Programmes malveillants .NET protégés par ConfuserEx

ѠOOT

Programmes malveillants .NET protégés par ConfuserEx

par ѠOOT »

Bonjour,

Initialement rapporté par Alki38000 suite à l'ouverture du sujet programme de 300 k inconnu.. sur le forum. À la réception de l'échantillon la détection était de 2/55 sur VT. Puis le 23/12/2014 suite à l'ajout sur MDB le taux était de 5/55. Un second échantillon à été ajouté sur MDB le 07/01/2015 en relation au sujet impossible de supprimer.. créé par SILexRaze sur CCM.

Les deux exécutables sont protégés par un stub généré via l'utilitaire ConfuserEx v0.3.0.

⚫ La ressource "US" contient une liste de 9965 mots en anglais.
⚫ La ressource "prot" contient un bloc de données.

En appliquant un 30h sur "prot",

← "edom SOD ni nur eb tonnac margorp sihT"

Et en inversant le sens de lecture du fichier,

→ "This program cannot be run in DOS mode"

On obtiens un PE.

- Description : "Windows Update Services"
- Legal : "Copyright © 2011"
- Nom interne: "Prototype.exe"
- Version : "0.0.0.0"

Je n'ai pas l'intention de rentrer dans les détails techniques des analyses.
Pour résumer, il injecte dans l'explorateur Windows un code malveillant.

Les échantillons sont disponibles grâce au MDB de Malekal donc libre à vous de réaliser vos propres études en rétroingénierie. Néanmoins, voici une liste de chaines de caractères qui pourront contribuer à l'écriture d'indicateurs de compromission ( ex: OpenIOC ) et/ou à l'élaboration de règles ( ex: YARA / Snort / Suricata / ... )

Code : Tout sélectionner

select * from Win32_OperatingSystem
Caption
OSArchitecture
CSDVersion
Hardware\Description\System\CentralProcessor\0
ProcessorNameString
SELECT * FROM Win32_DisplayConfiguration
Description
SELECT username, dnshostname FROM Win32_ComputerSystem
username
dnshostname
\\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\
AppData
PersonalN
\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\http\UserChoice
Progid
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\chrome.exe
Chrome@
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\firefox.exe
Firefox@$
Software\Microsoft\Internet Explorer
version
Internet Explorer@
svcVersion
ftp://ftp.reflexisinc.com/20121214/
STOR
**USERNAME_REMOVED**
**PASSWD_REMOVED**
\downloads
\appdata
.doc
.docx
.xls
.xlsx
.txt
password
blockchain
dogechain
\bitcoin\wallet.dat
4bfe866e25af84418b8b277b4ff49ac9
Bitcoin
4bfe866e25af84418b8b277b4ff49ac9.file
coin
\wallet.dat
.dat
multi
*.wallet
.wallet
http://184.107.17.216/updates.php?guid=
&m=&v=
&v2=
tracker.openbittorrent.com:80
tracker.publicbt.com:80
tracker.istole.it:80
open.demonii.com:1337
tracker.istole.it:6969
tracker.token.ro:80
exodus.desync.com:6969
tracker.leechers-paradise.org:6969
tracker.coppersurfer.tk:6969
Type not allowed in this method
String too big
Removed {0} peers from peerlist
ABCDEFGHIJKLMNOPQRSTUVWXYZ
wireshark
fiddler
netmon
procexp
processhacker
anvir
cain
nwinvestigatorpe
uninstalltool
regshot
installwatch
inctrl5
installspy
systracer
whatchanged
trackwinstall
Helper
.exe
Memory
value
startIndex
buffer
Byte array must not be null
Buffer not big enough for value
+Infinity
-Infinity
SHA512
bitConverter
stream
encoding
Stream isn't writable
index
Not enough space in buffer for specified number of characters starting at specified index
Not enough space in buffer for specified number of bytes starting at specified index
count
Invalid 7-bit encoded integer in stream.
EndianBinaryReader
End of stream reached with {0} byte{1} left to read.
Value must be greater than or equal to 0.
EndianBinaryWriter
{304CE942-6E39-40D8-943A-B913C40C9CD4}
HNetCfg.FWOpenPort
<null>
0123456789ABCDEF$
AE1E00AA-3FD5-403C-8A27-2BBDC30CD0E1!
http://bot.whatismyipaddress.com/
http://ipinfo.io/ip
HKEY_CLASSES_ROOT\CLSID\
.bin
\InprocServer32
\helper.exe
helper
u {0} {1}
"{0}" "{1}"
M-SEARCH * HTTP/1.1
HOST: 
:1900
ST:upnp:rootdevice
MAN:"ssdp:discover"
MX:3
upnp:rootdevice
location:
239.255.255.250
urn:schemas-upnp-org:device-1-0
//tns:device/tns:deviceType/text()
InternetGatewayDevice
//tns:service[tns:serviceType="urn:schemas-upnp-org:service:WANIPConnection:1"]/tns:controlURL/text()
//tns:service[tns:serviceType="urn:schemas-upnp-org:service:WANIPConnection:1"]/tns:eventSubURL/text()
No UPnP service available or Discover() has not been called
<m:AddPortMapping xmlns:m="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="string"></NewRemoteHost><NewExternalPort xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="ui2">]
</NewExternalPort><NewProtocol xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="string">
</NewProtocol><NewInternalPort xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="ui2">
</NewInternalPort><NewInternalClient xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="string">
</NewInternalClient><NewEnabled xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="boolean">1</NewEnabled><NewPortMappingDescription xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="string">
</NewPortMappingDescription><NewLeaseDuration xmlns:dt="urn:schemas-microsoft-com:datatypes" dt:dt="ui4">0</NewLeaseDuration></m:AddPortMapping>
AddPortMapping
<u:DeletePortMapping xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"><NewRemoteHost></NewRemoteHost><NewExternalPort>
</NewExternalPort><NewProtocol>
</NewProtocol></u:DeletePortMapping>
DeletePortMapping
<u:GetExternalIPAddress xmlns:u="urn:schemas-upnp-org:service:WANIPConnection:1"></u:GetExternalIPAddress>
GetExternalIPAddress
//NewExternalIPAddress/text()
<?xml version="1.0"?><s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"><s:Body>
</s:Body></s:Envelope>
POST
SOAPACTION
"urn:schemas-upnp-org:service:WANIPConnection:1#
text/xml; charset="utf-8"
Vous constatez qu'il est question de documents (*.doc ; *.docx ; *.xls ; *.xlsx ; *.txt), de crypto-monnaies, de P2P, d'ICF, d'UPnP.

