La caza de “octubre rojo”: ciberespionaje Toolkit

Introducción

“Octubre Rojo”, que parece ser un conjunto de herramientas de ciber-espionaje descubierto hace muy poco por los laboratorios de Kaspkersky. El código viral parece que se han dirigido a los organismos gubernamentales e instituciones con sede en Europa, los países ex-URSS y los países de Asia Central. El malware sigue activo, y está actualmente reuniendo datos que se envían a varios servidores C & C. Para el nivel de complejidad, su código malicioso se compara con el “Virus Flame” ya famoso y se propaga a través de correos electrónicos de phishing dirigidos exactamente a Favoritos víctimas potenciales.

“Octubre Rojo” explota las diferentes vulnerabilidades de Microsoft Word y Excel y, si el ataque tiene éxito, un caballo de Troya se coloca en la máquina infectada, socavando seriamente la confidencialidad de los datos almacenados en ella. Los investigadores creen que el ataque ha estado activo durante un mínimo de cinco años, con base en las marcas de tiempo de educación física y las fechas de los nombres de dominio de C & C “de registro.

Este trabajo trata de profundizar en las acciones de este malware. La versión en posesión del analista se propaga a través de un Microsoft Word “. Rtf” del documento y, en la infección de la víctima, intenta aprovechar la vulnerabilidad descrita en CVE-2012-0158 ( http://www.cve.mitre org / cgi-bin / cvename.cgi? name = CVE-2.012-0.158 ).

Análisis Preliminar

El análisis preliminar llevado a la identificación de una “. Rtf” documento que presente, dentro de ella, hex codificados fragmentos de código que más tarde sería ejecutado en caso de que la explotación de la vulnerabilidad se ha realizado correctamente. El primer paso dado por el analista, para el análisis de este malware, ha sido el aislamiento de la primera pieza de código útil. Esto es básicamente un código hexadecimal codificado utiliza para buscar y descodificar el segundo conjunto de instrucciones. Con el fin de encontrar dónde comenzar la decodificación, una instrucción de ramificación se utiliza y, en el momento en que se identifica la cadena “PT @ T”, el “XOR” decodificación bucle comienza.

Una imagen se muestra a continuación para el código hexadecimal primera aislado codificado (la salida se trunca debido a razones de espacio):

En resumen, el analista ha sido capaz de recuperar la primera instrucción completa ejecutado, la conversión de la carga útil en un formato más fácilmente analizable. Básicamente, las instrucciones lleva a cabo aquí apunta a la decodificación de la segunda serie de código, que también está presente en el documento como texto codificado en hexadecimal. La particularidad de la segunda pieza, de hecho, es que presenta una cierta forma de mecanismo de protección, que ha sido reconocido durante el análisis de la primera pieza de instrucciones.

La imagen que se muestra a continuación es una imagen de lo que la segunda pieza de código aislado parecía:

El analista, a través de las instrucciones que se analizan en el primer segmento de código, escribió unas pocas líneas de código Python para automatizar el proceso de recuperación.

Esta segunda pieza de código hexadecimal codificado es en realidad de-codifica utilizando un bucle BYTE BYTE-decodificación a través de un “XOR al, 0B6h” instrucción.

A continuación, procede a recuperar el código original de la segunda serie de instrucciones.

El software creado para esta ocasión llena un archivo llamado “dexor.txt” con las instrucciones del código original, y los convierte de nuevo a formato hexadecimal.

En este punto, el analista de nuevo convierte los datos hexadecimales en un formato más fácilmente analizable, y, mediante el análisis de la segunda pieza de código, llega a la conclusión de que las instrucciones ejecutadas son muy similares a la anterior, con la diferencia de que esta vez, el cuentagotas de el malware real será decodificado.

Omisión de Protección Cuentagotas Código

Como se mencionó anteriormente, las instrucciones ejecutadas por el segundo trozo de código presente en el vector de infección (. Rtf) son similares a los realizados anteriormente, con la diferencia de que esta vez la decodificación se realiza con una clave diferente, y el gotero de real de malware también se decodifica.

