CoinVault – hat der Alptraum ein Ende?

Ein Ransomware-Fortsetzungsroman: Neue Wege zum Profit

Inhalt

Einen Tag, nachdem wir unseren No Ransom Campaign-Decryptor zur Bekämpfung der Ransomware CoinVault veröffentlicht hatten, meldete sich ein Kollege von Panda, Bart Blaze, bei uns. Er wies uns höflich darauf hin, dass neue Varianten dieser grässlichen Erpressersoftware verfügbar seien, die er uns gern zukommen lassen würde. Sobald wir im Besitz der neuen MD5-Hashes für diese Dateien waren, begannen wir nach weiteren Indizien, weiteren Dateien zu suchen, begannen zu analysieren, was diese neuen Malware-Varianten uns offenbarten. Heraus kamen drei neue Malware-Familien, die untereinander verblüffende Ähnlichkeiten aufwiesen.

CoinVault – hat der Alptraum ein Ende?

Schließlich stießen wir auf einige interessante Überraschungen (wenn Sie wissen wollen, was genau wir gefunden haben, lesen Sie bitte weiter).

Das Beste an der ganzen Sache ist allerdings, dass das National High Tech Crime Unit der Niederländischen Polizei auf Grund unserer Analyse letzten Montag zwei Verdächtige festnehmen konnte.

Die Geschichte beginnt mit CoinVault

Unsere Suche begann mit der Entdeckung der ersten Version von CoinVault im Mai 2014 (siehe auch die Tabelle am Ende dieses Beitrags mit MD5s und weiteren Informationen zu diesen und anderen Hashes). Interessanterweise lief dieses Sample nicht auf jedem Computer, daher haben wir jede weitere Analyse dieser Version an dieser Stelle ausgelassen.

Und dann war da auf einmal Comhost

Zwei Monate, nachdem wir die ursprüngliche Version von CoinVault entdeckt hatten, stießen wir auf zwei nahezu identische Samples. Die beiden Dateien unterschieden sich lediglich in der Art, wie die Malware entpackt und von dem Ressourcenordner in der Binärdatei ausgeführt wurde.

Beide Binärdateien luden dieselbe Payload, eine ausführbare Datei, bekannt als ‚comhost.exe‘. Comhost war hinsichtlich seiner Funktionalität ganz anders als CoinVault. Während CoinVault sich in die Kategorie ‚traditionelle Ransomware‘ einordnen lässt (bis zu diesem Punkt zumindest), hatte Comhost mehr von einem Infostealer. Wenn Sie nun keine Geduld mehr haben und sofort mehr erfahren wollen, blättern Sie vor!

Bei der Ausführung löste die Malware die zwei hart kodierten Domainamen in IP-Adressen auf. Daraufhin startete sie den Keylogger und einen Timer. Nach Ablauf der eingestellten Zeit begann die Suche nach Bitcoin Wallets. Vermutlich integrierten die Angreifer diese Funktion, da das Bitcoin-Mining zunehmend schwierig wird.

CoinVault – hat der Alptraum ein Ende?

Überdies war die Malware in der Lage, vom C2 erhaltene Befehle auszuführen.

CoinVault – hat der Alptraum ein Ende?

Zurück zu CoinVault

Zwei Monate später stießen wir auf ein weiteres Muster von CoinVault. Dieses Mal wies der Programmcode verblüffende Ähnlichkeiten mit Comhost auf. Einige Funktionen, wie z.B. fixNOIPhosts(), waren nahezu identisch und wiesen auf einen eindeutigen Zusammenhang zwischen CoinVault und Comhost hin. Das Design des Programms ähnelte Comhost ebenfalls sehr.

Glücklicherweise machten die Autoren dieser Malware einen kleinen Fehler. Anstatt die Originaldatei mit verschlüsseltem Content zu überschreiben, erstellten sie eine neue Datei im selben Verzeichnis mit einer ._clf-Erweiterung.

CoinVault – hat der Alptraum ein Ende?

Daraufhin wurde die Originaldatei mit dem Aufruf der Funktion File.Delete() gelöscht. Intern wurde diese Methode als ein Aufruf der Win32Native.DeleteFile() Funktion implementiert. Die Funktion DeleteFile markierte die Datei im MFT-Eintrag als gelöscht. Das bedeutete, das Opfer von CoinVault, die mit dieser speziellen Version der Malware infiziert wurden, vermutlich in der Lage waren, gelöschte Dateien wiederherzustellen (wenn es nicht zu viel Festplattenaktivität nach Löschen der Datei gegeben hat).

