Paweł Goleń, blog

Standardowo system prowadzi trzy dzienniki: Application, System oraz Security. Jak wspomniałem, zmodyfikowałem nieco ustawienia śledzenia zdarzeń po to, by w logu Security pojawiło się więcej informacji. Zmieniłem również domyślne rozmiary plików. Te modyfikacje są praktycznie standardowymi zmianami na administrowanych przeze mnie maszynach, razem z ustawieniem flagi AutoBackupLogFiles, tak na wszelki wypadek, by nowe wpisy nie zamazały tych starych.

W dzienniku systemowym nie znalazły się żadne szczególnie interesujące zapisy. Zdarzenia 6009 i 6005 mówią o tym, kiedy system został uruchomiony (2008-05-17 21:42:12). Pozostałe zapisy mówią wyłącznie o standardowych zdarzeniach systemowych, jak uruchomienie poszczególnych usług, uzyskaniu adresu IP i tym podobnych sprawach. W tym konkretnym przypadku informacje te niewiele wnoszą do już zgromadzonej wiedzy.

Dziennik Application akurat z okolic infekcji (przypominam, miało to miejsce 2008-05-17 około 21:42) nie zawiera ciekawych informacji. Ciekawe informacje są natomiast z terminu późniejszego, gdy "odmroziłem" moje tamagotchi by zebrać informacje "na żywo". Wpisy dotyczą błędu aplikacji zyetp.exe. W logu znajdują się informacje zgromadzone przez DrWatson, na przykład takie:

Ciekawych informacji dostarcza na przykład lista uruchomionych procesów, można na niej znaleźć kilka uruchomionych procesów, które swoją nazwą nie przypominają niczego normalnie występującego w systemie. Informację z tego zrzutu można porównać z listą uruchamianych programów, które można uzyskać z analizy Prefetch, a także z listą nowych plików znalezionych w systemie plików. Ale szkoda na to tracić czasu (już w tej chwili), bo pozostał jeszcze log Security, który jest prawdziwą skarbnicą informacji...

W logu Security znajdują się informacje o uruchamianych procesach. To znaczy zwykle się nie znajdują, ponieważ śledzenie zdarzeń z kategorii Detailed Tracking jest domyślnie wyłączone. Nawet w przewodnikach opisujących konfigurację systemu (z bezpieczeństwem w tle) zwykle nie zaleca się aktywacji tej opcji. Cóż, w obecnej chwili komputery są na tyle wydajne, by z tym śledzeniem sobie poradzić bez większego problemu, a automatyczna rotacja plików logów rozwiązuje problem z nadpisywaniem starszych zdarzeń, bądź brakiem miejsca na nowe.

Zdarzenia między godziną 21:42:12 a 21:46:57 to moje zdarzenia typowe dla startu systemu, oraz moje przygotowania do uruchomienia malware. W szczególności to uruchomienie Procmon:

Przypominając odcinek o informacjach możliwych do pozyskania z FS:

I rzeczywiście, w logu znajduje się odpowiadający temu zdarzeniu rekord:

Różnica w czasie między datą utworzenia (a w zasadzie datą ostatniego zapisu) do pliku w Prefetch, a informacji w logach, jest zrozumiała. System musi mieć chwilę czasu na analizę uruchamianego programu, tak, by zapisać informację odnośnie tego, jak ten proces uruchamiania zoptymalizować.

Proces ten (1656) uruchamia następnie dwa procesy (dalej już nie będę pisał co oznaczają kolejne linie we wpisie):

Jak widać dzieje się to błyskawicznie, zaledwie 2 sekundy po uruchomieniu głównego programu. Korelując te zdarzenia ze zrzuconym ruchem sieciowym, przypuszczam, że oryginalny plik zawierał w sobie plik explorer.exe oraz jakiś *.bat, który został uruchomiony przy pomocy procesu cmd.exe. Twierdzę tak, ponieważ pierwsza aktywność sieciowa miała miejsce dopiero o godzinie 21:47:19. O tej porze zarówno pierwszy proces, jak i cmd.exe już się zakończyły:

W tej chwili jedynym działającym procesem jest explorer.exe (ten fałszywy).

Chwilę później pojawia się zdarzenie, co do którego mam pewne wątpliwości:

Mam wątpliwości, czy zdarzenie to związane jest z infekcją, czy też nie. Teoretycznie taka możliwość istnieje, ale nie znalazłem na razie żadnych śladów, które mówiłyby, że w kontekście procesu svchost.exe malware uruchomił jakiś swój kod.

Następnie tworzone są dwa kolejne procesy (przez fałszywy proces explorer.exe):

W chwili ich uruchomienia, pobrane zostały już pliki:

• xxx.exe,
• sqmain.exe,
• lzl.exe,

Następnie proces 1732 kończy się:

Podobnie jak proces 1736:

Uruchamiany jest (przez fałszywy proces explorer.exe) jednak kolejny proces:

Który uruchamia kolejne dwa procesy:

Prawdopodobnie, tak jak na początku, także i w tym przypadku proces zawierał jakiegoś *.bat, oraz pliki iexplore.exe.

