Análisis del "Payment_Info.xls"

Se ha detectado el siguiente documento ofimático:

Nombre:                 Payment_Info.xls

MD5:                     0C14A99C9C969A98FF52BEC57094B152

VT:                         6/55

Que contiene 4 macros, de las cuales la de interés es la siguiente:

Macros contenidas en el documento

Contenido de la macro

Como se puede observar nos encontramos frente a un código que utiliza ciertas técnicas de ofuscación como puedan ser la utilización de la función: Chr(), la utilización de la función: Asc(), o incluso la utilización de XOR.

Muestra de la utilización de ciertas técnicas de ofuscación

En cualquier caso, este documento lanza una petición hacía Internet, más concretamente solicita la siguiente URL:

www.canload.xyz/coco/GoodghsrtahragrdwRRgr.exe

NOTA: Actualmente el recurso se encuentra activo, pero para poder acceder a él, no vale con realizar una petición si más.

Petición realizada directamente sin ejecutar el lanzador.

Petición realizada por el lanzador

El archivo descargado se almacena en:

c:\docume~1\admini~1\locals~1\temp\

Con Nombre:          dlbgbcafqkruwhxbe.exe.

Con MD5:              6BDFEC74D0B55A1861767381EEC38320

VT:                         3/56

Conclusiones

A falta de analizar el último fichero detectado, os recomiendo bloquear en vuestros sistemas de seguridad:

MD5:                                   0C14A99C9C969A98FF52BEC57094B152

MD5:                                   6BDFEC74D0B55A1861767381EEC38320

URL:                                    www.canload.xyz/coco/GoodghsrtahragrdwRRgr.exe

Ubicación en disco:             *\temp\dlbgbcafqkruwhxbe.exe.

Mutex:                                local\mutex_msosharedmem

En cuanto al código de macro que se puede comentar…

Variante/revisión/evolución

En la anterior entrada, elaboré una macro para obtener la URL de un código publicado en pastebin por parte de un blog que sigo habitualmente.

Ahora, este mismo blog ofrece otra entrada y otro código publicado en pastebin , que supone una variante/revisión/evolución del anterior.

Concretamente el nuevo código es:

Función con la nueva ecuación

La modificación en nuestra macro personalizada es fácil.

Macro adaptada a la nueva ecuación

Es igual de fácil cambiar la macro para buscar alguna otra URL dentro de la misma información, aunque hay que tener en cuenta los valores que provocan error en la ecuación

Conclusiones

Este código es muy fácil variarlo para convertirlo en algo "nuevo", pero realmente el mínimo común múltiplo de estos dos códigos, al igual que el de muchos lanzadores vistos en documentos ofimáticos, es el uso de la función "Chr()". Por lo que si un documento ofimático tiene macros, y estas utilizan la función "Chr()", ...

Macro para la obtención de una URL

Revisando la entrada de uno de los blog que suelo leer (URL blog) en la que se informa sobre un lanzador en formato Word, he podido analizar la macro que contenía el documento word del cual se habla y que se encuentra en pastebin.  (URL macro en pastebin)

Lo primero que he querido saber, ha sido la forma en que el programador ha ofuscado la URL desde donde se descarga el verdadero malware.

Para ello, he estado leyendo el código hasta que he encontrado las siguientes funciones:

Petición GET

Función que devuelve la URL

En este punto, se me ha ocurrido escribir una macro para generar la URL que se nos comenta en el blog, si necesidad de ejecutar el documento en ninguna sandbox.

El código es el siguiente:

Función para obtener la URL

Pero me ha surgido la siguiente pregunta.
 ¿Y si existe algún otra URL escondida en el código y sólo depende del valor que se tenga en la variable “LenLen”?.

Para ello se ha desarrollado el siguiente código, pero teniendo en cuenta lo siguiente:

La variable “LenLen” sólo puede ir hasta el valor más bajo que se encuentre en el array, en nuestro caso: 49, ya que si no obtendríamos un error en tiempo de ejecución por intentar resolver: Chr(-1), u otro valor negativo.

Función que da todas las posibles URLs

Conclusiones

Para desgracia de mi “paranoia”, no existe ninguna combinación que nos de otra URL a la ya aportada.

Y para más INRI, el recurso ya no se encuentra disponible para su descarga.

Actualiza tus sistemas de seguridad - urgente

A través de un correo electrónico con las siguientes cabeceras del origen:

Received: from 231-111-231-201.fibertel.com.ar (201.231.111.231) by

 ex.mail.ovh.net (188.165.185.33) with Microsoft SMTP Server id 15.0.1130.7

 via Frontend Transport; Thu, 8 Oct 2015 16:53:33 +0200

From: RingCentral <fax@ringcentral.com>

Content-Type: multipart/alternative;

        boundary="Apple-Mail=_690929EB-015E-2881-C1CE-5EB8DAA263CA"

Message-ID: <F036CEA3-C0C5-3C8B-CC2D-325D2B4AA756@rotaio.com>

Se recibe como adjunto el documento Word con datos:

Nombre: ringcetral_fax_(419) 643-1898.doc

MD5: 0CBB1491224A46425B7DE4DB488B1911

Ratio detección (VirusTotal): 22/56

Este archivo contiene a su vez un ejecutable, cuyos datos son:

Nombre: s11ce1.exe

MD5: AB853E8A74788E62522E45BD44D25763

Ratio detección (VirusTotal): No hay datos sobre dicho MD5

Un hermoso código

Analizando un documento Word me he encontrado con la siguiente macro.