Einführung von S.H.I.E.L.D Runner und zusätzliche Funktionalität

Einen Monat nach Auftreten des letzten CoinVault-Samples, wurde eine neue Version von Comhost eingeschleppt. Es war das erste Sample, das den „S.H.I.E.L.D Runner“ enthielt. Die Funktionalität dieses bestimmten Codestückchens wurde bereits in einem früheren Blogeintrag besprochen.

Vermutlich waren die Malware-Autoren nicht ganz zufrieden mit den vorherigen Versionen von Comhost. Sie hatten vergessen, eine Keylogger-Funktion hinzuzufügen (um zu überprüfen, ob die Feststelltaste aktiviert ist usw.). Eine weitere interessante, neu hinzugefügte Funktion war das Sammeln von Antivirenprogrammen und Standardbrowsern bzw. das Weiterleiten dieser Informationen an den C2. Doch das interessanteste neu hinzugefügte Feature war die Klasse ActivecaptionWatcher, das Screenshots erstellen und diese an den C2 schicken kann.

Mailspreader und hinzugefügte Obfuskation

Im November 2014 hatten wir bereits über CoinVault berichtet: In diesem Eintrag wurden Samples besprochen, die ein paar Wochen nach der neusten Version von Comhost aufgetaucht waren. Alle Samples, die um dieses Datum herum erschienen waren, waren mit Confuser obfuskiert. Doch eine Sache, die wir bei unserer Analyse ausgelassen haben, war eine Funktionalität, die wir dann nicht wirklich zurückstellen konnten: die innere Klasse ‚emailDownloader‘.

Diese Klasse enthielt einige interessante Code-Abschnitte, die genauer analysiert werden mussten. Vieles wies auf das Vorhandensein mehrerer ausführbarer Dateien hin, doch wo waren sie? Und noch wichtiger – welche Rolle spielten sie bei der Infektion?

CoinVault – hat der Alptraum ein Ende?

Wie sich herausstellte, wurden diese Dateien von einer dritten Malware aus der CoinVault-Familie verteilt, dem Mailspreader. Der Ressourcenordner in der Binärdatei zeigt, dass mehrere Dateien eingebettet wurden und wir haben sie herausgezogen, um sie separat zu untersuchen.

CoinVault – hat der Alptraum ein Ende?

Das Einsparen von Code ist ein übliches Muster bei allen Modulen, die in den CoinVault-Samples gefunden wurden. Die Funktionalität war simpel, aber umfangreich genug, um die erwünschten Ergebnisse zu erzielen. Ein Thread wurde erstellt und dann gestartet, um sich alle Vorteile der Datei ‚MailSpreader.exe‘ zunutze machen zu können.

CoinVault – hat der Alptraum ein Ende?

Wie bereits erwähnt, wird das C2, das wir gefunden haben, von einem weiteren Sample verwendet, das ähnliche Charakteristika aufwies (der MD5 Hash-Wert von AF0E5A5DF0BE279AA517E2FD65CADD5C), was ebenfalls auf eine Verbindung zwischen CoinVault und Mailspreader hinweist.

Unter Einsatz dieser ausführbaren Dateien und einer direkten Art, die Infektion „unsichtbar“ zu machen starteten die Gauner einen neuen Prozess, der fast unverzüglich verborgen wurde, und schickten den schädlichen E-Mail-Code an seine Arbeit.

coinvault_8

Wir haben noch immer keine Antwort auf die Frage gegeben, was diese ausführbaren Dateien darstellen oder was ihre eigentliche Bestimmung in diesem Ransomware-Schema ist. Beginnen wir mit ‚mailpv.exe‘, die Teil von CoinVault war und einige ‚Dropper‘-Methoden aufwies, um die primäre Payload zu erhalten. Zu ’nk2edit.exe‘ und ‚livecv.exe.‘: Eine kurze Google-Suche offenbarte ihre wahre Natur – bei beiden handelte es sich um legitime Tools zur Interaktion mit Outlook und Windows Live Messenger.

