Pora wpuścić mojego zwierzaka na wybieg. W trakcie tego puszczania, monitorowałem ruch sieciowy. Co można się z niego dowiedzieć?
Tamagotchi V: niuch niuch
Po pierwsze: call home
Pierwszą widoczną w sieci akcją po uruchomieniu programu, jest odpytanie się serwera DNS o nazwę:
- ss.nadnadzzz.info (przy pierwszej próbie infekcji),
- ss.memehehz.info (przy drugiej próbie infekcji),
Prawdopodobnie dostępnych nazw jest więcej, ot takie zabezpieczenie na wypadek, gdyby ktoś blokował domeny. Ciekawy jest natomiast rezultat. Dla obu nazw zwracane są trzy różne (kolejne) adresy IP. Wygląda to tak, jakby ktoś zaplanował ten krok mając na uwadze dostępność (zarówno w sensie działania, jak i wydajności) tej usługi. Nie ma się czemu dziwić, przecież obecnie złośliwe oprogramowanie nie jest tworzone po to, by się dowartościować, lecz po prostu w celu osiągnięcia zysków. Adresy IP, na które były tłumaczone powyższe domeny znajdują się w zakresie firmy GloboTech Communications, aczkolwiek whois nie ujawnił jakichś specjalnie interesujących szczegółów.
Po ustaleniu adresów IP dla ss.memehehz.info nastąpiło połączenie na port 8080, na którym to porcie bynajmniej nie ma serwera proxy, ale serwer IRC. Należało się tego spodziewać, w końcu jest to standardowa metoda zarządzania zainfekowanymi komputerami.
Dodatkowe "zabawki"...Jak można było się spodziewać, kolejną akcją było sprowadzenie na maszynę towarzyszy. W tym przypadku zostali oni pobrani z serwera nadsam0.info (niespodzianka - ten sam operator). Pobrane zostały pliki:
- xxx.exe (dwa razy ten sam plik),
- sqmain.exe,
- lzl.exe,
- sqmain2.exe,
- sooo4.exe,
Żaden z powyższych plików nie został rozpoznany przez ClamAV. Więcej informacji dostarczył VirusTotal, co zresztą widać wyżej.
I znowu IRC...Później nawiązane zostały kolejne połączenia z IRC, tym razem z serwerami xx.sqlteam.info na port 5190 (znowu - duża liczba adresów IP odpowiadających tej nazwie), oraz u.sqlteam.info na port 7000 (a tu wyjątkowo jeden adres IP).
Ciekawe może być monitorowanie kanałów, z którymi łączą się moje żyjątka. W trakcie infekcji nie zauważyłem większego ruchu na nich, ale cały proces trwał tylko około 120 sekund. Ale kto wie, może to będzie ciekawy temat na przyszłość...
Tajemniczy serwer serv1.alwaysproxy3.infoOstatnią oznaką życia było odpytanie o nazwę serv1.alwaysproxy3.info, do którego następnie został wysłany pakiet UDP na port 18386. Zawartość pakietu akurat nie mówi mi nic wiele: pnnb.
Co dalej?Można próbować dalej eksplorować kierunek związany ze zdalnymi hostami, z którymi nawiązywane były połączenia w trakcie infekcji. Ten kierunek jednak nie specjalnie mnie interesuje, przynajmniej w tej chwili. W związku z tym skupię się raczej na sprawdzeniu zmian, jakie zostały wykonane w systemie. Wiem już, że muszę szukać śladów zmian wprowadzonych nie tylko przez moją złowioną na wolności próbkę, ale również przez pięciu pobranych przez nią kompanów...
Pokazywałem już użycie narzędzia NetGrok do network forensic. Postanowiłem zobaczyć jak zostanie zaprezentowany ruch sieciowy zarejestrowany podczas infekcji systemu przez malware.W tym eksperymencie użyłem starego zrzutu, o którym pisałem w cyklu o anali
Przesłany: Aug 29, 14:02
Jeśli po mojej prezentacji na dzisiejszym spotkaniu OWASP kogoś zainteresował temat ogólnie pojętego forensic, być może zainteresują go również starsze wpisy dotyczące tego tematu. Nazbierało się tego trochę, więc małe przypomnienie części z poruszanych t
Przesłany: Jun 10, 20:54