Εξετάζοντας το Pkybot

Transcript

1 T4106/07/ Issue Εξετάζοντας το Pkybot Τους τελευταίους μήνες, η ASERT παρακολουθεί ένα σχετικά νέο κακόβουλο λογισμικό ( banker ), το οποίο είναι γνωστό ως Pkybot. Έχει επίσης κατηγοριοποιηθεί ως παραλλαγή του Bublik, αλλά το πρώτο όνομα περιγράφει πολύ καλύτερα το κακόβουλο λογισμικό. T ο άρθρο αυτό επιχειρεί να ρίξει μια ματιά σε ορισμένα από τα επιμέρους στοιχεία του Pkybot και της εκστρατείας στην οποία χρησιμοποιείται. To visibility που παρέχεται μπορεί να βοηθήσει τους οργανισμούς να αντιληφθούν, να εντοπίσουν και να προστατευτούν καλύτερα από αυτή την απειλή. Δείγμα Ένα από τα πρόσφατα δείγματα που αναλύθηκαν από την ASERT έχει τους παρακάτω ψηφιακά αποτυπώματα (hashes): MD5: 9028d9b64a226b750129b41fbc43ed5e SHA256: 38eb7625caf209ca2eff3fa46b b7289f1 Τη στιγμή που γραφόταν αυτό το κείμενο, υπήρχε αναλογία εντοπισμού VirusTotal 16/57, με σχεδόν όλους τους εντοπισμούς να είναι γενικής φύσης. Το καλό για τους μηχανικούς είναι ότι αυτό το δείγμα δεν περιλαμβάνεται σε πακέτο. Pkybot Παρόλο που το κακόβουλο λογισμικό έχει ερευνηθεί ήδη [1] [2], η επανεξέταση και η ανάλυση είναι πάντα καλές πρακτικές. Κρυπτογραφημένα bit Το Pkybot περιέχει διάφορα ενδιαφέροντα στοιχεία, τα οποία είναι κρυπτογραφημένα με τον αλγόριθμο κρυπτογράφησης XTEA. Το κλειδί που χρησιμοποιείται δημιουργείται κατά το χρόνο εκτέλεσης από μια hardcoded seed τιμή χωρίς δυνατότητα τροποποίησης (DWORD): Μαζί με το κλειδί XTEA που δημιουργείται, αυτή η δέσμη ενεργειών IDA μπορεί να χρησιμοποιηθεί για να αποκρυπτογράφησει: Ονόματα λειτουργιών των Windows που επιλύονται/χρησιμοποιούνται κατά το χρόνο εκτέλεσης Διάφορες συμβολοσειρές κειμένου Αρχείο ρύθμισης παραμέτρων Εκτελέσιμο αρχείο ρύθμισης παραμέτρων Αφού αποκρυπτογραφηθεί, η ρύθμιση παραμέτρων είναι έ- να βασικό αρχείο που μοιάζει με XML, το οποίο αποτελείται από διευθύνσεις URL εντολής και ελέγχου (C2): Εντολή και έλεγχος PKEY Η πρώτη επικοινωνία C2, η οποία είναι και συνώνυμη του κακόβουλου λογισμικού, είναι το αίτημα PKEY. Είναι ένα HTTP POST με την εξής μορφή: Μπορεί επίσης να δημιουργηθεί χρησιμοποιώντας αυτό το τμήμα κώδικα Python. 2 security

