{"id":90,"date":"2018-08-29T16:19:40","date_gmt":"2018-08-29T15:19:40","guid":{"rendered":"http:\/\/fortgale.com\/news\/?p=90"},"modified":"2023-05-10T10:53:40","modified_gmt":"2023-05-10T10:53:40","slug":"campagna-malware-neutrino-infection","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/campagna-malware-neutrino-infection\/","title":{"rendered":"Campagna Malware – Neutrino Infections"},"content":{"rendered":"

Di seguito un analisi del Trojan Neutrino.  Tr le recenti campagne malware con malware Neutrino, in cui \u00e8 utilizzato un allegato della suite office come stage di infezione iniziale, \u00e8 stato inserita recentemente una tecnica per aumentare l’affidabilit\u00e0 del messaggio stesso e per bypassare i sistemi automatizzati per l’analisi malware.<\/p>\n

Metodo di Delivery<\/h2>\n

La tecnica di infezione e la tipologia di campagna malware non presenta una novit\u00e0 nel contesto delle infezioni malware, da qualche tempo ben documentato.<\/a><\/p>\n

L’infezione avviene tramite una mail con allegato malevolo protetto da password. La password \u00e8 contenuta all’interno del corpo della mail. Questo spinge l’utente a trattare l’allegato come affidabile.<\/p>\n

\"\"<\/p>\n

Inserita la password, il documento si presenta in questo modo:<\/p>\n

\"\"<\/p>\n

Se l’utente attiva la Macro, quest’ultima procede al download e avvio delle altre componenti del malware, eseguendole sul sistema ormai compromesso.<\/p>\n

Network Analysis<\/h2>\n

Dal punto di vista della sicurezza di rete, o Network Security, l’infezione all’interno di un ambiente virtuale controllato, ha generato un importante quantit\u00e0 di allarmi IDS (Intrusion Detection System) con firme precise che identificano la tipologia di minaccia:<\/p>\n

\"\"<\/p>\n

Sono generati inoltre anche degli allarmi relativi al download di un file eseguibile (.exe), e del download di quest’ultimo direttamente da un indirizzo IP (dotted-quad).<\/p>\n

Pi\u00f9 puntuale l’anomalia “ET CURRENT_EVENTS Possible Malicious Macro DL EXE Feb 2016” che ci permette di identificare un tipico comportamento malevolo spesso utilizzato in queste campagne, il download di malware tramite MACRO.<\/p>\n

Dettagli della firma IDS:<\/p>\n

alert http $HOME_NET any -> $EXTERNAL_NET any (msg:”ET CURRENT_EVENTS Possible Malicious Macro DL EXE Feb 2016″; flow:established,to_server; content:”GET”; http_method; content:”.exe”; http_uri; nocase; fast_pattern:only; content:”Accept|3a 20|*\/*|0d 0a|”; depth:13; http_header; content:”Accept-Encoding|3a 20|gzip, deflate|0d 0a|”; http_header; content:”User-Agent|3a 20|Mozilla\/4.0 (compatible|3b| MSIE 7.0|3b| Windows NT”; http_header; content:!”Referer|3a|”; http_header; content:!”Cookie|3a|”; pcre:”\/(?:\\\/(?:(?:p(?:lugins\\\/content\\\/vote\\\/\\.ssl\\\/[a-z0-9]|a(?:nel\\\/includes\\\/[^\\x2f]+|tric)|o(?:sts?\\\/[a-z0-9]+|ny[a-z]*)|rogcicicic|m\\d{1,2})|s(?:ystem\\\/(?:logs|engine)\\\/[^\\x2f]+?|e(?:rv(?:au|er)|ct)|vchost[^\\x2f]*|gau\\\/.*?|alam|ucks|can|ke)|(?=[a-z]*[0-9])(?=[0-9]*[a-z])(?!setup\\d+\\.exe$)[a-z0-9]{5,10}|in(?:voice(?:\\\/[^\\x2f]+|[^\\x2f]*)|st\\d+|fos?)|a(?:d(?:min\\\/images\\\/\\w+|obe)|salam|live|us)|m(?:edia\\\/files\\\/\\w+|a(?:cros?|rch)|soffice)|d(?:o(?:c(?:\\\/[a-z0-9]+)?|ne)|bust)|(?:~.+?\\\/\\.[^\\x2f]+|\\.css)\\\/.+?|c(?:onfig|hris|alc)|u(?:swinz\\w+|pdate)|xml\\\/load\\\/[^\\x2f]+|(?:[Dd]ocumen|ve)t|Ozonecrytedserver|w(?:or[dk]|insys)|t(?:mp\\\/.+?|est)|fa(?:cture|soo)|n(?:otepad|ach)|k(?:be|ey|is)|ArfBtxz|office|yhaooo|[a-z]|etna|link|\\d+)\\.exe$|(?:(?=[a-z0-9]*?[3456789][a-z0-9]*?[3456789])(?=[a-z0-9]*?[h-z])[a-z0-9]{3,31}\\+|PasswordRecovery|RemoveWAT|Dejdisc|Host\\d+|Msword)\\.exe)|(?:^\\\/(?:image\\\/.+?\\\/[^\\x2f]+|x\\\/setup)|[\\x2f\\s]order|keem)\\.exe$)\/Ui”; content:!”.bloomberg.com|0d 0a|”; http_header; nocase; content:!”.bitdefender.com|0d 0a|”; http_header; classtype:trojan-activity; sid:2022550; rev:15; metadata:affected_product MS_Office, attack_target Client_Endpoint, deployment Perimeter, tag <\/span>MalDoc?<\/a><\/span>, signature_severity Major, created_at 2016_02_18, malware_family <\/span>MalDocGeneric?<\/a><\/span>, performance_impact Low, updated_at 2016_07_01;)<\/span><\/p><\/blockquote>\n

Quelli appena mostrati sono i dettagli che un analista prende in considerazione durante le fasi iniziali dell’analisi, ottenendo delle informazioni importanti riguardo il processo di infezione e di ci\u00f2 che sta accadendo.<\/p>\n

Andando pi\u00f9 nel dettaglio, \u00e8 possibile estrarre informazioni riguardanti la tipologia della minaccia ed estrarre gli IOC (Indicator of Compromise) per una ricerca estesa all’interno di sistemi e infrastrutture. Fortgale condivide queste informazioni all’interno della Community MISP dell’associazione EthicalSec<\/a>.<\/p>\n

Durante le analisi sono stati individuati 2 diversi server appartenenti all’infrastruttura dell’attaccante:<\/p>\n