Software Development && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Sanny / Daws


Hace poco se identifico este troyano que ataca principalmente los equipos de Rusia. La siguiente imagen muestra uno de los archivos creados por el troyano después de la infección.

 

En la sección de resource del dropper E.exe se pueden ver los archivos que contiene y que son extraídos después de su ejecución en la carpeta Temp

 

Estas son algunas de las modificaciones más relevantes encontradas en el registro de Windows después de la ejecución del dropper:

Ver archivo completo

HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\0000\Control\*NewlyCreated*: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\0000\Control\ActiveService: "vKxdGriQw"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\0000\Service: "vKxdGriQw"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\0000\Legacy: 0x00000001
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\0000\ConfigFlags: 0x00000000
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\0000\Class: "LegacyDriver"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\0000\ClassGUID: "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\0000\DeviceDesc: "vKxdGriQw Service"
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_VKXDGRIQW\NextInstance: 0x00000001

HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\Enum\0: "Root\LEGACY_VKXDGRIQW\0000"
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\Enum\Count: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\Enum\NextInstance: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\Parameters\ServiceDll: "C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cewmdmx.dll"
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\Type: 0x00000110
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\Start: 0x00000002
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\ErrorControl: 0x00000001
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\ImagePath: "%SystemRoot%\system32\svchost.exe -k netsvcs"
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\DisplayName: "vKxdGriQw Service"
HKLM\SYSTEM\ControlSet001\Services\vKxdGriQw\ObjectName: "LocalSystem"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvcs: '6to4 AppMgmt AudioSrv Browser CryptSvc DMServer DHCP ERSvc EventSystem FastUserSwitchingCompatibility HidServ Ias Iprip Irmon LanmanServer LanmanWorkstation Messenger Netman Nla Ntmssvc NWCWorkstation Nwsapagent Rasauto Rasman Remoteaccess Schedule Seclogon SENS Sharedaccess SRService Tapisrv Themes TrkWks W32Time WZCSVC Wmi WmdmPmSp winmgmt wscsvc xmlprov napagent hkmsvc BITS wuauserv ShellHWDetection helpsvc WmdmPmSN'

 

Como se puede observar se crea un servicio con nombre aleatorio  (con el que se asegura la ejecución cada vez que se inicie el sistema), el cual a su vez inicializa la dll cewmdmx.dll

Esta dll tiene como función entre otras cosas extraer la información de las cuentas del Outlook, extraer usuarios y contraseñas guardadas por Firefox y establecer conexiones con servidores de comando y control para el envío de los datos.

Dicha información es enviada a servidores ubicados en Corea (de donde se presume proviene el ataque)

IP Address:   110.45.140.11
Korea, Republic Of Seoul Lg Dacom Kidc
inetnum:        110.45.128.0 - 110.45.255.255
netname:        KIDC
descr:          LG DACOM KIDC
descr:          KIDC, 261-1 Nonhyun-dong, Kangnam-gu, Seoul
person:         Yunmi Lee
nic-hdl:        YL177-AP

IP Address:   119.161.5.253
Korea, Republic Of Seoul Yahoo Korea Corp
inetnum:        119.161.0.0 - 119.161.31.255
netname:        YAHOO-KOREA
descr:          Yahoo Korea Corp
descr:          Seoul Gangnam-gu Samseong-dong , 135-090
remarks:        www.yahoo.co.kr
person:         Jungcheol Kwon
nic-hdl:        JK893-AP

 

De igual manera la información también se puede enviar por correo electrónico mediante el servidor de correo de Yahoo Corea a las cuentas que aparecen en la imagen:

 

Al revisar los paquetes enviados al servidor de comando y control se pueden identificar los host (board.nboard.net) y recursos del sistema (por ejemplo el nombre de la maquina UHA68F2DDBE516) así como el nombre y el password de la base de datos de las victimas (db=kbaksan_1 / pw=1917qaz)

 

Enlaces


http://blog.fireeye.com/research/2012/12/to-russia-with-apt.html

 

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos