jueves, 19 de diciembre de 2013

Pandora Rat - Falsa "Actualización documentación impositiva".


Volvieron las campañas de ataque con troyanos RAT, en este caso se trata de un falso correo que intenta apelar a la ingeniería social con el fin de infectar a las victimas con Pandora Rat.


Falso correo.

El link descarga el archivo IvaConstaExclunull 12-2013.rar que en su interior contiene un ejecutable.


El sitio web donde se encuentra alojado el troyano, permite leer el index y podemos ver que estarían preparando un ataque dirigido a una empresa.



Analisis de la amenaza en V.T. con un indice muy bajo en detecciones. 6/49


Clásico PUSHAD de UPX



Rutina anti-debugging


Analisis en V.T. del Dump de la muestra sin la capa de ofuscación, el numero cambia y es detectado por mas A.V.




ESET-NOD32  a variant of Win32/SchwarzeSonne.B  20131218 


Se trata de un ejecutable compilado en Delphi. En uno de sus recursos se encuentra la configuración del servidor, sin ofuscar, se ve en texto plano la ip donde reporta, port, password y nombre que tendrá en el sistema el troyano, luego de ser ejecutado por primera vez.



moroccanghosts.no-ip.biz****##6622##jcc272e2a##Application Data##_xx_sms.exe##sms##{6407DA27-7D42-4D95-9273-3C0EF4316ECB}##1##1##1##1##PndrCH5!!X- PnDr##1##1##1##Overdose##1##1##

IP:               moroccanghosts.no-ip.biz
PORT:        6622
PWD:         jcc272e2a
EXE:          _xx_sms.exe
TROJAN-ID:  Overdose


Me guío por ESET y me bajo el código fuente y el builder del Schwarze Sonne Rat para ver si con los datos que tengo, puedo infectar una maquina virtual y con otra maquina simular ser el comando y control para que el troyano se reporte......... pero no tengo éxito.

Hasta que encuentro en los srtrings del Dump el siguiente String....... 

0047A9CC   PUSH dumpXtre.0047AA70                    ASCII "PANDORA_RAT"
0047AA70   ASCII "PANDORA_RAT",0

Pandora Rat, tiene la capacidad de:
File Manager
Process Manager
Window Manager
Service Manager
CMD Remoto
Editor de Registro de Windows.
Keylogger
Captura de video (Webcam)
Captura de Audio
Captura de pantalla 
Robo de credenciales cacheadas en los navegadores (Plug-In by Nirsoft)
Descarga y ejecución de otras amenazas/

Apertura remotas de paginas Web



Puedo llegar a decir que Pandora Rat comparte gran cantidad de código de Schwarze Sonne.


Configuración del comando y control para que escuche en el port 6622 con las misma password que esta en el recurso.




En la maquina victima seteamos en el .host la siguiente entrada para que el troyano pueda ver la maquina de comando y control  (estamos dentro de una misma red entre dos maquinas virtuales y la Ip es la que tengan en la maquina de control)

192.168.1.37    moroccanghosts.no-ip.biz


 Aquí el troyano se reporta al comando y control.


En la captura de trafico, se observan los datos que envía el troyano al comando y control, cuando este se reporta, estos datos van ofuscados.

[19/12/2013 01:43:33 p.m.:235]
00000000  C3 B8 BA AB A0 BC B0 B1  C1 7C BE 9B 92 96 91 96   ........ .|...... 
00000010  8C 8B 8D 9E 9B 90 8D 40  BA 8E 8A 96 8F 90 CF CE   .......@ ........ 
00000020  7C A8 96 91 9B 90 88 8C  DF A7 AF 7C BA AC AF 7C   |....... ...|...| 
00000030  CD C6 C7 CB 7C 4E 7C B0  89 9A 8D 9B 90 8C 9A 7C   ....|N|. .......| 
00000040  CD D1 CE 7C BC 9E 8F 8B  8A 8D 96 91 98 DF 99 8D   ...|.... ........ 
00000050  90 92 DF BC 90 91 9A 87  96 0C 91 DF 9B 9A DF 1E   ........ ........ 
00000060  8D 9A 9E DF 93 90 9C 9E  93 DF DF DF DF A4 A8 96   ........ ........ 
00000070  8D 9A 8C 97 9E 8D 94 DF  CE D1 CE CF D1 CF DF DF   ........ ........ 
00000080  D7 AC A9 B1 DF AD 9A 89  DF CB C6 C8 C6 CF DF 99   ........ ........ 
00000090  8D 90 92 DF D0 8B 8D 8A  91 94 D2 CE D1 CE CF D6   ........ ........ 
000000A0  A2 7C 0A 50 49 4E 47 7C  30 0A 50 49 4E 47 7C 30   .|.PING| 0.PING|0 
000000B0  0A                                                 .

Se informa la ip, geo-localización , ID del troyano, ID del usuario conectado, versión de Windows, si tiene Webcam, la versión del troyano y ventana activa de la victima.




                   
Captura de Comandos (van sin ofuscar)




ID de comando | Sub comando 

1021|||0|err|0                Envía un mensaje de error .     




1036|Hola                    Dice "Hola" por el parlante de la PC        


 402|5637 4|0|1100    Toma un screen shot de la pantalla.




400|1100|  Graba audio


Información de la PC, también viaja en texto plano.





Update del servidor (troyano) con otro dns y otra password.

Agregamos otro host.



Comunicación para el envío del nuevo binario.

 Envío del binario.



Persistencia en el sistema.



Lo raro es que si se setea otra clave en el Comando y Control el troyano igual se reporta y envía los datos, osea que con solo el host:port el troyano se reporta. En el hipotetico caso de apoderarnos del dns dinámico, nos estaríamos apoderando de toda la botnet.


 El nuevo Recurso....





Otros comandos que se pueden realizar sobre la victima.






Strings Interesantes:


0047F1F4   DD dumpXtre.0047F240                      ASCII 0A,"TKeylogger"
0047F214   DD dumpXtre.0047F240                      ASCII 0A,"TKeylogger"
0047F241   ASCII "TKeylogger"

Aquí quedan grabadas las pulsaciones de teclas \logs.dat

0047F298   MOV EDX,dumpXtre.0047F384                 ASCII "\logs.dat"
0047F2C2   MOV EDX,dumpXtre.0047F384                 ASCII "\logs.dat"
92FD8   ASCII "Keyboard and mou"
00492FE8   ASCII "se inputs blocke"
00492FF8   ASCII "d...",0
00493008   ASCII "Keyboard and mou"
00493018   ASCII "se inputs unbloc"
00493028   ASCII "ked...",0
00493030   ASCII "ShellDll_DefView"
00493040   ASCII 0
00493044   ASCII "Progman",0
00493054   ASCII "Disabled desktop"
00493064   ASCII "...",0
00493070   ASCII "Enabled desktop."
00493080   ASCII "..",0
00493084   ASCII "Program Manager",0
0049309C   ASCII "Showing desktop "
004930AC   ASCII "icons...",0
004930C0   ASCII "Hiding desktop i"
004930D0   ASCII "cons...",0
004930E0   ASCII "Monitor opened.."
004930F0   ASCII ". ",0
004930FC   ASCII "Monitor closed.."
0049310C   ASCII ".",0
00493118   ASCII "SeDebugPrivilege"
00493128   ASCII 0
00493134   ASCII "Remote computer "
00493144   ASCII "is crashed...",0
0049315C   ASCII "Remote computer "
0049316C   ASCII "is closed",0
00493180   ASCII "Remote computer "
00493190   ASCII "is logoff...",0
004931A8   ASCII "Remote computer "
004931B8   ASCII "is restarting..."

