lunes, 16 de abril de 2012

Exploit en web .org.ar


Hoy vamos a analizar un exploit que se encuentra alojado en una web .org.ar, estimo que el Kit puede pertenecer a BlackHole Exploit o Phoenix. Esta pagina web seguramente esta utilizando una versión vulnerable de wordpress.


Para el análisis utilizamos la herramienta Malzilla, que lamentablemente no se sigue actualizando. 



Al cargar la url podemos ver el javascript del exploit en el html de la web (parte superior).

Este javascript esta ofuscado, por lo que tenemos que jugar un poco con el código, para poder ir desencriptandolo, lo mio fue a prueba y error, dado que no soy un programador de javascript.


Aquí en la parte del Decoder de Malzilla, ejecutamos el script, para ver si tenemos suerte.



El Script corre y como resultado obtenemos lo siguiente:


Intento ejecutarlo pero no funciona.

Sacando la linea del IF (-1==.....) puedo seguir ejecutando y traceando el script, en la variable txt se puede observar que arma la url donde ira a buscar el exploit.


jpg="2";
tp="tru5.n10.nl";
txt="http://"+tp+"/in.cgi?"+jpg;


La variable txt queda como http://tru5.n10.nl/in.cgi?2


Esta url la cargamos en el Malzilla y volvemos a hacer un Get.






Me re dirige a otra web, que luego carga un javascript, en este caso contiene un applet malicioso.










Este applet nos fuerza bajar y ejecutar un .JAR malicioso, analizando este fichero en VirusTotal, observamos que se trata de un exploit.








Karpersky indica el exploit como:
CVE-2012-0507.
malicious Java applet stored within a Java archive (.JAR) that attempts to exploit a vulnerability in the Java Runtime Environment (JRE) up to and including versions 7 update 2, versions 6 update 30 and versions 5 update 33. The vulnerability is described in CVE-2012-0507.

Avira indica el exploit como: (me envío por e-mail su análisis)
CVE-2011-3544
Unspecified vulnerability in the Java Runtime Environment component in Oracle Java SE JDK and JRE 7 and 6 Update 27 and earlier allows remote untrusted Java Web Start applications and untrusted Java applets to affect confidentiality, integrity, and availability via unknown vectors related to Scripting.



Trato de investigar un poco mas este JAR, usando JD-GUI, pero no tengo éxito, el código esta ofuscado y necesito infectar una PC para ver la carga maliciosa que descarga, por lo que decido volver a intentar que el servidor me entregue otro javascript, esto lo logro cambiando el User-Agent en el Malzilla.




El nuevo javascript  intenta explotar distintas vulnerabilidades, lanzando distintos exploits, del tipo pdf,  html y swf, dependiendo de nuestro navegador y OS. (recuerden que utilizamos Malzilla y podemos informar lo que nosotros queramos.)




Desencripto parcialmente el código y obtengo las siguientes Urls:



http://sa.rotagilla.net/data/hhcp.php?c=182b5 baja un html
http://sa.rotagilla.net/data/ap1.php?f=182b5 baja un pdf
http://sa.rotagilla.net/data/ap2.php?f=182b5 baja un pdf
http://sa.rotagilla.net/data/score.swf baja un swf



Decido analizar uno de estos PDF.








Se pueden observar datos en ascii en el PDF.








Copiamos y pegamos los datos en la parte de Misc Decoders, luego utilizamos el boton
UCS2 to Hex para quitar los %u





Luego utilizamos el boton Hex to Bin, para pasar a binario y grabamos el archivo.







Este .bin, es un Shell, la subimos a Virus Total, y observamos un indice bajo de detecciones.








Revisando el binario con un editor Hexa se puede ver la Url a la cual se conecta.






Cargamos la Url en Malzilla y descargamos un ejecutable.












Si jugamos un poco con el Url podemos descargar tres ejecutables, que son el mismo, pero con otro nombre.


http://sa.rotagilla.net/d.php?f=182b5&e=
http://sa.rotagilla.net/d.php?f=182b5&e=2 
http://sa.rotagilla.net/d.php?f=182b5&e=










Analizamos en VT, observando un indice bajo de detecciones.








Análisis de Comodo
http://camas.comodo.com/cgi-bin/submit?file=4abc4a885543dfff483e4437c7a605dc23ef25ccc27c8ac9b548ad737720f9bf

Todo indicaría que se trataría de un Zbot.



Symantec Trojan.Zbot 20120417
McAfee PWS-Zbot.gen.uh 20120417
eTrust-Vet Win32/Zbot.FMW!generic 20120417









Eso es todo por el momento.






@DkAvalanche  2012





miércoles, 11 de abril de 2012

Troyano Bancario III - Felices Pascuas.

Los defraudadores no descansan y aprovechan las Pascuas para promover su carga de malware. Esta vez a modo de tarjeta virtual a espera de "enganchar" incautos.




Accediendo al link nos reenvía a una pagina que simula descargar imágenes, pero resulta ser un ejecutable, llamado felicidades.exe  (....muchas gracias....)




Verificando en Virus Total, vemos que tiene un indice elevado de detecciones.



Descompactamos con UPX y analizamos el ejecutable, el cual resulta programado en Delphi.




Aquí descubrimos que se trata de un Downloader el cual descarga otro malware desde paginas web comprometidas.





Analizando el malware descargado, observamos que tiene un indice de detecciones relativamente bajo en virus total.

Este ejecutable, es analizado y noto que tiene en sus recursos un .CAB el cual contiene un ejecutable con nombre outlook.exe, que resulta ser el troyano bancario, el mismo esta programado en Delphi y pesa 31 Mbyte.



Formulario de configuración del troyano.



Este troyano es casi idéntico al analizado en otra ocasión:


Afecta a los mismos 5 Bancos Argentinos y un Banco de Bolivia, como así también
a Hotmail.



Algunos de los falsos formularos desplegados por el malware.
















Es todo por el momento.

@Dkavalanche  2012

miércoles, 4 de abril de 2012

Dorkbot / NgrBot - Cinemark - Te regalamos un Auto 0 km y miles de entradas Gratis.‏


Hoy volvemos con el Troyano Dorkbot, esta vez utilizando una cadena de cines muy importante a nivel mundial, aplicando ingeniería social para engañar a los incautos.


Este troyano puede robar passwords de Hotmail, Yahoo, Gmail, Twitter, Facebook, etc.
Como así también hacer pharming y enviar a las victimas a sitios de phishing para robar datos bancarios.




Link: hxxp://176.31.81.132/cinemark.cl/promocion-auto-cinemark.exe

Análisis con Virus Total, vemos que tiene un indice de detección bajo.


Inspeccionando con un editor hexadecimal se puede comprobar que esta compactado con UPX el cual fue modificado para dificultar su desempaquetado, por lo que tenemos que hacerlo en forma manual.




El desempaquetado manual no es ninguna ciencia, pueden verlo por aquí: Manual Unpacking UPX Packed file + Fix IAT


Luego del desempaquetado podemos observar que se trata de un DorkBot / NgrBot.




Nombre que tendrá en el sistema el bot.
C:\Program Files\Common Files\dgwxqncxg.exe

Comunicación:

PASS ROCKER
NICK n{FR|XPa}amdjjno
USER amdjjno 0 0 :amdjjno
:001 irc.perrorlzz.org
002 002 002
003 003 003
004 004 004
005 005 005
005 005 005
005 005 005
PING 422 MOTD
JOIN #ROCK ngrBot
:n{FR|XPa}amdjjno!amdjjno@LRouen-152-83-12-21.w80-13.abo.wanadoo.fr JOIN :#ROCK






Pharming de Entidades Bancarias:




www.bci.cl 37.59.93.152
bci.cl 37.59.93.152
bcinova.cl 37.59.93.152
www.bcinova.cl 37.59.93.152
ww3.bancochile.cl 37.59.93.152
bancochile.cl 37.59.93.152
ww2.bancochile.cl 37.59.93.152
www.bancochile.cl 37.59.93.152



Configuración en:                 hxxp://www.jdkim.com/bbs/icon/dos.txt


Actualización del bot:          hxxp://www.jdkim.com//bbs/icon/52upjmrlzz.exe 


Dns                                       rlz1jmv.info     (informa la ip del IRC - 216.144.250.48/5236 )








Conectado a mano con un cliente IRC, se puede observar la configuración que esta informando el botmaster sin necesidad de infectar una pc y sniffear el trafico.


IP:Port del IRC          : 216.144.250.48/5236
Password del canal :  ROCKER
Canal                         :  #ROCK ngrBot


















Eso es todo por el momento.



@Dkavalanche  2012

 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!