Case Tietoja varastava haittaohjelma CIP-seminaari, 29.10.2012 Thomas Grenman / Tietoturva-asiantuntija
HAVARO-sormenjälki ET TROJAN - Known Trojan Downloader HTTP Library MSIE 5 Win98 seen with ZeuS» HAVARO oli tunnistanut HTTP-liikennettä, joka otsakkeiden mukaan oli peräisin Windows 98:ssa olevasta IE 5:sta asiakkaan verkossa ei ollut Windows 98 -koneita eikä heillä ollut käytössä IE 5:sta HTTP-liikenteen välityksellä noin neljä kilotavua oli siirtynyt Ukrainassa olevalle palvelimelle siirtynyt tieto oli salattua Case / Tietoja varastava haittaohjelma 2012-10-29 2
Saastunut työasema asiakas paikallisti työaseman nopeasti, se kytkettiin irti verkosta ja tutkittiin seuraavissa tiedostoissa oli sopivat aikaleimat» %TEMP% / googleupdate.dll» %TEMP% / ctfmon.exe» %TEMP% / jar_cache#############.tmp (2 kpl.) tilapäiskansion avaaminen aktivoi työaseman antivirustuotteen ja EXE-tiedosto joutui karanteeniin ("Trojan.Ransom") DLL-tiedosto otettiin tarkempaan analyysiin Case / Tietoja varastava haittaohjelma 2012-10-29 3
DLL-tiedosto Virustotal palautti vain sekalaisia ja/tai geneerisiä haittaohjelmien nimiä luotettavan tahon mukaan DLL-tiedosto oli pelkkä "downloader" oletus olikin tässä vaiheessa, että DLL-tiedosto oli ladannut tilapäiskansiossa olleen EXEtiedoston päätettiin aluksi tutkia miten DLL-tiedosto oli päätynyt koneelle Case / Tietoja varastava haittaohjelma 2012-10-29 4
Saastumisketju verkkoliikenteestä kävi ilmi, että työaseman kautta oltiin vierailtu suomalaisella blogisivustolla vierailun yhteydessä työasemalle oli latautunut epäilyttävä JAR-tiedosto kolmannen osapuolen palvelimelta työaseman käyttäjä vahvisti käyneensä sivustolla ja lähempi tutkimus paljasti, että sivustolla oli hetkellisesti ollut haitallinen linkki tarjolla linkki sijaitsi mainoksen sisällä ja se oli ujutettu sivustolle murretun OpenX-palvelimen kautta [1] [1] http://www.cert.fi/katsaukset/2012/tietoturvakatsaus_1-2012/openx.html Case / Tietoja varastava haittaohjelma 2012-10-29 5
Hyväksikäytetty haavoittuvuus JAR-tiedostossa oli kolme sekoitettua (obfuskoitua) Java-luokkaa jotka muodostivat Java-appletin luokkien deobfuskoinnin jälkeen kävi ilmi, että neljäs luokka muodostetaan ajon yhteydessä hyväksikäyttäen Java-ajoympäristön haavoittuvuutta, tämä neljäs luokka tiputetaan levylle ja se suoritetaan hiekkalaatikon ulkopuolella Case / Tietoja varastava haittaohjelma 2012-10-29 6
Neljäs luokka neljäs luokka oli osuvasti nimetty exploit.class kyseinen luokka oli tiedostoja lataava ohjelma ohjelma osasi käyttää hyväkseen työasemassa määriteltyjä proxy-asetuksia ohjelman lataama tiedosto tallennettiin käyttäjän tilapäiskansion ja sille annettiin harhaanjohtava nimi latauksen jälkeen tiedosto suoritettiin ohjelma osasi käsitellä ja suorittaa sekä DLLettä EXE-tiedostoja Case / Tietoja varastava haittaohjelma 2012-10-29 7
Neljäs luokka Case / Tietoja varastava haittaohjelma 2012-10-29 8
Neljäs luokka Case / Tietoja varastava haittaohjelma 2012-10-29 9
DLL-tiedoston analyysi DLL-tiedoston suorittaminen suljetussa ympäristössä vahvisti HAVARO-sormenjäljen DLL-tiedoston suojausmekanismit purettiin auki haittaohjelma-analyysi paljasti seuraavat vihjeet» haittaohjelman verkkoliikenne oli RC4-salattua» RC4-salausavaimen alustukseen käytetty merkkijono paljastui» salauskerroksen alla oleva tieto oli pakattu käyttäen hyväksi avoimen lähdekoodin kirjastoa vihjeiden avulla voitiin luoda pieni apuohjelma jonka avulla verkkoliikenne saatiin purettua Case / Tietoja varastava haittaohjelma 2012-10-29 10
Mitä varastettiin, mitä opittiin tietoja varasta haittaohjelma (Pony/Fareit) oli pienikokoinen, nopea ja hiljainen haittaohjelma varasti yhteensä 85 tunnusta» 19 kpl. operatiivisiin järjestelmiin sopivia tunnuksia» 66 kpl. muita tunnuksia (Facebook, Gmail, Spotify...) tarinan opetukset» käyttöjärjestelmän lisäksi, selain ja selainlaajennukset (kuten Java) on oltava viimeisintä versiota» käyttäjätunnusten ja tunnussanojen tallentaminen selaimiin ja muihin ohjelmiin sisältää riskejä» tilapäiskansiot kannattaa aika ajoin virustarkistaa Case / Tietoja varastava haittaohjelma 2012-10-29 11
www.cert.fi www.viestintävirasto.fi Case / Tietoja varastava haittaohjelma 2012-10-29