Lo siguiente representa una imagen del segundo bucle de decodificación:

Con base en la información obtenida en el análisis de este código, el analista va a recuperar el conjunto de instrucciones originales de gotero de octubre Roja.

Esta vez, el archivo se guarda con claridad.

Aquí hay un fragmento del archivo resultante:

Ahora podemos analizarlo con mayor facilidad.

EP se encuentra en 0x4118A4 y el gotero parece estar protegida por una costumbre envasador / encriptador.

El analista continúa trazando las instrucciones paso a paso. El primero de estos para llevar a cabo refiere a la vinculación dinámica de algunas funciones útiles a través de la llamada “GetProcAddress” en sub_413FCF

… Para llegar, finalmente, después de más instrucciones consideradas de menor importancia, en llamar “VirtualAlloc” para asignar una región de memoria en su propio espacio de direcciones con el fin de ejecutar el binario desempaquetado, que es visible en la imagen siguiente.

El vaciado de la región de memoria utilizada se lleva a cabo por el analista a fin de recuperar el ejecutable original.

Después de hacer esto, también podemos recopilar cierta información adicional al respecto.

Por último, vamos a comenzar el análisis del código del cuentagotas de.

Cuentagotas Análisis

EP se encuentra a 0 × 403910.

La primera acción llevada a cabo por el gotero está eliminando algunas entradas del registro en sub_4038A0.

Las claves de registro eliminadas son:

“HKCU \ Software \ Microsoft \ Office \ 11.0 \ Word \ Resiliencia \ StartupItems”

“HCKU \ Software \ Microsoft \ Office \ 11.0 \ Word \ Resiliencia \ DisabledItems”

Después de recuperar las cadenas de variables de entorno, el gotero se va a ejecutar su función principal:. La creación de archivos llamados “svchost.exe”, “wsdktr.ltp” y “msc.bat”

La subrutina principal responsable de recuperar los nombres y las carpetas de la “svchost.exe” y “wsdktr.ltp” los archivos que se van a crear se encuentra a 0 × 402430.

Dentro de esta, otra función, que se encuentra a 0 × 401570, es llamado para la creación del archivo.

El primer archivo que se creará es “svchost.exe” en el “% programfiles% \ Windows NT \” camino …

… Y el siguiente tampón, situado en 0x9b5e28 …

… Está escrito en ella.

Finalmente, un archivo de 206 KB grande se crea.

El segundo archivo que se creará es “wsdktr.ltp”, que está siempre bajo el “% programfiles% \ Windows NT \” camino.

74556 bytes se escriben en ella.

El tampón se encuentra en 0x9e98a0.

Finalmente, un archivo de 75 Kb grande, se crea.

En este punto, una sub situados en 0x4019D0 va a lanzar el svchost.exe a través de la llamada de función CreateProcess.

En 0x401D40, un archivo msc.bat se crea.

310 bytes se escriben en ella.

El contenido que está escrito en esto es la siguiente:

chcp 1251

: Repetir

attrib-a-s-h-r “cuentagotas previamente recuperado camino”

del “gotero previamente recuperado camino”

si existe “camino previamente recuperado cuentagotas” goto Repeat

del “camino previamente recuperado msc.bat”

Cuentagotas duerme flujo de ejecución durante 10 segundos.

Msc.bat también se inicia a través de la CreateProcess y funciones ResumeThread.

Después de ejecutar estas instrucciones, el gotero ponga fin a su flujo de trabajo.

Los próximos pasos que se tomarán serán el análisis de las instrucciones ejecutadas por el svchost.exe, que se crearon anteriormente en la sección “% ProgramFiles% / Windows NT /”
ruta. Este archivo también será protegido por un mecanismo de compresión hecha. Como veremos, este archivo posteriormente descifrará el contenido de “wsdktr.ltp”.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: