Tag: analysis

Analiza złośliwego oprogramowania Emotet v4

Data publikacji: 24/05/2017, Paweł Srokosz

Wstęp

Emotet jest modularnym koniem trojańskim, który po raz pierwszy został zaobserwowany w czerwcu 2014 roku przez Trend Micro. Ten rodzaj złośliwego oprogramowania jest ściśle powiązany z innymi rodzajami, takimi jak Geodo, Bugat czy Dridex, które uznawane są za warianty należące do jednej rodziny.

Zadebiutował jako zaawansowany banker – u swych początków wykorzystywany był do wykradania pieniędzy z kont zainfekowanych ofiar. Jego początkowa wersja była wymierzona w klientów niemieckich i austriackich banków. Przejmowanie kont odbywało się z użyciem techniki Man-in-the-Browser, polegającej na przejęciu kontroli nad przeglądarką i przechwytywaniu komunikacji sieciowej przez podsłuchiwanie wywołań odpowiednich funkcji systemowych.

W kolejnej wersji (v2) arsenał Emoteta został uzupełniony o automatyczne wyprowadzanie pieniędzy z kont przy pomocy systemów ATS (Automatic Transfer System) (dokładniejszy opis tej techniki można znaleźć na 20 stronie raportu CERT Polska z 2013 r.). Jest to sposób powszechnie wykorzystywany również w innych bankerach, m.in. w ISFB (Gozi) i Tinbie.

Na początku kwietnia 2017r. zaobserwowaliśmy szeroką kampanię spamową, w której były dystrybuowane fałszywe maile pochodzące rzekomo od firmy kurierskiej DHL. Maile zawierały odnośnik prowadzący do nieznanego wcześniej, nowego wariantu złośliwego oprogramowania znanego pod nazwą Emotet.

W przypadku tej kampanii, zmiany w kodzie oprogramowania, a także w sposobie komunikacji z serwerami Command&Control wskazywały, iż mamy do czynienia z Emotetem w wersji 4. Z tego względu postanowiliśmy szczegółowo przeanalizować to zagrożenie.

Czytaj więcej

Network traffic periodicity analysis of dark address space

Data publikacji: 01/08/2016, piotrb

Network traffic directed to dark address space of IPv4 protocol can be a good source of information about current state of the Internet. Despite the fact that no packets should be sent to such addresses, in practice various traffic types can be observed there, for example echoes of Denial of Service (DoS) attacks, automated port scanners or misconfiguration of some client software. Example of a DFT plotOften the packets are sent periodically, i.e. in regular intervals. This periodicity can be analyzed by applying the Discrete Fourier Transform (DFT) to the network traffic. Our report shows how such analysis can be performed and also its results. You can read the report here.

Malware na Windows i Android w jednej kampanii

Data publikacji: 22/05/2015, Łukasz Siewierski

loveletter1W dniu 7 maja 2015 zaobserwowaliśmy kolejną kampanię mailową, w której atakujący używał loga i nazwy Poczty Polskiej. Maile rzekomo miały informować o nieodebranej paczce, ale w rzeczywistości zawierały link, który po wielu przekierowaniach doprowadzał do pliku exe bądź apk (w zależności od używanej przeglądarki). Poniżej prezentujemy dokładną analizę zagrożenia zarówno na systemy Windows jak i Android.

 

Czytaj więcej

Banatrix – szczegóły techniczne

Data publikacji: 15/12/2014, Łukasz Siewierski

PL_malwareZe wszystkich „polskich” rodzin malware, które zaobserwowaliśmy w zeszłym roku, najbardziej zaawansowaną technicznie był Banatrix. Malware ten podmieniał numer konta w pamięci procesu przeglądarki. Jednak jego budowa pozwalała na dużo więcej i zostało to wykorzystane do wykradania zapisanych w przeglądarce Mozilla Firefox haseł. Poniżej znajduje się omówienie szczegółów technicznych działania oraz szczegóły dotyczące infrastruktury serwera C&C tego złośliwego oprogramowania. W komunikacji z serwerem C&C wykorzystywana jest sieć TOR co utrudnia zarówno namierzenie sprawcy jak i unieszkodliwienie serwera sterującego.
Czytaj więcej

Kupiłeś laptopa? To teraz zapłać bitcoinami!

Data publikacji: 04/07/2014, Łukasz Siewierski

PL_malwareNiedawno pisaliśmy o kampanii rozprzestrzeniającej złośliwe oprogramowanie za pomocą wiadomości e-mail podszywających się pod Allegro.pl oraz Booking.com. W jednym z etapów tej kampanii wykorzystywany był skrypt AutoIt (zwany RazorCrypt), którego celem było ukrycie ostatecznego złośliwego oprogramowania, które kradło hasła użytkownika. Wykorzystanie skryptów AutoIt w celu zaciemnienia czy zaszyfrowania złośliwego oprogramowania staje się coraz bardziej popularne wśród twórców, szczególnie niezbyt wyszukanego, złośliwego oprogramowania. Poniżej opisujemy kolejną kampanię wykorzystującą wizerunek Allegro.pl i używającą ciekawego skryptu AutoIt. Nie znaleźliśmy żadnych powiązań pomiędzy autorami obu kampanii.
Czytaj więcej