sábado, 24 de enero de 2015

Campaña de Ransowware CTB-Locker.

La semana pasada se realizo una fuerte campaña del Ransomware CTB-Locker, los correos maliciosos fueron dirigidos a varias cuentas de latinoamerica, lo curioso y a la vez cómico es que los correos estaban redactados en distintos idiomas como ser árabe, alemán e ingles, así y todo, muchas personas ejecutaron los adjuntos...

Pueden leer aquí un aviso de ESET sobre esta campaña. 




Así se veían los correos maliciosos, Gracias a Raul por las muestras.

El ejecutable se trata de un scr que tiene una capa de un crypter no muy elaborado.


Analisis en VT del Dump, del downloader.



El downloader se conecta a los siguientes sitios para bajar el payload (ctb-Locker). con el siguiente User-Agent

UNICODE "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"



004014AD   MOV DWORD PTR SS:[EBP-38],Dumped.004010B  UNICODE "voigt-its.de/fit/pack.tar.gz"
004014B4   MOV DWORD PTR SS:[EBP-30],Dumped.004010F  UNICODE "maisondessources.com/assets/pack.tar.gz"
004014BB   MOV DWORD PTR SS:[EBP-28],Dumped.0040114  UNICODE "jbmsystem.fr/jb/pack.tar.gz"
004014C2   MOV DWORD PTR SS:[EBP-20],Dumped.0040117  UNICODE "pleiade.asso.fr/piwigotest/pack.tar.gz"
004014C9   MOV DWORD PTR SS:[EBP-18],Dumped.004011C  UNICODE "scolapedia.org/histoiredesarts/pack.tar.gz"



Mensaje falso mostrado por el downloader para despistar a la victima que lo ejecuta, este archivo se encuentra en los recursos del ejecutable como un .rtf



Analisis dinámico de las conexiones

El downloader descarga la carga maliciosa mediante https y a su vez hace conexiones al windows update para engañarnos un poco. (en realidad lo hace para saber si tenemos conexión a internet .- Gracias MOC por la aclaración.)

004016C3   PUSH Dumped.00401258                      UNICODE "windowsupdate.microsoft.com/"





El Archivo descargado no se trata de un tar.gz, se encuentra codificado, pasa por la siguiente rutina  XOR para decodificarlo y grabarlo en disco como un ejecutable.


0040179E  /$ 55             PUSH EBP
0040179F  |. 8BEC           MOV EBP,ESP
004017A1  |. 83EC 10        SUB ESP,10
004017A4  |. 53             PUSH EBX
004017A5  |. 57             PUSH EDI
004017A6  |. 33DB           XOR EBX,EBX
004017A8  |. 33FF           XOR EDI,EDI
004017AA  |. C645 F0 20     MOV BYTE PTR SS:[EBP-10],20
004017AE  |. C645 F1 21     MOV BYTE PTR SS:[EBP-F],21
004017B2  |. C645 F2 05     MOV BYTE PTR SS:[EBP-E],5
004017B6  |. C645 F3 50     MOV BYTE PTR SS:[EBP-D],50
004017BA  |. C645 F4 77     MOV BYTE PTR SS:[EBP-C],77
004017BE  |. C645 F5 1B     MOV BYTE PTR SS:[EBP-B],1B
004017C2  |. C645 F6 51     MOV BYTE PTR SS:[EBP-A],51
004017C6  |. C645 F7 FA     MOV BYTE PTR SS:[EBP-9],0FA
004017CA  |. C645 F8 0E     MOV BYTE PTR SS:[EBP-8],0E
004017CE  |. C645 F9 D5     MOV BYTE PTR SS:[EBP-7],0D5
004017D2  |. C645 FA E8     MOV BYTE PTR SS:[EBP-6],0E8
004017D6  |. C645 FB 28     MOV BYTE PTR SS:[EBP-5],28
004017DA  |. C645 FC EB     MOV BYTE PTR SS:[EBP-4],0EB
004017DE  |. C645 FD 4B     MOV BYTE PTR SS:[EBP-3],4B
004017E2  |. C645 FE A5     MOV BYTE PTR SS:[EBP-2],0A5
004017E6  |. C645 FF DA     MOV BYTE PTR SS:[EBP-1],0DA
004017EA  |. 395D 0C        CMP DWORD PTR SS:[EBP+C],EBX
004017ED  |. 76 26          JBE SHORT Dumped.00401815
004017EF  |. 56             PUSH ESI
004017F0  |> 8B45 08        /MOV EAX,DWORD PTR SS:[EBP+8]
004017F3  |. 8D3403         |LEA ESI,DWORD PTR DS:[EBX+EAX]
004017F6  |. 8A0E           |MOV CL,BYTE PTR DS:[ESI]
004017F8  |. 8D543D F0      |LEA EDX,DWORD PTR SS:[EBP+EDI-10]
004017FC  |. 8A02           |MOV AL,BYTE PTR DS:[EDX]
004017FE  |. 32C8           |XOR CL,AL
00401800  |. 32C1           |XOR AL,CL
00401802  |. 47             |INC EDI
00401803  |. 880E           |MOV BYTE PTR DS:[ESI],CL
00401805  |. 8802           |MOV BYTE PTR DS:[EDX],AL
00401807  |. 83FF 10        |CMP EDI,10
0040180A  |. 75 02          |JNZ SHORT Dumped.0040180E
0040180C  |. 33FF           |XOR EDI,EDI
0040180E  |> 43             |INC EBX
0040180F  |. 3B5D 0C        |CMP EBX,DWORD PTR SS:[EBP+C]
00401812  |.^72 DC          \JB SHORT Dumped.004017F0
00401814  |. 5E             POP ESI
00401815  |> 5F             POP EDI
00401816  |. 5B             POP EBX
00401817  |. C9             LEAVE

00401818  \. C3             RETN





Dejamos correr un poco mas la rutina...





El ejecutable es escrito en C:\Windows\Temp





Y Luego Ejecutado.






Mensaje de CTB-Locker una vez ejecutado y codificados los archivos de la victima.






Muestras con dumps: https://www.dropbox.com/s/2mhund40f6hqula/ctb-locker-21-01-15.rar?dl=0

Password = infected





28/01/2015 - Nueva campaña 


Se enviaron nuevos correos en castellano desde cuentas comprometidas.



Archivo adjunto CAB con un ejecutable .SCR


Analisis en V.T. con un indice de detecciones casi nulo 2/57


 Sitos de donde es descargado el CTB-Locker por el Dropper (https)

004014D6   MOV DWORD PTR SS:[EBP-40],Dumped.0040106  UNICODE "joefel.com/easyscripts/sancho.tar.gz"
004014DD   MOV DWORD PTR SS:[EBP-38],Dumped.004010B  UNICODE "m-a-metare.fr/media/sancho.tar.gz"
004014E4   MOV DWORD PTR SS:[EBP-30],Dumped.004010F  UNICODE "ourtrainingacademy.com/LeadingRE/sancho.tar.gz"
004014EB   MOV DWORD PTR SS:[EBP-28],Dumped.0040115  UNICODE "locamat-antilles.com/memo/sancho.tar.gz"
004014F2   MOV DWORD PTR SS:[EBP-20],Dumped.004011A  UNICODE "thomasottogalli.com/webtest/sancho.tar.gz"

004014F9   MOV DWORD PTR SS:[EBP-18],Dumped.0040120  UNICODE "cds-chartreuse.fr/locales/sancho.tar.gz"



Analisis en V.T. del payload (ctb-Locker)



AntivirusResultUpdate
McAfee-GW-EditionBehavesLike.Win32.Backdoor.bc20150128
Qihoo-360HEUR/QVM20.1.Malware.Gen20150128

Mensaje del Ransomware pidiendo rescate por los archivos cifrados.





Solicitud de pago 2.5 BTC aproximadamente U$s 625 para decifrar los archivos "secuestrados".




Muestras: https://www.dropbox.com/s/dk9eyjpt04y4k3r/CTB-Loker%2028-01-15.zip?dl=0

Password = infected
Eso es todo por el momento.


@Dkavalanche 2015


 Hola, me mudé a medium .... nos vemos!!! FELIZ 2022!!!