sábado, 5 de febrero de 2011

Troyanos Bancarios en Peru I : Operacion Bambi ?

Hola.

Hace unos dias recibi un correo electronico, como ustedes tambien seguramente suelen recibir, con la tipica postal de amor adjuntada a un mensaje cursi sobre un diseño visiblemente falso. Normalmente desecho estos correos pero ahora que dispongo de algo de tiempo me propuse hacerle un simple analisis para descubrir algo sobre su funcionamiento, sus creadores o lo que sea que pueda averiguar. Debo admitir que es algo que quiero hacer hace tiempo. El area de analisis de malware es realmente bastante interesante y puede llegar a ser muy compleja al jugar con debuggers y el binario. Sin embargo, dada mi calidad de newbie en este tema, este analisis sera algo mas superficial. Para hacerlo mas interesante, separare este post en partes.

Ok, veamos el correo.



Al ver el codigo del correo puedo visualizar que todo esta armado alrededor de una imagen hosteada en http://i55.tinypic.com/yyyy.jpg. Una imagen jpg, tal vez le pueda sacar algo de metadata con la siempre funcional Foca. Luego de ir al servicio online de la herramienta obtengo el siguiente resultado:





Interesante, segun la Foca la imagen fue creada con Photoshop. Ahora para ser delincuente hay que saber de todo, hasta de diseño ! Otro dato interesante es la ultima fecha de modificación: el 26 de Octubre del 2010 a las 21:05 horas lo que nos brinda información sobre cuando empezó la campaña. Seguimos.

El link que descarga la "postal" apunta a http://xxx.com/Gusanito/Amor/Postal-Amor. Si ingresamos con el navegador, al instante vemos un pop up preguntando si deseas descargar el binario "Postal.exe". Hacer esto con un navegador no nos brinda la informacion que realmente queremos ver.




Utilizaremos netcat para ver mas alla de lo evidente y ver la respuesta del servidor Web cuando hagamos el requerimiento a este recurso a traves de HTTP.




El servidor responde con el codigo HTTP 302 que es una redireccion. En la cabecera Location: podemos ver el nuevo destino: http://yyy.com/mjimenez/config.php . El malware no esta hosteado en www.xxx.com, tan solo es utilizado como un puente para llegar a él. Me pregunto porque el atacante lo ideo de esta manera, tal vez intenta implementar algo de seguridad para protegerse ? . Luego de las cabeceras HTTP se puede ver un Warning en un script php que ademas nos brinda una ruta del servidor (Path Disclosure). Por un momento pense que estaba viendo un error originado en un servidor del atacante e incluso que ya habia descubierto su nombre.

La emocion duro poco. Luego de analizar la respuesta concluyo que el atacante ademas de forzar una redireccion desde http://xxx.com/Gusanito/Amor/Postal-Amor llama a un script hosteado tambien en el servidor comprometido : www.xxx.com/contador.php (que contiene un error al utilizar la funcion preg_match() y por eso el warning ). Infiriendo por el nombre, asumo que es usado para determinar cuantas personas ya han bajado su malware y llevar algo de estadistica de esta campaña de ataque.

Vamos por el siguiente recurso http://yyy.com/mjimenez/config.php




Ok, el servidor responde con la cabecera Content-Disposition. Esta cabecera no me es familiar, estoy mas acostumbado a ver tan sólo Content-type en las respuestas. Luego de preguntarle a san Google descubro que cuando la cabecera Content-Disposition tiene como valor attachment, se fuerza al navegador a descargarse un fichero del servidor web, en este caso, el binario Postal.exe que espera ser ejecutado para infectar al usuario.

Al enviar el requerimiento por HTTP y ver el dump del binario en texto encuentro cosas interesantes (ver siguiente imagen). Primero observo una ruta de una instalación de Microsoft Visual Studio lo que nos da una luz sobre cómo fue creado este binario. Pero lo que mas llama mi atencion es lo que parece ser la ruta del directorio donde el atacante estaba programando el malware. Viendo la extension del archivo casa.vbp confirmamos el uso de Visual Studio ademas podemos afirmar que se trata de un projecto de Visual Basic. Lo intrigante es el porque del nombre de directorio "bambi". Será que el creador tiene una fascinación con el pequeño ciervo de cola blanca o es simplemente un nombre aleatorio? . De cualquier forma, este ataque ahora sera conocido como La Operacion Bambi.



Hasta este punto tenemos conocimiento de 2 servidores vulnerados como parte de esta campaña que pertenecen a empresas que brindan servicios hosting. El primero www.xxx.com hostea el recurso Gusanito/Amor/Postal-Amor que al momento de ser requerido hace una redirección hacia el recurso /mjimenez/config.php del segundo servidor http://yyy.com donde finalmente se fuerza al navegador a descargar el fichero Postal.exe.

Luego de descargar el binario, aprovecho la genial herramienta online Virustotal para hacerle un análisis. Según sus resultados tan sólo 5 antivirus de 43 (11.6%) reconocen a Postal.exe como un malware variante de Kanzi. Pueden ver el reporte de Virustotal aqui.


Eso es todo por ahora, atentos a la proxima parte.

Saludos

MVelazco.
http://twitter.com/mvelazco