Hesperbot Detection Scanner

Hesperbot es un troyano que se detectó alrededor del mes de Agosto en 2013, se trata de un troyano con funcionalidades similares a las que tiene la familia Zeus y la extinta SpyeEye. Algunas de estas funcionalidades que tiene Hesperbot son: Captura de pulsaciones de teclado, capturas de pantalla, captura de vídeo, creación de un proxy remoto e incluso la creación de un servidor de VNC.
Esta variante afecta a los usuarios de Turquía, la República Checa, Portugal y el Reino Unido. Este malware al igual que pasaba con Zeus, tiene un componente móvil que se encargará de robar el segundo factor de autenticación.

Infección del usuario

El usuario recibe un correo, instigando a que abra el documento adjunto, este es un dropper, protegido con un custom packer, que descargará Hesperbot al equipo para infectarlo.
Si miramos el análisis de la gente de ESET, con un diagrama queda muy bien explicado:

Arquitectura de infección
El ROL del dropper es inyectar dentro del proceso explorer.exe para descargar los componentes necesarios.

Módulos de Hesperbot
El componente móvil estaba disponible para las plataformas de Android, Symbian y Blackberry, con un selector, el usuario seleccionaba el tipo de smartphone que tenía:

Selección de smartphone

Una vez que se a infectado la máquina las siguientes claves del registro contendrán información cifrada:

Computer Name
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] “InstallDate”
Windows version
Processor architecture (x86, x64 or IA64)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography] “MachineGuid”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion] “DigitalProductId”

Esta y otras cosas, las podemos encontrar en este excelente Whitepaper

[+] http://www.welivesecurity.com/wp-content/uploads/2013/09/Hesperbot_Whitepaper.pdf

En una respuesta ante incidentes, es útil poder detectar si una máquina puede llegar a esta infectada, en este caso ha salido a la luz un escáner para detectar si una máquina está infectada con una variante de Hesperbot.

La herramienta a sido desarrollada por Hack 4 Career , así que lo que vamos a hacer es infectar una máquina con una muestra de Hesperbot con una de las muestras del informe de ESET.

He encontrado la herramienta en packetstorm, así que os dejo el enlace para descargarla
Hesperbot Detection Scanner (MD5: 6e50932089aaee64f33c7521af785baa)

Vamos a preparar en una máquina virtual, una muestra de Hesperbot y la herramienta de Hack 4 Career:

Muestra de Hesperbot y escáner

Infectamos la máquina


Si analizamos la muestra, en un entorno automatizado daría el siguiente report:

 [ General information ]
   * Analysis duration: 00:00:07
   * File name: c:\users\seifreed\downloads\e-fatura_1834820091.exe
   * File executed by: C:\Users\seifreed\Downloads\e-fatura_1834820091.EXE

 [ Changes to filesystem ]
   * Creates file C:\ProgramData\Sun\wvoliwok.bkp
   * Creates file C:\ProgramData\ydadazjb\wvoliwok.dat
   * Creates file C:\Users\seifreed\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-555486705-3761919541-3743433370-1000\9163bc389c0e9a8bfbaec6d3ef1644e5_7bac0c5d-ce49-41de-9f84-7b151d105b57
   * Creates file C:\Users\seifreed\AppData\Roaming\Microsoft\e-fatura_1834820091.EXE

 [ Changes to registry ]
   * Creates value "NukeOnDelete=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
   * Creates value "UseGlobalSettings=00000001" in key HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Explorer\BitBucket
   * Modifies value "NukeOnDelete=00000001" in key HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume\{9e345930-1ca2-11e4-a892-806e6f6e6963}
          old value empty
   * Creates value "(Default)=31" in key HKEY_CURRENT_USER\software\SandboxAutoExec
   * Creates value "LangID=0A0C" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
   * Creates value "SandboxieRpcSs.exe=Sandboxie COM Services (RPC)" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Program Files\Sandboxie
                           binary data=530061006E00640062006F00780069006500200043004F004D002000530065007200760069006300650073002000280052005000430029000000
   * Creates value "e-fatura_1834820091.EXE=e-fatura_1834820091.EXE" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Users\seifreed\Downloads
                                binary data=65002D006600610074007500720061005F0031003800330034003800320030003000390031002E004500580045000000
   * Creates value "e-fatura_1834820091.EXE=ConsoleApplication2" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Sandbox\BSA\user\current\AppData\Roaming\Microsoft
                                binary data=43006F006E0073006F006C0065004100700070006C00690063006100740069006F006E0032000000
   * Creates value "attrib.exe=Utilidad de atributo" in key HKEY_CURRENT_USER\software\classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Windows\System32
                   binary data=5500740069006C006900640061006400200064006500200061007400720069006200750074006F000000

 [ Network services ]
   * No changes

 [ Process/window/string information ]
   * Gets user name information.
   * Gets computer name.
   * Encrypts data.
   * Decrypts data.
   * Checks for debuggers.
   * Checks if user is admin.
   * Creates an event named "Global\CorDBIPCSetupSyncEvent_1604".
   * Creates a mutex "CrTsmwoOKVnQMHWIs".
   * Creates a mutex "Global\lzytugltixafozuzsqaxeluliresogylufokicojeluriqpkodklecysis.mutex".
   * Creates a mutex "Global\qbywqzizebgtapewhwosjpoxixkzudjwijibfsezucujozoqjgutuhudyb.mutex".
   * Creates a mutex "Global\akacopudiwetopacesypijuluzucyrydafyfunacoxexxvihixorulpkem.mutex".
   * Creates a mutex "Global\dheryjetexzwagewfgocaxflozipaqytdpelasejukjgakeputatsciraf.mutex".
   * Creates a mutex "Global\yfasecinewymyhejilaropafuwaxajumiviwakolapatlviruwulyqvcubjquvax".
   * Creates process "null, attrib.exe, null".
   * Injects code into process "C:\Windows\System32\attrib.exe".
   * Creates process "null, explorer.exe, null".
   * Injects code into process "C:\Windows\explorer.exe".
   * Contains string Detected Anti-Malware Analyzer routine: Sandboxie detection ("SbieDll.dll")
   * Contains string Detected Anti-Malware Analyzer routine: Wireshark detection ("wireshark")
   * Contains string Traces of AutoStart registry key ("Software\Microsoft\Windows NT\CurrentVersion\Winlogon")
   * Contains string Traces of AutoStart registry key ("Software\Microsoft\Windows\CurrentVersion\Run")
   * Contains string Detected Anti-Malware Analyzer routine: Norman Sandbox detection ("CurrentUser")
   * Sleeps 56 seconds.

Hay que tener en cuenta ciertas rutinas que tiene la muestra para detectar que está siendo ejecutada en una sandbox

 * Contains string Detected Anti-Malware Analyzer routine: Sandboxie detection ("SbieDll.dll")
   * Contains string Detected Anti-Malware Analyzer routine: Wireshark detection ("wireshark")
   * Contains string Traces of AutoStart registry key ("Software\Microsoft\Windows NT\CurrentVersion\Winlogon")
   * Contains string Traces of AutoStart registry key ("Software\Microsoft\Windows\CurrentVersion\Run")
   * Contains string Detected Anti-Malware Analyzer routine: Norman Sandbox detection ("CurrentUser")

Si infectamos la muestra en un entorno donde no hay ninguna sandbox presente, podremos ver como el dropper, baja los componentes necesarios.

Dropper bajando los componentes

Lanzamos el escaner, y veremos como escanea la memoria en busca de la infección:


La herramienta a podido encontrar que mi sistema se encontraba infectado con una muestra de Hesperbot.

Desde aquí darle las gracias a @MertSARICA por la herramienta y por el sample para las pruebas.
Referencias:

[+] http://www.welivesecurity.com/2013/09/06/hesperbot-technical-analysis-part-12/
[+] https://www.mertsarica.com/hesperbot-tarayicisi/


0 comentarios:

Publicar un comentario