MSIL/Agent.PYO : Botnet นักเดินทาง

Posted on January 29, 2015 by welivesecurity in Malware

เมื่อเร็วๆ นี้ นักวิจัยของ ESET พบชิ้นส่วนของมัลแวร์ที่มีการกำหนดเป้าหมายอยู่ที่แบบฟอร์มการกรอกข้อมูลของ สถานกงสุลของประเทศโปแลนด์ซึ่งเป็นเอกสารสำหรับการสมัครขอวีซ่า

ชาวเบลาลุสที่ต้องการวีซ่าจำเป็นจะต้องกรอกแบบฟอร์มเพื่อนัดหมายกับสถาน กงสุลโดยแบบฟอร์มที่ยื่นไปจะต้องมีการระบุวันแบบเฉพาะเจาะจง (ตัวอย่างเช่นแบบฟอร์มสำหรับเดือนมกราคม 2015 จะต้องยื่นในช่วงวันที่ 20 และ 21 ธันวาคม)และจำนวนของการนัดหมายก็มีจำกัด ด้วยขั้นตอนการกรอกแบบฟอร์มนัดหมายที่ซับซ้อนทำให้หลายคนหันไปใช้สคริปต์การ กรอกแบบฟอร์มแบบอัตโนมัติแทนช่วยลดกระบวนการในการกรอกแบบฟอร์ม แม้ว่าราคาจะแพงกว่าการกรอกแบบฟอร์มด้วยมือก็ตามเพื่อการเอาชนะบอทเหล่านี้ สถานกงสุลได้เพิ่มระบบ CAPTCHA ในเว็บไซต์ของพวกเขาและจำกัดการเชื่อมต่อไปยังเซิร์ฟเวอร์สำหรับหมายเลขไอพี ในประเทศโปแลนด์และเบลาลุสเท่านั้น
ข้อความสีแดงในรูปด้านล่าง สามารถแปลได้ว่า “ใบสมัครลงทะเบียนอิเล็คทรอนิคส์สำหรับการยื่นขอวีซ่าสำหรับกงสุลใน Minsk, Grodno และ Brest สามารถดูได้ที่ https://by.e-konsulat.gov.pl เราแนะนำให้คุณเข้าเว็บพอร์ทัลที่ https://by.e-konsult.gov.pl ที่สามารถเข้าได้เฉพาะเครื่องคอมพิวเตอร์ที่มีหมายเลขไอพีของโปแลนด์และเบลาลุสเท่านั้น”

มีบางคนตัดสินใจที่จะเดินหน้าไปยังขั้นตอนต่อไปและได้สร้างบอทเน็ตเฉพาะ ขึ้นมาเพื่อจุดประสงค์ในการกรอกแบบฟอร์มนี่คือที่ที่เราพบชิ้นส่วนของมัลแว ร์ MSIL/Agent.PYO กลับมาที่เรื่องของเรามัลแวร์นี้มีส่วนประกอบมากมาย ในส่วนของดาวน์โหลด (เราพบการใช้งาน 2 เวอร์ชั่นที่ต่างกันตัวหนึ่งเขียนด้วย C# อีกตัวเขียนด้วย C++) และองค์ประกอบหลัก ซึ่งชื่อเดิมคือ “Konsulat.RemoteClient”
การปฏิบัติการคือการทำให้วุ่นวายด้วย .NET Reactor แต่ก็มีการฝังโมดูลบางตัวเอาไว้ด้วย

ข้อดีของโปรแกรม .NET ก็คือ หากไม่มีการป้องกันไว้ เราสามารถแยกส่วนประกอบด้วยเครื่องมืออย่าง JustDecomplie, Dotpeek หรือ ILSpy ในการสร้างโค้ดที่ค่อนข้างใกล้เคียงกับตัวต้นฉบับทั้งฟังก์ชั่นและชื่อของ ตัวแปร

โปรแกรมที่ถูกแยกส่วนออกมาเป็นโมดูลที่แตกต่างกันซึ่งจะช่วยในการวิ เคราะห์ สำหรับตัวอย่าง โค้ดในแต่ละขั้นตอนสำหรับกระบวนการลงทะเบียนที่มีการแยกส่วนกันอยู่

โค้ดที่รับผิดชอบหน้าที่ในกาสื่อสารกับเซิร์ฟเวอร์ C&C ถูกสร้างโดยใช้ WCF (Windows Communication Foundation) ซึ่งนี่คือกรอบที่ถูกใช้ในการสร้างเว็บเซอร์วิส ขั้นตอนการติดต่อกับอุปกรณ์ปลายทางมีดังนี้
net.tcp://37.28.153.162:26900/control
net.tcp://37.28.153.162:26900/log
http://37.28.153.162:7425/
4 วันก่อนที่จะเปิดให้ลงทะเบียน องค์ประกอบการดาวน์โหลดของ MSIL/Agent.PYO จะถูกกระจายผ่านทาง Nuclear Exploit Kit และมีเพียงคอมพิวเตอร์ที่อยู่ในเบลาลุสเท่านั้นสถิติจาก Bit.ly ลิงค์ที่ถูกใช้ในการเปลี่ยนเส้นทางแสดงให้เห็นว่ามีคอมพิวเตอร์มากกว่า 200,000 เครื่องที่ถูกเปลี่ยนเส้นทางโดยการใช้ประโยชน์จากช่องโหว่ใน 6 วันที่ผ่านมา

คาดกันว่าในวันที่ 20 และ 21 ธันวาคม บอทเริ่มมีการรับคำสั่งในการกรอกแบบฟอร์มลงทะเบียน ผู้พัฒนามัลแวร์ใช้ประโยชน์จากความวุ่นวายในการอัพเดตบอทเน็ต โดยจำนวนของเวอร์ชั่นมีการเปลี่ยนแปลงไปถึง 3 เวอร์ชั่นในสองวัน
Data                     Version
2014-12-20         1.5.24.0
2014-12-20         1.5.25.0
2014-12-22         1.5.29.0
2014-12-29         1.5.31.0
การตรวจสอบบอทเน็ตเผยให้เห็นว่า มีเครื่องคอมพิวเตอร์ประมาณ 300 เครื่องซึ่งเกือบทั้งหมดอยู่ในเบลาลุส ในช่วงกว่า 5 สัปดาห์ มีคอมพิวเตอร์กว่า 925 เครื่องทำการเชื่อมต่อกับบอทเน็ต ซึ่งเป็นที่น่าแปลกใจสำหรับบอทเน็ตที่มีจุดประสงค์แบบเฉพาะเจาะจงเราได้รวบ รวมข้อมูลและแจ้งไปยัง CERT-PL และ CERT-BY ทีมรับมือเหตุฉุกเฉินด้านคอมพิวเตอร์ในเบลาลุสและโปแลนด์

ตัวอย่างการวิเคราะห์

SHA1	Component	Detection name
01baf70db10c506a5ff7629a4a8a30416835769f	Downloader	Win32/TrojanDownloader.Agent.AZM
3a63b784b900688e55b8925cbead856f62535ada	Downloader	MSIL/Agent.PYO
80e49d21e314e17c8d99230444f77820c67318cb	Updater	MSIL/Agent.PYO
254e1ceaa44ce19570a6d4b0812d3b6081a48782	RemoteClient	MSIL/Agent.PYO

welivesecurity
blog.eset.co.th

ระวัง ข่าว R.I.P ใน Facebook หลอกลวงเรื่องคนดังเสียชีวิต เผลอคลิ๊ก สร้างความเสียหาย!

ข้อความหลอกลวง “ขอให้ไปสู่สุขคติ” หรือ “Rest in Peace” บนโซเชียลมีเดียยังคงเพิ่มขึ้นอย่างต่อเนื่อง  เฉินหลง, มอร์แกน ฟรีแมน, วิล สมิธ, คีนู รีฟส์ และริฮานน่า คือตัวอย่างคนดังที่มีการอ้างว่าเสียชีวิตในข้อความหลอกลวงที่นำออกเผยแพร่ในช่วงที่ผ่านมา  โดยปกติแล้วข้อความดังกล่าวจะมีลิงค์เชื่อมโยงไปยังวิดีโอ  ก่อนที่ผู้ใช้จะเห็นวิดีโอนั้น เขาจะถูกล่อหลอกให้แชร์ข้อความดังกล่าวให้แก่ครอบครัวและเพื่อนๆ ทุกคน เพื่อแพร่กระจายข้อความหลอกลวงในวงกว้าง

