Malware Ursnif – Comportamento e rimozione

Pubblicato da frtg il

Follow on: LinkedinTwitter

In questo articolo approfondiamo l’analisi del malware Ursnif (precedentemente introdotto: Ursnif, attacchi in Italia – LINK), identificando le sue caratteristiche di infezione e persistenza.

Mitre ATT&CK applicata ad Ursnif

La catena di infezione è simile a quella di altri malware:

  1. una email inviata con un allegato malevolo
  2. esecuzione di comandi powershell
  3. download ed esecuzione del Trojan.

Utilizzando la matrice Mitre ATT&CK (MITRE’s Adversarial Tactics, Techniques, and Common Knowledge) possiamo tracciare le caratteristiche (tecniche e tattiche) del malware e associarlo con sample dal medesimo comportamento.

URSNIF MITRE ATT&CK

Dettagli del Malware

Info Value
MD5
ab33b0f6560c16133339182b8c5030ce
SHA1 261cb3e5595f4cca5a0c0a12006288e48a8f6d1e
SHA256
0ce4392261f6d8d0a2fa666b649860716527f41ea90de948fb03affed69a50ac
VirusTotal VirusTotal Link

Il malware è stato compresso con il packer UPX 3.0.6 :

Il PDB Path ci permette di estendere la ricerca ad altri sample, non oggetto dell’analisi, ma che riteniamo interessanti per tracciare le operazioni offensive del gruppo criminale:

PDB Path: y:\test4\zzz1\Release\zzz1.pdb
Malware correlato

 

(stesso percorso PDB):

HIBRIDANALYSIS LINK

Analisi dinamica del Malware

Nella fase di avvio, il malware effettua una serie di operazioni. Tramite comandi  WMIC esegue attività per la persistenza sfruttando le chiavi di registro, si inietta poi tramite Powershell all’interno di processi di sistema (explorer.exe).

Process Map – Ursnif

Indicatori di compromissione di rete dell’infezione malware ursnif:

DNS requests
ninasukash[.]com
cjwefomatt[.]com

Siamo stati compromessi?

Per individuare eventuali compromissioni all’interno dell’infrastruttura aziendale è necessario effettuare una ricerca fra i log di Firewall, Proxy o Router per i domini: “ninasukash[.]com” e “cjwefomatt[.]com“.

Per controllare se una postazione è stata colpita dal malware esistono diversi strumenti per attività di Incident Response. Per un controllo manuale si possono ricercare anomalie alle chiavi di registro, utilizzate dal malware per l’avvio in fase di Startup del sistema, al seguente percorso:

HKCU:\Software\AppDataLow\Software\Microsoft\

Dettagli della persistenza

Per l’accesso persistente al sistema compromesso, il malware viene integrato all’interno di chiavi di registro eseguendo un attacco noto come fileless attack. Nulla viene scritto su disco e il malware viene iniettato all’interno di processi di sistema durante la fase di avvio del sistema operativo.

“C:\Windows\system32\wbem\wmic.exe” /output:clipboard process call create “powershell -w hidden iex([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\89726C36-545A-A301-A6CD-C8873A517CAB’).crypptsp))”

Il malware crea una serie di sottochiavi di registro al percorso (la parte finale è randomica) :

HKCU:\Software\AppDataLow\Software\Microsoft\89726C36-545A-A301-A6CD-C8873A517CAB

Il malware Ursnif, posizionato all’interno della chiave “89726C36-545A-A301-A6CD-C8873A517CAB“, viene avviato in RUN dal comando:

powershell -w hidden iex([System.Text.Encoding]::ASCII.GetString((get-itemproperty ‘HKCU:\Software\AppDataLow\Software\Microsoft\89726C36-545A-A301-A6CD-C8873A517CAB’).crypptsp))

I sistemi dell’infrastruttura offensiva

La variante Ursnif analizzata fa parte della campagna malware partita in data 11 Novembre ed è caratterizzata dalla root folder “YER” utilizzata dal sistema di distribuzione del malware. Di recente sono state tracciate altre campagne Ursnif da parte del team di Reaqta:

  • “WES” from November 5 to the present.
  • “TJY” from October 29 to November 5.
  • “RUI” from October 16 to October 28.
  • “TNT” from August 22 to October 11.

Indicatori di compromissione di rete legati all’ultima campagna malware:

Domini: 
 ninasukash.com
 cjwefomatt.com

Questo genere di malware crea e dismette l’infrastruttura in breve tempo. Una volta partita l’infezione, i sistemi vengono dismessi e abbandonati:

Ninasukash Domain
Ninasukash Domain
Cjwefomatt Domain
Cjwefomatt Domain

Il pannello di accesso utilizzato per l’amministrazione del server di comando e controllo:

Spesso questi server sono mal configurati, permettendo agli analisti di accedere ad informazioni utili, come in questo caso:

L’approccio Fortgale

Per far fronte a questo tipo di minacce è necessario l’intervento di un team di specialisti capace di identificare e tracciare l’attaccante e ripristinare lo stato di sicurezza delle postazioni e dei sistemi coinvolti.

Fortgale eroga servizi di difesa gestita per rispondere alle minacce informatiche che coinvolgono l’utente e l’Azienda, che spesso evolvono in minacce per l’infrastruttura e il perimetro interno aziendale.

Per ulteriori informazioni, www.fortgale.com