I løbet af juledagene har personerne bag BOTnettet Asprox udsendt i tusindvis af spammails til vilkårlige e-mail adresser. Dagens lokkemad er en licens til Adobe, som er vedhæftet som et zip-arkiv. I det pakkede zip-arkiv finder vi en binær kode maskeret med et Word ikon, så ofret skal tro at der er tale om et dokument, men i virkeligheden er det en Win32PE som hører til familien, Kuluoz. Kuluoz er en downloader der henter en cocktail af malware.
Den uønskede e-mail ankommer med følgende indhold:
Hvis den vedhæftde fil udpakkes vil ofret narres til at tro at der er tale om et Word dokument. 
Hvis filen køres vil den åbne Notepad med følgende fejlbesked:
Unknown ERROR! Please wait and try again later.
I baggrunden dropper den sin skadelige kode med et vilkårligt filnavn og injekter sig i svchost.exe processen.
I næste fase ringer den hjem til den centrale Command & Control (C&C) server via WININET.DLL og API'et InternetOpenA, hvor maskinen indrulles med følgende ledsagende data:
<knock>
<id>%s</id>
<group>%s</group>
<src>%d</src>
<transport>%d</transport>
<time>%d</time>
<version>%d</version>
<status>%d</status>
<debug>%s</debug>
</knock>
http://%[^:]:%d/%s
ind mod den statiske URL:
/index.php?r=gate
I det pågældende sample, kompileret [Sat Dec 21 08:15:08 2013 UTC], anvendes følgende IP adresser som C&C servere:
202.29.64.35:8080
91.185.204.47:8080
Kommunikationen sendes med agent strengen:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:25.0) Gecko/20100101 Firefox/25.0
og i krypteret form med følgende public key:
"-----BEGIN PUBLIC KEY-----MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDCUAUdLJ1rmxx+bAndp+Cz6+5IKmgap2hn2df/UiVglAvvg2US9qbk65ixqw3dGN/9O9B30q5RD+xtZ6gl4ChBquqwjwxzGTVqJeexn5RHjtFR9lmJMYIwzoc/kMG8e6C/GaS2FCgY8oBpcESVyT2woV7U00SNFZ88nyVv33z9+wIDAQAB-----END PUBL"
Kuluoz komponenten indeholder en række funktioner som kan udstedes fra C&C serverne, herunder opdater og fjern, så komponenten tjener primært som "downloader". I vores analyse hentede den et falsk antivirus program for i næste fase at installere rootkittet ZeroAccess.
Koden indeholder en funktion som afgør hvilket antivirus- og firewallsoftware som er installeret på maskinen: "SELECT * FROM AntiVirusProduct", "SELECT * FROM FirewallProduct". Det sendes til C&C server som del af "For group!!!!!" og anvendes formentligt i forbindelse med at udvælge forskellige binære pakker udfra hvilket antivirus program og firewall ofret har installeret. Sammen med disse data sendes en stribe andre oplysninger om den inficerede maskine herunder hostnavn, IP adresse, produktnr, installationstidspunkt, software installeret osv.
Den binære kode indeholder følgende tekststrenge:
"For base!!!!!"
"For group!!!!!"
"You fag!!!!!"
"2112s"
"s0qrXrBupC"
Vi har set flere spamkampagner fra Asprox i slutningen af december måned bl.a. har banden også anvendt:
"Hearing of your case in Court NR#[%vilkårligt nummer%]"
"Notice of appearance in court NR#[%vilkårligt nummer%]"
samt lokkemad fra Costco, BestBuy, Walmart som beskrevet på ISC:
https://isc.sans.edu/diary/Costco+BestBuy+Walmart+really+want+to+send+you+a+package+/17276
og Dynamoo's blog:
http://blog.dynamoo.com/2013/12/hearing-of-your-case-in-court-nr6976.html
En scanning på Virustotal giver følgende resultat (32 / 43)
https://www.virustotal.com/en/file/d5ec477dc0b39867b39a56b9ca7652c8ea115533583d8b6211c1e4f53537bbb2/analysis/
↧
CSIS Nyheder: Asprox er tilbage
↧