Buscar este blog

lunes, 25 de marzo de 2013

FedEX malware

 


El malware se distribuye de muchas maneras, una de ellas es mediante el envío de correos electrónicos. El malware puede venir adjunto con otra extensión o es posible que te den un enlace que te lleve hasta un exploit kit.
En el caso de hoy, he recibido un correo sospechoso que parece venir de FedEX,  así que he analizado la muestra en un laboratorio para saber como actuaba la muestra, donde se conectaba, que acciones realizaba etc...
Lo primero de todo es mirar el correo, mediante ingeniería social intentan que el mensaje parezca que proviene del proveedor legítimo, de esta manera hacen más fácil la infección al usuario final.

El correo básicamente dice que me han intentado entregar un paquete y que no han podido, así que invitan a  descargar un recibo y entregarlo para que me den el paquete. Para descargar el recibo, tenemos que hacer click en el enlace.

El enlace es de una web japonesa, antes de descargar el fichero, miramos el whois del dominio, así podríamos saber quien lo ha registrado y cuando se ha registrado, por si se trata de un dominio registrado para una reciente campaña de distribución de malware, por ejemplo.

darkmac:Desktop marc$ whois sakura.ne.jp
[ JPRS database provides information on network administration. Its use is    ]
[ restricted to network administration purposes. For further information,     ]
[ use 'whois -h whois.jprs.jp help'. To suppress Japanese output, add'/e'     ]
[ at the end of command, e.g. 'whois -h whois.jprs.jp xxx/e'.                 ]
Domain Information: [B%I%a%$%s>pJs]
a. [B%I%a%$%sL>]                 SAKURA.NE.JP
b. [B$M$C$H$o!<$/$5!<$S$9$a$$]
c. [B%M%C%H%o!<%/%5!<%S%9L>]     B$5$/$i%$%s%?!<%M%C%H
d. [Network Service Name]       SAKURA Internet
k. [BAH?%<oJL]                   B%M%C%H%o!<%/%5!<%S%9
l. [Organization Type]          Network Service
m. [BEPO?C4Ev<T]                 TU053JP
n. [B5;=QO"MmC4Ev<T]             TS22695JP
n. [B5;=QO"MmC4Ev<T]             KW419JP
p. [B%M!<%`%5!<%P]               ns1.dns.ne.jp
p. [B%M!<%`%5!<%P]               ns2.dns.ne.jp
s. [B=pL>80]
[B>uBV]                          Connected (2013/01/31)
[BEPO?G/7nF|]                    1997/01/13
[B@\B3G/7nF|]                    1997/02/10
[B:G=*99?7]                      2012/02/01 01:11:32 (JST)

Parece que el dominio se creó hace bastante tiempo por lo que no se trata de una campaña en la que se haya registrado un dominio específico para distribuir la muestra.

Si el dominio no se ha registrado en una campaña de distribución de malware, pueden haberlo comprometido, es una práctica habitual entre los ciber criminales.

¿Es posible por lo tanto que hayan comprometido este host?

Si miramos el host remoto:

Parece que es un host vulnerable, por lo que podemos imaginar que se trata de un host comprometido.

PORT     STATE    SERVICE        VERSION
21/tcp   open     ftp            ProFTPD 1.3.3g
22/tcp   open     ssh            OpenSSH 5.1p1 (FreeBSD 20080901; protocol 1.99)
|_sshv1: Server supports SSHv1
|_ssh-hostkey: ERROR: Script execution failed (use -d to debug)
25/tcp   open     smtp           Sendmail 8.14.3/8.14.3
69/tcp   filtered tftp
79/tcp   filtered finger
80/tcp   open     http           Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: pontile*
|_http-methods: GET HEAD OPTIONS
110/tcp  open     pop3           Courier pop3d
111/tcp  filtered rpcbind
137/tcp  filtered netbios-ns
138/tcp  filtered netbios-dgm
139/tcp  filtered netbios-ssn
143/tcp  open     imap           Courier Imapd (released 2008)
443/tcp  open     ssl/http       Apache httpd 1.3.42 ((Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e)
|_http-title: \x82\xB3\x82\xAD\x82\xE7\x82\xCC\x83\x8C\x83\x93\x83^\x83\x8B\x83T\x81[\x83o
|_http-methods: GET HEAD OPTIONS
445/tcp  filtered microsoft-ds
587/tcp  open     smtp           Sendmail 8.14.3/8.14.3
623/tcp  filtered oob-ws-http
664/tcp  filtered secure-aux-bus
787/tcp  open     drac           1 (RPC #900101)
993/tcp  open     ssl/imap       Courier Imapd (released 2008)
995/tcp  open     ssl/pop3       Courier pop3d
3339/tcp filtered unknown
8025/tcp filtered ca-audit-da
Service Info: OSs: Unix, FreeBSD; CPE: cpe:/o:freebsd:freebsd