004860FC   MOV ECX,dumpXtre.00486118                 ASCII "ProductID"
00486118   ASCII "ProductID",0
004861B2   MOV EDX,dumpXtre.00486310                 ASCII "Windows NT"
004861C3   MOV EDX,dumpXtre.00486324                 ASCII "Windows 2000"
004861D4   MOV EDX,dumpXtre.0048633C                 ASCII "Windows XP"
004861E5   MOV EDX,dumpXtre.00486350                 ASCII "Windows Vista"
004861F6   MOV EDX,dumpXtre.00486368                 ASCII "Windows Server 2008"
00486207   MOV EDX,dumpXtre.00486384                 ASCII "Windows 95"
00486218   MOV EDX,dumpXtre.00486398                 ASCII "Windows 98"
00486229   MOV EDX,dumpXtre.004863AC                 ASCII "Windows Me"
0048623A   MOV EDX,dumpXtre.004863C0                 ASCII "Windows Server 2003"
0048624B   MOV EDX,dumpXtre.004863DC                 ASCII "Windows Server 2003 R2"
0048627F   MOV EAX,dumpXtre.004863FC                 ASCII "Windows Version %d.%d"
0048628D   MOV EDX,dumpXtre.0048641C                 ASCII "Windows 7"
0048629B   MOV EDX,dumpXtre.00486430                 ASCII "Windows Server 2008 R2"
004862A9   MOV EDX,dumpXtre.00486450                 ASCII "Windows 8"

004862B7   MOV EDX,dumpXtre.00486464                 ASCII "Windows Server 2012"





Muestra https://www.dropbox.com/s/jlyx1zc2wjs4vvq/IvaConstaExclunull%2012-2013.rar

password = infected





Felices Fiestas!




Es todo por el momento.

@Dkavalanche 2013

viernes, 6 de diciembre de 2013

XtremeRAT - Falsa comunicación sobre las ganancias y trabas de inmuebles por incumplimiento de ARBA.


Hoy voy a comentar este caso de phishing, que intenta seducir a los incautos a descargar un falso aplicativo para contribuyentes, infectando así. el sistema windows con un XtremeRAT. Este troyano cumple las funciones de un Control Remoto (Remote Admin Tool), el cual el botmaster puede controlar en forma remota todas las acciones del computador, como ser tomar capturas de la pantallas, tecleo del usuario (keylogger), grabar audio y video, transmisión de archivos entre otras cosas...


Falso Correo.

Asunto: Ley 17.021 Incumplimiento ARBA
De:       ARBA - Dep. Legales [arba@arba.com.ar]
Para:
Enviado: 06/12/2013 09:08 a.m.







Análisis en VT con un indice casi FUD del archivo. 2/49




El enlace descarga un archivo .RAR con un ejecutable en su interior, con doble extensión  para tratar de simular ser un pdf, muchos incautos caen en este ardid al darle doble click directamente desde el rar.




Icono de la aplicación, parece ser un VBasic, seguro es la capa de ofuscación o cripter





En OllyDbg, vemos una de las técnicas anti debugging utilizadas por este cripter.


BP WriteProcessMemory y obtenemos el ejecutable sin ofuscar.


Uhhh esta con UPX...


Análisis en V.T. sin el Crypter, ahora un poco mejor para los A.V.....




Strings interesantes en el dump final... XtremeRat.