Procesy 1744 i 1764 kończą się:

To, co dzieje się później, jest związane z otwarciem przez proces iexplore.exe portu do nasłuchu. Zostaje to wykryte przez system i użytkownik zostaje o tym fakcie poinformowany. Dostaje on możliwość zezwolenia procesowi na dostęp do sieci. A w zasadzie to nie tyle na dostęp do, co na dostęp z sieci do tego procesu:

Tu przyznam się bez bicia, że zachowałem się jak typowy klikacz i zezwolenie wyraziłem, co zaowocowało zmianą konfiguracji firewalla:

O tym zresztą już wiadomo, po zmianach, które pojawiły się w rejestrze.

Następnie uruchamiane są kolejne trzy procesy przez (fałszywy) proces iexplore.exe. Zostały one wcześniej pobrane z sieci jako pliki (znów korelacja ze zrzutem ruchu sieciowego):

• sqmain2.exe,
• xxx.exe,
• sooo4.exe,

Cóż, wychodzi na to, że pliki te nie zostały zapisane na dysku pod swoimi nazwami, bądź też zaraz po pobraniu ich z sieci, nazwy zostały zmienione. Oznacza to, że na dyskach prawdopodobnie nie należy szukać plików o powyższych nazwach. W każdym razie zdarzenia związane z uruchamianiem:

Dwa z tych procesów kończą swój żywot bardzo szybko:

Kolejne zdarzenie wydawać się może nieco dziwne, polega na modyfikacji wcześniej dodanego wyjątku na firewallu:

Chodzi tu prawdopodobnie o to, że dodana reguła została przez system aktywowana (zmiana State z Disabled na Enabled).

Kolejnym zdarzeniem jest uzyskanie dostępu do sieci tak, jak wcześniej zrobił to iexplore.exe. Odpuszczę sobie jednak kolejny raz wklejać te zdarzenia...

I na koniec:

A więc godzinę 21:49:11 uznajemy (chwilowo) za koniec interesującego mnie okresu czasu.

Podsumowując W trakcie infekcji uruchamiane były następujące procesy:

• 2008-05-17 21:47:14 C:\Documents and Settings\Administrator\Desktop\c1ab3a6d0df4667de52dac0c7b4a1595.exe
• 2008-05-17 21:47:16 C:\WINDOWS\system32\cmd.exe (uruchomienie *.bat)
• 2008-05-17 21:47:16 C:\WINDOWS\system32\explorer.exe
• 2008-05-17 21:47:24 C:\WINDOWS\system32\wgwsafhn.exe
• 2008-05-17 21:47:24 C:\WINDOWS\system32\gsxsrdx.exe
• 2008-05-17 21:47:24 C:\WINDOWS\system32\fzdsv.exe
• 2008-05-17 21:47:27 C:\WINDOWS\system32\cmd.exe (uruchomienie *.bat)
• 2008-05-17 21:47:28 C:\WINDOWS\system32\iexplore.exe
• 2008-05-17 21:47:32 C:\WINDOWS\system32\rundll32.exe (dodanie reguły na firewallu)
• 2008-05-17 21:47:37 C:\WINDOWS\system32\qbqwov.exe
• 2008-05-17 21:47:37 C:\WINDOWS\system32\hheyjo.exe
• 2008-05-17 21:47:37 C:\WINDOWS\system32\pwpveix.exe
• 2008-05-17 21:47:39 C:\WINDOWS\system32\rundll32.exe (dodanie reguły na firewallu)

Po zakończeniu infekcji "przeżyły" procesy:

• 2008-05-17 21:47:16 C:\WINDOWS\system32\explorer.exe,
• 2008-05-17 21:47:28 C:\WINDOWS\system32\iexplore.exe,
• 2008-05-17 21:47:37 C:\WINDOWS\system32\pwpveix.exe,

A więc te same, które zadbały o to, by uruchomić się po restarcie systemu. Wygląda na to, że procesy iexplore.exe oraz pwpviex.exe pozwalają na zdalny dostęp do maszyny (wyjątki na firewallu).

Są również utrzymywane trzy połączenia z serwerami IRC:

• 67.43.232.37 na port 8080 nawiązane o godzinie 21:47:19
• 72.10.172.212 na port 5190 nawiązane o godzinie 21:47:31
• 67.43.236.106 na port 7000 nawiązane o godzinie 21:47:35

Co prawda Netstat pokazuje nieco inne informacje, podaje informację tylko o jednym nawiązanym połączeniu:

Należy jednak pamiętać, że dane do analizy "na żywo" zostały zebrane później, konkretnie 2008-05-18 o godzinie 11:07. Nie zmienia to faktu, że połączenie z tym serwerem nawiązane jest przez proces 1844, a więc "prawdziwy" systemowy proces explorer.exe. Jakoś to mnie męczy...