Secops.blog

Samet Sazak Kişisel Blog

Cerber/Kovter Spam Malware Saldırı Analizi

09 Apr 2017 » zararli-yazilim, some

logo

Cerber, Türkçe adıyla “Kerberos” Yunan mitolojisinde Hades’in yönettiği ölülerin bulunduğu yeraltının kapısında bekçilik yapan üç başlı köpek anlamına geliyor. Ransomware üreticileri arasında mitolojik isimlerin bolca kullanıldığını görüyoruz. Kraken, Osiris, Odin bunlara bazı örnekler.

Aşağıdaki dosyalar zararlı yazılım içermektedir. Tüm dosyaları sanal makine üzerinde çalıştırmanızı tavsiye ederiz, bu konuyla ilgili tüm sorumluluk kullanıcıya aittir.

Zararlıya ait PCAP dosyası : 2017-04-05-Cerber-Kovter-malspam-traffic.pcap.zip (Zip parolası : infected)

Tüm zararlı dosyaları içeren zip arşivi : 2017-04-05-Cerber-Kovter-malspam-and-artifacts.zip (Zip parolası : infected)

İlk olarak zararlının nasıl dağıtıldığına göz atalım ve daha sonra trafik ve zararlı davranışını inceleyelim.

Yayılma Şekli:

Cerber/Kovter malspam zararlısı adından anlaşılacağı gibi, spam emailler üzerinden yayılıyor. Cerber + Kovter olarak 2 zararlının birleşmesi ile oluşturulmuş bir saldırı. Aşağıda gelen emaillerden örnek bir resim bulunmaktadır. Cerber ve türevleri daha önce Türkiye’yi bolca hedef aldıkları aşağıdaki istatistiklerde görülebilir.

email

Email başlığından elde edilen bilgiler:

Date/Time:  Wednesday 2017-04-05 at 21:43 UTC
From:  maraton1@vps-944527-x.dattaweb.com
Subject:  Delivery Notification
Attachment name:  FedEx-Package-ID-ETUV9Y4U.zip
Extracted file name:  FedEx-Package-ID-ETUV9Y4U.doc.js

İstatistikler:

istatistik (kaynak : http://blog.checkpoint.com/2016/06/20/cerber-ransomware-targets-u-s-turkey-and-the-uk-in-two-waves/) Checkpoint’in araştırmasına göre, Cerber türevi zararlılar %41 ile en çok Amerika Birleşik Devletleri’ni daha sonra ise %15 ile Türkiye’yi hedef almaktadır.

Son zamanlarda @MalwareTechLabs tarafından yapılan bir araştırmaya göre yine Cerber Türevlerinin %3.7 ile Türkiye’yi hedeflendiği gözlemlenmiştir.

istatistik

Saldırı Analizi

flow

Ransomware, E-mail üzerinden “Zip” arşiv formatında sıkıştırılmış bir şekilde geliyor. Bu arşivi çıkarttığınızda aşağıdaki gibi aslında “.doc” uzantısına sahipmiş görünse de aslında bir “.js” uzantılı javascript zararlısı. Fakat burada dosya uzantısı “Hidden(gizlenmiş) durumda, dosya isminde oynama yapılmış ve “.doc” uzantılı gibi gösterilmiştir. ransom1

Daha sonra zip arşivinden çıkartıldığında ve dosya adına detaylı bir şekilde bakıldığında “.js” uzantılı bir dosya olduğu görülüyor.

ransom2

Bu dosyayı açtığımızda:

ransom3

Javascript kodunu incelediğimizde bazı adreslerin olduğunu görüyoruz bu adresler:

["malibu-omsk.ru","qikpages.com","2guns.ru","austinshortterm.com","adrianacampos.com.br"] 

“Trojan-Downloader.JS.Nemucod” adı verilen bu zararlı, yukarıdaki zararlı kod enjekte edilmiş web sitelerinden bu kodu indirip daha sonra “Eval” yardımıyla çalıştırabilme yeteneğine sahip. Siz daha farketmeden bile gerekli dosyaları çekip, çalıştırabilir.

Virustotal üzerinden sorguladığımızda aşağıdaki gibi bir sonuçla karşılaşıyoruz.

ransom4

Aktifleştiğinde:

ransom5

Resimde gördüğünüz gibi tüm dosyalarınızı şifreleyerek, sizden fidye karşılığında dosyalarınızı tekrar kazanabileceğinize dair bir mesaj iletiyor ve masaüstünde bunu nasıl yapacağınıza dair mesajlar iletiyor.

ransom6

Ransomware tüm dosyalarınızı şifrelerken aynı zamanda bilgisayarınıza “Kovter” zararlısı da yükleniyor. Kovter aktifleştiğinde, hemen hemen dosyasız bir hal oluyor ve kendisini sistem registry kayıtlarında gizliyor. Siz her ne kadar dosyalar için ödemeyi gerçekleştirip, dosyalarınızı “decrypt” etmiş olsanız bile, Kovter zararlısı bilgisayarınızı kullanmaya devam edecek. Bu şekilde iki veya daha fazla zararlının aynı zamanda kullanan saldırı vektörleri oldukça önemli olmaktadır.

