Niekontrolowana DOSfuskacja zdemaskowana

13-08-2018, 13:04

Eksperci wykryli, że jeden z badanych przez nich kodów downloadera złośliwego oprogramowania został tak sprytnie zamaskowany, że początkowo można było wziąć go za uszkodzony plik. Wnikliwa analiza pokazała, że jest to nowatorska metoda ukrywania komend batch i power shell.

Zidentyfikowano i przebadano pierwsze niekontrolowane wystąpienie downloadera złośliwego oprogramowania zaciemnionego przy użyciu niestosowanej dotąd metody. Komendy batch i power shell zostały ukryte w taki sposób, aby na pierwszy rzut oka nie byli w stanie ich zidentyfikować nawet doświadczeni analitycy. Twórcy posługują się technikami obfuskacji, by w ten sposób opóźnić dotarcie do kodu.

Sascha Curylo, analityk z G DATA, informuje, że do tej pory eksperci z tej firmy nie natknęli się na niekontrolowane złośliwe oprogramowanie, które wykorzystywałoby ten sposób obfuskację. Gdy po raz pierwszy przyjrzeli się próbce, pomyśleli, że niepoprawnie wyodrębniono plik. Dopiero szczegółowa analiza pozwoliła na zidentyfikowanie ukrytych komend.

Curylo opowiada, że na pierwszy rzut oka wyodrębniony kod przypomina przypadkowy ciąg znaków. Jednak wiele spacji, przecinków i innych znaków nie jest w ogóle interpretowanych przez linię komend Windowsa i można je usunąć bez żadnych skutków. Po podjęciu takiego kroku analitycy zyskują większą możliwość interpretacji. Na przykład niektóre elementy powtarzające się w długich ciągach pokazały, że docelowo otrzymywany jest URL, z którym następuje kontakt w celu uzyskania dalszych instrukcji.

Komendy są ukrywane z wykorzystaniem „DOSfuskacji”

Wnikliwa analiza wykazała, że downloader złośliwego oprogramowania korzysta z nowej metody, by ukrywać faktyczne złośliwe oprogramowanie. Po raz pierwszy metodę tę opisał Daniel Bohan, badacz zajmujący się kwestią zabezpieczeń, który posłużył się terminem Dosfuskacji. Do tworzenia sekwencji komend z pojedynczych liter wykorzystuje się substringi i liczby. Do tej pory jednak nie wykryto przykładu złośliwego oprogramowania, który wykorzystywałby tę metodę do przeprowadzania aktywnych ataków.

Próbka analizowana przez firmę G DATA została przesłana przez klienta pod nazwą Rechnung-Details-DBH[przypadkowa sekwencja liczb].doc. Virus Total jest w posiadaniu wielu innych nazw dokumentów z tym samym złośliwym oprogramowaniem, a większość z nich stara się naśladować nazwy faktur (Rechnung to również niemieckie słowo oznaczające fakturę). Nasz przykładowy plik Word tworzy makro zawierające dalszy bardziej zaciemniony kod.

W dalszej kolejności makro uruchamia zaciemniony kod batch, co prowadzi do otwarcia linii komend i przejęcia nad nią kontroli. W tym momencie uruchamia się downloader powershell, a inny downloader o nazwie Emotet zostaje pobrany. Początkowo ten przykład złośliwego oprogramowania wykorzystywany był jako koń trojański w systemach bankowych, ale z czasem przekształcił się w downloader modułowy oraz wykradający informacje. Faktyczny payload wykorzystany w bieżącym ataku to inny przykład złośliwego oprogramowania nazwany Trickbot, który odpowiada głównie za ataki na systemy bankowości internetowej. Trickbot jest pobierany za pośrednictwem złośliwego oprogramowania Emotet.

Informacja dla badaczy:

SHA256: 880dbab81729e3cd7cd1bd64023de55f2a6ac4e0d08ebbf2b30722d06933c8a8

MD5: 41ce357e792fdbc426609aa1dbc8416a

Czym jest obfuskacja?

Termin obfuskacja (zaciemnienie) odwołuje się do różnego rodzaju technik wykorzystywanych do modyfikowania kodu źródłowego programu w sposób, który sprawia, że jest on trudny do rozszyfrowania dla analityków. W tym wypadku złośliwe oprogramowanie nie jest również łatwo wykrywane przez zautomatyzowane analizy. Techniką wykorzystywaną do zaciemniania kodu jest na przykład zamienianie jednych liter innymi, jak również szyfrowanie poszczególnych komponentów programu lub plików.

Źródło: G DATA


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie

RSS  
RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2018»
PoWtŚrCzwPtSbNd
 1234
567891011
12131415161718
19202122232425
2627282930 
Jak czytać DI?
Newsletter

Podaj teraz tylko e-mail!



RSS
Copyright © 1998-2018 by Dziennik Internautów Sp. z o.o. (GRUPA INFOR PL) Wszelkie prawa zastrzeżone.