Análisis de ZeroLocker I

Uno de los tipos de malware que mas estragos a causado entre los usuarios finales y las empresas son los ransomware. Este tipo de malware cifra los archivos de disco con una clave fuerte y pide dinero para poder recuperarlo.
Dependiendo del ransomware, cifrará de alguna manera u otra. Si recordáis la variante de Cryptolocker, este malware buscaba ciertas extensiones y las cifraba.

Extensiones que ataca Cryptolocker: .odt, .ods, .odp, .odm, .odc, .odb, .doc, .docx, .docm, .wps, .xls, .xlsx, .xlsm, .xlsb, .xlk, .ppt, .pptx, .pptm, .mdb, .accdb, .pst, .dwg, .dxf, .dxg, .wpd, .rtf, .wb2, .mdf, .dbf, .psd, .pdd, .pdf, .eps, .ai, .indd, .cdr, .jpg, .jpe, .jpg, .dng, .fr, .arw, .srf, .sr2, .bay, .crw, .cr2, .dcr, .kdc, .erf, .mef, .mrw, .nef, .nrw, .orf, .raf, .raw, .rwl, .rw2, .r3d, .ptx, .pef, .srw, .x3f, .der, .cer, .crt, .pem, .pfx, .p12, .p7b, .p7c.

Si sufristeis la infección de este malware, recordaréis esta imagen:

Cryptolocker

Para conseguir los archivos de cryptlocker había que pagar, pero gracias a las empresas de seguridad (FireEye y Fox-IT) ya existe un servicio para conseguir estos archivos.

Mensaje de servicio de descifrado de archivos

ZeroLocker, es otro tipo de ransomware y funciona de forma un poco distinta, este ransomware no cifra por extensiones sino que cifra todos los archivos del disco. Les añade una extensión .encrypt.
Cuando ha cifrado todos los archivos, el usuario podría ver el mensaje de ransomware.

Mensaje de ZeroLocker

Como veis, el pago se realizaría mediante Bitcoins, como ocurre con otros ransomware.
A continuación vamos a analizar un poco como funciona este malware.
ZeroLocker no cifra archivos mayores de 20MB y tampoco cifrará los ficheros con los nombres "Windows", "WINDOWS", "Program Files", "ZeroLocker" o "Desktop".

Lo primero que vamos a hacer es analizar el fichero binario para ver las propiedades que tiene:

Resumen del binario

Como veis la muestra se compiló hace poco y lleva un packer.

Packer detectado en el análisis
Analizando la muestra también encontramos, datos interesantes:

File name discovered [3]
------------------------------------------------------------
Executable         Task Manager.exe
Library            mscoree.dll
Database           C:\Users\George\Desktop\Projects\ZeroLocker\Testing Stuff\Testing Stuff\obj\Debug\Task Manager.pdb

El análisis del binario, nos da información sobre su creación.
Por último, de las propiedades del binario:

Translation: 0x0000 0x04b0
LegalCopyright: Copyright \xa9  2014
Assembly Version: 3.23.12.12
InternalName: Task Manager.exe
FileVersion: 3.23.12.12
ProductName: Task Manager
ProductVersion: 3.23.12.12
FileDescription: Task Manager
OriginalFilename: Task Manager.exe

Como veis, se hace pasar por el TaskManager de Windows, si miramos las propiedades.
ZeroLocker cifra los archivos usando una clave 160-bit AES.

Como enseñaba antes, el archivo está programado en .NET por lo que nos bajamos un decompilador, para echarle un vistazo

NET Reflector
Lo primero que hago es analizar el tráfico de red, para ver si comunica con al algún C&C

Tráfico de red
El servidor comunica con la IP 5.199.171.47, lo primero que hago es analizar que actividad hay relacionada con esta IP.

Datos pDNS
He podido comprobar que de la IP 5.199.171.47, hay diversa actividad maliciosa desde 2013. Por lo tanto es una infraestructura que se re-utiliza para fines maliciosos.
De la IP 5.199.171.47, tiene los siguientes puertos abiertos:

21/tcp    open  ftp     vsftpd 2.2.2

22/tcp    open  ssh     OpenSSH 5.3 (protocol 2.0)
| ssh-hostkey: 
|   1024 ec:61:51:ee:bc:c2:6e:9e:19:6b:06:8d:4f:2c:ce:1e (DSA)
| ssh-dss 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
|   2048 d7:16:da:96:76:f7:41:4a:ff:a2:a0:e6:ff:0c:0f:87 (RSA)
|_ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAvc6CtJrpt0hG5QPr0grHwEJCw+vRgKRY81aNQ4iPc1FxWYD0ot+OwtTExeMJl0bdw8S1zsBt1k/mLe1KCR8zMNz13kfVD8WJ+cfU98An+HgY/SvdD42+ae8HXZTXJPmZTMQE9tkMaQAODO/DXfFpM03DqV/OQfQUUYiqiTSlVj9OzPlVIWUVJXrdsS3Cnjov5KOidVkUDsrU/n7tkISpm8Wu5BHTMFut+tlfjUzV1nYM/IxcOjAxb0RtHz0GS4RSS4x5DsQ/lSCJqqOv4P9OV0CDmS3P0KjKjzLulAGCok1KCYqIHHvj8ugv4WJZlAUtx3ZHN3kN/E9ZgKXNPs24JQ==