Trafik Analizi

Zararlı yazılım aktifleştirildiği andan itibaren kaydedilen pcap dosyasını BRO ile incelemeye başlıyoruz.

- bro –r 017-04-05-Cerber-Kovter-malspam-traffic.pcap local 

bro1

Pcap içerisindeki tüm connection(bağlantı) kurulan adresleri görmek için “conn.log” dosyasını inceliyoruz. Buradan tüm TCP/UDP bağlantılarını, sayılarını, sürelerini görebiliyoruz.

bro2

Zararlı javascript dosyasını incelediğimizde aşağıdaki adresleri görmüştük. Bu adresler:

  • 92.53.96.173 port 80 - malibu-omsk.ru
  • 173.201.167.66 port 80 - qikpages.com
  • 50.63.47.1 port 80 - bettyjudy.com
  • 50.63.47.1 port 80 - bettyjudy.com

Şimdi BRO ile bu adreslere gönderilen isteği ve neler olduğuna bakalım.

http.log :

Aşağıdaki gibi GET istekleri atıldığını farkettik.

  • malibu-omsk.ru - GET /counter/?0000001BtDCPeYZyG[long string]
  • qikpages.com - GET /counter/?0000001BtDCPeYZyG[long string]
  • bettyjudy.com - GET /counter/?1
  • bettyjudy.com - GET /counter/?2

bro3

Daha sonra pcap dosyası içerisinden çıkan(extract) edilmiş dosyalara baktığımızda: (SecurityOnion kullanıyorsanız bu dosyalar /nsm/bro/extracted/ dizininde oluyor)

2 adet dosyanın trafiğin içerisinden çıkarılmış olduğunu görüyoruz.

bro5

Bu dosyaların:

  • 50.63.47.1(bettyjudy.com) üzerinden indirilmiş olduğunu görüyoruz.

bro6

Daha sonra HTTP trafiğini incelerken bir adres daha gözümüze çarpıyor:

  • 193.169.135.166 port 80 - p27dokhpz2n7nvgr.1czh7o.top

bro7

Yukarıdaki adrese (p27dokhpz2n7nvgr.1czh7o.top) bir trafik olduğunu görüyoruz, bu trafik zararlı yazılım aktifleştikten sonra oluşan, bizi “payment(ödeme)” sayfasına götüren adres.

Conn.log dosyasını incelemeye devam ediyoruz. “6892” portundan oldukça fazla UDP trafiği oluştuğunu görüyoruz. Aşağıdaki IP aralıkları boyunca trafik devam ediyor.

udp

  • 149.202.64.0 to 149.202.64.31 (149.202.64.0/27) UDP port 6892
  • 149.202.122.0 to 149.202.122.31 (149.202.122.0/27) UDP port 6892
  • 149.202.248.0 to 149.202.251.255 (149.202.248.0/22) UDP port 6892

Ayrıca burada Kovter zararlısı aktifleştikten sonra encoded olarak HTTP POST istekleri de aynı şekilde artmaya başlıyor.

post

2 adet dosya indirilmişti. Bu dosyalardan bir tanesi Cerber Ransomware türevine ait bir diğeri ise “Trojan: Win32/Kovter” adı verilen kendi kendine yayılamayan ancak sizi tıklama hatalarıyla(click-fraud) bu örnekteki gibi ya da bir diğer saldırı yöntemleriyle birlikte kullanılarak bilgisayarınızı kontrol etmek, veri sızdırmak gibi amaçlar için kullanılan bir diğer zararlı yazılım.

Bu dosyalara ait sha256 özetleri:


SHA256 hash : 35b817d542dd8ac9f51336b908331f0a9192c666cf7c95f5063d7eec3400301b
Dosya lokasyonu:  C:\Users\[username]\AppData\Local\Temp\a1.exe
Dosya tanımı:  Cerber ransomware
SHA256 hash:  fa096cfd9b1a9e9b09b360c74e07f6870d399873f2d19b283de098f3b35b7535
Dosya lokasyonu:  C:\Users\[username]\AppData\Local\Temp\a2.exe
Dosya tanımı:  Kovter malware

Suricata/Snort Analizi:

suri

Pcap dosyasını Suricata ile analiz ederek herhangi bir alarm üretilip üretilmediğini öğrenmek için IDPS tabanlı olan SELKS OS(Suricata/Elasticsearch/Logstash/Kibana/Scirius) kullandık. Pcap dosyasını “tcpreplay” kullanarak tekrar oynattığımızda aşağıdaki alarmların oluştuğu gözlemlenebilir. Analiz sırasında yaklaşık 30bin kural içeren EmergingThreats Suricata kurallarını kullandık.

tcpreplay -i eth0 2017-04-05-Cerber-Kovter-malspam-traffic.pcap

Ya da sadece suricata’ya pcap dosyasını analiz etmesini isterseniz: (Suricata’nın konfigure edilmiş olması gerekmektedir.)

suricata -r 2017-04-05-Cerber-Kovter-malspam-traffic.pcap -l /var/log/cerber/

Daha sonra /var/log/cerber dizininde fast.log’u okuduğumuzda aşağıdaki alarmların tetiklenmiş olduğunu gördük.

fast.log
- ET POLICY PE EXE or DLL Windows file download HTTP [**] [Classification: Potential Corporate Privacy Violation] [Priority: 1] {TCP} 50.63.47.1:80 -> 10.4.5.109:49160

- ET TROJAN WS/JS Downloader Mar 07 2017 M1 [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 10.4.5.109:49160 -> 50.63.47.1:80

- ET CURRENT_EVENTS DRIVEBY Unknown - Landing Page Requested - /?Digit [**] [Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 10.4.5.109:49160 -> 50.63.47.1:80

- ET MALWARE Windows executable sent when remote host claims to send an image 3 [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 50.63.47.1:80 -> 10.4.5.109:49160

- ET TROJAN Ransomware/Cerber Checkin M3 (1) [**] [Classification: A Network Trojan was detected] [Priority: 1] {UDP} 10.4.5.109:58754 -> 149.202.64.0:6892

- ET TROJAN Cerber Bitcoin Address Check [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 10.4.5.109:49162 -> 104.16.148.172:80

- ET TROJAN Ransomware/Cerber Onion Domain Lookup [**] [Classification: A Network Trojan was detected] [Priority: 1] {UDP} 10.4.5.109:61702 -> 10.4.5.1:53

- ET DNS Query to a *.top domain - Likely Hostile [**] [Classification: Potentially Bad Traffic] [Priority: 2] {UDP} 10.4.5.109:61702 -> 10.4.5.1:53

- SURICATA HTTP URI terminated by non-compliant character [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 10.4.5.109:49923 -> 95.160.59.82:80

- SURICATA HTTP METHOD terminated by non-compliant character [**] [Classification: Generic Protocol Command Decode] [Priority: 3] {TCP} 10.4.5.109:49923 -> 95.160.59.82:80

SELKS üzerinde Scirius ve Evebox üzerinde daha detaylı olarak bu alarmları incelediğimizde:

Tcpreplay ile trafiği yeniden oynatıyoruz.

selks1

Daha sonra Evebox ile oluşan alarmları inceliyoruz.

selks2

selks3

selks4

selks5

Zararlının oluşturduğu trafik, Suricata’nın gözünden kaçmadı ve biz bu alarmları ve payload’ları SELKS ortamında inceleyebildik bu şekilde.

Enfeksiyon sırasında oluşan dosyalar ve açıklamaları listesi:

  • C:\Users[username]\AppData\Local\c4ff\6fee.fe612 [Kovter enfeksiyonu sırasında oluştu.]
  • C:\Users[username]\AppData\Local\c4ff\c65e.bat [Kovter enfeksiyonu sırasında oluştu.]
  • C:\Users[username]\AppData\Local\Temp\a.doc [Veri, orjinal döküman değil ]
  • C:\Users[username]\AppData\Local\Temp\a1.exe [Cerber binary]
  • C:\Users[username]\AppData\Local\Temp\a2.exe [Kovter binary]
  • C:\Users[username]\AppData\Local\Temp\tmp6D04.bmp [Masaüstü arkaplanı resmi]
  • C:\Users[username]\AppData\Local\Temp\d72cb2f8\84e9.tmp [Cerber enfeksiyonu sırasında oluştu.]
  • C:\Users[username]\AppData\Local\Temp\d72cb2f8\4503.tmp [Cerber enfeksiyonu sırasında oluştu.]

Önlemler:

  • Bu şekilde gelen e-mailler açılmadan gönderilen adres kontrol edilmelidir. Her ne kadar size gerçek bir email adresi olarak görünmese bile, “email spoofing” yöntemleri ile size bir başkasından gönderiliyormuş gibi email gönderebilirler.
  • E-mail içerisinde ek olarak gönderilen dosyayı çalıştırmadan önce kontrol edilmelidir.
  • Suricata/Snort(IDS) varsa, logların kesinlikle SIEM(Security information and event management) platformunda görülmesi ve gerekli korelasyon kuralları yazılmış olmalıdır.

Son Notlar:


Not: Bu yazıda kullanılan içerikler http://www.malware-traffic-analysis.net adresinden alınmış olup, yazarın kendisinden izin alınmış(@malware_traffic) ve düzenlenmiştir. Kendisine yardımları için teşekkür ederiz.

PS: All materials on this post are taken from http://www.malware-traffic-analysis.net. Special thanks to @malware_traffic for sharing.

Diğer Referanslar:

  • http://www.malware-traffic-analysis.net/2017/04/05/index3.html
  • http://blog.checkpoint.com/2016/06/20/cerber-ransomware-targets-u-s-turkey-and-the-uk-in-two-waves/
  • http://virusguides.com/massive-cerber-campaigns-usa-uk-turkey/
  • https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Trojan:Win32/Kovter
  • https://en.wikipedia.org/wiki/Cerberus