Przegląd wirusów z redakcyjnej skrzynki pocztowej

Przegląd wirusów z redakcyjnej skrzynki pocztowej12.11.2018 19:02
Przegląd wirusów z redakcyjnej skrzynki pocztowej (depositphotos)

Wydaje się, że z biegiem lat złośliwe oprogramowanie ewoluuje. Że dzisiejsze antywirusy są niezwykle złożonymi programami, które muszą naprawdę ciężko pracować, by z akceptowalną skutecznością łapać coraz bardziej przebiegłe szkodniki. Owszem, złożoność malware’u rośnie. Ale jednocześnie wciąż w obiegu znajdują się wirusy bazujące na zupełnej naiwności i ślepocie użytkowników. W tej materii jest dziś niemal tak samo, jak przed wiekami: jedyne, co się zmieniło, to spadek popularności i zniknięcie programu Outlook Express. Pytanie „jakim cudem ktokolwiek się na to nabiera?” było aktualne w roku 2000 i można je z powodzeniem zadawać dalej, osiemnaście lat później. Zapraszamy na przegląd wirusów z redakcyjnej poczty.

Faktury, Rachunki, Płatności

Załączniki z wirusami najczęściej przychodzą z mailem udającym wezwanie do zapłaty faktury. Zazwyczaj jest to mail o zupełnie ogólnej treści, niewskazującej ani na przedmiot rozliczenia, ani na wystawcę dokumentu. Źródło wiadomości wskazuje na nieznanego nadawcę ze sfałszowanej domeny:

Received: from eeeeweuuuuuzzi (unknown [185.141.25.87]) by fonon.nazwa.pl (Postfix)


for <redakcja@dobreprogramy.pl>; Tue,6 Nov 2018 09:51:37 +0100 *CET)

Jak to działa? Silnik VBS tworzy nowy obiekt-żądanie XML http Request, którym odbiera strumień „response text”. W ramach odpowiedzi otrzymuje kod, który bez zapisania do pliku od razu wykonuje. Nie wiadomo już, co się czaiło w owej odpowiedzi, ponieważ serwery użyte do ataku zostały już „zdjęte” i nie odpowiadają żadnym kodem. Rzeczywisty payload owego wirusa jest bezplikowy: polecenie jest wykonywane bezpośrednio ze strumienia, więc na dysku nie pojawia się żaden plik, który mógłby zostać złapany przez antywirusa. Sam skrypt jest zaciemniony, więc na Virus Total w dniu odbioru wykrywało go 6 skanerów. Szansa na sukces kryje się w tym, że system Windows od ponad dwudziestu lat domyślnie uruchamia, a nie wyświetla, pliki BAT, CMD, JS i VBS. To relikt z przejściowego okresu w Microsofcie, gdy myślano przede wszystkim nad dodaniem obsługi internetu i automatyzacji do każdego produktu, o bezpieczeństwie myśląc później. W Redmond już od dawna nie robi się takiego oprogramowania. Skrypty PowerShell domyślnie otwierają się w Notatniku. A Visual Basic, niezmiennie, jest domyślnie wykonywalny.[img=faktura1]Pozostaje pytanie – kto o zdrowych zmysłach otworzy fakturę za nieznany obiekt od nieznanego nadawcy, zdekompresuje archiwum RAR, a następnie dwukrotnie kliknie na ikonę skryptu VBS o losowej nazwie?