 Keylogger:
0006315   ASCII "ServerKeylogger"
10006567   MOV EDX,Dump_sin.1000666C                 UNICODE "24"
10006576   MOV EDX,Dump_sin.10006678                 UNICODE "00"
10006AB2   MOV EDX,Dump_sin.100071F4                 UNICODE "[Numpad +]"
10006AC3   MOV EDX,Dump_sin.10007210                 UNICODE "[Backspace]"
10006AD4   MOV EDX,Dump_sin.1000722C                 UNICODE "[Numpad .]"
10006AE5   MOV EDX,Dump_sin.10007248                 UNICODE "[Numpad /]"
10006AF6   MOV EDX,Dump_sin.10007264                 UNICODE "[Esc]"
10006B07   MOV EDX,Dump_sin.10007274                 UNICODE "[Execute]"
10006B18   MOV EDX,Dump_sin.1000728C                 UNICODE "[Numpad *]"
10006B29   MOV EDX,Dump_sin.100072A8                 UNICODE "[Numpad 0]"
10006B3A   MOV EDX,Dump_sin.100072C4                 UNICODE "[Numpad 1]"
10006B4B   MOV EDX,Dump_sin.100072E0                 UNICODE "[Numpad 2]"
10006B5C   MOV EDX,Dump_sin.100072FC                 UNICODE "[Numpad 3]"
10006B6D   MOV EDX,Dump_sin.10007318                 UNICODE "[Numpad 4]"
10006B7E   MOV EDX,Dump_sin.10007334                 UNICODE "[Numpad 5]"
10006B8F   MOV EDX,Dump_sin.10007350                 UNICODE "[Numpad 6]"
10006BA0   MOV EDX,Dump_sin.1000736C                 UNICODE "[Numpad 7]"
10006BB1   MOV EDX,Dump_sin.10007388                 UNICODE "[Numpad 8]"
10006BC2   MOV EDX,Dump_sin.100073A4                 UNICODE "[Numpad 9]"
10006BD3   MOV EDX,Dump_sin.100073C0                 UNICODE "[Back Tab]"
10006BE4   MOV EDX,Dump_sin.100073DC                 UNICODE "[Copy]"
10006BF5   MOV EDX,Dump_sin.100073F0                 UNICODE "[Finish]"
10006C06   MOV EDX,Dump_sin.10007408                 UNICODE "[Reset]"
10006C17   MOV EDX,Dump_sin.1000741C                 UNICODE "[Play]"
10006C28   MOV EDX,Dump_sin.10007430                 UNICODE "[Process]"
10006C39   MOV EDX,Dump_sin.10007448                 UNICODE "

100084FF   MOV EDX,Dump_sin.10008608                 UNICODE "XtremeKeylogger"
10008549   MOV EDX,Dump_sin.1000862C                 UNICODE "qualquercoisarsrsr"

Persistencia en el sistema:

1000935B   MOV EDX,Dump_sin.100095C8                 UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"

10009395   MOV EDX,Dump_sin.100095C8                 UNICODE "Software\Microsoft\Windows\CurrentVersion\Run"

Inyección en svchost.exe
1000AF84   DD Dump_sin.1000AEBC                      UNICODE "svchost.exe"


1000AF8C   DD Dump_sin.1000AE94                      UNICODE "%DEFAULTBROWSER%"
1000AF90   PUSH EBP                                  (Initial CPU selection)
1000B01B   MOV EDX,Dump_sin.1000B52C                 UNICODE "restart"
1000B04F   PUSH Dump_sin.1000B53C                    UNICODE "open"
1000B072   MOV EDX,Dump_sin.1000B54C                 UNICODE "update"
1000B0DB   MOV EDX,Dump_sin.1000B560                 UNICODE "CONFIG"
1000B123   MOV EDX,Dump_sin.1000B574                 UNICODE "SOFTWARE\XtremeRAT"
1000B15F   MOV ECX,Dump_sin.1000B5A0                 UNICODE "Mutex"
1000B164   MOV EDX,Dump_sin.1000B574                 UNICODE "SOFTWARE\XtremeRAT"
1000B1BB   PUSH Dump_sin.1000B5B8                    UNICODE ".cfg"
1000B254   MOV EDX,Dump_sin.1000B560                 UNICODE "CONFIG"

1000B2FF   MOV EDX,Dump_sin.1000B560                 UNICODE "CONFIG"




Comunicación con el C&C

nextel02.no-ip.biz
sytes-net.sytes.net























Sample + dump : https://dl.dropboxusercontent.com/u/80008916/arba.xtreme.rar

Password = infected.

@Dkavalanche 2013






#Alerta #Malware CLARO  Tienes una factura sin pagar!  Factura #4489790 En el día de hoy se esta realizando una campaña de phishing que e...