Analiza malware Keylogger iSPY - CERT Orange …Analiza Malware Keylogger iSPY Autor Iwo Graj CERT Orange Polska Wirusa można następnie znaleźć w dwóch lokalizacjach systemu operacyjnego

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Analiza malware

Keylogger iSPY



Instalacja złośliwego oprogramowania W październiku na skrzynkę funkcyjną CERT Orange Polska otrzymaliśmy przysłany przez użytkownika

mail z podejrzanym załącznikiem.

Jeśli użytkownik otworzył załączony dokument Microsoft Office, następowała infekcja jego

komputera.

W pliku Microsoft Office znajdował się złośliwy kod, uruchamiający po otwarciu pliku na komputerze

ofiary skrypt PowerShell, który ściągał złośliwe oprogramowanie z zewnętrznego serwera, a

następnie je uruchamiał.



Wirusa można następnie znaleźć w dwóch lokalizacjach systemu operacyjnego Windows.

Pierwszy plik wirusa, który inicjował jego uruchomienie przy starcie systemu to skrót o nazwie

„WCciiQNFHhdY.lnk ” znajdował się w lokalizacji:

C:\[Użytkownicy]\[Nazwa_użytkownika]\AppData\Roaming\Microsoft\Windows\Start

Menu\Programs\Startup\



Zawartość skrótu wygląda następująco:

Jego zadanie to uruchomienie pliku „PhFM.exe” który to następnie uruchamia kolejny plik (packer),

napisany w języku skryptowym AutoIT – „PhMA.au3”

W celu ukrycia wirus zmieniał atrybuty systemowe swoich plików nadając im atrybuty +SH.



Po usunięciu atrybutów pliki były widoczne z poziomu systemu Windows.

Poniżej fragment zdeobfuskowanego kodu z pliku PhFMA.au3 wraz z funkcjami, które odpowiadały za

tworzenie się plików w danych lokalizacjach oraz dodawanie atrybutów.

Dodatkowo malware dzięki mechanizmom w pliku PhFMA.au3 sprawdzał obecność na zarażonym

komputerze oprogramowania antywirusowego Avast oraz testował, czy jest uruchamiany w

środowisku wirtualnym, służącym do analizy złośliwego oprogramowania, szukając w systemie

działających procesów:

AvastUI.exe

VboxTray.exe

vmtoolsd.exe

SandboxieRpcSs.exe

Analiza działania Oprogramowanie iSpy Keylogger składa się z trzech funkcjonalnych modułów:

Screenshot

Keyboard

Clipboard

Moduł Screenshot odpowiedzialny jest za wykonywanie na zainfekowanym komputerze zrzutów

ekranu, a następnie wysyłanie ich do cyberprzestępcy.

Analizę złośliwego oprogramowania – w celu zaprezentowania dokładnej zasady kradzieży loginów i

haseł – wykonano przy użyciu nieistniejącego loginu i hasła w serwisie orange.pl



Wykorzystane dane:

Login: CERT ORANGE; Hasło: TEST1

Na początku moduł wykonywał zrzut ekranu do pliku .bmp, zapisując go w lokalizacji

„C:\[UŻYTKOWNICY]\[NAZWA_UŻYTKOWNIKA]\AppData\Local\Temp\” pod losowo wygenerowaną

alfanumeryczną nazwą, składającą się zawsze z tego samego typu ciągu znaków oddzielonych od

siebie znakiem dywizu (-), wg. wzorca: 8 znaków-4 znaki-4 znaki-4 znaki-12 znaków. Przykładowo na

poniższym zrzucie ekranu widzimy ścieżkę do pliku b9becc20-b754-418b-ad01-73ee77b8f49d.bmp

Funkcje związane ze złośliwym działaniem wirusa inicjował proces o nazwie PhFM.exe, wykorzystując

swój drugi komponent w postaci pliku PhFMA.au3. Złośliwy kod wykonywał wstrzyknięcie funkcji do

przestrzeni pamięci procesu uruchomionego przez siebie wcześniej pliku „RegSvcs.exe”, alokując

następnie swoje złośliwe funkcje w jego przestrzeni pamięci. Celem tego typu działania jest

uniknięcie detekcji przez oprogramowanie antywirusowe.



Poniżej na zrzucie ekranu dla przykładu przedstawiono łańcuchy znakowe wyciągnięte z działającego

w pamięci procesu RegSvcs.exe.

W kolejnym kroku wirus przesyłał utworzony wcześniej plik (w naszym przypadku b9becc20-b754-

418b-ad01-73ee77b8f49d.bmp ze zrzutem ekranu z zainfekowanego komputera na serwer

wykorzystywany jako dropzone.



Następnie pobierał informacje o lokalizacji pliku na serwerze w postaci linków.

Przy analizie wirusa został wygenerowany plik o nazwie „DHbBP.png” jest on widoczny na poniższym

zrzucie ekranu:

Następnie malware łączył się z zarządzanym przez cyberprzestępcę serwerem SMTP. Poniższy zrzut

ekranu przedstawia autoryzację wirusa z zainfekowanego komputera do serwera SMTP w celu

przesłania informacji, skąd przestępca może pobrać zrzut ekranu. iSpy uwierzytelniał się do serwera

SMTP, który posiadał możliwość wysyłania e-maili na wskazany adres poczty. Login i hasło były

zakodowane standardowym przy tego typu połączeniach trywialnym do zdekodowania algorytmem

BASE64, co pozwoliło na poznanie loginu i hasła, używanych przez przestępcę.



Powyżej można zaobserwować, iż e-mail posiadał temat, precyzujący jakiego modułu dotyczy, wraz z

nazwą użytkownika oraz zainfekowanego komputera (w tym przypadku „Iwo Graj \ CERT-ORANGE-

LAB”).

Kolejny zrzut ekranu pokazuje link prowadzący bezpośrednio do pobrania pełnego zrzutu ekranu w

postaci pliku „DHbBP.png” z zainfekowanego komputera użytkownika.



Kolejnym modułem analizowanego malware’u jest Keylogger – Keyboard, odpowiedzialny za

logowanie klawiszy naciśniętych przez użytkownika na jego klawiaturze.

Poniższy zrzut pokazuje, że login i hasło wykradzione z zainfekowanego komputera było

przekazywane w analogiczny sposób, jak w przypadku modułu „Screenshot”, różniąc się tematem

wiadomości „Keyboard Log” oraz oczywiście jej treścią.

Analogicznie wygląda sytuacja w przypadku trzeciego modułu wirusa, odpowiedzialnego za

logowanie skopiowanego przez użytkownika fragmentu tekstu.

Na potrzeby analizy został utworzony dokument tekstowy z treścią, która następnie została

skopiowana

.



Sposób przesłania informacji do przestępcy:

W trakcie analizy złośliwego oprogramowania zweryfikowano również poprawność działania serwera

SMTP cyberprzestępcy. Przy użyciu danych pochodzących z analizy kodu malware zalogowano się na

port 587 serwera przy użyciu protokołu telnet, preparując wiadomość wysyłaną przez

cyberprzestępcę tak, by wiadomość trafiła na adres e-mail stworzony na potrzeby niniejszej analizy.

Jak widać poniżej uwierzytelnienie przebiegło poprawnie i zakończyło się sukcesem na serwerze.



W kolejnym kroku spreparowano wiadomość i wysłano na utworzony wcześniej adres e-mail.

Poniższy zrzut ekranu dowodzi, iż serwer SMTP cyberprzestępcy działa poprawnie, a na e-mail

przyszła spreparowana wiadomość zawierająca dane z modułu Keylogger’a. W takiej właśnie formie

cyberprzestępca odbierał na skrzynce pocztowej wykradzone dane z zainfekowanych komputerów

uzytkowników.



Rekomendacje

CERT Orange Polska stanowczo zaleca używanie oprogramowania antywirusowego i jego stałą

aktualizację, które z dużym prawdopodobieństwem ułatwi uniknięcia kolejnych infekcji złośliwym

oprogramowaniem i pomoże zminimalizować skutki kolejnych infekcji, a także oprogramowanie typu

firewall, którego zadaniem jest zablokowanie niecharakterystycznego dla zainfekowanej maszyny

ruchu sieciowego.

Wszyscy klienci usług Orange Polska, którzy otrzymali i uruchomili złośliwy załącznik, są chronieni

przed wyciekiem swoich danych dzięki CyberTarczy.

W przypadku braku oprogramowania antywirusowego zalecana jest również instalacja i

przeskanowanie swojego systemu operacyjnego pod względem złośliwego oprogramowania, które

może znajdować się na komputerach użytkowników, na których uruchomiono analizowany malware.

Documents

Analiza malware Keylogger iSPY - CERT Orange …Analiza Malware Keylogger iSPY Autor Iwo Graj CERT Orange Polska Wirusa można następnie znaleźć w dwóch lokalizacjach systemu operacyjnego