2 Dennis Schwarz Research Analyst, Arbor s ASERT Team Το PKEY είναι σύντμηση του δημόσιου κλειδιού RSA, καθώς αυτό επιστρέφει ο διακομιστής C2: Τα δεδομένα εντολής μπορούν να χωριστούν σε δύο τμήματα. Το πρώτο είναι μια συμβολοσειρά ερωτήματος που αποτελείται από πέντε ζεύγη ονόματος/τιμής. Καθένα από τα πέντε ονόματα αποτελείται από 10 έως 29 τυχαία γράμματα και οι τιμές τους είναι οι εξής: Βot ID(με βάση την τιμή μητρώου MachineGuid) Αριθμός εντολής (βλέπε παρακάτω) Μια διαφορά ώρας (με βάση τις κλήσεις API QueryPerformanceCounter και QueryPerformanceFrequency ) Όνομα αρχείου (συνδυασμός τυχαίων γραμμάτων και λέξεων χωρίς δυνατότητα τροποποίησης) Πληροφορίες συστήματος (βλέπε παρακάτω) Εκτός από αυτό που εμφανίζεται στο παραπάνω στιγμιότυπο οθόνης, το μόνο άλλο κλειδί που έχει παρατηρήσει η ASERT είναι το εξής: BEGIN PUBLIC KEY MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3C yhcm5oloqqye5zdrdlzjoss g9jv1pdoben63snfe3sxwyccjcqzbtlgiaep2vogvlqda BsHjPV+ChHUGK9IMqyU 98Dw6Y5JLnrNssa9W1JDqdetNqNP7r5rt+PyzktcPGFrR5 K8XWB4uJWXpwXKhFVy ior1xzfrevs47mee/qidaqab END PUBLIC KEY Εντολή και έλεγχος Εντολές Οι εντολές C2 στέλνονται μέσω αιτημάτων HTTP POST με κρυπτογραφημένα δεδομένα POST: Οι αριθμοί εντολής που έχουν αναγνωριστεί είναι οι εξής: 1 Επιστροφή αρχείου ρύθμισης παραμέτρων δικτύου (βλέπε παρακάτω) 2 Επιστροφή webinject (βλέπε παρακάτω) 5 Επιστροφή ενημερωμένου εκτελέσιμου Pkybot των 32 bit 6 Επιστροφή ενημερωμένου εκτελέσιμου Pkybot των 64 bit 8 Επιστροφή αρχείου DLL 32 bit (βλέπε παρακάτω) 9 Επιστροφή αρχείου DLL 64 bit (βλέπε παρακάτω) 10 Επιστροφή αρχείου EXE 32 bit (βλέπε παρακάτω) 11 Επιστροφή του ίδιου αρχείου με την εντολή 10 Οι «πληροφορίες συστήματος» είναι ένα αρχείο κειμένου διαχωρισμένο με \r\n που περιλαμβάνει την έκδοση των Windows και το εγκατεστημένο λογισμικό του μολυσμένου μηχανήματος. Ένα παράδειγμα είναι το εξής: Microsoft Windows XP Professional Service Pack 3 (build 2600) Adobe AIR Adobe Flash Player 10 Plugin Acrobat.com FileZilla Client Google Chrome Windows Internet Explorer 8 Update for Windows XP (KB ) Το αρχείο κειμένου συμπιέζεται με το gzip και κατόπιν κωδικοποιείται με base64. Αν τα ενώσουμε όλα αυτά, ένα παράδειγμα συμβολοσειράς ερωτήματος απλού κειμένου έχει την εξής μορφή: security 3

3 T4106/07/ Issue Τείνει να περιλαμβάνει πρόσθετες διευθύνσεις URL και επιλογές C2 για τη λειτουργικότητα MitB (man-in-the-browser) του Pkybot. Εντολή 8/9 Αρχείο DLL τύπου MitB Το μεγαλύτερο μέρος της λειτουργικότητας MitB του Pkybot υλοποιείται στο αρχείο DLL που λαμβάνεται ως απόκριση στις εντολές 8 και 9. Αυτή η δημοσίευση θα αφήσει μια ενδελεχή ανάλυση του αρχείου DLL για μελλοντική έρευνα, αλλά γενικά χρησιμοποιεί παρεμβολή διεργασίας και αγκίστρωση λειτουργίας για να υλοποιήσει τη λειτουργικότητα. Αφού