The Alexsandra Spaces

Lo scorso week-end abbiamo isolato un nuovo ransomware che cripta i files nell’hard disk e chiede il pagamento di una determinata cifra come riscatto per riavere i documenti.

Il trojan non è proprio una novità, ma si tratta di una nuova variante di un vecchio password stealer che avevamo già individuato nei mesi scorsi. Quest’ultima variante ha inoltre funzioni di ransomware.

Dopo un week-end abbastanza movimentato, siamo riusciti a decodificare i file criptati e a rilasciare per primi un tool di decodifica.

Al momento sono online nei più importanti media online alcuni articoli:

Hackers Steal U.S. Government, Corporate Data from PCs
Government, Contractors Hit in Targeted Attack
Job ads leave Washington hacked
Top companies and a government department get cracked
Una volta eseguito - utilizza un custom packer - il trojan tenta di iniettarsi all’interno di winlogon.exe. Se l’attacco ha successo, da winlogon.exe il trojan tenta di iniettarsi in svchost.exe e poi negli altri processi.

Per partire allo startup del sistema, si aggiunge nella directory di sistema di Windows come ntos.exe (per esempio C:\WINDOWS\system32\ntos.exe) e si aggiunge nella seguente chiave di registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
“Userinit” = “[systemdir]\ntos.exe”

Questo permette al malware di partire in posizione privilegiata all’avvio del sistema, prima rispetto a molti altri processi.

Crea inoltre una directory nascosta sotto system32, chiamata wsnpoem che contiene video.dll e audio.dll.

Il trojan ha tre payload : criptare i file sull’hard disk e poi minacciare, rubare credenziali dell’utente del pc, aprire un socks server. Vediamo meglio:

CRIPTARE I DATI

Il trojan scansiona l’hard disk alla ricerca dei file che hanno una delle seguenti estensioni:

.12m .3ds .3dx .4ge .4gl .7z .a .a86 .abc .acd .ace .act .ada .adi .aex .af3 .afd .ag4 .ai .aif .aifc .aiff .ain .aio .ais .akf .alv .amp .ans .ap .apa .apo .app .arc .arh .arj .arx .asc .asm .ask .au .bak .bas .bb .bcb .bcp .bdb .bh .bib .bpr .bsa .btr .bup .bwb .bz .bz2 .c .c86 .cac .cbl .cc .cdb .cdr .cgi .cmd .cnt .cob .col .cpp .cpt .crp .cru .csc .css .csv .ctx .cvs .cwb .cwk .cxe .cxx .cyp .d .db .db0 .db1 .db2 .db3 .db4 .dba .dbb .dbc .dbd .dbe .dbf .dbk .dbm .dbo .dbq .dbt .dbx .dfm .djvu .dic .dif .dm .dmd .doc .dok .dot .dox .dsc .dwg .dxf .dxr .eps .exp .f .fas .fax .fdb .fla .flb .frm .fm .fox .frm .frt .frx .fsl .gtd .gif .gz .gzip .h .ha .hh .hjt .hog .hpp .htm .html .htx .ice .icf .inc .ish .iso .jar .jad .java .jpg .jpeg .js .jsp .key .kwm .lst .lwp .lzh .lzs .lzw .ma .mak .man .maq .mar .mbx .mdb .mdf .mid .mo .myd .obj .old .p12 .pak .pas .pdf .pem .pfx .php .php3 .php4 .pgp .pkr .pl .pm3 .pm4 .pm5 .pm6 .png .ppt .pps .prf .prx .ps .psd .pst .pw .pwa .pwl .pwm .pwp .pxl .py .rar .res .rle .rmr .rnd .rtf .safe .sar .skr .sln .swf .sql .tar .tbb .tex .tga .tgz .tif .tiff .txt .vb .vp .wps .xcr .xls .xml .zip

Una volta trovati, codifica questi file con un algoritmo di codifica fortemente modificato che ricorda l’algoritmo RC4. Dopo che sono stati codificati, il trojan crea il file read_me.txt in ogni directory in cui ha criptato dei files. Nel readme c’è scritto:

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.

To decrypt your files you need to buy our software. The price is $300.

To buy our software please contact us at: [email address] and provide us your personal code [personal code]. After successful purchase we will send your decrypting tool, and your private information will be deleted from our system.

If you will not contact us until 07/15/2007 your private information will be shared and you will lost all your data.

Glamorous team

Come la nostra analisi e il nostro tool dimostrano, i file non sono così ben criptati e possono essere decodificati. Non è necessario pagare 300$ per decodificare i file, semplicemente scaricate il nostro tool. Nessun file viene uploadato online, il trojan si preoccupa solo di rubare informazioni quali username e password mentre l’utente è online. Il codice personale mostrato nel readme gioca un ruolo fondamentale nella routine di decrypt. Il codice è salvato anche all’interno del registro di sistema sotto:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
“WinCode” = [personal code in hex]

RUBARE INFORMAZIONI

Per rubare le informazioni, il trojan fa uso di tecniche simili a quelle utilizzate dai rootkit user mode, modificando l’Import Address Table e redirezionando alcune chiamate API. Come l’immagine qua sotto mostra, quando una delle API hookate viene chiamata, il processo viene redirezionato ad un altro indirizzo in memoria invece che alla corretta libreria che esporta la funzione. Il codice iniettato è sempre mappato allo stesso indirizzo in memoria, il campo ImageBase è infatti settato all’indirizzo specifico 14E00000.

Le API redirezionate sono:

LdrGetProcedureAddress, LdrLoadDll, NtCreateThread (ntdll.dll)
WSASend, WSASendTo, closesocket, send, sendto (ws2_32.dll)
HTTPSendRequestA, HTTPSendRequestExA, HTTPSendRequestExW, InternetCloseHandle, InternetQueryDataAvailable, InternetReadFile, InternetReadFileExA, InternetReadFileExW (wininet.dll)

Una volta collezionate le credenziali, il trojan le salva all’interno di un file e le cripta prima di uploadarle ad un server remoto. L’algoritmo usato è particolarmente semplice e fa uso di alcune semplici operazioni matematiche su ogni byte del file da criptare. Abbiamo un tool di decodifica anche per questi file ma non verrà rilasciato, al fine di evitare possibili fughe di privacy. Al momento migliaia di informazioni personali sono state collezionate dal trojan.

SOCKS SERVER

Il codice iniettato all’interno di svchost.exe è usato per aprire un SOCKS server sulla porta TCP 6081. La lista dei proxy server funzionanti è aggiornata sul server remoto in modo tale che i malware writer hanno ogni volta a disposizione almeno un SOCKS server anonimo disponibile da usare.

Il cyberterrorismo è il nuovo aspetto della mafia moderna. Ricattare, lanciare attacchi DDoS contro siti web chiedendo poi riscatti, i malware writer hanno capito perfettamente che con i malware è possibile fare soldi.

Codificare documenti è un danno immenso per le società che devono lavorare con i propri dati. Pagare 300$ sarebbe molto più semplice che aspettare un decodificatore che arrivi da chissà dove…in fondo per una società 300$ non sono un così alto prezzo.

Ma, pagando, i malware writer sono solo incoraggiati a continuare a ricattare le società e a fare il loro sporco gioco. È per questo che risulta importante che nessuno si pieghi ai ricatti online ma contatti immediatamente una società di sicurezza che l’aiuterà a sistemare il problema.

Penso assisteremo ad un rapido incremento di minacce complesse come questa, attacchi mirati a società che, semplicemente, non possono permettersi di fermare il proprio lavoro per un ricatto.

Fonte : PC al Sicuro