Les données dérobées sont envoyées sur un compte ftp, probablement piraté, de la société Reflexis Systems Inc. ( ftp.reflexisinc.com - 65.112.21.17 ) Actuellement, parmi les victimes y figurent des données de Bitcoin (BTC), des Dogecoin (DOGE), des Pandacoin (PND).

-rw------- 546 546 155648 janv. 10 16:30 Bitcoin_a90efaf4668e5cb1fb1e61024b2ba49d.dat
-rw------- 546 546 18 janv. 10 15:18 Bitcoin_565edfa369a0de2565ea4e2215706c7f.bin
-rw------- 546 546 6584 janv. 10 15:16 Bitcoin_56bb890dc727231ccacd47e90c9cb8fe.bin
-rw------- 546 546 25 janv. 10 15:08 Bitcoin_383d4b881d88aa1180ae9e5524ca2f64.bin
-rw------- 546 546 90112 janv. 10 14:50 Dogecoin_14a072e1cbc6b1ad823b021a9f2734a7.dat
-rw------- 546 546 213 janv. 10 14:49 Bitcoin_66d71bfb18823bc8f5d53b6c0eb58626.bin
-rw------- 546 546 18 janv. 10 14:18 Bitcoin_7468db59d70dc7d63055cb86a7c11a0c.bin
-rw------- 546 546 90112 janv. 10 14:01 Pandacoin_b805c1814e2e5222f0d575d22677b3b1.dat
-rw------- 546 546 81920 janv. 10 14:01 Dogecoin_10c04b378f8c0bb1b6cbdb4c394e91f4.dat
-rw------- 546 546 22 janv. 10 13:26 Bitcoin_1fd9feb12dec87d0094d622c1b2a91b1.bin
...


Le serveur "DEV.CAPTIVTOUCH.COM" ( 184.107.17.216 ) appartient RadiantGroup Media Inc basé au Canada à Toronto. La machine tourne sous CMS concrete5, probablement détourné de son utilisation légitime, l'IP appartient au prestataire de solutions d'hébergement iWeb. Le programme malveillant effectue une requête sur "updates.php" à des fins de statistiques car la page correspond à un Piwik. Les attaquants ont exploités une faille de sécurité pour envoyer des scripts PHP tels que des portes dérobées ( "Zero-X Shell" )

Ces programmes malveillants ont été envoyés sur des services d'analyses de malware automatisés tels que CAMAS, ThreatExpert, ANUBIS, Malwr, ... pour finalement obtenir aucune information intéressante permettant d'identifier la menace. En terme de détections, il y a eu des progrès mais ne permettent pas d'identifier clairement ce qui se cache derrière ces signatures génériques.

* Backdoor.Bot.MSIL
* BehavesLike.Win32.Backdoor.fc
* Gen:Heur.MSIL.Krypt.2
* HEUR/QVM03.0.Malware.Gen
* MSIL6.AEZS
* MSIL/Agent.QAD
* Suspicious_Gen2.WBEWF
* TR/Dropper.MSIL.Gen
* Trojan.MSIL.Agent.QAD
* Trojan.MSIL.Stimilik
* Trojan.SteamBurglar.618
* Win32:Malware-gen
* Win32/Tnega.BDeHbVB

Edit: La société Reflexis Systems Inc. a été contactée.
La société RadiantGroup Media Inc. a été contactée.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Tech, Tips & Tricks »