แม้กระทั่งภายหลังการแชร์ข้อความโพสต์ ผู้ใช้จะยังคงไม่สามารถดูวิดีโอของปลอมได้ แต่จะถูกนำไปยังไซต์โฆษณา   และหลอกให้คุณกรอกแบบสอบถาม หลอกลวงให้ผู้ใช้ดาวน์โหลดปลั๊กอิน ซึ่งปลั๊กอินนั้นเป็นโค้ดที่ Hacker ได้สร้างขึ้น  เรื่องการแชร์ข้อความหลอกลวงประเภทนี้ไม่ใช่เรื่องใหม่ แต่ตราบใดที่ยังคงทำเงินได้ ก็จะยังคงมีการนำมาใช้อย่างต่อเนื่อง 

รูปที่ 1. ข้อความหลอกลวงพร้อมวิดีโอปลอมที่ถูกแชร์บนเว็บไซต์โซเชียลมีเดีย

ตอนนี้ ผู้หลอกลวงบางรายมุ่งเน้นเรื่องราวของพอล วอคเกอร์ และโรเจอร์ โรดาส ซึ่งเสียชีวิตในอุบัติเหตุทางรถยนต์เมื่อไม่นานมานี้  แม้ว่าพื้นฐานของเรื่องราวนี้จะเป็นเรื่องจริง แต่ผู้หลอกลวงใช้กรณีการเสียชีวิตที่น่าเศร้านี้เพื่อเผยแพร่วิดีโอปลอมที่อ้างว่าเป็นภาพวิดีโอขณะที่รถพุ่งชนซึ่งไม่เคยเผยแพร่ที่ไหนมาก่อน   โดยกลุ่มผู้หลอกลวงกลุ่มหนึ่งมีความเชี่ยวชาญเป็นพิเศษในการใช้แอพอันตรายบน Facebook โดยเพียงแค่ใช้ Java Script ที่ระบุตำแหน่งที่ตั้ง IP อย่างง่ายๆ ผู้หลอกลวงก็จะสามารถระบุตำแหน่งที่ตั้งของผู้ใช้ และเปลี่ยนทิศทางเบราว์เซอร์ไปยังไซต์ที่เหมาะกับภูมิภาคนั้นๆ ซึ่งนับเป็นกลยุทธ์ที่ตรงไปตรงมาและพบเห็นได้ทั่วไปในปัจจุบัน  การเปลี่ยนทิศทางนี้จะนำไปสู่แอพ Facebook อันตราย, เว็บไซต์หลอกลวงที่ถูกโฮสต์ในที่ตั้งระยะไกล หรือ Phishing  แต่โชคดีที่ว่าในตัวอย่างนี้ เว็บไซต์ฟิชชิ่งดูไม่ค่อยน่าเชื่อถือสักเท่าไร เพราะเบราว์เซอร์บางชนิดทำให้เค้าโครงของไซต์แสดงผลอย่างไม่ถูกต้อง

รูปที่ 2. เว็บเพจปลอมสำหรับการล็อกอินเข้าสู่ Facebook แสดงเค้าโครงที่ผิดเพี้ยน

อย่างไรก็ดี ในบางครั้งการเปลี่ยนทิศทางดังกล่าวอาจข้ามคำเตือนของ Facebook เกี่ยวกับ URL อันตราย  เมื่อใดก็ตามที่ผู้ใช้คลิกที่ลิงค์ในข้อความโพสต์บน Facebook เบราว์เซอร์จะถูกเปลี่ยนทิศทางไปยังสคริปต์การถ่ายโอนข้อมูล  หาก Facebook คิดว่า URL ปลายทางมีลักษณะน่าสงสัย ก็จะแสดงข้อความคำเตือน เพื่อแจ้งผู้ใช้ให้ระมัดระวังและอนุญาตให้ผู้ใช้รายงานว่าโพสต์ดังกล่าวเป็นสแปม  เนื่องจากเว็บเพจแสดงในกรอบที่อยู่ข้างใต้คำเตือน ดังนั้นในบางกรณีจึงเป็นไปได้ว่าผู้หลอกลวงอาจเปลี่ยนทิศทางผู้ใช้ไปยังไซต์ใหม่โดยอัตโนมัติ  ด้วยเหตุนี้ ผู้ใช้จะเห็นเฉพาะข้อความคำเตือนในช่วงเวลาไม่ถึงหนึ่งวินาทีก่อนที่จะถูกส่งไปยังหน้าแอพพลิเคชั่น Facebook ที่เป็นอันตราย  โดยมากแล้วมักจะมีการเปลี่ยนทิศทางหลายครั้งกว่าที่จะไปถึงเว็บเพจสุดท้าย

รูปที่ 3. คำเตือนเกี่ยวกับการเปลี่ยนทิศทางลิงค์

หากผู้ใช้พยายามที่จะติดตั้งโปรแกรมอันตราย โปรแกรมนั้นจะขออนุญาตในการอ่านข้อมูลของผู้ใช้และโพสต์ข้อความไว้ในไทม์ไลน์  เป้าหมายหลักของผู้หลอกลวงในที่นี้ก็คือ การโพสต์ข้อความผ่านทางบัญชี Facebook ของผู้ใช้โดยที่เหยื่อไม่รู้ตัว เพื่อให้คนอื่นๆ หลงเชื่อข้อความหลอกลวงดังกล่าว  ในแต่ละชั่วโมง มีผู้ใช้ 200-300 คนคลิกที่ลิงค์ และบางคนก็เผลอโดนหลอกติดตั้งโปรแกรมอันตรายไปแล้ว

แน่นอนว่า Facebook พยายามอย่างเต็มที่ที่จะปิดลิงค์อันตรายและลบโปรแกรมดังกล่าวโดยเร็วที่สุด อย่างไรก็ตาม คนร้ายใช้ระบบสร้างสคริปต์คำสั่งแบบอัตโนมัติ และแต่ละโดเมนโฮสต์สำเนาของโปรแกรมอันตรายบน Facebook มากกว่า 2,000 สำเนา โดยแต่ละสำเนาใช้ชื่อที่แตกต่างกันเล็กน้อย ช่วยให้ผู้หลอกลวงสามารถสับเปลี่ยนหมุนเวียนลิงค์อันตรายหลังจากที่โปรแกรมถูกปิดกั้น แบบไม่สิ้นสุด

 รูปที่ 4. โปรแกรมหลอกลวงขออนุญาต

ดังนั้น ผู้ใช้ Facebook ต้องระวังและตรวจสอบสิ่งต่างๆ ที่เพื่อนของคุณโพสบน timeline facebook หรือ Social Media อื่นๆดังนี้

• อย่าติดตั้งปลั๊กอินหรือเครื่องมือจากไซต์ที่ไม่น่าเชื่อถือ
• ระวัง คิดพิจารณาให้รอบคอบ ก่อนที่จะกรอกแบบสอบถามออนไลน์ เพราะแบบสอบถามนี้อาจขโมยข้อมูลส่วนตัวบางอย่างของคุณ
• อย่าคลิกลิงค์ที่พาเข้าเว็บไซต์แปลกๆ
• เมื่อกำลังติดตั้งโซเชียลแอพพลิเคชั่น เช่นพวกแอพต่างๆบน facebook ให้ตรวจสอบว่าแอพนี้ขออนุญาตเข้าถึง ข้อมูลส่วนไหนของเราบ้าง

ข้อมูลจาก Symantec

it24hrs.com

CTB-Locker : มัลลแวร์เรียกค่าไถ่หลายภาษา

ในบทความก่อนหน้านี้เราได้เคยพูดถึง Ransomware ซึ่งเป็นภัยคุกคามที่อยู่ใกล้ตัวคุณ และเกิดขึ้นบ่อยในหลายภูมิภาค ไม่นานมานี้ผ่านมาเราได้รับรายงานการแพร่กระจายของมัลแวร์

ในหลายประเทศในแถบละตินอเมริกา และยุโรปตะวันออก อีเมล์หลอกลวงนี้บรรจุไฟล์แนบที่อ้างว่าเป็นเอกสารแฟกช์ ซึ่งจริงๆ แล้วไม่ได้มีอะไรมากไปกว่าการแฝงตัวของโค้ดที่เป็นอันตราย โดยมีเป้าหมายสูงสุดอยู่ที่การเข้ารหัสไฟล์เพื่อเรียกค่าไถ่เป็น Bitcoins สำหรับการปลดล็อกรหัส เพื่อเอาข้อมูลกลับมา

ในบทความนี้เราจะเห็นว่า CTB-Locker Ransomware การกระจายตัวของมัลแวร์ ซึ่งสร้างความปวดหัวให้ผู้ใช้นับพัน ทั้งใน โปแลนด์ เม็กซิโก และในเม๊กซิโกเป็นที่ที่มีการติดเชื้อมากที่สุด เราสามารถดูผลกระทบได้จากกราฟิกที่มีการเปรียบเทียบเป็นเปอร์เซ็นต์การติด เชื้อในแต่ละประเทศ
การโจมตีเริ่มจากอีเมล์หลอกลวงที่เข้ามายังกล่องรับจดหมายของคุณ โดยอีเมล์อ้างว่าสิ่งที่แนบมาด้วยคือ เอกสารแฟกซ์ ไฟล์ถูกตรวจพบโดย ESET ว่าเป็น Win32/TrojanDownloader.Elenoocka ถ้าคุณเปิดไฟล์แนบออก และโปรแกรมป้องกันไวรัสของคุณไม่อัพเดตพอ ไฟล์ Win32/FileCoder.DA จะถูกดาวน์โหลดมายังเครื่องของคุณ และไฟล์ทั้งหมดของคุณจะถูกเข้ารหัส และคุณจะเสียมันไปตลอดกาล จนกว่าคุณจะจ่ายค่าไถ่ด้วย Bitcoins เพื่อทำการปลดรหัส

ไฟล์ Win32/TrojanDownloader.Elenoocka จะทำการเชื่อมต่อไปยัง URL เพื่อดาวน์โหลดไฟล์ Win32/FileCoder.DA หรือที่รู้จักกันในชื่อ CTB-Locker ซึ่ง Ransomware ในตระกูลนี้จะทำการเข้ารหัสไปทั้งหมดคล้ายกับ CryptoLocker ความแตกต่างของมัลแวร์สองแบบนี้คือ อัลกอริธึมในการเข้ารหัส
ผลที่ออกมาก็จะคล้ายกับ CryptoLocker หรือ TorrentLocker ไฟล์นามสกุล .mp4, .pem, .jpg, .doc, .cer, .db และอื่นๆ จะถูกเข้ารหัสไว้ และต้องใช้กุญแจในการปลดล็อก เมื่อมัลแวร์ทำการเข้ารหัสเรียบร้อยแล้ว มันจะแสดงข้อความเตือนและเปลี่ยนฉาก Background เป็นข้อความที่คล้ายกับรูปด้านล่างนี้

ข้อความจะแสดงในภาษาเยอรมัน ดัตช์ อิตาเลี่ยน และ อังกฤษ โดยจะเปลี่ยนไปตามภูมิภาค แม้ว่าภาษาสเปนจะไม่ได้ปรากฏเป็นหนึ่งในข้อความเรียกค่าไถ่ แต่ก็พบว่ามีการติดเชื้อในประเทศที่ใช้ภาษาสเปน เพื่อสร้างความมั่นใจให้กับผู้ใช้ว่าพวกเขาจะสามารถได้ไฟล์กลับมา อาชญากรไซเบอร์จะมีตัวอย่างแสดงให้เห็นการทำงานในการถอดรหัส ซึ่งดูได้จากรูปด้านล่าง


เมื่อผู้ใช้ได้ดูการแสดงตัวอย่างไปแล้ว แฮกเกอร์จะแสดงการถอดรหัสไฟล์ และสถานที่ที่จะส่ง Bitcoins (BTC) พวกเขายังมีวิธีที่จะแลกเปลี่ยน Bitcoins ในกรณีที่ผู้ใช้ไม่ได้เงินในสกุลนี้

รายละเอียดอื่นที่แปลกประหลาดของ CTB-Locker คือ ไม่เพียงจะแสดงเป็นข้อความให้กับผู้ใช้ในภาษาที่แตกต่างกัน แต่ก็ยังมีการแสดงสกุลเงินที่เหมาะสมกับภาษาที่ใช้ หากผู้ใช้เลือกที่จะดูข้อความในภาษาอังกฤษสกุลเงินจะเป็นดอลลาร์สหรัฐ กรณีที่อยู่ในยุโรปค่าไถ่ 8 Bitcoins จะมีมูลค่าประมาณ 1,680 ดอลลาร์
จากมุมมองด้านเทคนิค Win32 / TrojanDownloader.Elenoocka.A เป็นภัยคุกคามขนาดเล็กที่เรียบง่าย และมีรูปแบบการแสดงที่แตกต่างกัน และเรายังเห็นสิ่งที่แนบมากับไฟล์ตัวอย่าง invoice_%YEAR_%MONTH_%DAY-1%HOUR_%MIN.scr หรือ invoice_2015_01_20-15_33 .scr. เราเห็นว่ากลุ่มตัวอย่างมีการสุ่มคำจาก stride_invoice_2015_01_20-15_33.scr, tiger_invoice_2015_01_20-15_38.scr เป็นต้น หลังจากนั้นมันจะเปิดเอกสารใน Word เอกสารนี้พบอยู่ในชื่อ DATA ที่ถูกเก็บอยู่ใน CAB
เป็นเรื่องที่น่าเศร้าว่า เทคนิคการเข้ารหัส CTB-Locker มีความเป็นไปได้ว่าจะไม่สามารถกู้คืนไฟล์ที่ถูกเข้ารหัสไว้ อย่างไรก็ตามมี เรามีมาตรการความปลอดภัยแนะนำสำหรับองค์กรหรือผู้ใช้ทั่วไป
• ถ้าคุณมีระบบรักษาความปลอดภัยสำหรับอีเมล์เซิร์ฟเวอร์ ให้เปิดการคัดกรองนามสกุลไฟล์ (Filtering by Extension) มันจะช่วยให้บล็อกไฟล์ที่มีความเสี่ยงเช่น .scr ซึ่งถูกใช้โดย Win32 / TrojanDownloader.Elenoocka.A
• หลีกเลี่ยงการเปิดไฟล์แนบอีเมล์จากคนที่ไม่รู้จัก
• ลบอีเมล์หรือตั้งค่าสแปมเพื่อป้องกันไม่ให้ผู้ใช้อื่นหรือพนักงานในองค์กรได้รับผลกระทบจากภัยคุกคามนี้
• อัพเดตระบบรักษาความปลอดภัยให้ทันสมัยเสมอ เพื่อการตรวจจับภัยคุกคามล่าสุดที่มีการแพร่กระจายได้อย่างมีประสิทธิภาพ และเปิด ESET LiveGrid เอาไว้ตลอดเวลา
• หมั่นสำรองข้อมูลเอาไว้เสมอ
การบรรเทาการโจมตีไม่ใช่เรื่องง่าย คุณจำเป็นจะต้องมีการป้องกันในเชิงรุก โดยการสนับสนุนด้านเทคโนโลยีการรักษาความปลอดภัยด้วยการตื่นตัวที่จะรับรู้ และศึกษา เคล็ดลับข้างตันจะช่วยให้คุณและองค์กรของคุณหลีกเลี่ยงกับปัญหานี้และภัยคุก คามในรูปแบบที่คล้ายกัน
Hashes:
• 81F68349B12F22BEB8D4CF50EA54D854EAA39C89 Win32/FileCoder.DA
• 0D4B6401EB5F89FF3A2CF7262872F6B3D903B737 Win32/FileCoder.DA
• 1DA7B3538A1D8B89179E17E91C7061B19932BBC8 Win32/TrojanDownloader.Elenoocka.A
• FE565E5589D496B838E037E99AA59E931129B7DA Win32/TrojanDownloader.Elenoocka.A
• 576BCD87B7EC38DE302201EC460DB9C0819B473A Win32/TrojanDownloader.Elenoocka.A
Welivesecurity