Tiene bastantes servicios al descubierto y se confirma la versión de NMAP Apache 1.3.4.

El tener el servidor web, entre otros servicios con vulnerabilidades da que pensar que igual han vulnerado el host remoto y que han subido ahí la muestra. Comprobamos el enlace a ver si la muestra está todavía disponible.

darkmac:Desktop marc$ curl -I iyukicks.sakura.ne.jp/RFCRPYZLDP.php?php=receipt
HTTP/1.1 200 OK
Date: Sat, 05 Jan 2013 11:45:01 GMT
Server: Apache/1.3.42 (Unix) mod_ssl/2.8.31 OpenSSL/0.9.8e
Content-Disposition: attachment; filename=PostalReceipt.zip
Content-Length: 35398
Content-Type: application/zip

El host responde con un 200 y lo que tenemos para descargar es un fichero ZIP, así que lo bajamos y descomprimos el archivo.

Una de las primeras cosas que se pueden hacer es saber si alguien ya ha escaneado este archivo, por lo tanto lo comprobamos en Virus Total, por ejemplo.

Primero miramos el MD5

darkmac:~ marc$ md5 Downloads/PostalReceipt.exe
MD5 (Downloads/PostalReceipt.exe) = ca0393c3d4ae30f258266329b8b8867a

Y luego se comprueba si el archivo ha sido subido a Virus Total:
darkmac:~ marc$ python tools/malware/virustotal/virustotal.py get ca0393c3d4ae30f258266329b8b8867a
INFO:virustotal:Get report of 'ca0393c3d4ae30f258266329b8b8867a'
********************************************************************************
Report:
- MicroWorld-eScan (12.0.250.0, 20130105):    Trojan.Generic.KDV.820505
- nProtect (2013-01-04.03, 20130104):    Trojan/W32.Small.49152.CEB
- CAT-QuickHeal (12.00, 20130104):    TrojanDownloader.Kuluoz.agy
- McAfee (5.400.0.1158, 20130105):    Generic Downloader.x!gpd
- Malwarebytes (1.62.0.140, 20130105):    Trojan.Fakeword
- K7AntiVirus (9.156.8074, 20130104):    Riskware
- TheHacker (None, 20130105):    Posible_Worm32
- NANO-Antivirus (0.22.6.49175, 20130105):    None
- F-Prot (4.6.5.141, 20130104):    None
- Symantec (20121.2.1.2, 20130105):    Trojan.Gen.2
- Norman (6.08.06, 20130104):    W32/Troj_Generic.GJHER
- TotalDefense (37.0.10238, 20130104):    Win32/Kuluoz.DA
- TrendMicro-HouseCall (9.700.0.1001, 20130105):    TROJ_KULUOZ.GC
- Avast (6.0.1289.0, 20130105):    Win32:Malware-gen
- eSafe (7.0.17.0, 20130103):    None
- ClamAV (0.97.3.0, 20130105):    None
- Kaspersky (9.0.0.837, 20130105):    Trojan-Downloader.Win32.Kuluoz.agy
- BitDefender (7.2, 20130105):    Trojan.Generic.KDV.820505
- Agnitum (5.5.1.3, 20130104):    None
- SUPERAntiSpyware (5.6.0.1008, 20130105):    None
- Emsisoft (3.0.0.569, 20130105):    Trojan.Win32.Agent.AMN (A)
- Comodo (14796, 20130105):    TrojWare.Win32.Trojan.Agent.Gen
- F-Secure (9.0.17090.0, 20130104):    Trojan.Generic.KDV.820505
- DrWeb (7.0.4.09250, 20130105):    BackDoor.Kuluoz.3
- VIPRE (14848, 20130104):    Trojan.Win32.Generic.pak!cobra
- AntiVir (7.11.55.234, 20130104):    TR/Rogue.kdv.820505.1
- TrendMicro (9.561.0.1035, 20130105):    TROJ_KULUOZ.GC
- McAfee-GW-Edition (2012.1, 20130104):    Generic Downloader.x!gpd
- Sophos (4.84.0, 20130105):    Troj/Zbot-DKL
- Jiangmin (13.0.900, 20121221):    None
- Antiy-AVL (2.0.3.7, 20130104):    None
- Kingsoft (2012.12.21.213, 20130104):    Win32.Malware.Generic.a.(kcloud)
- Microsoft (1.9002, 20130105):    TrojanDownloader:Win32/Kuluoz.B
- ViRobot (2011.4.7.4223, 20130104):    Trojan.Win32.S.Downloader.49152.CQ
- AhnLab-V3 (2013.01.05.00, 20130104):    Win-Trojan/Downloader.49152.UF
- GData (22, 20130105):    Trojan.Generic.KDV.820505
- Commtouch (5.3.2.6, 20130104):    None
- ByteHero (1.0.0.1, 20121226):    None
- VBA32 (3.12.18.4, 20130104):    None
- PCTools (8.0.0.5, 20130105):    Trojan.Gen
- ESET-NOD32 (7862, 20130104):    a variant of Win32/Kryptik.ARME
- Rising (24.43.04.02, 20130104):    None
- Ikarus (T3.1.1.122.0, 20130104):    Trojan-Downloader.Win32.Kuluoz
- Fortinet (5.0.26.0, 20130105):    W32/Kuluoz.AGY!tr.dldr
- AVG (10.0.0.1190, 20130105):    Downloader.Generic13.XMH
- Panda (10.0.3.5, 20130104):    Trj/CI.A

