{"id":427,"date":"2018-11-27T14:27:05","date_gmt":"2018-11-27T12:27:05","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=427"},"modified":"2023-05-10T10:52:52","modified_gmt":"2023-05-10T10:52:52","slug":"ursnif-rimozione","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/ursnif-rimozione\/","title":{"rendered":"Malware Ursnif – Comportamento e rimozione"},"content":{"rendered":"

Follow on<\/strong>: Linkedin<\/a> & Twitter<\/a><\/h2>\n

In questo articolo approfondiamo l’analisi del malware Ursnif<\/strong> (precedentemente introdotto: Ursnif, attacchi in Italia – LINK<\/a>), identificando le sue caratteristiche di infezione e persistenza.<\/p>\n

Mitre ATT&CK applicata ad Ursnif<\/h2>\n

La catena di infezione \u00e8 simile a quella di altri malware:<\/p>\n

    \n
  1. una email inviata con un allegato malevolo<\/li>\n
  2. esecuzione di comandi powershell<\/li>\n
  3. download ed esecuzione del Trojan<\/strong>.<\/li>\n<\/ol>\n

    Utilizzando la matrice Mitre ATT&CK<\/strong> (MITRE\u2019s Adversarial Tactics, Techniques, and Common Knowledge<\/em>) possiamo tracciare le caratteristiche (tecniche e tattiche) del malware e associarlo con sample<\/em> dal medesimo comportamento.<\/p>\n

    \"\"

    URSNIF MITRE ATT&CK<\/p><\/div>\n

    Dettagli del Malware<\/h2>\n\n\n\n\n\n\n\n
    Info<\/strong><\/span><\/td>\nValue<\/strong><\/span><\/td>\n<\/tr>\n
    \n
    MD5<\/span><\/strong><\/span><\/div>\n<\/td>\n
    		ab33b0f6560c16133339182b8c5030ce<\/span><\/td>\n<\/tr>\n
    SHA1<\/span><\/strong><\/span><\/td>\n261cb3e5595f4cca5a0c0a12006288e48a8f6d1e<\/span><\/td>\n<\/tr>\n
    SHA256<\/strong>
    <\/span><\/td>\n    		0ce4392261f6d8d0a2fa666b649860716527f41ea90de948fb03affed69a50ac<\/span><\/td>\n<\/tr>\n
    VirusTotal<\/strong><\/span><\/td>\nVirusTotal Link<\/a><\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Il malware \u00e8 stato compresso con il packer UPX 3.0.6<\/strong> :<\/p>\n

    \"\"<\/p>\n

    Il PDB Path<\/strong> ci permette di estendere la ricerca ad altri sample<\/em>, non oggetto dell’analisi, ma che riteniamo interessanti per tracciare le operazioni offensive del gruppo criminale:<\/p>\n\n\n\n\n
    PDB Path:<\/strong><\/span><\/td>\ny:\\test4\\zzz1\\Release\\zzz1.pdb<\/span><\/td>\n<\/tr>\n
    Malware correlato <\/strong><\/span>

    <\/p>\n

    (stesso percorso PDB):<\/strong><\/span><\/p>\n<\/td>\n

    		HIBRIDANALYSIS LINK<\/a><\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Analisi dinamica del Malware<\/h2>\n

    Nella fase di avvio, il malware effettua una serie di operazioni. Tramite comandi  WMIC<\/strong> esegue attivit\u00e0 per la persistenza<\/strong> sfruttando le chiavi di registro, si inietta poi tramite Powershell<\/strong> all’interno di processi di sistema (explorer.exe<\/strong>).<\/p>\n

    \"\"

    Process Map – Ursnif<\/p><\/div>\n

    Indicatori di compromissione di rete dell’infezione malware ursnif:<\/p>\n\n\n\n\n\n
    DNS requests<\/span><\/strong><\/span><\/td>\n<\/tr>\n
    ninasukash[.]com<\/span><\/td>\n<\/tr>\n
    cjwefomatt[.]com<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

    Siamo stati compromessi?<\/h2>\n

    Per individuare eventuali compromissioni all’interno dell’infrastruttura aziendale<\/strong> \u00e8 necessario effettuare una ricerca fra i log di Firewall, Proxy o Router per i domini: “ninasukash[.]com<\/span>” e “cjwefomatt[.]com<\/span>“.<\/p>\n

    Per controllare se una postazione \u00e8 stata colpita dal malware esistono diversi strumenti per attivit\u00e0 di Incident Response<\/strong>. Per un controllo manuale si possono ricercare anomalie alle chiavi di registro, utilizzate dal malware per l’avvio in fase di Startup<\/em> del sistema, al seguente percorso:<\/p>\n

    \n

    HKCU:\\Software\\AppDataLow\\Software\\Microsoft\\<\/span><\/p>\n<\/blockquote>\n

    Dettagli della persistenza<\/h2>\n

    Per l’accesso persistente al sistema compromesso<\/strong>, il malware viene integrato all’interno di chiavi di registro eseguendo un attacco noto come fileless attack<\/strong><\/em>. Nulla viene scritto su disco e il malware viene iniettato all’interno di processi di sistema durante la fase di avvio del sistema operativo.<\/p>\n

    \n

    “C:\\Windows\\system32\\wbem\\wmic.exe” \/output:clipboard process call create “powershell -w hidden iex([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\\Software\\AppDataLow\\Software\\Microsoft\\89726C36-545A-A301-A6CD-C8873A517CAB’).crypptsp))”<\/span><\/p>\n<\/blockquote>\n

    Il malware crea una serie di sottochiavi<\/strong> di registro al percorso (la parte finale \u00e8 randomica) :<\/p>\n

    \n

    HKCU:\\Software\\AppDataLow\\Software\\Microsoft\\89726C36-545A-A301-A6CD-C8873A517CAB<\/span><\/span><\/p>\n<\/blockquote>\n

    Il malware Ursnif<\/strong>, posizionato all’interno della chiave “89726C36-545A-A301-A6CD-C8873A517CAB<\/span><\/span>“, viene avviato in RUN<\/strong> dal comando:<\/p>\n

    \n

    powershell -w hidden iex([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\\Software\\AppDataLow\\Software\\Microsoft\\89726C36-545A-A301-A6CD-C8873A517CAB’).crypptsp<\/strong>))<\/span><\/p>\n<\/blockquote>\n\n\n

    I sistemi dell’infrastruttura offensiva<\/h2>\n\n\n\n

    La variante Ursnif analizzata fa parte della campagna malware partita in data 11 Novembre <\/strong>ed \u00e8 caratterizzata dalla root folder “YER” utilizzata dal sistema di distribuzione del malware. Di recente sono state tracciate altre campagne Ursnif<\/strong> da parte del team di Reaqta<\/a>:<\/p>\n\n\n\n