ID: CERT-PA-B Data: 17/12/2015

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "ID: CERT-PA-B Data: 17/12/2015"

Flavio Berto Damiani
5 anni fa
Visualizzazioni

1 Bollettino: Nuova variante Malware RAT ID: Data: 17/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi informativi e implementare le misure di contrasto/contenimento dei rischi correlati. Il CERT-PA, nell erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete, individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di garantire alla comunità di riferimento con la massima accuratezza, affidabilità e tempestività possibile le informazioni utili per la prevenzione e la gestione degli incidenti di sicurezza informatica. Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate. La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.

2 Indice Sommario Nuova variante Malware RAT (Gen:Trojan.Heur.JP)... 2 Meccanismo di infezione... 2 IoC: IoC: Malware... 2 IoC: Network... 3 Comportamento del malware... 4 Particolarità del traffico di rete in fase di primo installo... 7 Contromisure di 9

3 Sommario Questa sezione contiene l elenco delle minacce oggetto del presente bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, il CERT-PA ha evidenziato la seguente minaccia: 1. Nuova variante Malware RAT (Gen:Trojan.Heur.JP) Il CERT-PA ha avuto evidenza di una nuova campagna di infezione malware caratterizzata da un basso fattore di riconoscimento da parte dei produttori Antivirus che nella maggior parte dei casi provvedoano all identificazione grazie a firme AV euristiche. Dall analisi dinamica svolta sui campioni analizzati emerge che il malware è un RAT con comportamenti di infostealer. Meccanismo di infezione Il malware si diffonde tramite allegati di posta elettronica consegnati alle caselle di noti ISP Nazionali come tiscali.it, alice.it e libero.it. Nello specifico, per i casi analizzati, trattasi di eseguibili (.exe) per Windows di cospicue dimensioni aventi nomi file generici aventi come nome visualizzato del mittente WhatsApp. IoC: Di seguito si riportano gli indicatori di compromissione relativi alle si phishing ricevute: Oggetto: È stato ultimamente raccolto un file breve! Sshyxo Sender: WhatsApp <purchasing1@jeddahorchid.com> Allegato: Mariah2.zip o MD5: 7710a836e8f1c8f85e35b672f o VirusTotal [20/54] Oggetto: Lei ha perso recentemente una nota vocale. Etv Sender: WhatsApp <info@sasara.co.jp> Allegato: Vernon41.zip o MD5: 0b864bab830762e8b c7346e o VirusTotal [23/54] Oggetto: Hai consentito un archivio dati acustico zpyei Sender: WhatsApp <jlcalderon@infonegocio.com> Allegato: 91celeste.zip o MD5: cb0f401549e fbb1d6a5bbed0f o VirusTotal [24/53] IoC: Malware Di seguito gli indicatori di compromissione relativi agli eseguibili rilevati: Nome file: rosemary.exe (contenuto in archivio Mariah2.zip) 2 di 9

4 o MD5: c5cc044fe4f3ab50ca8f9d72554dbc42 o Import Hash: eb2948b267d7d3a29b343cd6b2717d30 o VirusTotal [18/55] Nome file: bellamy.exe (contenuto in archivio Vernon41.zip) o MD5: 7fba582253dccc54ba572e1985dbc09c o Import Hash: 0f e244180c0d190ab99b9d3cc o VirusTotal [20/55] Nome file: rowbottom.exe (contenuto in archivio 91celeste.zip) o MD5: cd18ed038e70cf64a7220d4c770dde5d o Import Hash: 504d6d3f366dcbfc33ec8138d3e583d0 o VirusTotal [21/54] Nome file: yhrvbef.exe (scaricato dal malware durante l analisi) o MD5: 0b87ed fd3e07bc612c7b1 o Import Hash: ca1756fa1ec8fb4f a4d259bd o VirusTotal [12/54] IoC: Network Di seguito gli indicatori di compromissione relativi al traffico rilevato dagli eseguibili. Dominio IP betterbeauty.net bettergarden.net bettermarket.net breadbeauty.net - captainmarket.net captainreport.net christiannefairchild.net electricbeauty.net electricgarden.net electricreport.net nightgarden.net nightmarket.net streetmarket.net streetreport.net trademarket.net christiannefairchild.net casestep.net gwendolynhuddleston.net seasonstrong.net decidepromise.net oftensurprise.net di 9

chiefanother.net 98.139.135.129 orderthrown.net 216.239.139.35 Tutti gli eseguibili effettuano traffico verso le destinazioni sopra riportate.

$Figura 1 - Alert generato dal malware Il file crea due copie di se stesso, con nomi casuali, in una directory creata in C:\.$

5 chiefanother.net orderthrown.net Tutti gli eseguibili effettuano traffico verso le destinazioni sopra riportate. Per la natura del malware e per la quantità di traffico prodotto, non si esclude che tale lista possa modificarsi in tempi rapidi. Comportamento del malware All esecuzione del file, analizzato su sistema Windows 7, viene visualizzato un alert di errore, ma nonostante questo l esecuzione prosegue. Figura 1 - Alert generato dal malware Il file crea due copie di se stesso, con nomi casuali, in una directory creata in C:\. Crea inoltre alcuni file, di piccole dimensioni, con dati cifrati al suo interno. Figura 2 - Directory in cui risiede il malware 4 di 9

$Per assicurarsi l esecuzione all avvio, scrive la chiave di registro seguente: HCKU\Software\Microsoft\Windows\CurrentVersion\Run Figura 3 - Registro di sistema Nonostante la doppia copia nella$

6 Per assicurarsi l esecuzione all avvio, scrive la chiave di registro seguente: HCKU\Software\Microsoft\Windows\CurrentVersion\Run Figura 3 - Registro di sistema Nonostante la doppia copia nella directory di cui in Figura 2, la chiave per l autostart all avvio viene scritta per uno solo dei file. Una nuova variante del malware è poi stata installata dalla sua precedente, stavolta nella directory C:\DOCUME~1\User\LOCALS~1\. 5 di 9

7 Figura 4 - Aggiornamento malware Anche in questo caso il malware crea una doppia copia di se stesso. Diversamente dal primo processo di infezione, i file con dati cifrati sono contenuti in una sottodirectory, con nome casuale. In figura 4 si noti la directory roqwkxfz. Tutti i file e le directory create dal malware hanno l attributo Nascosto, ma in nessun caso si sono riscontrate capabilities di rootkit. Successivamente, nella directory che ha visto l aggiornamento del malware, è stato scaricato ed installato l applicativo CasperJS. 6 di 9

Figura 5 - CasperJS Particolarità del traffico di rete in fase di primo installo Si è notato un particolare comportamento in fase di prima esecuzione del malware.

8 Figura 5 - CasperJS Particolarità del traffico di rete in fase di primo installo Si è notato un particolare comportamento in fase di prima esecuzione del malware. Questo effettua connessioni con protocollo HTTP e metodo GET verso molti dei domini riportati al paragrafo IoC: Network. Tutte le richieste puntano ad /index.php in root al dominio. Nel caso in cui la risposta corrisponda a dati cifrati, come da figura 6 sotto riportata, il malware effettua verso lo stesso host del traffico di tipo HTTP con metodo POST (figura 7). 7 di 9

9 Figura 6 - Risposta GET Figura 7 - Richiesta POST 8 di 9

10 I dati inviati via post sono codificati in Base64. Dalla decodifica emerge che il malware invia, non solo i dati di installazione sulla macchina target, ma anche l indirizzo del ricevente il malware stesso. Di seguito si riporta un esempio. Figura 8 - Decodifica dati post Per motivi di privacy l indirizzo reale è stato offuscato. Questo potrebbe spiegare perché i tre malware analizzati, pur avendo lo stesso comportamento hanno hash diversi. È anche probabile che i malware siano stati generati tramite un kit. Ulteriori indagini sono al momento in corso. Dopo il traffico riconducibile alla prima esecuzione, tutte le comunicazioni avvengono con invio e ricezione di dati cifrati. Contromisure Questo tipo di malware, data la sua variabilità, può essere arginato tramite politiche di prevenzione quali: l impedimento dell esecuzione locale di programmi eseguibili dal profilo utente l attuazione di limitazioni dei privilegi del profilo utente locale impedimento di navigazione web verso caselle di posta non istituzionali l utilizzo di firewall locali configurati per garantire le comunicazioni solo ad eseguibili noti. Si informa che, oltre alle analisi svolte, questo CERT ha effettuato la sottomissione manuale dei sample in oggetto verso alcuni dei maggiori produttori contribuendo, già dalle prossime ore, ad incrementare l efficacia delle firme antivirus. 9 di 9

Documenti analoghi

ID: CERT-PA-B Data: 09/12/2015

ID: CERT-PA-B Data: 09/12/2015 Bollettino: Nuova variante Cryptolocker ID: Data: 09/12/2015 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati