Crypter
Crypter 2017 FUD

El examen de la Ciberdelincuencia metro, Parte 1: Crypters

Este post es el primero de una nueva serie titulada El examen de la Ciberdelincuencia metro . Cada puesto profundizará en diferentes aspectos de cómo operan los delincuentes, utilizando ejemplos actuales de las herramientas y técnicas. ¿Cuáles son sus herramientas de trabajo? ¿Cómo se consigue? ¿Cómo superar los retos que plantean los sistemas de seguridad y lucha contra el fraude? ¿Cómo se benefician los criminales de las estafas y convierten los datos robados en dinero en efectivo? La respuesta a estas preguntas ayudará a los lectores a comprender mejor uno de sus cyberadversaries primarias y utilizar ese conocimiento para una mejor protección de sus redes.

¿Qué es un Crypter?

Cifrados son herramientas de software que utilizan una combinación de cifrado, la ofuscación, y la manipulación del código de malware para hacerlos FUD (totalmente indetectable) por los productos de seguridad tradicionales.

¿Por qué los atacantes utilizan cifrados?

Para entender el papel que los cifrados juego en el delito cibernético, es útil para tratar de entender la mentalidad criminal cibernético. El Santo Grial para los delincuentes es el malware totalmente indetectable que les permita utilizar el mismo software malicioso en repetidas ocasiones sin ser detectado por una solución de seguridad. También quieren que sus ataques aleatorizados para asegurarse de que el fallo de un ataque no afectará el resultado de los ataques contra otras víctimas.

Sabiendo esto, veamos un escenario de ataque común utilizado por los ciberdelincuentes. Los ciberdelincuentes suelen utilizar herramientas de administración remota (RAT) para robar credenciales banca en línea, números de tarjetas de crédito, datos personales, u otras piezas valiosas de información. Uno de los más antiguos y RAT y más ampliamente utilizado es DarkComet. Esta herramienta permite delincuentes realizan una variedad de funciones, incluyendo:

  • Robar contraseñas y números de tarjetas de crédito
  • Descargar, cargar, borrar y renombrar archivos
  • Instalar virus y gusanos
  • Editar el registro de un ordenador
  • En silencio instalar aplicaciones
  • Recoger las pulsaciones o instalar software de captura de pulsaciones de teclas
  • Abrir una bandeja de CD-ROM
  • Controlar el ratón o el teclado
  • Grabación de sonido con un micrófono conectado
  • Grabar vídeo con una cámara web conectada
  • Apagar, reiniciar, o Desconectar el equipo
  • Registrar y controlar la pantalla de la víctima de forma remota
  • Ver, matar, y empezar a tareas en el administrador de tareas

Esta captura de pantalla, por ejemplo, muestra un espionaje atacante en una sesión de webcam usando una rata en el servidor del atacante CNC:

Pero el uso de DarkComet es un problema para la perspectiva del atacante, ya que casi cualquier solución de seguridad legado puede detectarlo.

Por ejemplo, esta muestra tiene DarkComet 47/56 tasa de detección de VirusTotal.com

sha256 - 2e93eb3e3266cf53280ba7314eefb5727fbe0277fe7ccba53d2e5355417a76f0

Sin embargo, utilizando cifrados permitirán que el cibercriminal para eludir las soluciones de seguridad existentes y utilizar la herramienta DarkComet sin ser detectado.

cifrados famosos

¿Cómo funciona un cibercriminal novato encontrarse a sí mismo un Crypter? Es sorprendentemente fácil. Una búsqueda en Google de "FUD Crypter descarga" dio 152.000 resultados, incluidos los lugares donde el software Crypter se pueden comprar tan fácilmente como una descarga de software legítimo.

Palo Alto Networks investigadores detectaron recientemente una nueva campaña de la delincuencia informática utilizando el Crypter DataScrambler notorio, anteriormente descrito y analizado en el trabajo de investigación Unidad 42 419 Evolución .

actualizaciones de datos de codificador

Parece que desde la publicación de nuestro reporte del Crypter desarrollador / vendedor marcó de nuevo el Crypter "LightCore" como "DataScrambler."

LightCore Crypter interfaz gráfica de usuario de la izquierda en comparación con DataScrambler interfaz gráfica de usuario a la derecha.

características de comparación

LightCore lista de características es idéntica a la lista de características de la DataScrambler mencionado en la  Evolución 419  papel. Incluso el orden en el que las características se enumeran orden sigue siendo el mismo:

Este es el contenido de la página web de promociones:

"Bienvenido a DataScrambler!"

DataScrambler es el Crypter más avanzada en el mercado y tiene un montón de características para un precio barato. Usted no puede ir mal con nuestro producto y en la parte superior de los precios bajos, se obtiene soporte gratuito y actualizaciones.

Soporte completo para los «clientes»

El vendedor "semi-comercial" ofrece los servicios de soporte, y el siguiente es uno instrucciones del atacante para sus "clientes":

"Quiero dejar claro a todos los clientes, en caso de que el archivo encriptado debe quedar detectado, que se actualizará dentro de las 48 horas. Por favor, no publicar sus problemas o detecciones en el hilo de ventas. Para obtener ayuda con DataScrambler, haga clic en el botón de ayuda, por favor lea la guía antes de ponerse en contacto conmigo ".

