Volvieron las campañas de ataque con troyanos RAT, en este caso se trata de un falso correo que intenta apelar a la ingeniería social con el fin de infectar a las victimas con Pandora Rat.
Falso correo.
El link descarga el archivo IvaConstaExclunull 12-2013.rar que en su interior contiene un ejecutable.
El sitio web donde se encuentra alojado el troyano, permite leer el index y podemos ver que estarían preparando un ataque dirigido a una empresa.
Analisis de la amenaza en V.T. con un indice muy bajo en detecciones. 6/49
Clásico PUSHAD de UPX
Rutina anti-debugging
Analisis en V.T. del Dump de la muestra sin la capa de ofuscación, el numero cambia y es detectado por mas A.V.
ESET-NOD32 a variant of Win32/SchwarzeSonne.B 20131218
Se trata de un ejecutable compilado en Delphi. En uno de sus recursos se encuentra la configuración del servidor, sin ofuscar, se ve en texto plano la ip donde reporta, port, password y nombre que tendrá en el sistema el troyano, luego de ser ejecutado por primera vez.
moroccanghosts.no-ip.biz****##6622##jcc272e2a##Application Data##_xx_sms.exe##sms##{6407DA27-7D42-4D95-9273-3C0EF4316ECB}##1##1##1##1##PndrCH5!!X- PnDr##1##1##1##Overdose##1##1##
IP: moroccanghosts.no-ip.biz
PORT: 6622
PWD: jcc272e2a
EXE: _xx_sms.exe
TROJAN-ID: Overdose
Me guío por ESET y me bajo el código fuente y el builder del Schwarze Sonne Rat para ver si con los datos que tengo, puedo infectar una maquina virtual y con otra maquina simular ser el comando y control para que el troyano se reporte......... pero no tengo éxito.
Hasta que encuentro en los srtrings del Dump el siguiente String.......
0047A9CC PUSH dumpXtre.0047AA70 ASCII "PANDORA_RAT"
0047AA70 ASCII "PANDORA_RAT",0
Pandora Rat, tiene la capacidad de:
File Manager
Process Manager
Window Manager
Service Manager
CMD Remoto
Editor de Registro de Windows.
Keylogger
Captura de video (Webcam)
Captura de Audio
Captura de pantalla
Robo de credenciales cacheadas en los navegadores (Plug-In by Nirsoft)
Descarga y ejecución de otras amenazas/
Apertura remotas de paginas Web
Configuración del comando y control para que escuche en el port 6622 con las misma password que esta en el recurso.
En la maquina victima seteamos en el .host la siguiente entrada para que el troyano pueda ver la maquina de comando y control (estamos dentro de una misma red entre dos maquinas virtuales y la Ip es la que tengan en la maquina de control)
192.168.1.37 moroccanghosts.no-ip.biz
En la captura de trafico, se observan los datos que envía el troyano al comando y control, cuando este se reporta, estos datos van ofuscados.
[19/12/2013 01:43:33 p.m.:235]
00000000 C3 B8 BA AB A0 BC B0 B1 C1 7C BE 9B 92 96 91 96 ........ .|......
00000010 8C 8B 8D 9E 9B 90 8D 40 BA 8E 8A 96 8F 90 CF CE .......@ ........
00000020 7C A8 96 91 9B 90 88 8C DF A7 AF 7C BA AC AF 7C |....... ...|...|
00000030 CD C6 C7 CB 7C 4E 7C B0 89 9A 8D 9B 90 8C 9A 7C ....|N|. .......|
00000040 CD D1 CE 7C BC 9E 8F 8B 8A 8D 96 91 98 DF 99 8D ...|.... ........
00000050 90 92 DF BC 90 91 9A 87 96 0C 91 DF 9B 9A DF 1E ........ ........
00000060 8D 9A 9E DF 93 90 9C 9E 93 DF DF DF DF A4 A8 96 ........ ........
00000070 8D 9A 8C 97 9E 8D 94 DF CE D1 CE CF D1 CF DF DF ........ ........
00000080 D7 AC A9 B1 DF AD 9A 89 DF CB C6 C8 C6 CF DF 99 ........ ........
00000090 8D 90 92 DF D0 8B 8D 8A 91 94 D2 CE D1 CE CF D6 ........ ........
000000A0 A2 7C 0A 50 49 4E 47 7C 30 0A 50 49 4E 47 7C 30 .|.PING| 0.PING|0
000000B0 0A .
Se informa la ip, geo-localización , ID del troyano, ID del usuario conectado, versión de Windows, si tiene Webcam, la versión del troyano y ventana activa de la victima.