Parece que hay premio, es detectado por la mayoría de antivirus. Antes de empezar ningún análisis dinámico o estático podemos ver mas información del binario:
root@remnux:/home/remnux# pescanner PostalReceipt.exe
################################################################################
Record 0
################################################################################
Meta-data
================================================================================
File:    PostalReceipt.exe
Size:    49152 bytes
Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5:     ca0393c3d4ae30f258266329b8b8867a
SHA1:    be8ce26449980e5aecba2d2f793f5e4e5123ff61
ssdeep:  768:zWZkk1ZcczE0AGalM8eF7sft+FZqUATV9ddobwttIK1K4bKI/2X:SZF1ZZzE0P3wftytApl1Kj1X
Date:    0x50E4C291 [Wed Jan  2 23:28:17 2013 UTC]
EP:      0x4282d0 UPX1 1/3 [SUSPICIOUS]
CRC:     Claimed: 0x0, Actual: 0x10922 [SUSPICIOUS]
Packers: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
Resource entries
================================================================================
Name               RVA      Size     Lang         Sublang                  Type
--------------------------------------------------------------------------------
RT_ICON            0x290a4  0x4228   LANG_ENGLISH SUBLANG_ENGLISH_US       data
RT_GROUP_ICON      0x2d2d0  0x14     LANG_ENGLISH SUBLANG_ENGLISH_US       MS Windows icon resource - 1 icon
Sections
================================================================================
Name       VirtAddr     VirtSize     RawSize      Entropy    
--------------------------------------------------------------------------------
UPX0       0x1000       0x20000      0x0          0.000000    [SUSPICIOUS]
UPX1       0x21000      0x8000       0x7600       7.825471    [SUSPICIOUS]
.rsrc      0x29000      0x5000       0x4600       3.971729   

Es un binario empaquetado con UPX y se ha compilado hace bien poquito, por el timestamp del ejecutable.
Análisis dinámico
Lo que haremos ahora es ejecutar la muestra en un entorno controlado para ver que hace exactamente.
Ejecutamos la muestra,

Al ejecutar la muestra se nos abre un archivo TXT, supuestamente es el que tendría que imprimir para que me entregaran el paquete....
Pero, en segundo plano se abren varias conexiones en paralelo.

Tenemos muchas Ip's además de diferente Content-Type.
Si miramos por ejemplo el que es de tipo application,

Nos encontramos con un bonito ejecutable :)

Artículo cortesía de Marc Rivero López

FedEX malware
Contribuciones
Sat, 23 Mar 2013 07:30:00 GMT