Crypt || Mine

2013 yılına baktığımızda Securelist analistleri, Trojan-Ransom.Win32.Rakhni ailesinden olan bir zararlı örneği belirlemişlerdi. Bu uzun süredir devam eden Trojan ailesinin, bugün hala işleyen başlangıç noktasıydı. Bu süre zarfında, zararlı kod yazılımcıları da (bad guys) bazı değişikler geçirdiler:

  • Trojans key
  • Algoritma kullanımı
  • Kripto kütüphaneleri (LockBox, AESLib, DCPcrypt)
  • Yayma methodları (from spam to remote execution)

Zararlı kod yazılımcıları, yazmış oldukları kodlara yeni özellikler eklemeye karar verdiler. Bu bir çeviri makalesidir ve içeriğinde, downloader kullanılarak kişilerin (kurbanların) nasıl (kriptor ile ya da miner ile) enfekte olacağına karar veren olay anlatılacaktır.

Aşağıda Trojan-Downloader.Win32.Rakhni tarafından en çok saldırı yapılan 5 ülke listelenmiştir:

  • Rusya Federasyonu
  • Kazakistan
  • Ukrayna
  • Almanya
  • Hindistan

Spamlar halen mail üzerinden yayılmaya devam ediyor. E-posta ekini açtıktan sonra, kişinin belgeyi kaydetmesi ve düzenlemeyi etkinleştirmesi isteniyor (Word veya Excel belgesi). Ya da gelen ek, bir PDF dosya ise çift tıklaması bekleniyor. Kurban aslında PDF dosyanın açılacağını umuyor fakat zararlı yazılımın çalışmasını sağlıyor.

Downloader

Genel Bilgi

Downloader, Delphi ile yazılmış executable olan bir dosyadır. Yapılacak analizleri karmaşıklaştırmak için zararlı yazılımın içerisindeki bütün stringler basit ikame bir şifreyle şifrelenir. Execute işleminden sonra, downloader fake bir hata mesajı gösterir. Bu mesajın amacı, neden PDF dosyanın açılamadığıdır.

Kötü amaçlı yazılımı sistemde gizlemek için yazılımın geliştiricisi, sanki bu yazılım bir Adobe ürünüymüş gibi görünmesini sağlar. Bu görünüm simge, executable olan dosyanın adı ve Adobe Systems Incorparated adını kullanan fake bir digital imzayla yapılır. Ayrıca yükleme işleminden önce, downloader www.adobe.com adresine bir HTTP isteği gönderir.

Ortam Kontrolü

Mesaj kutusu kapatıldıktan sonra, kötü amaçlı yazılım virüs bulaşmış makinede bir dizi kontrol gerçekleştirir:

  • Kendi Dizin Kontrolü
    • İsim AdobeReader alt dizinini içermelidir.
    • Dizin aşağıdaki alt dizinlerden birini içermelidir:
      • \TEMP
      • \TMP
      • \STARTUP
      • \CONTENT.IE
    • Registry Kontrolü

Registry’de HKCU\Software\Adobe\DAVersion değerinin olmadığını kontrol eder ve HKCU\Software\Adobe\DAVersion = True yaparak çalışmasına devam eder.

  • Çalışan İşlem Kontrolü
  • Çalışan işlemlerin sayısının > 26 olduğu durumu kontrol eder.
  • Aşağıdaki listelenen işlemlerin hiçbirinin mevcut olmadığını kontrol eder.

alive.exe, filewatcherservice.exe, ngvmsvc.exe, sandboxierpcss.exe, analyzer.exe, fortitracer.exe, nsverctl.exe, sbiectrl.exe, angar2.exe, goatcasper.exe, ollydbg.exe, sbiesvc.exe, apimonitor.exe, GoatClientApp.exe, peid.exe, scanhost.exe, apispy.exe, hiew32.exe, perl.exe, scktool.exe, apispy32.exe, hookanaapp.exe, petools.exe, sdclt.exe, asura.exe, hookexplorer.exe, pexplorer.exe, sftdcc.exe, autorepgui.exe, httplog.exe, ping.exe, shutdownmon.exe, autoruns.exe, icesword.exe, pr0c3xp.exe, sniffhit.exe, autorunsc.exe, iclicker-release.exe, prince.exe, snoop.exe, autoscreenshotter.exe, idag.exe, procanalyzer.exe, spkrmon.exe, avctestsuite.exe, idag64.exeprocesshacker.exe, sysanalyzer.exe, avz.exe, idaq.exe, processmemdump.exe, syser.exe, behaviordumper.exe, immunitydebugger.exe, procexp.exe, systemexplorer.exe, bindiff.exe, importrec.exe, procexp64.exe, systemexplorerservice.exe, BTPTrayIcon.exe, imul.exe, procmon.exe, sython.exe, capturebat.exe, Infoclient.exe, procmon64.exe, taskmgr.exe, cdb.exe, installrite.exe, python.exe, taslogin.exe, cffexplorer.exe, ipfs.exe, pythonw.exe, tcpdump.exe, clicksharelauncher.exe, iprosetmonitor.exe, qq.exe, tcpview.exe, closepopup.exe, iragent.exe, qqffo.exe, timeout.exe, commview.exe, iris.exe, qqprotect.exe, totalcmd.exe, cports.exe, joeboxcontrol.exe, qqsg.exe, trojdie.kvp, crossfire.exe, joeboxserver.exe, raptorclient.exe, txplatform.exe, dnf.exe, lamer.exe, regmon.exe, virus.exe, dsniff.exe, LogHTTP.exe, regshot.exe, vx.exe, dumpcap.exe, lordpe.exe, RepMgr64.exe, winalysis.exe, emul.exe, malmon.exe, RepUtils32.exe, winapioverride32.exe, ethereal.exe, mbarun.exe, RepUx.exe, windbg.exe, ettercap.exe, mdpmon.exe, runsample.exe, windump.exe, fakehttpserver.exe, mmr.exe, samp1e.exe, winspy.exe, fakeserver.exe, sample.exe, wireshark.exe, Fiddler.exe, multipot.exe, sandboxiecrypto.exe, xxx.exe, filemon.exe, netsniffer.exe, sandboxiedcomlaunch.exe, ZID Updater File Writer Service.exe

  • Bilgisayar İsim Kontrolü
    • Aşağıda belirtilen isimlerden birini içermemelidir:
      • -MALTEST
      • AHNLAB
      • WILBERT-
      • FIREEYES-
      • CUCKOO
      • RSWT-
      • FORTINET-
      • GITSTEST
    • Bilgisayar isminin bir MD5 özetini küçük harfle hesaplar ve yüz kara listeye alınmış değerler ile karşılaştırır.
  • IP Adres Kontrolü

Makinenin harici (External) IP adresini alır ve gömülü kodlanmış değerlerle karşılaştırır.

  • Sanal Makine Kontrolü

Aşağıdaki Registry anahtarlarının olmadığını kontrol eder:

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
  • HKLM\SOFTWARE\Oracle\VirtualBox Guest Additions
  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Sandboxie
  • HKLM\SYSTEM\ControlSet002\Enum\VMBUS
  • HKLM\HARDWARE\ACPI\DSDT\VBOX
  • HKLM\HARDWARE\ACPI\DSDT\VirtualBox
  • HKLM\HARDWARE\ACPI\DSDT\Parallels Workstation
  • HKLM\HARDWARE\ACPI\DSDT\PRLS
  • HKLM\HARDWARE\ACPI\DSDT\Virtual PC
  • HKLM\HARDWARE\ACPI\SDT\AMIBI
  • HKLM\HARDWARE\ACPI\DSDT\VMware Workstation
  • HKLM\HARDWARE\ACPI\DSDT\PTLTD
  • HKLM\SOFTWARE\SandboxieAutoExec
  • HKLM\SOFTWARE\Classes\Folder\shell\sandbox

Aşağıdaki Registry değerlerinin olmadığını kontrol eder:

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\OpenGLDrivers\VBoxOGL\Dll=VBoxOGL.dll
  • HKLM\\SYSTEM\CurrentControlSet\services\Disk\Enum\0=Virtual
  • HKLM\\SYSTEM\ControlSet001\Control\SystemInformation\SystemProductName=VirtualBox

Aşağıdaki listelenen işlemlerin hiçbirinin olmadığını kontrol eder.

prlcc.exe, VGAuthService.exe, vmsrvc.exe, vmware-tray.exe, prltools.exe, vmacthlp.exe, vmtoolsd.exe, vmware-usbarbitrator.exe, SharedIntApp.exe, vmicsvc.exe, vmusrvc.exe, vmware-usbarbitrator64.exe, TPAutoConnect.exe, vmnat.exe, vmware-authd.exe, vmwaretray.exe, TPAutoConnSvc.exe, vmnetdhcp.exe, vmware-converter-a.exe, vmwareuser.exe, VBoxService.exe, vmount2.exe, vmware-converter.exe, xenservice.exe, VBoxTray.exe, VMRemoteGuest.exe, vmware-hostd.exe

Gerçekleştirilen kontrollerden en az birisi başarısız olursa, downloader işlemi sonlandırır.

Fake Sertifika Yükleme

Downloader, kaynaklarında depolanmış bir kök (root) sertifika yükler. İndirilen tüm kötü amaçlı executable dosyalar bu sertifika ile imzalanmıştır. Araştırmada, Microsoft Corporation ve Adobe Systems Incorporated tarafından verildiği iddia edilen sahte sertifikalara rastlanılmıştır.

Sertifikalar, Downloader’ın kaynaklarında depolanan ve standart yardımcı program olan CertMgr.exe kullanılarak yüklenir. Yükleme işleminden önce, Downloader gerekli dosyaları %TEMP% dizinine indirir ve aşağıdaki komutu çalıştırır:

CertMgr.exe -add -c 179mqn7h0c.cer -s -r localMachine root

Karar Verme

Kriptor veya miner indirme kararı % AppData% \ Bitcoin klasörünün varlığına bağlıdır. Klasör varsa, downloader kriptoru indirmeye karar verir. Klasör yoksa ve makinede ikiden fazla işlemci varsa, miner indirilir. Eğer klasör yoksa ve sadece bir işlemci varsa downloader worm (solucan) bileşenine atlar.

Kriptor Kararı

Trojan, kriptor modülü içeren parola korumalı bir arşiv indirir. Arşiv başlangıç dizinine (C: \ Documents and Settings \ kullanıcıadı \ Start Menu \ Programs \ Startup) yüklenecek ve daha sonra downloader WinRAR komutunu kullanarak paketi açacaktır. Kriptor executable ismi taskhost.exe olacaktır.

Execute işleminden sonra kriptor ortam kontrolü gerçekleştirir ve HKCU\Software\Adobe\DAVersion regedit değerinin olup olmadığını kontrol eder.

İlginç olarak, kriptor sadece sistem en az iki dakika boyunca boşta kaldığında çalışmaya başlar. Dosyaları şifrelemeden önce, kriptor aşağıdaki işlemleri sonlandırır:

1cv7s.exe, Foxit Advanced PDF Editor.exe, mspaint.exe, soffice.exe, 1cv8.exe, Foxit Phantom.exe, mysqld.exe, sqlservr.exe, 1cv8c.exe, Foxit PhantomPDF.exe, NitroPDF.exe, sqlwriter.exe,  7zFM.exeFoxit Reader.exe, notepad.exe, STDUViewerApp.exe, acad.exe, FoxitPhantom.exe, OUTLOOK.EXE, SumatraPDF.exe, Account.EXE, FoxitReader.exe, PDFMaster.exe, thebat.exe, Acrobat.exe, FreePDFReader.exe, PDFXCview.exe, thebat32.exe, AcroRd32.exe, gimp-2.8.exe, PDFXEdit.exe, thunderbird.exe, architect.exe, GSmeta.exe, pgctl.exe, ThunderbirdPortable.exe, bricscad.exe, HamsterPDFReader.exe, Photoshop.exe, VISIO.EXE, Bridge.exe, Illustrator.exe, Picasa3.exe, WebMoney.exe, CorelDRW.exe, InDesign.exe, PicasaPhotoViewer.exe, WinDjView.exe, CorelPP.exe, iview32.exe, postgres.exe, WinRAR.exe, EXCEL.EXE, KeePass.exe, POWERPNT.EXE, WINWORD.EXE, fbguard.exe, Magnat2.exe, RdrCEF.exe, wlmail.exe, fbserver.exe, MSACCESS.EXE, SmWiz.exe, wordpad.exe, FineExec.exe, msimn.exe, soffice.bin, xnview.exe

Ayrıca çalışan bir avp.exe yoksa, kriptor shadow kopyaları kaldırır.