Captura de Comandos (van sin ofuscar)
ID de comando | Sub comando
1021|||0|err|0 Envía un mensaje de error .
1036|Hola Dice "Hola" por el parlante de la PC
402|5637 4|0|1100 Toma un screen shot de la pantalla.
400|1100| Graba audio
Información de la PC, también viaja en texto plano.
Update del servidor (troyano) con otro dns y otra password.
Agregamos otro host.
Comunicación para el envío del nuevo binario.
Persistencia en el sistema.
Lo raro es que si se setea otra clave en el Comando y Control el troyano igual se reporta y envía los datos, osea que con solo el host:port el troyano se reporta. En el hipotetico caso de apoderarnos del dns dinámico, nos estaríamos apoderando de toda la botnet.
Otros comandos que se pueden realizar sobre la victima.
Strings Interesantes:
0047F1F4 DD dumpXtre.0047F240 ASCII 0A,"TKeylogger"
0047F214 DD dumpXtre.0047F240 ASCII 0A,"TKeylogger"
0047F241 ASCII "TKeylogger"
Aquí quedan grabadas las pulsaciones de teclas \logs.dat
0047F298 MOV EDX,dumpXtre.0047F384 ASCII "\logs.dat"
0047F2C2 MOV EDX,dumpXtre.0047F384 ASCII "\logs.dat"
92FD8 ASCII "Keyboard and mou"
00492FE8 ASCII "se inputs blocke"
00492FF8 ASCII "d...",0
00493008 ASCII "Keyboard and mou"
00493018 ASCII "se inputs unbloc"
00493028 ASCII "ked...",0
00493030 ASCII "ShellDll_DefView"
00493040 ASCII 0
00493044 ASCII "Progman",0
00493054 ASCII "Disabled desktop"
00493064 ASCII "...",0
00493070 ASCII "Enabled desktop."
00493080 ASCII "..",0
00493084 ASCII "Program Manager",0
0049309C ASCII "Showing desktop "
004930AC ASCII "icons...",0
004930C0 ASCII "Hiding desktop i"
004930D0 ASCII "cons...",0
004930E0 ASCII "Monitor opened.."
004930F0 ASCII ". ",0
004930FC ASCII "Monitor closed.."
0049310C ASCII ".",0
00493118 ASCII "SeDebugPrivilege"
00493128 ASCII 0
00493134 ASCII "Remote computer "
00493144 ASCII "is crashed...",0
0049315C ASCII "Remote computer "
0049316C ASCII "is closed",0
00493180 ASCII "Remote computer "
00493190 ASCII "is logoff...",0
004931A8 ASCII "Remote computer "
004931B8 ASCII "is restarting..."
00486118 ASCII "ProductID",0
004861B2 MOV EDX,dumpXtre.00486310 ASCII "Windows NT"
004861C3 MOV EDX,dumpXtre.00486324 ASCII "Windows 2000"
004861D4 MOV EDX,dumpXtre.0048633C ASCII "Windows XP"
004861E5 MOV EDX,dumpXtre.00486350 ASCII "Windows Vista"
004861F6 MOV EDX,dumpXtre.00486368 ASCII "Windows Server 2008"
00486207 MOV EDX,dumpXtre.00486384 ASCII "Windows 95"
00486218 MOV EDX,dumpXtre.00486398 ASCII "Windows 98"
00486229 MOV EDX,dumpXtre.004863AC ASCII "Windows Me"
0048623A MOV EDX,dumpXtre.004863C0 ASCII "Windows Server 2003"
0048624B MOV EDX,dumpXtre.004863DC ASCII "Windows Server 2003 R2"
0048627F MOV EAX,dumpXtre.004863FC ASCII "Windows Version %d.%d"
0048628D MOV EDX,dumpXtre.0048641C ASCII "Windows 7"
0048629B MOV EDX,dumpXtre.00486430 ASCII "Windows Server 2008 R2"
004862A9 MOV EDX,dumpXtre.00486450 ASCII "Windows 8"
004862B7 MOV EDX,dumpXtre.00486464 ASCII "Windows Server 2012"
Muestra https://www.dropbox.com/s/jlyx1zc2wjs4vvq/IvaConstaExclunull%2012-2013.rar
password = infected
Felices Fiestas!
Es todo por el momento.
@Dkavalanche 2013
2 comentarios:
Muy buena y detallada investigación. Es sorprendente la capacidad de este malware delictivo. Temible.
Gracias Raul!! Saludos!
Publicar un comentario