Esse documento tem como objetivo apresentar uma análise de pacotes de tráfego de rede, utilizando o software Wireshark para a matéria de segurança computacional.
Esse relatório será organizado no seguinte formato:
- Introdução
- IPs e portas
- Domínios e arquivos acessados
- Analise do hash do arquivo pcap
- Comportamento do malware
- Diagrama de sequência
- Conclusão
Podemos encontrar os IPs e portas acessando a aba Statistics e depois IPV4 Statistics e Destination and Ports.
Veremos os IPS e as portas acessadas durante a captura de pacotes.
Os IPs encontrados foram e dados de cada whois são:
-
192.168.122.150 (IP não roteável)
- Provavelmente é o IP da máquina que está capturando os pacotes.
-
192.16.48.200:
NetRange: 192.16.0.0 - 192.16.63.255Organization: Edgecast Inc. (EDGEC-25)Country: USCity: Los Angeles
-
13.107.42.13
NetRange: 13.64.0.0 - 13.107.255.255Organization: Microsoft Corporation (MSFT)Country: USCity: Redmond
-
104.18.25.243
NetRange: 104.16.0.0 - 104.31.255.255OrgName: Cloudflare, Inc.Country: USCity: San Francisco
As portas encontradas, para cada ip foram:
-
192.168.122.150:- Diversas portas foram abertas em um range de 65191 a 65370
- A porta com maior número de pacotes foi a
65351sendo 0,7% do total de pacotes capturados.
-
192.16.48.200:- TCP 80 (HTTP)
-
13.107.42.13:- TCP 443 (HTTPS)
-
104.18.25.243:- TCP 80 (HTTP)
Conseguimos encontrar os dominios acessados através da aba file e depois export objects e HTTP.
Os domínios e arquivos encontrados foram:
-
ocsp.msocsp.com/MFQwUjBQME4wTDAJBgUrDgMCGgUABBSIGkp0%2Fv9GUvNUu1EP06Tu7%2BChyAQUkZ47RGw9V5xCdyo010%2FRzEqXLNoCEyAABq89CezPkMgbDeEAAAAGrz0%3D- É possível encontrar o GET request dessa URL usando
tcp.stream eq 1no wireshark. - Observamos que o
User-AgentéMicrosoft-CryptoAPI/6.1 - Caso procuremos essa URL no
Virus Totalapenas o antivírusCRDFa classifica comomaliciosa.
- É possível encontrar o GET request dessa URL usando
-
mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20IT%20TLS%20CA%202.crl- É possível encontrar o GET request dessa URL usando
tcp.stream eq 2no wireshark. - Se procurarmos por essa URL no
Virus Totalnenhum antivírus a classifica comomaliciosa. Entretanto a mesma url aparece varias vezes emgrafosda comunidade do Virus Total.
- É possível encontrar o GET request dessa URL usando
Podemos baixar os dois arquivos indicados pelas URLs acima e analisá-los:
- Executar os comandos
fileestringsnos arquivos baixados não resulta em nada interessante. - Porem se pesquisarmos o arquivo que é baixado através da URL
ocsp.msocsp.com/MFQwUjBQME4wTDAJBgUrDgMCGgUABBSIGkp0%2Fv9GUvNUu1EP06Tu7%2BChyAQUkZ47RGw9V5xCdyo010%2FRzEqXLNoCEyAABq89CezPkMgbDeEAAAAGrz0%3Dpodemos ver que ele aparece em diversas relações de grafos doVirus Totalcomo umWin32.EXE.
Já, o arquivo baixado através da URL mscrl.microsoft.com/pki/mscorp/crl/Microsoft%20IT%20TLS%20CA%202.crl é um arquivo CRL (Certificate Revocation List) que é uma lista de certificados revogados. Possívelmente esse sertificado será utilizado para validar sites que na realidade são falsos.
Podemos analisar o hash contido no nome do arquivo pcap: aefe508fa350c26791218eeeb78166b2 no Virus Total e veremos que ele é classificado como malicioso por diversos antivírus. A grande maioria o classifica como um trojan ou dropper.
O Virus Total indica que o nome popular dele é: trojan.fareit/noon
Podemos ver também que o seu nome original, de acordo com o Virus Total, é Unhomogene.exe
Vamos utilizar as abas de Details e Behavior do Virus Total para analisar o comportamento do malware.
Informações claras como podem:
SHA256:d337c1dbac1de2e9399ea1d5bc2ed2f1223bd8cbcdf8cbb2e495b19b936d6441File type: Win32 EXEImports: MSVBVM60.DLL
Essa importação em especial, MSVBVM60.DLL, é um arquivo que contém funções para a linguagem Visual Basic 6.0 e é utilizado para compilar programas escritos nessa linguagem. Isso indica que o malware foi escrito em Visual Basic 6.0.
Existem 4 sandboxs que analisaram o malware e podemos ver o comportamento dele sumarizado:
Ao que parece o malware baixa um certificado e o instala no computador. Depois ele acessa a url: https://onedrive.live.com:80/download?cid=e61e5f3f655316fa&resid=e61e5f3f655316fa%21125&authkey=ab5cy3xsz3addbe. Essa url não apareceu no pcap, mas é possível que ela tenha sido acessada antes do pcap começar a ser capturado.
Além disso, o malware abre ou modifica diversos arquivos, entre eles podemos listar alguns que são mais suspeitos:
- Abertos:
<DRIVERS>\etc\hostsC:\Documents and Settings\Administrator\Local Settings\Temp\EB93A6\996E.exeC:\Documents and Settings\Administrator\Cookies\index.datC:\WINDOWS\system32\update.exe
- Modificados:
%APPDATA%\Microsoft\Windows\Cookies\index.dat%LOCALAPPDATA%\Microsoft\Windows\History\History.IE5\index.dat%LOCALAPPDATA%\Microsoft\Windows\<INETFILES>\Content.IE5\index.dat
O malware também deleta algumas chaves no registro do windows:
<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass<HKCU>\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
Essa comportamento indica que o malware: procura por arquivos de cookies, modifica o histórico de cookies e deleta configurações de proxy e intranet que são característica de um banker.
A seguir, um diagrama de sequência que representa os eventos que ocorrem no pcap:
O pcap analisado representa o tráfego de um usuário já infectado. O malware que infectou o usuário é um banker que tenta roubar informações bancárias do usuário. Ele faz isso instalando um certificado no computador e depois acessando um site falso que utiliza esse certificado para se passar por um site legítimo. O malware também modifica o histórico de cookies e deleta configurações de proxy e intranet.
O nome do malware é trojan.fareit/noon ele está associado à CVE-2017-11882 que explora uma corrupção de memória no Microsoft Office e permite a execução de código arbitrário.
Vinícius Fontoura de Abreu - GRR20206873