Die Datei ‚livecv.exe‚ hatte einen MD5-Hash von D7FC749BB3B10FCC38DE498E8DB2639A und bot eine verifizierte Signatur für die ausführbare Datei. Laut Beschreibung der Entwickler ist ‚LiveContactsView ein kleines Tool, das die Darstellung der Details aller Kontakte in Ihrem Windows Live Messenger ermöglicht‘.

CoinVault – hat der Alptraum ein Ende?

Ähnliches kam bei einem Check von ‚nk2edit.exe‚ (C1A591727E4519AC0D94C59B680E00E4) heraus. Es ist ein praktisches Tool, das mit der AutoComplete Liste und dem Adressbuch in Microsoft Outlook interagiert.

CoinVault – hat der Alptraum ein Ende?

Ruhe in Frieden, CoinVault

Nachdem wir unsere letzte Untersuchung von CoinVault veröffentlicht hatten, blieb es für eine Weile still um diese Bedrohung und den dahinter stehenden Malware-Autoren. Erst im April 2015 wurde erneut ein frisches Sample in freier Wildbahn ausgemacht. Am bemerkenswertesten war, dass nun auf einmal überall in der Binärdatei fehlerfreie Phrasen in holländischer Sprache auftauchten. Es ist relativ schwierig, Holländisch ohne jegliche Fehler zu schreiben, daher vermuteten wir zu Beginn unserer Untersuchungen, dass es eine niederländische Verbindung zu den mutmaßlichen Malware-Autoren gibt.

Eine weitere interessante, neu hinzugefügte Funktionalität bestand in der Suche nach Analyse- und Detektionsprozessen und deren anschließender Eliminierung, wie z.B. processhacker, spyhunter, roguekiller, etc. Diese Version verfügte sogar über eine Unterstützung für das Abspeichern von Konfigurationsdaten in .ini-Dateien.

Kurz nach dem Auftauchen dieser neuen Versionen gelang es der Niederländischen Polizei, den C2-Server der Verbrecher zu beschlagnahmen, und uns Bitcoin-Wallet-IDs, IVs und Schlüssel zu liefern, die wir für die Entwicklung und Bereitstellung eines Entschlüsselungstools benötigten.

Und dann…hörte es auf. Wir haben eine ganze Weile nichts mehr von CoinVault gehört und es scheint, als wäre die Kampagne beendet.

Hallo Bitcryptor

Wir hatten Recht mit der Annahme, dass die CoinVault-Kampagne vorüber ist. Doch einen Monat später erschien BitCryptor auf der Bildfläche.

BitCryptor ist ganz eindeutig der Nachfolger von CoinVault, da ein großer Teil des Codes identisch ist. Doch BitCryptor richtet sich nicht wie frühere Versionen von CoinVault gegen ein holländisches Publikum. Sämtliche geschriebene Phrasen in holländischer Sprache wurden entfernt (wie auch alle Hinweise auf CoinVault). Ein kleines Feature wurde hinzugefügt, das im Hintergrund läuft und überprüft, ob das Opfer bereits gezahlt hat.

Fazit

Seit unserem ersten Bericht über CoinVault und der Vorstellung unserer Kampagne No Ransom haben die Cyberkriminellen, die für diese Machwerke verantwortlich sind, versucht, ihre Kreationen zu modifizieren und weiterhin neue Opfer anzugreifen. Der Sieg im Kampf gegen Ransomware ist ein gemeinsames Ziel von Strafverfolgungsorganen, privaten Unternehmen und Endanwendern. In diesem speziellen Fall konnten wir durch Zusammenarbeit ein großartiges Ergebnis erzielen, und zwar die Festnahme zweier Verdächtiger.

Doch nichts desto weniger ist die Aufklärung darüber, wie diese Bedrohungen funktionieren und wie sie ihre Opfer angreifen von höchster Wichtigkeit, ebenso wie das rechtzeitige Alarmschlagen und schnellstmögliche Berichten über neue Vorfälle. Besten Dank an unseren lieben Kollegen Bart Blaze für das Teilen der Samples. Und ja – wir hatten viel Spaß damit 🙂

CoinVault – hat der Alptraum ein Ende?