Primera parte

Segunda parte y última.

Conclusiones

Es una hermosa Windows Shell implementada en la macro de un documento Word, ¿verdad?

Gracias a un blog de seguridad se revisa 4535.EXE

A raíz la información leída en el blog: blog.dynamoo.com/2015/10/malware-spam-your-invoices-incident.html.

Comentar tal y como marca la entrada, MD5 a bloquear:

87B01608B8170029816DF5EED11CD9C5
CE94C036DAC774B3CB8C7A07FF333C7F
29B56DDFAB41F92B0447783E1EF6CCD8 

URLs a bloquear:

agridiotiko.com/432/4535.exe

poncho-zwerfkatten.be/432/4535.exe

IPs:

84.246.226.211

Por mi parte añado.

Tras ejecutar el archivo 4535.exe, podemos ver que:

Las comuniciones tras comprobar que el servidor se encuentra a la escucha por el puerto 448, intenta establecer un túnel basado en GPRS. Más concretamente, se intenta utilizar el protocolo GTP, que es un grupo de protocolos  de comunicaciones basados en IP que se usan para portar el servicio GPRS dentro de las redes GSM y UMTS.

(Más información en Wikipedia)

Intentos de montar un túnel GTP

Si realizamos una petición mediante una comunicación telnet, podemos ver que las comunicaciones se establecen contra un servidor “nginx/1.0.15”.

Prueba de conexión

Se realiza una petición HTTP, pero avisa que nos estamos intentando conectar con un puerto configurado para escuchar protocolo HTTPS.

Petición HTTP

Si realizamos la petición mediante HTTPS, obtenemos:

Petición HTTPS

Análisis del "2015-AUGUS-INVOICE.doc" - parte 2

Tras descubrir la macro y la función que contenía el código camuflado, se procede a analizar el procedimiento: BadlooDcurl()

Ejecución paso a paso del procedimiento BadlooDcurl()

La variable: “IaInpkUCvOFAvgGcHPIp”, almacena el valor: ewqpkXiyzHDgLzMxtKsz.exe

Valor contenido en la variable “ IaInpkUCvOFAvgGcHPIp”

La variable: “XQBcNCnHTknMoayrNMJU”, almacena una ubicación, concretamente la carpeta “Temp” del usuario que ejecuta el documento.

Valor contenido en la variable “XQBcNCnHTknMoayrNMJU”

La variable: “XQBcNCnHTknMoayrNMJU”, almacena una URL: “firstrepubllic.com/bhost.exe”

Valor contenido en la variable “tgpTxuNFxowklLUCkvoj”

La función: “ApMLroswpTJxUSSfwxYW”, solicita la descarga del ejecutable ubicado en la web “firstrepublic” y lo almacena en la carpeta “Temp”, comentada anteriormente, con el nombre del ejecutable: “ewqpkXiyzHDgLzMxtKsz.exe”

Funcionalidad de la función “ApMLroswpTJxUSSfwxYW”

Y por último se procede a ejecutar el archivo descargado mediante la función: “KbtCMtGNZZwfklI”

Funcionalidad de la función “KbtCMtGNZZwfklI”

Comentar que cuando se ha intentado descarga el archivo: “bhost.exe”, de la ubicación localizada nos hemos encontrado con que no se resuelve la petición DNS.

Petición DNS no resuelta

Aun así, hemos procedido a preguntar por la reputación de dicha URL, encontrándonos que 7 de 65 motores, consideran que dicha página es maliciosa (ver).

En dicha página también se puede observar el análisis realizado para el archivo descargado.

Conclusión

En vista de lo anterior, recomendamos bloquear las URLs:

firstrepubllic.com/bhost.exe

Así como los archivos con MD5:

229397852fa5a9a7b8a6927cb1e32b87 (Se corresponde con el MD5 del archivo bhost.exe)

Análisis del "2015-AUGUS-INVOICE.doc" - parte 1

Ha llegado a nuestras manos el documento word: "2015-AUGUS-INVOICE.doc" (MD5: 444DD72FE550FBA736DB7D6A83EBA54E), que contiene  macros.

Visualización de las macros contenida en el documento.

Primera parte de la macro.

Segunda parte de la macro

Este código es un cumulo de técnicas de ocultación (utilización del comando CHR, utilización de cifrado XOR, etc.) para dificultar su análisis.

En vista del uso de estas técnicas, consultamos VirusTotal encontrando que, por ahora, sólo es detectado por 8 motores (ver)

Conclusión

En vista de lo anterior, y en espera de un análisis más exhaustivo, recomendamos bloquear los archivos con MD5:

444DD72FE550 FBA736DB7D6A83EBA54E

Análisis "por encima" del "Order-SO00653333-1.doc"

Ayer se recogió el documento word: "Order-SO00653333-1.doc" (MD5: 7A3524851F8A1175143F036CD75F7C4D), que contiene  macros.

Entre otras cosas, una función contenida en una de estas macros realiza una petición de descarga del recurso: 1111.exe, desde el dominio: miastolomza.pl. Más concretamente la dirección URL: miastolomza.pl/123/1111.exe (MD5: 6F9EC4FFA07BCADE346B04317DFB6F1C)

En el día de ayer, la detección por parte de AVs, según VirusTotal correspondia a:

Análisis suministrado por VirusTotal

En el día de hoy, está detección se eleva a:

Análisis suministrado por VirusTotal

Este malware ya ha sido detectado por más usuarios y se están publicando análisis del mismo.

Un ejemplo de publicación: http://blog.dynamoo.com/2015/10/malware-spam-please-print-chelsee-gee.html

Conclusión

En vista de lo anterior, en nuestros sistemas deberemos mitigar las visitas a las URLs:

hobby-hangar.net/123/1111.exe

miastolomza.pl/123/1111.exe

www.ifdcsanluis.edu.ar/123/1111.exe

www.norlabs.de/123/1111.exe

zahnrad-ruger.de/123/1111.exe

,y el archivo con MD5:

6F9EC4FFA07BCADE346B04317DFB6F1C

También habría que mitigar las visitas realizadas a la siguiente dirección IP: 82.118.24.167:4483. Ya que tras la ejecución del archivo "11111.exe", se detectan comunicaciones hacía dicha dirección IP.

Comunicaciones detectadas tras la ejecución del archivo "1111.exe"

Gracias a un blog de seguridad analizamos BTIESTE.ZIP

En un blog de seguridad, se habla de la URL: 5.175.145.181/ljurbg/btieste.zip (MD5: 69cdb6a190fdf47430978ca795c43c4e).

Se comprueba que el archivo sigue disponible en la web, por lo que se procede a su descarga.

Se comprueba que el archivo descargado es exactamente un archivo .zip, pero que el contenido del mismo, que resulta ser un archivo con extensión .txt (pirjmfr32.txt, MD5: 0192e031501719952f395559b0aad14e) es un ejecutable para sistemas Windows.

Tipos de los archivos descargados.

Se realiza un análisis estático del archivo con extensión “.txt”.

En este caso, una imagen vale más que mil palabras.

Análisis estático del archivo con extensión .txt

De la información obtenida, resultan llamativas ciertas funciones que utiliza, que en un primer momento nos dicen que este ejecutable recoge información del host y la envía hacía algún destino en Internet, aunque no se puede descartar nada.

Muestra de funciones utilizadas por el ejecutable

Las cadenas detectadas en el archivo, nos ponen más alerta aún.

Algunas cadenas significativas.

Para finalizar el análisis estático, comentar que todo apunta a que este archivo contiene embebido uno o varios archivos más. De ahí podríamos explicar el tamaño excesivo del archivo.

Tamaño del archivo

Indicadores que alertan sobre la existencia de uno o dos archivos embebidos.

Se procede a introducirlo en una sandbox para que se analice su comportamiento de manera dinámica. Obteniéndose los siguientes datos:

Valoraciones según el comportamiento. Visión generalista.

Valoraciones más concretas del comportamiento.

Archivos creados por el ejecutable

NOTA: El MD5 no concuerda con los analizados de manera estática.

Operaciones de archivos detectadas

NOTA: El ejecutable crea el archivo “aut2.tmp” en la carpeta temporal asociada al usuario que lanza el ejecutable investigado, el cual será posteriormente copiado a: “C:\Program Files\...\Temp\UAuHGTiCrEUenjTYfleBGEeNEg”.

Así mismo, busca en el sistema de archivo la existencia de varios archivos para dictaminar si dicho hosts ya se encuentra infectado o no, así como la existencia de los AV; Avast y AVG.

Actividades en el Registro de Windows

NOTA: Lo más significativo es que el archivo ejecutado se cuela en el proceso de inicio del sistema.

Actividades del proceso asociado al ejecutable.

NOTA: Busca información sobre las variables del sistema así como los procesos que actualmente ejecuta el sistema.

En relación a las actividades de red, se utiliza una sandbox preparada para la recolección de dichos datos.

Se produce una conexión con la URL: hostbemore.com/count/post.php

Conexión tras la infección

Buscando información del dominio nos encontramos con:

Información del dominio

Información del dominio

ANEXO 1

Se ha procedido a determinar el tipo del archivo de nombre: “UAuHGTiCrEUenjTYfleBGEeNEg”. Encontrándose que dicho archivo contiene exclusivamente datos

Tipo de archivo

Conclusión

En vista de lo anterior, en nuestros sistemas deberemos mitigar las visitas a las URLs:

5.175.145.181/ljurbg/btieste.zip

hostbemore.com/count/post.php

,y los archivos con MD5:

69cdb6a190fdf47430978ca795c43c4e

0192e031501719952f395559b0aad14e

4751f68dc7fc4ba8bf8b5cd0d286bdf5