Tuesday, November 13

วิเคราะห์ malware จาก file Extratos-Debitos.exe

Siamhelpจากข้อมูลใน siamhelp.org พบว่ามีเว็บหลายเว็บในประเทศไทยมีการติดเชื้อโดยไม่รู้ตัว ซึ่งอาจส่งผลให้คนที่เข้าเยี่ยมชมเว็บเหล่านั้นจะมีการติดเชื้อและแพร่ต่อๆกันไป กลายเป็นส่วนหนึ่งของปริมาณ botnet ที่เกิดขึ้นในปัจจุบัน

จากข้อมูล http://www.siamhelp.org/reports/infect
เว็บที่ติดเชื้อ คือ http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe  (หากไม่มีระบบป้องกันห้ามเข้า path ดังกล่าว)

เมื่อทำการวิเคราะห์
Step 1  ทำการ whois ที่ http://checkip.me/whomap.php?domain=daycare.kku.ac.th










  • delegation information (beta) for daycare.kku.ac.th
    +-ams.sns-pb.isc.org ams.sns-pb.isc.org (199.6.1.30)
    |+-dns1.thnic.co.th dns1.thnic.co.th (202.28.1.22)
    ||+-ns-a.thnic.co.th ns-a.thnic.co.th (61.19.242.38)
    |||+-ns-e.thnic.co.th ns-e.thnic.co.th (194.0.1.28)
    ||||+-sfba.sns-pb.isc.org sfba.sns-pb.isc.org (149.20.64.3)
    |||||+-th.cctld.authdns.ripe.net th.cctld.authdns.ripe.net (193.0.9.116)
    ||||||+-kknt.kku.ac.th (202.12.97.21)
    |||||||+-kku1.kku.ac.th (202.12.97.1)
    ||||||||+-ns.thnic.net ns.thnic.net ns.thnic.net (202.28.0.1)
    |||||||||+-ns2.kku.ac.th (202.12.97.44)
    ||||||||||
    Step 2  ค้นหาความเกี่ยวข้อง DNS และการ routing 
  • ค้นหาจาก http://sran.org/dns/   หรือ http://dns.robtex.com/daycare.kku.ac.th.html#records
    ผลลัพธ์คือ


    Step 3 ตรวจสอบในระดับ Web Application

    Overview
    URLhttp://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exe
    IP202.12.97.32
    ASNUnknown
    Location Thailand



    โดยปรับ User agent ผ่าน http://urlquery.net
    Settings
    UserAgentMozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
    Referer
    Adobe Reader8.0
    Java1.6.0_26


    Intrusion Detection Systems
    Suricata /w Emerging Threats Pro
    TimestampSource IPDestination IPSeverityAlert
    2012-11-15 07:04:32 202.12.97.32urlQuery Client3FILEMAGIC windows executable
    Snort /w Sourcefire VRT
    TimestampSource IPDestination IPSeverityAlert
    2012-11-15 07:04:32 202.12.97.32urlQuery Client3FILE-IDENTIFY Portable Executable binary file magic detected

    ตรวจสอบโดยใช้ http://wepawet.iseclab.org

    Malware

    Additional (potential) malware:

    URLTypeHashAnalysis
    http://daycare.kku.ac.th/media/system/images/Extratos-Debitos.exePE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly320ba22fa9b47a135c235786e850f157
    รายละเอียด อ่าน http://wepawet.iseclab.org/view.php?type=js&hash=12a654aded391a575b177607f80ef00d&t=1351079337#sec_network


    สิ่งที่เห็นคือมีการ Redirect  ไปที่โดแมน arjunkarki.org  

    Network Activity

    URLStatusContent Type
    http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.php302text/html
     http://www.arjunkarki.org/media/Debitos-Extrato.jar200application/zip

    Redirects

    FromTo
    http://daycare.kku.ac.th/media/system/images/Debitos-pendentes.phphttp://www.arjunkarki.org/media/Debitos-Extrato.jar