MD5s:

0f1830174d7b08c0d1fcd9aea00cdc97 Trojan-Ransom.MSIL.CoinVault.l
10438b6d4f479779234ef60560d2f40c Trojan-Ransom.MSIL.CoinVault.p
174a3f6982d254a74d2db202fd87ec26 Trojan-Ransom.MSIL.CoinVault.f
289b43d3c234585285a38b2a0f4db2e3 Trojan-Ransom.MSIL.CoinVault.i
2f707ed9f368cd5838f5fb76abcd5bd9 Trojan-Ransom.MSIL.CoinVault.q
30bc17990350f44d74f4a2ca25cdb9e3 Trojan-Ransom.MSIL.CoinVault.s
45db7e51b39fd0669b4f78eedc00ad2f Trojan-Ransom.MSIL.CoinVault.n
4d46310bdfdc5c49615be5c61b13c8ae Trojan-Ransom.MSIL.CoinVault.r
4d52e7e6f4dc77c39c50ed84ce1b10b5 Trojan-Ransom.MSIL.CoinVault.s
60a5b27a525ca21026ffff1f0d0baa6a Trojan-Ransom.MSIL.CoinVault.t
648280e5ba36ff038e97e444ecdb9d8e Trojan-Ransom.MSIL.CoinVault.g
716dfea51b1a8d95859cfda38ff7fa9d Trojan-Ransom.MSIL.CoinVault.j
73848ec02d5d9f4d0fdd5be31ef86449 Trojan-Ransom.MSIL.CoinVault.u
78fd303be07db8fa35b98645bef10ca4 Trojan-Ransom.MSIL.CoinVault.v
7fff4eabcdfb21e7884a240e668f1e8b Trojan-Ransom.MSIL.CoinVault.i
80db8e54a1a28e0167a4d66b3be84a5d Trojan-Ransom.MSIL.CoinVault.af
876050d738f434fc149970cc0d073dbe Trojan-Ransom.MSIL.CoinVault.w
8e1bdc1c484bc03880c67424d80e351d Trojan-Ransom.MSIL.CoinVault.x
a6499dac9a7b59830c77442eb030c93c Trojan-Ransom.MSIL.CoinVault.a
a76df48770a6cffc62e4d1a21749071b Trojan-Ransom.MSIL.CoinVault.m
a90d5d05728fec4c592393c7f4ec173e Trojan-Ransom.MSIL.CoinVault.e
ac4b5ce347820c8817afd49eacee3ec5 Trojan-Ransom.MSIL.CoinVault.y
af0e5a5df0be279aa517e2fd65cadd5c Trojan-Ransom.MSIL.CoinVault.z
aff8fefe76cc51d5e7120ef3f422ce29 Trojan-Ransom.MSIL.CoinVault.ah
b3a7fc445abfba3429094542049063c2 Trojan-Ransom.MSIL.CoinVault.x
b3bb6facbb557ddd9aada93f6b2efab8 Trojan-Ransom.MSIL.CoinVault.h
b3e1c2fce9763a2bdd08223c406bcf7f Trojan-Ransom.MSIL.CoinVault.aa
b92ec8ccc085b853545fc54781d0c1a3 Trojan-Ransom.MSIL.CoinVault.ab
be1f48b6b4c0515ac0d865713968e1c3 Trojan-Ransom.MSIL.CoinVault.ac
cb91d0db64d9245426c7789ed00ba4d3 Trojan-Ransom.MSIL.CoinVault.k
d5f291f2bc38873e145f6e6b13fb05db Trojan-Ransom.MSIL.CoinVault.d
d7732b4132440e9e8902080032897c15 Trojan-Ransom.MSIL.CoinVault.ad
d92e1be4fdfdea99dfa23de27f3bb568 Trojan-Ransom.MSIL.CoinVault.ae
e6227eaefc147e66e3c7fa87a7e90fd6 Trojan-Ransom.MSIL.CoinVault.af
e7414d82d69b902b5bc1efd0f3e201d7 Trojan-Ransom.MSIL.CoinVault.b
e883706376bb45ef53ec52fbd090a29a Trojan-Ransom.MSIL.CoinVault.ai
e8b83233071fd752e29b436113d5ea9d Trojan-Ransom.MSIL.CoinVault.ag
f293970741bbe0ee0c1b8ce6cb045d4d Trojan-Ransom.MSIL.CoinVault.b

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.