Nowsze „faktury” były zaciemnione w podobnym stylu, ale były wadliwe – każda kolejna wersja bardziej. Najpierw był to kod bezsensowny, z prostym błędem, a potem już w ogóle śmieci, niepoprawne składniowo. Wskazuje to, że zaciemniacz był chałupniczej roboty. Adresy URL oraz komentarze wskazywały na to, że tym razem nie chodzi już o uruchomienie bezplikowego wirusa, a przekierowanie na stronę-dostawcę strumieni z kamerek erotycznych. Co ciekawe, Windows Defender był innego zdania: w skrypcie widział kontroler dla trojana. Virus Total wyjaśnia sprawę: skrypt to generyczny „pobieracz” – być może był używany do dostarczania trojanów. Tym razem nie był w stanie. Złowrogi Edytor Równań z Microsoft OfficeOdrobinkę ciekawszym motywem, niż wirus do „samodzielnego składania” w VBS, był mail z Działu Sprzedaży pewnej elektrowni w Królestwie Arabii Saudyjskiej. Pan imieniem Mohammad, a w praktyce jakiś oszust wykorzystujący osłabiony serwer Swift Way, oferował nam dokument DOC z detalami dotyczącymi nowego kodu zamówienia. W środku dokumentu nie znajdowały się jednak żadne cenne informacje dotyczące zakupionego przez nas saudyjskiego prądu, na który tak niecierpliwie czekamy. Zamiast tego, można było znaleźć osadzony komponent Edytora Równań, wykorzystujący podatność CVE/2017-11882 dzięki której możliwe jest wykonanie nieprawidłowego komponentu jako kod na prawach użytkownika. Podatność tę załatano (poprzez usunięcie z pakietu Office obsługi Equation 3.0, ponieważ zapewne zagubiono do niego kod źródłowy i nie dało się stworzyć łatki) rok temu, a systemowy Defender na wszelki wypadek został zaopatrzony w definicję dla tego rodzaju zagrożenia. Dziurę załatano wtedy nawet w pakiecie Office 2007, już wtedy nieobsługiwanym. Aby więc faktycznie wykorzystać dziś tę podatność, konieczne jest posiadanie systemu starszego, niż Windows 8 oraz pakietu Office 2003. Jakże częsta dziś konfiguracja.

Wstawienie nowego równania MSEQ 3.0 jest już niemożliwe
Wstawienie nowego równania MSEQ 3.0 jest już niemożliwe

Co próbował zrobić wspomniany dokument? Pobrać plik EXE z serwera wołanego po adresie IP. Serwer nie odpowiadał. Nudy. Jedynym ciekawym detalem był fakt, że poprzedni odbiorca w łańcuchu otrzymał żądanie potwierdzenia odbioru do użytkownika „trhsentosa” poczty Yahoo.

Puzzle z tysiąca elementów, czyli wirusy w ACE

Skanery antywirusowe istotnie stają się coraz bardziej przenikliwe. W połączeniu z politykami bezpieczeństwa, wycinającymi obsługę skryptów oraz aktualizacjami, chroniącymi przed dziurami w zabezpieczeniach, przesłanie zaciemnionego kodu wymaga coraz bardziej wyrafinowanych metod. Czasem da się w tej kwestii mocno przesadzić. W ten sposób otrzymaliśmy wirusa skompresowanego algorytmem ACE.

To w ogóle było bardzo ambitne przedsięwzięcie. Mail został wysłany ze Szpitala Położniczego Leleka na Ukrainie, z użyciem sfałszowanej domeny z Grecji, a w treści informował o przesłaniu faktury za zamówione agregaty grzewcze dla ogrzewania podłogowego (zapewne zamówiła je @xyrcon, która kończy remont mieszkania). Był problem w ogóle dostać się do tego wirusa. Program 7-Zip nie zawiera dekompresora formatu ACE. Z pomocą przyszedł podsystem dla aplikacji linuksowych w Windows 10, ponieważ znajdował się w nim Python. Narzędzie acefile-unace pozwoliło rozpakować ten plik – po czym natychmiast złapał go Defender.

Windows Defender okazuje się bardzo ciekawie współpracować z procesami WSL. Przenoszony do kwarantanny plik EXE był przez chwilę dostępny do przeglądania - dzięki temu udało się wyciągnąć z niego stub MZ o rzadszej treści, niż zwyczajowa:„This program must be run under Win32”. Gdy kwarantanna zaczęła działać, coraz mniejsze części pliku były dostępne do wyświetlenia, aż z końcu możliwe było przeglądanie wyłącznie zer. Z kolei na pulpicie Windows, plik był niedostępny od samego początku. Trudno tu o jakiekolwiek wnioski, ale nasuwają się podejrzenia, że WSL będzie wkrótce wykorzystywany jako wektor ataku.

Ponieważ wirus w ACE stawiał przed użytkownikiem wysokie wymagania, on sam również był wymagający. Program wykrywał obecność w maszynie wirtualnej, a gdy udało się go oszukać, podpinał się metodą LOLBin do systemowych aplikacji, aby pracować z ramach podpisanego programu. Ponownie próbował pobierać swój „ciąg dalszy”, również z serwerów wołanych po IP. Bezskutecznie – owe serwery również milczą.

Odwrotna Loteria

Czasem uśmiecha się do nas szczęście. Po wirusach, które trzeba rozpakować pod Linuksem przyszedł mail informujący nas o (najwyraźniej kolektywnym?) zwycięstwie na loterii. Nagłówek wskazywał, że loterię organizuje Uniwersytet Południowej Karoliny. Nie wskazywało na to nic innego, ponieważ temat oraz treść wiadomości były puste. Jedyną treścią był załącznik w postaci pliku PDF. Nie, nie był to dokument z exploitem na Adobe Readera. Było to coś o wiele piękniejszego:

Od czego tu w ogóle zacząć? Czy od krzywych, nieaktualnych, zaszumionych logotypów umieszczonych poza obszarem wydruku? Czy może od łamanej angielszczyzny? A może od tego, że poza wygraniem pięciuset tysięcy dolarów, otrzymujemy telefon Apple iPhone X Max (?) firmy GMail, która stworzyła go we współpracy z korporacją Microsoft? Trzeba będzie odłożyć te rozważania na później, ponieważ czym prędzej należy wypełnić formularz z numerem i kodem karty kredytowej, a następnie wysłać go na adres e-mail w domenie Outlook.com. Adres, który według nobliwej bazy Scam Database jest wykorzystywany do oszustw tak często, że zdobył sobie już uznanie i renomę. Coś wspaniałego. Aż kusi odpisać.

Swoją drogą, jeżeli już jesteśmy przy dziwnych dokumentach, takie cudo (wreszcie po niemiecku!) przyszło z Indii:

Doprawdy, NATIONAL SECURITY AGENTUREN brzmi dumnie. Zwłaszcza w połączeniu z bannerem Międzynarodowego Funduszu Walutowego. Wśród otrzymanych prób wyłudzeń numeru karty, powyższe podejście zasługuje na mocną ocenę 😂 / 10.

Sztuki połączone

Zdarzają się także osobliwości łączące wszystkie powyższe techniki. Jak e-mail z dedykowanej domeny, niemal bez nagłówka, zawierający fakturę w formacie… ISO. Oczywiście, nie oznacza to, że należy sobie zadać jeszcze więcej wysiłku, niż w przypadku ręcznej dekompresji pliku ACE i wypalić wirusa na płytce. Zapewne chodzi tu o to, że format ISO jest natywnie obsługiwany przez systemy Windows 8 w górę i możliwe jest podpięcie ich jako dysku przez dwukrotne kliknięcie. Wewnątrz pliku ISO znajduje się dokument Worda, którego jedyną treścią jest żywcem osadzony obiekt w postaci pliku EXE. To ci dopiero enkapsulacja! Tenże plik to program Windows o rozszerzeniu COM i długości równo 500 kilobajtów. Przedstawia się jako zupełne dziwadło:


    {
      VALUE "Comments",          " INstanTbIRd "
      VALUE "CompanyName",       " KAspErSkY Lab ZAO   "
      VALUE "FileDescription",   " AUdaCITy Team "
      VALUE "LegalCopyright",    " FAcEboOK INc. "
      VALUE "LegalTrademarks",   " FInArEa S.A. SWitzerland "
      VALUE "ProductName",       " CoDe LAborATories, Inc. "
      VALUE "FileVersion",       "1.00"
      VALUE "ProductVersion",    "1.00"
      VALUE "InternalName",      "Folkereprsentant"
      VALUE "OriginalFilename",  "Folkereprsentant.exe"
    }

Defender ubija go natychmiast. To ciekawe, ponieważ ten sam Defender na stronie Virus Total twierdzi, że plik jest w porządku i wykrywają go tylko cztery skanery. Tymczasem plik w środku szuka na dysku katalogów Firefox*\cache i Chrome*\cache. Potem nie radzi sobie zbyt dobrze z życiem i nie robi nic, ale zaklasyfikowanie go przez Defendera jako program go kradzieży haseł jest trafne.

W dalszym ciągu jednak, nabranie się na tak ordynarny przekręt wymaga co najmniej nieuwagi, a w praktyce – jednak pewnej ciemnoty. Jest wszelako pewien pozytywny morał z tej historii: jeżeli wirusy dalej polegają na e-mailach z fakturami, to znaczy, że do dystopijnej przyszłości pełnej niewykrywalnych wirusów jeszcze daleka droga.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na