Atac EMOTET asupra CV19

Dorim sa protejam digital sanatatea Romaniei

Atac EMOTET asupra CV19

November 2, 2020 Securitate Cibernetica 0

EMOTET O Imagine de ansamblu a atacului asupra CV19

Analiză realizată de Alexandru Anghelus si Radu Stanescu

Miercuri, 14 octombrie 2020, la 6 zile după prezentarea susținută de CERT RO împreună cu grupul Cyber Volunteers 19 despre securitatea cibernetică a spitalelor din România, am primit pe adresa de mail (contact@cv19.ro) un mesaj aparent inofensiv însă…alertele de securitate au explodat!

Semnele de întrebare au apărut în momentul în care am un text legat de o factura emisă în baza… unui contract inexistent.

S-a declanșat imediat procedura de Incident Response și am început investigația.

Haideți să ”vedem” factura”

La deschiderea fișierului putem observa un așa zis mesaj necesar pentru actualizarea sistemului de operare, unul ce ne informează că anumite aplicații au nevoie de update, menționând utilitarul Microsoft Word cu îndemnul de a acorda acces pentru editarea documentului.

Putem spune că pentru vizualizarea acestui document era necesar să facem destul de multe operațiuni, deși în mod normal …ar fi trebuit să se deschidă și … atât!

Avem de-a face cu un text scris la o scară foarte mică și total de neînțeles, dar dacă îl mărim putem vedea că este un text generat și…fără logică.

Înainte de a urma indicațiile expeditorului, vom încărca documentul pe platformele de detectare a fișierelor malware.

https://www.virustotal.com/gui/file/2a4501a9c916de2614ab790c698688048ac5c327c03fdb1910509f81f0f8b9ad/detection

După cum se poate observa, se raportează o detecție destul de mare (40/62) și prezența a 2 tag-uri: doc + executes-droped-file. La un raport atât de mare șansele de a fi un fișier infectat sunt ridicate, iar tag-urile probează ceva neobișnuit: Este un fișier .doc … dar …executabil (execută un fișier).

Vizitând link-ul de mai sus, veți putea identifica multe alte detalii ce vor explica atât raportul foarte mare, cât și faptul că fișierul ar putea fi, celebrul de acum nedorit, malware Emotet.

https://www.joesandbox.com/analysis/298700/0/html#26486

Am analizat puțin fluxul de operare al “facturii”

  1. Deschide winword.exe (Microsoft Office Word)
  2. La activare conținutului cerut se rulează un ”macro”
  3. Macro ce lansează un powershell
  4. Powershell ce se va contecta la mai multe site-uri pentru a descărca partea a 2-a a atacului
  1. Partea a 2-a. atacului fiind aceea care oferă control total atacatorului asupra stației de lucru.

Este clar că am primit un fișier malware, ce are ca scop infectarea dispozitivului nostru!

Totuși să încercăm identificarea dovezilor… prin alte metode… mai clasice!

Deschidem fișierul cu un tool de editat și putem observa că nu se pot distinge prea multe elemente. 

Din toate acestea, vom alege sa extragem partea secțiunea Powershell și Macro, incluse în fișier.

Ceea ce se vede mai sus este codare Base64 ce permite transmiterea de “caractere speciale” independente de protocolul de comunicare (în cazul de față http/https)

Decodarea șirului de caractere rezultă într-o serie de comenzi powershell ce urmează să permită conectarea la mai multe site-uri și să descarce partea a 2-a a atacului unde întâlnim un alt nume cu rezonanță din zilele noastre – Trickbot, malware-ul dejucat de curând de Microsoft.

Observam deja primele “Indicators Of Compromise” (IOS) cele 7 domenii care găzduiesc (în mod conștient sau nu) partea a 2-a a atacului.

Se poate observa că în majoritatea lor (6/7) este vorba despre site-uri construite în WordPress, la care probabil nu au fost operate anumite actualizări de securitate, ceea ce a permis hackerilor utilizare lor ca ”țapi-ispășitori

Apare o serie nouă de informații.

Cu referire la protocoale de Securitate, utilizator, adrese web, indicații de download, nume de fișiere, categorie de fișiere etc.

Indicațiile sunt destul de clare: se dorește creare unui nou document, identificarea directorului de utilizator, protocoalele de securitate TLS, găsirea și descărcarea unui fișier .exe de pe una din adresele respective.

Nu vom trece la Macro, ci vom rămâne în această zonă pentru continuitate..

Adresele conțin același fișier, dar cu denumiri diferite. Ceea ce se urmărește, este ca pentru o perioada lungă de timp acest document să poată rămâne rezident pentru a găsi unul dintre fișiere ce se află pe pagini web compromise (chiar dacă exista posibilitatea ca ele să fie șterse).

La momentul analizei, doar acestea mai erau active. Mai târziu vom reveni la aceste fișiere!

Sa vedem ce se întâmplă pe parte de Macro.

Funcția Macro se ocupă de includerea comenzilor ascunse, într-un fișier care în mod normal trebuia doar să transmit anumite informații… 

Pentru a înțelege mai bine, vom afișa această funcție în formă mai stilizată.

Așa se prezintă fișierul, dincolo de ceea ce poate vedea utilizatorul obișnuit.

Toate acestea conduc la executarea comenzilor atunci când utilizatorul urmează instrucțiunile oferite de expeditor la deschiderea documentului și produc infectarea stației cu un tip de malware utilizat la extragerea datelor personale, tranzacții bancare, spionaj, activități ilegale (etc.) exploatând dispozitivul victimei.

Și dacă tot discutăm despre victimă, vă propunem să vedem ce ar fi urmat să se întâmple cu ”ajutorul” documentului infectat.

Datele introduse în secțiunea Detalii nu au legătură cu realitatea, deoarece la crearea unui fișier malware se pot introduce orice fel de informații, astfel încât să apară ca unul normal.

L-am scanat să vedem dacă platformele antivirus îl recunosc…

https://www.virustotal.com/gui/file/147bae4b46b1362a634075dd79c390fc27d58cb8b9e915c6a73c2dc90f7dcc98/detection

La fel ca și în situația precedentă, dacă doriți să vizitați link-ul, puteți găsi multe informații interesante, inclusiv adresele cu care se conectează malware-ul ajuns în dispozitiv.

Îl lăsăm să ruleze pe stația dedicată testelor de tipul acesta.(NU INCERCAȚI PE UN PC NORMAL!) și îi monitorizăm activitatea pentru a vedea la ce adrese se conectează.
* fiind Emotet, el se va conecta la o adresă de la care poate primi comenzile specifice.

Putem observa cum se conectează la 2 dintre adrese de la care nu primește răspuns, ceea ce denotă că acestea nu mai sunt active. La o a treia încercare se stabilește comunicația și începe schimbul de date. 

 Acest trafic are rolul de identificare a dispozitivului infectat și de transmitere de comenzilor. La anumite intervale de timp dispozitivul trimite câte un mesaj către serverul hackerului confirmând atât prezența online… cât și autenticitatea conectivității, excluzând astfel interpunerea altor dispozitive … de exemplu computerul unui analist malware…

Cantitatea de date transmise, cât și locația (folder) diferă de fiecare dată, pachetele fiind criptate pentru a se evita o interceptare ”accidentală” de date de către cei ce analizează astfel de incidente.

Acestea sunt Adresele (IP/Domain) cu/la care se conectează fișierul malware instalat în PC.

Varianta analizată de EMOTET are ca și centre de comandă următoarele adrese IP:

125.200.20.233:80
93.186.197.189:7080
188.166.220.180:7080
192.175.111.217:7080
118.243.83.70:80
103.80.51.61:8080
185.80.172.199:80
172.96.190.154:8080
116.202.10.123:8080
46.105.131.68:8080
223.17.215.76:80
192.210.217.94:8080
190.194.12.132:80
115.79.59.157:80
190.191.171.72:80
24.231.51.190:80
203.153.216.178:7080
175.103.38.146:80
36.91.44.183:80
213.165.178.214:80
113.203.238.130:80
91.83.93.103:443
153.229.219.1:443
126.126.139.26:443
113.193.239.51:443
77.74.78.80:443
37.187.100.220:7080
198.20.228.9:8080
190.117.101.56:80
115.79.195.246:80
73.55.128.120:80
185.208.226.142:8080
190.96.15.50:443
157.7.164.178:8081
79.133.6.236:8080
116.91.240.96:80
103.93.220.182:80
50.116.78.109:8080
192.241.220.183:8080
8.4.9.137:8080
91.75.75.46:80

192.163.221.191:8080
162.144.145.58:8080
190.164.135.81:80
5.79.70.250:8080
46.32.229.152:8080
88.247.58.26:80
183.77.227.38:80
47.154.85.229:80
179.5.118.12:80
143.95.101.72:8080
103.229.73.17:8080
109.13.179.195:80
195.201.56.70:8080
119.92.77.17:80
75.127.14.170:8080
172.105.78.244:8080
139.59.12.63:8080
203.56.191.129:8080
202.29.237.113:8080
185.142.236.163:443
178.33.167.120:8080
60.125.114.64:443
78.186.65.230:80
74.208.173.91:8080
2.58.16.86:8080
139.59.61.215:443
190.85.46.52:7080
121.117.147.153:443
190.192.39.136:80
42.200.96.63:80
94.212.52.40:80
58.27.215.3:8080
45.239.204.100:80
180.148.4.130:8080
120.51.34.254:80
113.161.148.81:80
54.38.143.245:8080
37.46.129.215:8080
41.185.29.128:8080
37.205.9.252:7080
118.33.121.37:80

Recomandăm blocare acestor IP-uri precum și a celor 7 website-uri din prima fază a atacului:

  • transfersuvan.com
  • colfarse.com.ar
  • colfarse.com.ar
  • vzminternational.com.br
  • intc.solutions
  • helionspharmaceutical.com
  • uniteddatabase.net

Pentru verificarea domeniului dumneavoastră sau a unei adrese de email de pe care ați primit un emesaj suspect de tip EMOTET, puteți apela și resursele site-ul: https://www.haveibeenemotet.com

Pentru a verifica dacă dispozitivul dumneavoastră a fost deja infectat cu malware de tip EMOTET, puteți utiliza instrumentul de detectare și dezinfectare disponibil pe platforma GitHub: https://github.com/JPCERTCC/EmoCheck

Pentru metode de prevenire și curățare / dezinfectare a dispozitivelor trebuie urmărite indicațiile echipei CERT-RO.

Recent Comments

    ESTE TIMPUL SA APELEZI LA PROFESIONISTI!

    alerte.spitale@cert.ro

    1911 - Nr. unic de raportare incidente CERT.RO

    ©  2023 Cyber Volunteers 19. Built using WordPress and OnePage Express Theme.