δημιουργηθεί η συμβολοσειρά ερωτήματος, δημιουργούνται δύο τυχαία κλειδιά XTEA 16 byte. Το πρώτο χρησιμοποιείται για την κρυπτογράφηση της συμβολοσειράς ε- ρωτήματος και το δεύτερο χρησιμοποιείται για την αποκρυπτογράφηση της απόκρισης από το διακομιστή C2. Αυτά τα δύο κλειδιά κρυπτογραφούνται και τα ίδια με RSA (PKCS 1, έκδοση 1.5), χρησιμοποιώντας το δημόσιο κλειδί που είχε ληφθεί προηγουμένως από το C2. Τέλος, τα δύο κρυπτογραφημένα κομμάτια συνενώνονται μεταξύ τους στα τελικά POST data(όπου το κίτρινο μέρος είναι κρυπτογραφημένο με RSA και το πράσινο μέρος είναι κρυπτογραφημένο με XTEA): Οι αποκρίσεις των εντολών από το C2 κρυπτογραφούνται με XTEA (χρησιμοποιώντας το τυχαίο κλειδί αποκρυπτογράφησης που στάλθηκε στο αίτημα) και συμπιέζονται με το Zlib. Ένα παράδειγμα αρχείου DLL έχει τους παρακάτω κωδικούς κατακερματισμού: MD5: cb3d9850f c25b952d1bc25 SHA256: 9c9aaabb60ca27324da0cdfdd9715b6d0c9c ef5bf20930d0eadab0 Τη στιγμή που γραφόταν αυτό το κείμενο, το VirusTotal είχε αναλογία εντοπισμού 4/56 για το αρχείο DLL. Εντολή 2 Webinject Η εντολή 2 επιστρέφει το άλλο στοιχείο που χρησιμοποιείται από την υλοποίηση MitB: τα webinject. Το Pkybot χρησιμοποιεί τη μορφή webinject του Zeus που αποτελείται από τους δείκτες set_url, data_before, data_inject και data_after. Έ- να παράδειγμα είναι το εξής: Εντολή 1 Αρχείο ρύθμισης παραμέτρων δικτύου Το αρχείο ρύθμισης παραμέτρων δικτύου είναι μια εκτεταμένη έκδοση του εκτελέσιμου αρχείου ρύθμισης παραμέτρων: Αυτό το παράδειγμα προσθέτει μια βασική ανακατεύθυνση JavaScript στη σελίδα-στόχο. Μέσα στο πρόγραμμα περιήγησης, ο πηγαίος κώδικας της τοποθεσίας-στόχου έχει της εξής μορφή πριν από την παρεμβολή: 4 security

4 PaaS is coming Και αυτή τη μορφή μετά την παρεμβολή: Εντολή 10/11 Αρχείο EXE των 32 bit Οι εντολές 10 και 11 επιστρέφουν το ίδιο αρχείο EXE των 32 bit. Ένα παράδειγμα έχει τους παρακάτω κωδικούς κατακερματισμού: MD5: 5759b592fba82f44bae0edfa862bf77b SHA256: 864dff5cc930c259e34fd04840a5115f61236e6affb b6fed3af49c78e0aa1460 Η ανάλυση του εκτελέσιμου αρχείου αφέθηκε για μελλοντική έρευνα, αλλά έχει χαμηλή αναλογία εντοπισμού VirusTotal (2/56 τη στιγμή που γραφόταν αυτό το κείμενο) [8] και μια ενδιαφέρουσα συμβολοσειρά PDB: E:\WORK\Core\EXPLOITS\ExploitPack\Release\ ExploitPack.pdb Εκστρατεία Η χρήση των αρχείων ρύθμισης παραμέτρων που εξάγονται από τα εκτελέσιμα Pkybot και τους διακομιστές C2 επιτρέπει τη βολική ομαδοποίηση των δεδομένων κεντρικού υπολογιστή C2. Το παρακάτω είναι