Término s de la comparación de servicios

También idéntica:

Crypter original desarrollador identidad / vendedor

Como parece que el DataScrambler desarrollador / vendedor original ha cambiado, hay dos escenarios diferentes:

  1. El desarrollador original está utilizando una nueva identidad, o
  2. El desarrollador original vendió los derechos de autor del código de Crypter / a otro desarrollador / vendedor

Sobre la base de los datos disponibles públicamente, la identidad original detrás DataScrambler es:

Nombre: Michael Mace 
Calle: 1807 Frederiksberg C 
Código Postal: 1529 
Ciudad: Koebenhavn 
País: DK 
Teléfono: 4523702947 
Email: macekings@gmail.com
MSN: theheadmaster151@live.com
Skype: supporter747

También lo conectamos a otros cifrados que al parecer vendió. TITANCRYPTER.COM está escrito en su nombre.

ADDAM`S FUD Crypter | FUD más de 1 mes | BYPASS KIS-AVG | extensión del cambiador

Información: 
Kaspersky de prueba  (DarkComet de derivación kis2012) 
Prueba Sonar 
medio de prueba 
Extensión cambiador
MSN : theheadmaster151@live.com
Skype : supporter747 - el mismo que el contacto de Datos Scrambler

Malla RATA cliente

"Soy revendedor en el Cliente de malla RAT también

Para sacar el DESCUENTO ESPECIAL El código de descuento 'head2015' al momento de pagar para comprarlo por $ 35 con!

https://www.sinister.ly/Thread-ClientMesh-RAT-In-Built-FUD-Crypter-Stable-DDoSer-No-PortForwading-40-Lifetime

este mercado es administrado por unverified@hotmail.com

Información de Contacto: 
MSN: theheadmaster151@live.com
Skype: supporter747 "- el mismo que el contacto de Datos Scrambler

El desarrollador Crypter identidad actual / vendedor

Esta persona mencionó que en el pasado trabajó para guepardo móvil (la segunda compañía de Internet y de seguridad móvil en China, que no está relacionado a este Crypter de ninguna manera). Pero podemos asumir el conocimiento sobre la seguridad del desarrollador y la experiencia fue desarrollar este Crypter .

Estudio de caso: la saga continúa

Un ataque reciente utilizando Crypter avanzada comienza por la lanza de phishing con el accesorio de RAR:

No se consulta: QP # 1400358.1 informaciones urgentes

Desplegar mensajes

Jason Clerk 
Abr 23 de, 2014 
1 Attachment 1,8 MB 
1,8 MB

Nueva compra Order.rar

Querido,

Favor citar el mejor precio para los siguientes artículos, si esta orden

será posible estar mueve hacia arriba en una semana? El comprador quiere que urgente!

Encontrará el arte y la nueva orden de compra en el siguiente enlace:

Ver adjunto en el enlace que encontrará el nuevo orden:

LINK: https://app.box.com/s/xxxxxxxxxxxxxxxxxxxxxx

Por favor, indique lo siguiente:

Validad de precio

Término de precio

.......

Atentamente 
para Denai SUMINISTRO Y SERVICIOS LTD

Jason Clerk 
Sourcing Procurement Clerk 
E-mail: jason.clerk@...; ventas @ ... 
H / P: 011-15762383 
Denai SUMINISTRO Y SERVICIOS LTD ....

La exposición de la atacante

En otro ataque, el atacante envía el correo phishing lanza bajo una identidad robada, "Trading GPS" fundador de la compañía y CEO, el Sr. Panos Dimitriadis. El nombre del archivo adjunto es Quotation_inquiry.scr (también enviada a importar [at] gpstrading.com ).

Tenga en cuenta que GPSTrading Sociedad no está conectado a este ataque y el atacante utiliza la identidad de su director general, en un esfuerzo para explotar confianza de la víctima y aumentar la probabilidad de la infección de éxito.

Hemos descubierto a los siguientes nuevos ataques, desconocidos hasta ahora públicamente, utilizando esos valores hash SHA256:

a3cedb916a21c89b6c17bf1a816d5e9dcbf0fd3ce5a7d42b449758d45788165a

02c80443fb49915b1943b44ab8ec4dce5b1ca53f3fcdb84fae23abcf45d34a66

f2991b653686dee801b1fb4163cc46343aa8cfdcc601b9a9acc31399e7548af5

38ccb84bfc5899317926b7384904c1987dcd6cf70397850050fafa34b1c85134

2b66b0aadabc85736226382a47972bfb950861ec0d218d7c5c45fd8ca6594717

623815f40ffceaec8eb08294750c89ad94a54694414fd8a70a965a71e122fc69

La dirección del servidor CNC no será publicada aquí porque es todavía activo. Es un servidor basado en Windows con FTP, CIFS e interfaces de Windows Terminal Server.

Análisis exhaustivo

El archivo adjunto al correo electrónico " Nueva Compra Order.rar" contiene: primera etapa SFX   infecta - sample.exe

sha256 - 02c80443fb49915b1943b44ab8ec4dce5b1ca53f3fcdb84fae23abcf45d34a66 desconocido para VirusTotal.com

sample.exe es SFX (auto-ejecutable) con un icono pdf falso que contiene un archivo ejecutable y muchos otros con extensiones al azar:

El SFX contiene una gran cantidad de comandos de basura (para pasar por soluciones de seguridad de herencia), pero en el medio en el que se esconde el comando de auto-ejecutar dmpbr.exe con el parámetro dhwdv.gko. Este es uno de los archivos de la SFX.

aplicación AutoIt - Dmpbr.exe

Esta es una aplicación de AutoIt verificado y firmado:

sha256 - fb73a819b37523126c7708a1d06f3b8825fa60c926154ab2d511ba668f49dc4b

Que es un archivo benigna aunque en Virus Total se anota 2/56 (2 falsos positivos de VirusTotal.com).

La primera etapa del Crypter - dhwdv.gko

guión AutoIt - esta es la primera etapa del Crypter.

sha256 - f8dc0013a94017cc19b8f865948daf83b64692db47199a994efab032d8b737f3 desconocido para VirusTotal.

El archivo contiene una gran cantidad de datos no deseados a las soluciones de seguridad de derivación existentes mediante el uso de comandos ofuscadas (como prima 435)

El script lee datos de los otros scripts (extraídos del archivo SFX) que a su vez leen datos de otro guión y así sucesivamente. Al final, un script ofuscado Crypter final se construyó.

Nos éxito de-ofuscado el guión final. Por ejemplo, las funciones de AutoIt todas las cadenas internas y las funciones de la API de Windows utilizados por el Crypter se ofuscado con un simple pero trabajando algoritmo (inverso hex bytes y decodificarlos a cadenas de caracteres ASCII).

Esta es una herramienta sencilla que pitón con guión al DE-ofuscar las cuerdas:

Crypter archivo definitivo

sha256- 082b41f71cc5a5118e1f70f49e059763d48fc072e7fc28f8efb11076537461f3 es 3/52 de VirusTotal (pero es por lo textual se pueden cambiar sin mucho esfuerzo por parte del atacante).

Este Crypter es compatible con:

Descifrar DarkComet con el algoritmo RC2 descifrado en la memoria, compruebe el registro para el navegador por defecto, crea proceso del explorador suspendido, escribir a DarkComet verificado proceso del explorador firmado, utiliza SetThreadContext para cambiar el flujo de ejecución hacia el código inyectado y reanudar el proceso y borrarse a sí mismo.

El resultado es firmado ejecutable del navegador (en nuestro caso se trata de Chrome y la firma de Google 
1c9e1a3aef25e34ea0fda67d3840c53a5449d63db6e9070f6dfc66f2fef92b15 0/55) que se conecta a DarkComet CNC ejecutar comandos atacantes .

No hay archivo sin signo se escribe en el disco al lado de los archivos de texto ofuscado AutoIt AutoIt y firmada confiaba.

El Crypter añade sus propias capacidades (al lado de DarkComet) mediante la lectura de los comandos de YMQGIX, un archivo INI:

Los comandos incluyen:

  • Anti-caja de arena
  • Facebook robo de contraseñas
  • Desactivar administrador de tareas (que no trabaja en la muestra analizada, debido a atacantes faltas de ortografía, (comprobar el nombre de proceso equivocado en lugar de taskmgr.exe)
  • desactive Restaurar sistema
  • Anti-emulador

Sospechamos hemos encontrado un error en el código anti-emulador. Funciona mediante la apertura de mshta.exe siete veces y matarlo y luego bucles hasta que esos procesos son asesinados, pero no está claro por qué el autor asume que le proteja contra los emuladores.

Ver código de Crypter de la función anti-emulador:

Anti-VM, descargar y ejecutar de otro software malicioso

archivo de configuración INI - YMQGIX

INI comandos y ajustes para Crypter

sha256 - c547ad05ebed04bad9e5509cb979413fb05c88bfab6313ef110a00b035de9aad es desconocido para VirusTotal.

rc2 cifrada extap el malware

rc2 el malware cifrado descifrado por el Crypter en tiempo de ejecución

sha256-7f88d9a894da7b2ccfb331d223307cc0c94730849f4b58a8fa43513ba98c4b63 desconocido para VirusTotal.

Conclusión

El metro ciberdelincuencia está evolucionando, y las empresas que utilizan soluciones de seguridad tradicionales no estará protegido sin una plataforma de seguridad empresarial de próxima generación. Nuestra próxima entrada en el metro ciberdelincuencia estará enfocada en las fases post-ataque, incluyendo cómo los atacantes utilizan datos de la tarjeta de crédito víctimas para robar el dinero, y el estado actual del mercado subterráneo de suplantación de identidad

Este sitio web fue creado de forma gratuita con PaginaWebGratis.es. ¿Quieres también tu sitio web propio?
Registrarse gratis