Kriptor dosyaları aşağıdaki uzantılar ile şifreler:

“.ebd”, “.jbc”, “.pst”, “.ost”, “.tib”, “.tbk”, “.bak”, “.bac”, “.abk”, “.as4”, “.asd”, “.ashbak”, “.backup”, “.bck”, “.bdb”, “.bk1”, “.bkc”, “.bkf”, “.bkp”, “.boe”, “.bpa”, “.bpd”, “.bup”, “.cmb”, “.fbf”, “.fbw”, “.fh”, “.ful”, “.gho”, “.ipd”, “.nb7”, “.nba”, “.nbd”, “.nbf”, “.nbi”, “.nbu”, “.nco”, “.oeb”, “.old”, “.qic”, “.sn1”, “.sn2”, “.sna”, “.spi”, “.stg”, “.uci”, “.win”, “.xbk”, “.iso”, “.htm”, “.html”, “.mht”, “.p7”, “.p7c”, “.pem”, “.sgn”, “.sec”, “.cer”, “.csr”, “.djvu”, “.der”, “.stl”, “.crt”, “.p7b”, “.pfx”, “.fb”, “.fb2”, “.tif”, “.tiff”, “.pdf”, “.doc”, “.docx”, “.docm”, “.rtf”, “.xls”, “.xlsx”, “.xlsm”, “.ppt”, “.pptx”, “.ppsx”, “.txt”, “.cdr”, “.jpe”, “.jpg”, “.jpeg”, “.png”, “.bmp”, “.jiff”, “.jpf”, “.ply”, “.pov”, “.raw”, “.cf”, “.cfn”, “.tbn”, “.xcf”, “.xof”, “.key”, “.eml”, “.tbb”, “.dwf”, “.egg”, “.fc2”, “.fcz”, “.fg”, “.fp3”, “.pab”, “.oab”, “.psd”, “.psb”, “.pcx”, “.dwg”, “.dws”, “.dxe”, “.zip”, “.zipx”, “.7z”, “.rar”, “.rev”, “.afp”, “.bfa”, “.bpk”, “.bsk”, “.enc”, “.rzk”, “.rzx”, “.sef”, “.shy”, “.snk”, “.accdb”, “.ldf”, “.accdc”, “.adp”, “.dbc”, “.dbx”, “.dbf”, “.dbt”, “.dxl”, “.edb”, “.eql”, “.mdb”, “.mxl”, “.mdf”, “.sql”, “.sqlite”, “.sqlite3”, “.sqlitedb”, “.kdb”, “.kdbx”, “.1cd”, “.dt”, “.erf”, “.lgp”, “.md”, “.epf”, “.efb”, “.eis”, “.efn”, “.emd”, “.emr”, “.end”, “.eog”, “.erb”, “.ebn”, “.ebb”, “.prefab”, “.jif”, “.wor”, “.csv”, “.msg”, “.msf”, “.kwm”, “.pwm”, “.ai”, “.eps”, “.abd”, “.repx”, “.oxps”, “.dot”.

Şifreleme işleminden sonra dosya uzantıları .neitrino olarak değiştirilir. RSA-1024 şifreleme algoritması kullanılır. Dosyaların şifresini çözmek için gerekli olan bilgiler e-posta ile saldırgana gönderilir. Her şifreli dizinde, kriptor MESSAGE.txt (current date + 3 days, user ID) dosyası oluşturur.

Miner Kararı

Miner indirme işlemi, indirme klasörü hariç aynıdır. Miner % AppData% \ KB <8_random_chars> yoluna kaydedilir. Burada <8_random_chars>, adından da anlaşılacağı gibi alfanümerik karakterlerden oluşturulmuştur [0]. 9a-z].

Download işleminden sonra miner arşiv dosyasından çıkınca, Trojan aşağıdaki adımları izler:

  • Öncelikle, işletim sistemi yeniden başlatıldıktan sonra başlatılacak bir VBS script dosyası oluşturur. Script ismi Check_Updates.vbs’dir. Bu script mining işlemi için iki komut içerir:
    • İlk komut, cryptocurrency Monero’ya bir process başlatır.
    • İkinci komut, cryptocurrency Monero Original’a bir process başlatır. Executable dosyanın yer aldığı alt klasör (cuda), mining için GPU gücünü kullanabilir.

% AppData% \ KB <8_random_chars> \ svchost.exe adında bir dosya varsa, Trojan cryptocurrency Dashcoin’ini çalıştırır. Mining’i güvenilir bir işlem olarak gizlemek için, saldırgan onu sahte bir Microsoft Corporation sertifikasıyla imzalar ve svchost.exe’yi kullanır.

Windows Defender’ı Devre Dışı Bırakma

Kriptorun veya miner’ın seçilip seçilmediğine bakılmaksızın Downloader aşağıdaki AV işlemlerinden birinin başlatılıp başlatılmadığını kontrol eder:

360DocProtect.exe, avgui.exe, dwservice.exe, McUICnt.exe, 360webshield.exe, avgwdsvc.exe, dwwatcher.exe, mcupdate.exe, AvastSvc.exe, Avira.OE.ServiceHost.exe, egui.exe, ProtectionUtilSurrogate.exe, AvastUI.exe, Avira.OE.Systray.exe, ekrn.exe, QHActiveDefense.exe, avgcsrva.exe, Avira.ServiceHost.exe, kav.exe, QHSafeTray.exe, avgemca.exe, Avira.Systray.exe, LUALL.exe, QHWatchdog.exe, avgidsagent.exe, avp.exe, LuComServer.exe, Rtvscan.exe, avgnsa.exe, ccApp.exe, McCSPServiceHost.exe, SMC.exe, avgnt.exe, ccSvcHst.exe, McPvTray.exe, SMCgui.exe, avgrsa.exe, Dumpuper.exe, McSACore.exe, spideragent.exe,  avgrsx.exe, dwengine.exe, mcshield.exe, SymCorpUI.exe, avguard.exe, dwnetfilter.exe, McSvHost.exe

Sistemde bir AV işlemi bulunmadıysa, Trojan sistemde Windows Defender’ı devre dışı bırakacak birkaç cmd komutunu çalıştırır:

  • cmd /C powershell Set-MpPreference -DisableRealtimeMonitoring $true
  • cmd /C powershell Set-MpPreference -MAPSReporting 0
  • cmd /C powershell Set-MpPreference -SubmitSamplesConsent 2
  • taskkill /IM MSASCuiL.exe
  • cmd /C REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideSCAHealth /t REGDWORD /d 1 /f
  • cmd /C REG ADD HKCU\Software\Policies\Microsoft\Windows\Explorer /v DisableNotificationCenter /t REGDWORD /d 1 /f
  • cmd /C REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run /v SecurityHealth /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v DisableAntiSpyware /t REGDWORD /d 1 /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v AllowFastServiceStartup /t REGDWORD /d 0 /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender /v ServiceKeepAlive /t REGDWORD /d 0 /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableIOAVProtection /t REGDWORD /d 1 /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection /v DisableRealtimeMonitoring /t REGDWORD /d 1 /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v DisableBlockAtFirstSeen /t REGDWORD /d 1 /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v LocalSettingOverrideSpynetReporting /t REGDWORD /d 0 /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\Spynet /v SubmitSamplesConsent /t REGDWORD /d 2 /f
  • cmd /C REG ADD HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\UX Configuration /v NotificationSuppress /t REGDWORD /d 1 /f

Devamı için makalenin kaynağına göz atabilirsiniz…

Kaynak