80/tcp    open  http    Apache httpd 2.2.15 ((CentOS))
| http-methods: GET HEAD POST OPTIONS TRACE
| Potentially risky methods: TRACE
|_See http://nmap.org/nsedoc/scripts/http-methods.html
|_http-title: Apache HTTP Server Test Page powered by CentOS

53795/tcp open  unknown
Service Info: OS: Unix

Otra de la actividad relacionada con la IP es:


date URL
12/10/14 http://5.199.171.47/zconfig/91184
17/9/14 http://5.199.171.47/patriote/sansviolence%5B%5D
9/9/14 http://5.199.171.47/patriote/sansvioence
8/9/14 http://5.199.171.47/
4/9/14 http://5.199.171.47/patriote/sansviolenc
4/9/14 http://cheatzone.ygto.com/private/updatecb7r.exe
4/9/14 http://5.199.171.47/patriote/sansviolence
31/8/14 http://5.199.171.47/zImprimer/446305781-6Anf32MoZG805MwwG2lX-17xQqSvhHu3bEmYdmo1G1hwob1h6UFq3oe
31/8/14 http://5.199.171.47/zConfig/173812
31/8/14 http://5.199.171.47/patriote/
27/8/14 http://5.199.171.47/zConfig/127053
24/8/14 http://cheatzone.ikwb.com/secure/downloads/CoC_Cheat_Tool_v2.32.exe
18/8/14 http://5.199.171.47/zConfig/3797
13/8/14 http://5.199.171.47/zConfig/120327
13/8/14 http://5.199.171.47/zImprimer/3891027120-OYRfMZNTD05KEnuSGcKw-1MvEwFHN6iMs9rNWxx75sqEVGi37gCDrJE
13/8/14 http://5.199.171.47/zConfig/173384
8/8/14 http://cheatzone.ikwb.com/private/UpdateCB9.exe
28/7/14 http://cheatzone.ikwb.com/140501.exe
17/7/14 http://cheatzone.otzo.com/private/UpdateCheck.exe
15/7/14 http://cheatzone.ygto.com/download/Clash%20of%20Clans%20Hack%20v2.1.zip
2/7/14 http://cheatzone.ikwb.com/download/Clash%2Bof%2BClans%2BHack%2Bv2.1.zip
25/6/14 http://cheatzone.ygto.com/private/updatecheckr.exe
18/6/14 http://cheatzone.ygto.com/private/UpdateCB30.exe
13/6/14 http://cheatzone.ygto.com/private/UpdateCheckR.exe
13/6/14 http://cheatzone.ygto.com/secure/downloads/Crossfire_ZP_v2.32.exe
12/6/14 http://cheatzone.ygto.com/private/updatecb28.exe
8/6/14 http://cheatzone.ygto.com/private/UpdateCB28.exe
5/6/14 http://cheatzone.ygto.com/private/UpdateCB27.exe
3/6/14 http://cheatzone.ygto.com/secure/downloads/LiveJasmin_Credits_v2.32.exe
1/6/14 http://cheatzone.ikwb.com/140404.exe
1/6/14 http://cheatzone.otzo.com/secure/downloads/dungeonhunter_tool_v3.2.exe
1/6/14 http://cheatzone.otzo.com/private/updatecheck.exe
1/6/14 http://cheatzone.otzo.com/private/updatecb6r.exe
1/6/14 http://cheatzone.otzo.com/private/updatecb24.exe
1/6/14 http://cheatzone.otzo.com/private/updatecb23.exe
1/6/14 http://cheatzone.otzo.com/private/sub1.exe
31/5/14 http://cheatzone.ygto.com/private/UpdateCB26.exe
31/5/14 http://cheatzone.ygto.com/
30/5/14 http://cheatzone.otzo.com/cmd/mArgx
30/5/14 http://cheatzone.otzo.com/private/ptdep
30/5/14 http://cheatzone.otzo.com/private/lcdep
30/5/14 http://cheatzone.otzo.com/private/core32.exe
30/5/14 http://cheatzone.otzo.com/private/UpdateCB24.exe
30/5/14 http://cheatzone.otzo.com/secure/downloads/DungeonHunter_Tool_v3.2.exe
30/5/14 http://cheatzone.otzo.com/private/UpdateCB6R.exe
30/5/14 http://cheatzone.otzo.com/private/msc01
30/5/14 http://cheatzone.ygto.com/private/UpdateCB7R.exe
29/5/14 http://cheatzone.ygto.com/private/UpdateCheckR
29/5/14 http://cheatzone.ygto.com/cmd/mArg
29/5/14 http://cheatzone.ygto.com/private/core32.exe
28/5/14 http://cheatzone.otzo.com/private/core64xstart.exe
28/5/14 http://cheatzone.ygto.com/private/UpdateCB25.exe
27/5/14 http://cheatzone.ygto.com/private/core64x.exe
26/5/14 http://cheatzone.otzo.com/private/updatecb22.exe
26/5/14 http://cheatzone.ikwb.com/secure/downloads/crossfire_zp_v2.32.exe
26/5/14 http://cheatzone.ikwb.com/private/updatecheck.exe
26/5/14 http://cheatzone.ikwb.com/private/updatecb9.exe
26/5/14 http://cheatzone.ikwb.com/private/updatecb12.vtsafe.exe
26/5/14 http://cheatzone.ikwb.com/private/updatecb10.exe
25/5/14 http://cheatzone.otzo.com/
23/5/14 http://cheatzone.otzo.com/private/UpdateCB23.exe
23/5/14 http://cheatzone.ikwb.com/secure/downloads/Crossfire_ZP_v2.32.exe
23/5/14 http://cheatzone.ikwb.com/140424.exe
23/5/14 http://cheatzone.ikwb.com/private/UpdateCB12.vtsafe.exe
23/5/14 http://cheatzone.otzo.com/private/UpdateCB22.exe
20/5/14 http://cheatzone.otzo.com/private/UpdateCB5R.exe
20/5/14 http://cheatzone.otzo.com/ccc.exe
20/5/14 http://cheatzone.otzo.com/private/core32start.exe
20/5/14 http://cheatzone.otzo.com/private/UpdateCheckR.exe
20/5/14 http://cheatzone.otzo.com/private/Sub1.exe
20/5/14 http://cheatzone.ikwb.com/private/UpdateCB4R.exe
19/5/14 http://cheatzone.otzo.com/private/core64x.exe
18/5/14 http://cheatzone.otzo.com/private/UpdateCB21.exe
14/5/14 http://cheatzone.otzo.com/private/UpdateCB20.exe
10/5/14 http://cheatzone.ikwb.com/ccc.exe
9/5/14 http://cheatzone.ikwb.com/private/Sub1.exe
6/5/14 http://cheatzone.ikwb.com/cmd/mArgx
6/5/14 http://cheatzone.ikwb.com/private/lcdep
6/5/14 http://cheatzone.ikwb.com/private/UpdateCheckR.exe
5/5/14 http://cheatzone.ikwb.com/
4/5/14 http://cheatzone.ikwb.com/private/core64x.exe
4/5/14 http://cheatzone.ikwb.com/private/core64xstart.exe
3/5/14 http://cheatzone.ikwb.com/download/Clash%20of%20Clans%20Hack%20v2.1.zip
2/5/14 http://cheatzone.ikwb.com/cmd/mArg
30/4/14 http://cheatzone.ikwb.com/private/UpdateCB14.exe
30/4/14 http://cheatzone.ikwb.com/secure/downloads/BingoBash_Cheat_v2.exe
30/4/14 http://cheatzone.ikwb.com/secure/downloads/Chaturbate_Hack_v2.32.exe
29/4/14 http://cheatzone.ikwb.com/140428.exe
28/4/14 http://cheatzone.ikwb.com/private/UpdateCB13.exe
21/4/14 http://cheatzone.ikwb.com/secure/downloads/HayDay_Cheat_v3.5.exe
9/4/14 http://cheatzone.ikwb.com/private/UpdateCB12.exe
8/4/14 http://cheatzone.ikwb.com/download/Clash%20of%20Clans%20Hack%20v2.1.zip%5BClash%20of%20Clans%2...
6/4/14 http://cheatzone.ikwb.com/private/UpdateCB11.exe
5/4/14 http://cheatzone.ikwb.com/secure/downloads/dungeonhunter_tool_v3.2.exe
5/4/14 http://cheatzone.ikwb.com/secure/downloads/CandyCrushSaga_Cheat_v4.25.exe
5/4/14 http://cheatzone.ikwb.com/private/UpdateCB10.exe
31/3/14 http://cheatzone.ikwb.com/private/core64.exe
29/3/14 http://cheatzone.ikwb.com/private/core32.exe
29/3/14 http://cheatzone.ikwb.com/private/UpdateCB8.exe
29/3/14 http://cheatzone.ikwb.com/private/core32start.exe

Estas son URL que contienen malware, y que están relacionadas con la IP, como veis, mucha actividad maliciosa relacionada con ella.

En la segunda fase, vamos a ver como son los ficheros cifrados y como conseguir descifrarlos.


1 comentarios:


  1. I like the valuable info you provide in your articles. I will bookmark your weblog and check again here frequently. I am quite certain I will learn many new stuff right here! Best of luck for the next! facebook login

Publicar un comentario