ένα πρόχειρο χρονοδιάγραμμα του πότε παρατηρήθηκαν συγκεκριμένες ομαδοποιήσεις C2 στο αποθετήριο κακόβουλου λογισμικού της ASERT: 29 Ιουνίου * mukosoma.com * boblaktto.com * feredac.com 1 Ιουλίου * pallodare.com * potopland.com * koplodaro.com 2 Ιουλίου * bolobranca.com * nanoputanas.com * pannogen.com 6 Ιουλίου * manafasia.com * noisymemo.org * garbux.com 9 Ιουλίου * giga-flock.com * megakatana.com * monogera.com 11 Ιουλίου * fergerama.com * hirobakan.com * golokird.com 13 Ιουλίου Α * bolobranca.com * fedorena.com * neyetta.com * votublist.com 13 Ιουλίου Β * nanoputanas.com * bolobranca.com * fedorena.com * neyetta.com * votublist.com 16 Ιουλίου * monogera.com * claus-management.com * pannogen.com 20 Ιουλίου * fergerama.com * hirobakan.com 9 Αυγούστου * nuratrben.com * liopnret.com * superzhopper.com * xezikalanre.com * fanera-distribution.com * opilki-limited.com * duteraneh.com * becadogale.com * pannogen.com Τη στιγμή που γραφόταν αυτό το κείμενο, η ομάδα που ξεκίνησε στις 9 Αυγούστου ήταν ενεργή στο Διαδίκτυο. Με βάση τα δεδομένα της ASERT και το παθητικό DNS του VirusTotal, η παρακάτω είναι μια ομαδοποίηση των διευθύνσεων ΙΡ που χρησιμοποιήθηκαν από τους 30 παραπάνω μοναδικούς τομείς C2 (για δείκτες που βασίζονται σε κείμενο, βλέπε Παράρτημα 1): security 5

5 T4106/07/ Issue Ενώ έχουμε παρατηρήσει 32 μοναδικές διευθύνσεις ΙΡ, δεν υπάρχει μεγάλη αλληλεπικάλυψη τομέων. Σύμφωνα με τις δύο παραπάνω πηγές δεδομένων, 12 από τους τομείς δεν έχουν επιλυθεί ποτέ. Η ομαδοποίηση των τομέων C2 κατά δεδομένα Whois, συγκεκριμένα τη διεύθυνση καταχώρισης, είναι λίγο πιο διαφωτιστική: Sinkhole Για να εκμεταλλευτεί αυτή την ευκαιρία, η ASERT καταχώρισε έναν από αυτούς τους τομείς και δημιούργησε μια ένα sinkhole από τις 11 έως τις 24 Αυγούστου. Εκτός από τους συνήθεις περιορισμούς των δεδομένων sinkhole, είναι άξιο αναφοράς ότι ενώ ήταν ενεργό το sinkhole μας, το ανταγωνιζόταν ένας ενεργός κακόβουλος διακομιστής C2. Αυτό σημαίνει ότι τα δεδομένα μόλυνσης πιθανότατα είναι υποτιμημένα. Κατά τη διάρκεια της περιόδου των σχεδόν δύο εβδομάδων, το sinkhole, έλαβε συνδέσεις από 1879 μοναδικές διευθύνσεις ΙΡ. Με βάση την επίλυση ονόματος κεντρικού υπολογιστή, οι 5 κορυφαίοι TLD ήταν οι εξής: Η χαρτογράφηση των διευθύνσεων ΙΡ με βάση τον γεωεντοπισμό της διεύθυνσης IP έδωσε έναν παγκόσμιο χάρτη με την εξής μορφή: Έξι τομείς (δύο από τα συμπλέγματα) κρύβονται πίσω από προστασία απορρήτου. Το μικρότερο σύμπλεγμα (δύο τομείς) είναι καταχωρισμένο στη διεύθυνση: joseph@cuvox.de Το μεγαλύτερο σύμπλεγμα (17 τομείς) είναι καταχωρισμένο στη διεύθυνση: mant@teleworm.us Τέλος, το τελευταίο σύμπλεγμα (με πέντε τομείς) δεν είναι καταχωρισμένο. Αυτοί οι πέντε τομείς είναι ιδιαίτερα ενδιαφέροντες, επειδή ανήκουν στην πιο πρόσφατη ομάδα ρύθμισης παραμέτρων (όπως σημειώνεται παραπάνω). Webinject Παρόμοια με τις ομαδοποιήσεις C2 παραπάνω, μπορεί να δημιουργηθεί ένα πρόχειρο χρονοδιάγραμμα των στόχων webinject του Pkybot (κατά TLD): 6 security

6 PaaS is coming 29 Ιουνίου (συνολικά 44).gr 1 τράπεζα, 18 webinject.co.uk 4 τράπεζες, 23 webinject *booking*, *air.com*, *amazon* 30 Ιουνίου (συνολικά 49).gr 1 τράπεζα, 18 webinject.co.uk 4 τράπεζες, 23 webinject *booking*, *air.com*, *amazon* 2 Ιουλίου (συνολικά 50).gr 1 τράπεζα, 18 webinject.co.uk 4 τράπεζες, 23 webinject *booking*, *air.com*, *amazon*.es 4 τράπεζες, 6 webinject 9 Ιουλίου (συνολικά 13) *booking*, *air.com*, *amazon*, *travel*, *checkout*, *payment*, *paypal*.es 4 τράπεζες, 6 webinject 16 Ιουλίου (συνολικά ).es 4 τράπεζες, 6 webinject 21 Ιουλίου (συνολικά 5) 8 Αυγούστου (συνολικά 6) * (όλα) 13 Αυγούστου (συνολικά 5) Ο κεντρικός στόχος είναι τράπεζες στην Ελλάδα, το Ηνωμένο Βασίλειο και την Ισπανία. Μια ενδιαφέρουσα παρατήρηση είναι ότι τα webinject που στόχευαν ελληνικές τράπεζες αφαιρέθηκαν κατά τη διάρκεια μιας κρίσιμης καμπής στην ελληνική οικονομική κρίση απ ότι φαίνεται οι δράστες των επιθέσεων παρακολουθούσαν τις εξελίξεις. Τη στιγμή που γραφόταν αυτό το κείμενο, το επίκεντρο ήταν σε τρεις τράπεζες στην Ισπανία. Αυτή η στόχευση ταιριάζει με τα δεδομένα μόλυνσης του sinkhole, όπου το.es είναι δεύτερο σε μολύνσεις TLD και υπάρχει πράγματι ένα σύμπλεγμα από pins γεωεντοπισμού διεύθυνσης ΙΡ στην Ισπανία. Συμπέρασμα Αυτή η δημοσίευση εξέτασε ένα σχετικά νέο κακόβουλο λογισμικό του τραπεζικού τομέα, το οποίο είναι γνωστό ως Pkybot. Επικεντρώθηκε στην εξέταση του πρωτοκόλλου ε- ντολής και ελέγχου, την κατηγοριοποίηση των τομέων εντολής και ελέγχου και την ανάλυση των webinject. Τη στιγμή που γραφόταν αυτό το κείμενο και με βάση τη στόχευση των webinject και τα δεδομένα μόλυνσης του sinkhole, η εκστρατεία Pkybot είναι σχετικά μικρή και στοχευμένη. Προς το παρόν είναι ασαφές αν αυτή η απειλή θα επεκταθεί και πώς, αλλά to visibility που παρέχεται εδώ θα πρέπει να βοηθήσει τους οργανισμούς να αντιληφθούν, να εντοπίσουν και να προστατευτούν καλύτερα από αυτή την απειλή. Παράρτημα 1 Διευθύνσεις ΙΡ του C itsecurity security 7