    เมื่อทำการ whois  โดเมนที่ต้องสงสัย ผลที่ได้คือ
    Domain ID:D153928453-LROR
    Domain Name:ARJUNKARKI.ORG
    Created On:25-Aug-2008 16:18:46 UTC
    Last Updated On:27-Oct-2012 02:21:26 UTC
    Expiration Date:25-Aug-2013 16:18:46 UTC
    Sponsoring Registrar:Click Registrar, Inc. d/b/a publicdomainregistry.com (R1935-LROR)
    Status:OK
    Registrant ID:DI_9323685
    Registrant Name:Som Rai
    Registrant Organization:Rural Reconstruction Nepal (RRN)
    Registrant Street1:P.O.Box: 8130
    Registrant Street2:Gairidhara
    Registrant Street3:
    Registrant City:Kathmandu
    Registrant State/Province:Bagmati
    Registrant Postal Code:n/a
    Registrant Country:NP
    Registrant Phone:+977.14427823
    Registrant Phone Ext.:
    Registrant FAX:
    Registrant FAX Ext.:
    Registrant Email:som@rrn.org.np
    Admin ID:DI_9323686
    Admin Name:Anup Manandhar
    Admin Organization:Vianet Communications
    Admin Street1:Pulchowk
    Admin Street2:
    Admin Street3:
    Admin City:Kathmandu
    Admin State/Province:Bagmati
    Admin Postal Code:n/a
    Admin Country:NP
    Admin Phone:+977.15546410
    Admin Phone Ext.:
    Admin FAX:
    Admin FAX Ext.:
    Admin Email:anup@vianet.com.np
    Tech ID:DI_9323686
    Tech Name:Anup Manandhar
    Tech Organization:Vianet Communications
    Tech Street1:Pulchowk
    Tech Street2:
    Tech Street3:
    Tech City:Kathmandu
    Tech State/Province:Bagmati
    Tech Postal Code:n/a
    Tech Country:NP
    Tech Phone:+977.15546410
    Tech Phone Ext.:
    Tech FAX:
    Tech FAX Ext.:
    Tech Email:anup@vianet.com.np
    Name Server:DNS1.ARJUNKARKI.ORG
    Name Server:DNS2.ARJUNKARKI.ORG
    
    
    รายละเอียดที่ http://checkip.me/whomap.php?domain=arjunkarki.org
    
    
    Link ไปที่เนปาลได้อย่างไร  ... 
    
    

    มีความเป็นไปได้ว่าเว็บไซต์ที่นำเสนอมีการโดนเจาะระบบแล้วมีการฝั่ง file ที่มี malware อยู่โดย malware ชนิดนี้ถูกควบคุมจากอีกที่หนึ่ง

    Step 4 วิเคราะห์ file malware

    ทำการ download file ผ่าน sandbox Anubis iseclab 
    Request: GET /media/system/images/Extratos-Debitos.exe
    Response: 200 "OK"


    - Files Created:
    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\Extratos-Debitos[1].exe

    - Files Read:
    C:\WINDOWS\system32\shell32.dll
    C:\lsarpc, Flags: Named pipe
    c:\autoexec.bat

    - Files Modified:
    C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\WDUF49AN\Extratos-Debitos[1].exe
    C:\lsarpc, Flags: Named pipeinfo
    \Device\Afd\AsyncConnectHlpinfo
    \Device\Afd\Endpointinfo
    \Device\RasAcdinfo

    - File System Control Communication:
    FileControl CodeTimes
    C:\lsarpc, Flags: Named pipe 0x0011C017 16 

    - Device Control Communication:
    FileControl CodeTimes
    \Device\Afd\Endpoint AFD_GET_INFO (0x0001207B) 
    \Device\Afd\Endpoint AFD_SET_CONTEXT (0x00012047) 10 
    \Device\Afd\Endpoint AFD_BIND (0x00012003) 
    \Device\Afd\Endpoint AFD_GET_TDI_HANDLES (0x00012037) 
    \Device\Afd\Endpoint AFD_GET_SOCK_NAME (0x0001202F) 
    \Device\Afd\Endpoint AFD_CONNECT (0x00012007) 
    \Device\Afd\Endpoint AFD_SELECT (0x00012024) 
    \Device\Afd\Endpoint AFD_SET_INFO (0x0001203B) 
    \Device\Afd\AsyncConnectHlp AFD_CONNECT (0x00012007) 
    \Device\Afd\Endpoint AFD_RECV (0x00012017) 
    \Device\Afd\Endpoint AFD_SEND (0x0001201F) 
    unnamed file 0x00120028 

    - Memory Mapped Files:
    File Name
    C:\WINDOWS\System32\wshtcpip.dll
    C:\WINDOWS\system32\DNSAPI.dll
    C:\WINDOWS\system32\RASAPI32.DLL
    C:\WINDOWS\system32\TAPI32.dll
    C:\WINDOWS\system32\WINMM.dll
    C:\WINDOWS\system32\WS2HELP.dll
    C:\WINDOWS\system32\WS2_32.dll
    C:\WINDOWS\system32\hnetcfg.dll
    C:\WINDOWS\system32\mswsock.dll
    C:\WINDOWS\system32\rasadhlp.dll
    C:\WINDOWS\system32\rasman.dll
    C:\WINDOWS\system32\rtutils.dll
    C:\WINDOWS\system32\sensapi.dll
    C:\WINDOWS\system32\shell32.dll
    C:\WINDOWS\system32\wsock32.dll

    - DNS Queries:
    NameQuery TypeQuery ResultSuccessfulProtocol
    daycare.kku.ac.th DNS_TYPE_A 202.12.97.32 YES udp 

    -  HTTP Conversations:
    From ANUBIS:1029 to 202.12.97.32:80 - [daycare.kku.ac.th]
    Request: GET /media/system/images/Extratos-Debitos.exe
    Response: 200 "OK"

    - Mutexes Created:
    CritOpMutex
    MSCTF.Shared.MUTEX.IFG
    _SHuassist.mtx


    จากการใช้ virustotal ผลคือ
    File detail
    แสดงรายละเอียดพื้นฐานของไฟล์
    File detail of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    Scan date2012-11-15 01:41:05 +00:00
    File namesmona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    MD5 hashb07609c11d52d6eaa75c368e414bb025
    File typeWin32 EXE
    File Size (Byte)12800
    Detection ratio23 / 44

    Scan result
    แสดงผลลัพธ์การสแกน
    Scan result of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    VendorVersionResultVirus NameDatabase Date
    TotalDefense37.0.10163Virus not found20121115
    MicroWorld-eScan12.0.250.0Virus foundTrojan.MSIL.Crypt.wvu (ES)20121114
    nProtect2012-11-14.02Virus not found20121114
    CAT-QuickHeal12.00Virus not found20121114
    McAfee5.400.0.1158Virus foundArtemis!B07609C11D5220121115
    K7AntiVirus9.154.7858Virus foundRiskware20121114
    TheHackerNoneVirus not found20121113
    F-Prot4.6.5.141Virus not found20121114
    Symantec20121.2.1.2Virus foundDownloader20121115
    Norman6.08.06Virus foundW32/Troj_Generic.FJBCF20121114
    ByteHero1.0.0.1Virus not found20121110
    TrendMicro-HouseCall9.700.0.1001Virus foundTROJ_BANLOAD.GQU20121115
    Avast6.0.1289.0Virus foundWin32:Malware-gen20121115
    eSafe7.0.17.0Virus not found20121112
    ClamAV0.97.3.0Virus not found20121115
    Kaspersky9.0.0.837Virus foundTrojan.MSIL.Crypt.wvu20121114
    BitDefender7.2Virus not found20121114
    Agnitum5.5.1.3Virus not found20121114
    ViRobot2011.4.7.4223Virus not found20121114
    Sophos4.83.0Virus not found20121115
    Comodo14205Virus not found20121115
    F-Secure9.0.17090.0Virus not found20121115
    DrWeb7.0.4.09250Virus not found20121115
    VIPRE13982Virus foundTrojan.Win32.Generic!BT20121115
    AntiVir7.11.50.38Virus foundTR/MSIL.Crypt.wvu20121115
    TrendMicro9.561.0.1028Virus foundTROJ_BANLOAD.GQU20121115
    McAfee-GW-Edition2012.1Virus foundArtemis!B07609C11D5220121115
    Emsisoft3.0.0.569Virus foundTrojan.MSIL.Crypt.AMN (A)20121115
    Jiangmin13.0.900Virus not found20121114
    Antiy-AVL2.0.3.7Virus not found20121115
    Kingsoft2012.9.22.155Virus foundWin32.Troj.Crypt.(kcloud)20121112
    Microsoft1.8904Virus not found20121114
    SUPERAntiSpyware5.6.0.1008Virus foundTrojan.Agent/Gen-Frauder20121115
    GData22Virus foundWin32:Malware-gen20121115
    Commtouch5.3.2.6Virus not found20121114
    AhnLab-V32012.11.15.00Virus foundSpyware/Win32.ArchSMS20121114
    VBA323.12.18.3Virus not found20121114
    PCTools8.0.0.5Virus foundDownloader.Generic20121115
    ESET-NOD327693Virus foundMSIL/TrojanDownloader.Banload.K20121114
    Rising24.36.01.05Virus not found20121114
    IkarusT3.1.1.122.0Virus foundTrojan.Msil20121115
    Fortinet5.0.26.0Virus foundMSIL/Banload.K!tr20121115
    AVG10.0.0.1190Virus foundAgent3.CKIJ20121115
    Panda10.0.3.5Virus foundTrj/CI.A20121114





    File fuzzy hashing
    Context Triggered Piecewise Hashing ของไฟล์
    File ssdeep of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    192:sxwuKTS5DJ+z2LdY1GQk7b1AURjsNyHRW+iBMWO7h7urmpvL2IYRR2:huKTS5MsYoKLYHR2MDyrmpD2s

    File metadata
    แสดงรายละเอียดและคุณลักษณะของไฟล์
    File exif of smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin
    PropertyValue
    subsystemversion4.0
    linkerversion8.0
    imageversion0.0
    fileversionnumber0.0.0.0
    uninitializeddatasize0
    languagecodeNeutral
    fileflagsmask0x003f
    charactersetUnicode
    initializeddatasize1536
    originalfilenameloader.exe
    mimetypeapplication/octet-stream
    legalcopyright
    fileversion0.0.0.0
    timestamp2012:11:08 19:35:04+00:00
    filetypeWin32 EXE
    petypePE32
    internalnameloader.exe
    productversion0.0.0.0
    filedescription
    osversion4.0
    fileosWin32
    subsystemWindows GUI
    machinetypeIntel 386 or later, and compatibles
    codesize10752
    filesubtype0
    productversionnumber0.0.0.0
    entrypoint0x48ee
    objectfiletypeExecutable application
    assemblyversion0.0.0.0

    
    


    รายละเอียดดูจาก http://www.siamhelp.org/scan/result/file/b07609c11d52d6eaa75c368e414bb025

    เมื่อเอาค่า MD5 จาก file ไวรัสมาตรวจสอบพบว่า มี File name ที่เป็นไวรัสเดียวกันดังนี้

    File names 
    1. Extratos-Debitos.exe
    2. file-4758613_exe
    3. loader.exe
    4. output.3545948.txt
    5. b2c920576cebc4cde06f22763d9bf116f0a3e9cb.exe
    6. 3545948
    7. smona_524c8edb06461ebafd113be10053cc684ec3fba02c3662933bbe081af119c66c.bin



    แล้วพบกันตอนหน้า ...

    No comments: