Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Analiza malware

Keylogger iSPY

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Instalacja złośliwego oprogramowania W październiku na skrzynkę funkcyjną CERT Orange Polska otrzymaliśmy przysłany przez użytkownika

mail z podejrzanym załącznikiem.

Jeśli użytkownik otworzył załączony dokument Microsoft Office, następowała infekcja jego

komputera.

W pliku Microsoft Office znajdował się złośliwy kod, uruchamiający po otwarciu pliku na komputerze

ofiary skrypt PowerShell, który ściągał złośliwe oprogramowanie z zewnętrznego serwera, a

następnie je uruchamiał.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Wirusa można następnie znaleźć w dwóch lokalizacjach systemu operacyjnego Windows.

Pierwszy plik wirusa, który inicjował jego uruchomienie przy starcie systemu to skrót o nazwie

„WCciiQNFHhdY.lnk ” znajdował się w lokalizacji:

C:\[Użytkownicy]\[Nazwa_użytkownika]\AppData\Roaming\Microsoft\Windows\Start

Menu\Programs\Startup\

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Zawartość skrótu wygląda następująco:

Jego zadanie to uruchomienie pliku „PhFM.exe” który to następnie uruchamia kolejny plik (packer),

napisany w języku skryptowym AutoIT – „PhMA.au3”

W celu ukrycia wirus zmieniał atrybuty systemowe swoich plików nadając im atrybuty +SH.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Po usunięciu atrybutów pliki były widoczne z poziomu systemu Windows.

Poniżej fragment zdeobfuskowanego kodu z pliku PhFMA.au3 wraz z funkcjami, które odpowiadały za

tworzenie się plików w danych lokalizacjach oraz dodawanie atrybutów.

Dodatkowo malware dzięki mechanizmom w pliku PhFMA.au3 sprawdzał obecność na zarażonym

komputerze oprogramowania antywirusowego Avast oraz testował, czy jest uruchamiany w

środowisku wirtualnym, służącym do analizy złośliwego oprogramowania, szukając w systemie

działających procesów:

AvastUI.exe

VboxTray.exe

vmtoolsd.exe

SandboxieRpcSs.exe

Analiza działania Oprogramowanie iSpy Keylogger składa się z trzech funkcjonalnych modułów:

Screenshot

Keyboard

Clipboard

Moduł Screenshot odpowiedzialny jest za wykonywanie na zainfekowanym komputerze zrzutów

ekranu, a następnie wysyłanie ich do cyberprzestępcy.

Analizę złośliwego oprogramowania – w celu zaprezentowania dokładnej zasady kradzieży loginów i

haseł – wykonano przy użyciu nieistniejącego loginu i hasła w serwisie orange.pl

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Wykorzystane dane:

Login: CERT ORANGE; Hasło: TEST1

Na początku moduł wykonywał zrzut ekranu do pliku .bmp, zapisując go w lokalizacji

„C:\[UŻYTKOWNICY]\[NAZWA_UŻYTKOWNIKA]\AppData\Local\Temp\” pod losowo wygenerowaną

alfanumeryczną nazwą, składającą się zawsze z tego samego typu ciągu znaków oddzielonych od

siebie znakiem dywizu (-), wg. wzorca: 8 znaków-4 znaki-4 znaki-4 znaki-12 znaków. Przykładowo na

poniższym zrzucie ekranu widzimy ścieżkę do pliku b9becc20-b754-418b-ad01-73ee77b8f49d.bmp

Funkcje związane ze złośliwym działaniem wirusa inicjował proces o nazwie PhFM.exe, wykorzystując

swój drugi komponent w postaci pliku PhFMA.au3. Złośliwy kod wykonywał wstrzyknięcie funkcji do

przestrzeni pamięci procesu uruchomionego przez siebie wcześniej pliku „RegSvcs.exe”, alokując

następnie swoje złośliwe funkcje w jego przestrzeni pamięci. Celem tego typu działania jest

uniknięcie detekcji przez oprogramowanie antywirusowe.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Poniżej na zrzucie ekranu dla przykładu przedstawiono łańcuchy znakowe wyciągnięte z działającego

w pamięci procesu RegSvcs.exe.

W kolejnym kroku wirus przesyłał utworzony wcześniej plik (w naszym przypadku b9becc20-b754-

418b-ad01-73ee77b8f49d.bmp ze zrzutem ekranu z zainfekowanego komputera na serwer

wykorzystywany jako dropzone.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Następnie pobierał informacje o lokalizacji pliku na serwerze w postaci linków.

Przy analizie wirusa został wygenerowany plik o nazwie „DHbBP.png” jest on widoczny na poniższym

zrzucie ekranu:

Następnie malware łączył się z zarządzanym przez cyberprzestępcę serwerem SMTP. Poniższy zrzut

ekranu przedstawia autoryzację wirusa z zainfekowanego komputera do serwera SMTP w celu

przesłania informacji, skąd przestępca może pobrać zrzut ekranu. iSpy uwierzytelniał się do serwera

SMTP, który posiadał możliwość wysyłania e-maili na wskazany adres poczty. Login i hasło były

zakodowane standardowym przy tego typu połączeniach trywialnym do zdekodowania algorytmem

BASE64, co pozwoliło na poznanie loginu i hasła, używanych przez przestępcę.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Powyżej można zaobserwować, iż e-mail posiadał temat, precyzujący jakiego modułu dotyczy, wraz z

nazwą użytkownika oraz zainfekowanego komputera (w tym przypadku „Iwo Graj \ CERT-ORANGE-

LAB”).

Kolejny zrzut ekranu pokazuje link prowadzący bezpośrednio do pobrania pełnego zrzutu ekranu w

postaci pliku „DHbBP.png” z zainfekowanego komputera użytkownika.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Kolejnym modułem analizowanego malware’u jest Keylogger – Keyboard, odpowiedzialny za

logowanie klawiszy naciśniętych przez użytkownika na jego klawiaturze.

Poniższy zrzut pokazuje, że login i hasło wykradzione z zainfekowanego komputera było

przekazywane w analogiczny sposób, jak w przypadku modułu „Screenshot”, różniąc się tematem

wiadomości „Keyboard Log” oraz oczywiście jej treścią.

Analogicznie wygląda sytuacja w przypadku trzeciego modułu wirusa, odpowiedzialnego za

logowanie skopiowanego przez użytkownika fragmentu tekstu.

Na potrzeby analizy został utworzony dokument tekstowy z treścią, która następnie została

skopiowana

.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Sposób przesłania informacji do przestępcy:

W trakcie analizy złośliwego oprogramowania zweryfikowano również poprawność działania serwera

SMTP cyberprzestępcy. Przy użyciu danych pochodzących z analizy kodu malware zalogowano się na

port 587 serwera przy użyciu protokołu telnet, preparując wiadomość wysyłaną przez

cyberprzestępcę tak, by wiadomość trafiła na adres e-mail stworzony na potrzeby niniejszej analizy.

Jak widać poniżej uwierzytelnienie przebiegło poprawnie i zakończyło się sukcesem na serwerze.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

W kolejnym kroku spreparowano wiadomość i wysłano na utworzony wcześniej adres e-mail.

Poniższy zrzut ekranu dowodzi, iż serwer SMTP cyberprzestępcy działa poprawnie, a na e-mail

przyszła spreparowana wiadomość zawierająca dane z modułu Keylogger’a. W takiej właśnie formie

cyberprzestępca odbierał na skrzynce pocztowej wykradzone dane z zainfekowanych komputerów

uzytkowników.

Analiza Malware Keylogger iSPY

Autor Iwo Graj CERT Orange Polska

Rekomendacje

CERT Orange Polska stanowczo zaleca używanie oprogramowania antywirusowego i jego stałą

aktualizację, które z dużym prawdopodobieństwem ułatwi uniknięcia kolejnych infekcji złośliwym

oprogramowaniem i pomoże zminimalizować skutki kolejnych infekcji, a także oprogramowanie typu

firewall, którego zadaniem jest zablokowanie niecharakterystycznego dla zainfekowanej maszyny

ruchu sieciowego.

Wszyscy klienci usług Orange Polska, którzy otrzymali i uruchomili złośliwy załącznik, są chronieni

przed wyciekiem swoich danych dzięki CyberTarczy.

W przypadku braku oprogramowania antywirusowego zalecana jest również instalacja i

przeskanowanie swojego systemu operacyjnego pod względem złośliwego oprogramowania, które

może znajdować się na komputerach użytkowników, na których uruchomiono analizowany malware.