller.com|unshowmas.ddns.net|unshowmas.no-ip.biz|
Key: Enable Message Box Value: FALSE
Key: FTP Address Value: ftp.server.com
Key: FTP Directory Value: ./logs
Key: FTP Interval Value: 30
Key: FTP Password Value: password
Key: FTP Port Value: 21
Key: FTP UserName Value: ftp_user
Key: Google Chrome Passwords Value: 
Key: Hide File Value: TRUE
Key: Install Directory Value: install
Key: Install File Name Value: logonwindows.exe
Key: Install Flag Value: TRUE
Key: Install Message Box Value: Remote Administration anywhere in the world.
Key: Install Message Title Value: CyberGate
Key: Keylogger Backspace = Delete Value: TRUE
Key: Keylogger Enable FTP Value: FALSE
Key: Melt File Value: TRUE
Key: Message Box Button Value: 0
Key: Message Box Icon Value: 16
Key: Mutex Value: J00OO266V861S3
Key: P2P Spread Value: 
Key: Password Value: cybergate
Key: Persistance Value: TRUE
Key: Port Value: 3460|3460|3460|
Key: Process Injection Value: Disabled
Key: REG Key HKCU Value: HKCU
Key: REG Key HKLM Value: HKLM
Key: ServerID Value: FOTO
Key: Startup Policies Value: Policies
Key: USB Spread Value: 


La ingeniería social a la orden del día y los .... curiosos...
Muestra: 
https://www.dropbox.com/s/xk35wu39i3v2n3k/Malware%20-%20cybergate-16-12-15.rar?dl=0

Eso es todo por el momento.

@Dkavalanche 2015






jueves, 10 de diciembre de 2015


Campaña de Ransomware: TeslaCrypt

En el día de ayer me llego un correo phishing con un regalo desagradable, un encriptor de datos.

Los correos maliciosos llegan con un adjunto .zip con un javascript codificado en su interior.

Your order #39203250 - Corresponding Invoice #1AF14884


JavaScript Ofuscado.





Al ejecutarlo descarga y ejecuta un .exe 



http://urlquery.net/report.php?id=1449670303414

Análisis de la amenaza en VT 

https://www.virustotal.com/es-ar/file/832b72759899c9b6c4aa41afc8640d37a7be7c60797bcd120a019b867d8fa492/analysis/



Desempacado del malware.




Strings Interesantes


Address    Disassembly                               Text string
0040103B   PUSH dump.004322C8                        UNICODE "Software\%s"
0040108A   PUSH dump.004322E0                        UNICODE "data"
0040111F   PUSH dump.004322EC                        ASCII "Software\%S"
00401142   PUSH dump.004322F8                        ASCII "S-1-5-18\"
004011DB   PUSH dump.00432304                        ASCII "data"
00401280   PUSH dump.0043230C                        UNICODE "\S-1-5-18\Software\zsys\"
004012AC   PUSH dump.00432340                        UNICODE "ID"
004012DC   PUSH dump.00432348                        UNICODE "%X%X%X%X"
00401313   PUSH dump.00432348                        UNICODE "%X%X%X%X"
00401368   PUSH dump.0043235C                        UNICODE "Software\zsys\"
00401386   PUSH dump.00432340                        UNICODE "ID"
004013C6   PUSH dump.00432340                        UNICODE "ID"
004013FC   PUSH dump.00432348                        UNICODE "%X%X%X%X"
00401433   PUSH dump.00432348                        UNICODE "%X%X%X%X"
00412BAE   PUSH dump.00438194                        ASCII "sdflk35jghs"
00412BD1   MOV DWORD PTR SS:[EBP-6C],dump.00438194   ASCII "sdflk35jghs"
00412F99   MOV ESI,dump.00432EF0                     ASCII ".dll"
0041373F   PUSH dump.00433010                        UNICODE "how_recover"
0041374B   PUSH dump.00433028                        UNICODE "%s\%s+%s.txt"
004137A7   PUSH dump.00433010                        UNICODE "how_recover"
004137B3   PUSH dump.00433044                        UNICODE "%s\%s+%s.html"
00413975   ASCII "Qh",0
004139E0   MOV ECX,dump.00433060                     UNICODE "A:\"
00413A30   MOV ECX,dump.00433068                     UNICODE "B:\"
00413C10   PUSH dump.00433070                        UNICODE "\*.*"
00413C9F   MOV EAX,dump.00433080                     UNICODE ".."
00413EBD   MOV EAX,dump.00433088                     UNICODE "recove"
00413ECD   MOV EAX,dump.00433098                     UNICODE ".vvv"
00413FF0   PUSH dump.00433098                        UNICODE ".vvv"
0041A306   PUSH dump.0043312C                        ASCII "Cr"
0041A31D   PUSH dump.00433130                        ASCII "ypted"
0041A381   PUSH dump.004330E0                        ASCII "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko"
0041A4E7   PUSH dump.004324AC                        ASCII "2.2.0"
0041A6F8   PUSH dump.00433138                        ASCII "%s?%s"
0041A744   PUSH dump.00433140                        ASCII "GET"
0041A7B8   PUSH dump.00433144                        ASCII "INSERTED"
0041A85C   PUSH dump.004330E0                        ASCII "Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; Touch; rv:11.0) like Gecko"



0041A874   PUSH dump.00433150                        UNICODE "http://myexternalip.com/raw"


0041D688   PUSH dump.004380F4                        UNICODE "%s\system32\cmd.exe"
0041D75E   MOV DWORD PTR SS:[EBP-854],dump.0043813C  UNICODE "runas"
0041D82D   PUSH dump.00438148                        ASCII "vssa"
0041D843   PUSH dump.00438150                        ASCII "dmin"
0041D859   PUSH dump.00438158                        ASCII ".exe"
0041D881   PUSH dump.00438160                        ASCII "delete "
0041D897   PUSH dump.00438168                        ASCII "shadows "
0041D8B0   PUSH dump.00438174                        ASCII "/all "
0041D8C6   PUSH dump.0043817C                        ASCII "/Quiet "
0041D8F8   MOV DWORD PTR SS:[EBP-23C],dump.00438184  ASCII "open"
0041D90A   MOV DWORD PTR SS:[EBP-23C],dump.0043818C  ASCII "runas"

0041DAFD   PUSH dump.004335E8                        ASCII "Qwi+Z2ptKhg884OCgBjab+QQ1zaBfozWc6txcHgkc6+AEn1w8gFPofQSOA7x8Y=="
0041DB1D   PUSH dump.00433598                        ASCII "xqTHKxhHf5KXoX/eFiktjVyAZ6uGJ2BLl7SzVC2ueVDnONLTeN2Q0HW7rmeSlcHFEnI12UrR"
0041DB40   PUSH dump.00433550                        ASCII "FSVvmBCBk7wMEoif5nZjWH2tFlEkUQwgKwPy/04w8E/WLQlp4ogUohBlNgZ9YQ=="
0041DB62   PUSH dump.00433508                        ASCII "l2Hd+QlQKxTunawJxW1JslefFsEIYc79d+JZDiPXpj3qNRCiQgVitrCMwwlKju=="
0041DB82   PUSH dump.004334B8                        ASCII "F2UeThCgQBrhu5kWIiCOhuvLGNBAhWdhD5T4Ukihd+Jaq26PBSLnxjMN0BHbDtJYoZKoigO5"
0041DBA6   PUSH dump.00433468                        ASCII "5p32jJULMx6o6X1+OfAh17uh5oGV9Czt8RLgjANQsmmmqxopIg/vQdShWSchJi9IpKlrPXAb"
0041DBCC   PUSH dump.00433420                        ASCII "6hZ3J2jHDTP8JtXjBjr+wNn+4a/uKzK1vyouD8qyHswLsR7E9X2Wf9SgwAlRna=="

0041DF89   PUSH dump.004381CC                        ASCII "Wow64DisableWow64FsRedirection"
0041DF91   PUSH dump.004381EC                        ASCII "Wow64RevertWow64FsRedirection"
0041DFE1   PUSH dump.0043820C                        UNICODE "\recover_file_"
0041E012   PUSH dump.0043822C                        UNICODE ".txt"
0041E07F   PUSH dump.00438238                        UNICODE ":Zone.Identifier"
0041E0AE   PUSH dump.0043825C                        ASCII "SeDebugPrivilege"
0041E16B   PUSH dump.00438270                        UNICODE "2134-1234-1324-2134-1324-2134"
0041E1EF   PUSH dump.004382AC                        ASCII "bcdedit.exe /set {current} bootems off"
0041E1FC   PUSH dump.004382D4                        ASCII "bcdedit.exe /set {current} advancedoptions off"
0041E209   PUSH dump.00438304                        ASCII "bcdedit.exe /set {current} optionsedit off"
0041E216   PUSH dump.00438330                        ASCII "bcdedit.exe /set {current} bootstatuspolicy IgnoreAllFailures"
0041E223   PUSH dump.00438370                        ASCII "bcdedit.exe /set {current} recoveryenabled off"



0041E454   PUSH dump.004383B8                        UNICODE "%s\Howto_RESTORE_FILES.txt"
0041E48F   PUSH dump.004383FC                        UNICODE "%s\Howto_RESTORE_FILES.html"
0041E4C3   PUSH dump.00438434                        UNICODE "%s\Howto_RESTORE_FILES.bmp"
0041E78B   PUSH dump.0043846C                        UNICODE "%s\%s"
0041E7E3   PUSH dump.00438478                        UNICODE "%s\%sacroic.exe"
0041E904   PUSH dump.00438498                        UNICODE "/c "
0041E91A   PUSH dump.004384A0                        UNICODE "DE"
0041E930   PUSH dump.004384A8                        UNICODE "L "
0041E97B   PUSH dump.004384B0                        UNICODE "ComSpec"
0041E9EE   PUSH dump.004384C0                        ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System"
0041EA12   PUSH dump.004384FC                        UNICODE "EnableLinkedConnections"
0041EA58   PUSH dump.004333C0                        UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"

El troyano verifica la IP de la victima con el siguiente servicio
"http://myexternalip.com/raw"


Trafico.



Luego de ofuscar los datos se despliega este html



Entramos a la web que se nos indica y vemos la exigencia del pago de u$s 500 o 1.15 BTC



La recomendación es no abrir correos no solicitados y mucho menos abrir los adjuntos, y como siempre reforzar las campañas de concientización.


Muestras: https://www.dropbox.com/s/qthkfjoodar7tct/TeslaCrypt-09-12-15.rar?dl=0


Eso es todo por el momento.

@Dkavalanche 2015







 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!