ChewBacca – eine neue Tor-basierte Malware

Überblick

Wir haben einen neuen Tor-basierten Schädling, genannt “ChewBacca”, entdeckt, welcher als “Trojan.Win32.Fsysna.fej” erkannt wird. Es ist nicht der einzige Schädling mit Tor-Funktionalitäten, jedoch handelt es sich um ein eher selten vorkommendes Feature.

Tor wurde gerade in letzter Zeit bekannter, da dieser Dienst die Anonymität eines Benutzers sicherstellt. Aber auch Kriminelle benutzen dies um Ihre Aktivitäten zu verschleiern, jedoch nur selten, um Ihre kriminelle Infrastruktur aufzubauen. Zum Zeus-Trojaner wurde erst kürzlich diese Funktionalität hinzugefügt, wie mein Kollege hier berichtet, aber auch das CrimewareKit Atrax das Botnetz Mevade wurden durch diese Technik bekannt.

 

Einführung

Tor ist ein Netzwerk zur Anonymisierung. Es hostet seine eigene Top-Level-Domain “.onion” welche nur innerhalb des Tor-Netzwerkes verfügbar ist. Dadurch wird der Ort des Servers und des Betreibers verschleiert. Trotzdem hat die Benutzung einige Nachteile weshalb nur wenige Kriminelle diese Funktion benutzen. Durch den Aufbau ist Tor langsamer und Zeitüberschreitungen können auftreten. Große Botnetze können das ganze Netzwerk beeinflussen, wie der Fall von Mevade zeigt, und erregen somit Aufsehen bei Sicherheitsforschern. zusätzlich erhöht die Implentierung von Tor die Komplexität der Malware.

 

Der Schädling

Der Trojaner ist eine PE32-Executable, erstellt mit Free Pascal 2.7.1 (Version vom 22.10.2013). Die 5 MB große Datei enthält zudem Tor 0.2.3.25.

Nach der Ausführung wird die Funktion  “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_INSTALL“ aufgerufen, welche den Schädling als „spoolsv.exe“ im Autostartverzeichnis speichert (bspw. C:Documents and SettingsAll UsersStart MenuProgramsStartup). Anschließend  fragt er die öffentliche IP-Adresse des infizierten Systems mithilfe ein frei zugänglichen Dienstes auf http://ekiga.net/ip (es besteht hierbei keine Verbindung zur Malware) ab.

Tor wird als „tor.exe“ im Temp-Verzeichnis des Benutzers gespeichert, und läuft per default auf Port 9050.

Sobald der Trojaner aktiv ist, loggt er alle Tastatureingaben in die Datei “system.log”, welche im Temp-Verzeichnis des Benutzers angelegt wird. Diese Funktion wird über die SetWindowsHookExA-API Funktion installiert, mit dem Hook-Typ WH_KEYBOARD_LL. Die Datei „system.log“ wird über den Aufruf [url]/sendlog.php auf den Server der Kriminellen hochgeladen.

Der Trojaner geht auch alle laufenden Prozesse durch und liest deren Speicher. Hierzu beinhaltet der Schädling 2 regex (Reguläre Ausdrücke ) um nach Informationen zu suchen diese zu extrahieren.

 

 

Diese Daten werden mithilfe der “Exfiltrate” Funktion auf den Server per [url]/recvdata.php hochgeladen.

Der Schädling enthält ebenfalls eine Uninstall Funktion “P$CHEWBACCA$_$TMYAPPLICATION_$__$$_DESTROY”.

Command-and-Control Server

Der C&C ist eine einfache LAMP-installation, basierend auf Linux CentOS, Apache 2.2.15, MySQL und PHP 5.3.3 (mit phpmyadmin 2.11.11.3), erreichbar über http://5jiXXXXXXXXXXgmb.onion.

Wird die URL aufgerufen, erscheint ein Login-Fenster, wobei das Hintergrundbild mit ChewBacca aus “A Game of Clones”- einer Serie erstellt von Andrew Spear (keinerlei Beziehung zum Schädling) angezeigt wird.

 

Die beiden oben genannten PHP-Skripte enthalten die Funktionen des Servers.

  • sendlog.php enthält die Funktion zum hochladen der Keylogger-Daten
  • recvdata.php wird zum exfiltrieren der Speicherdaten benutzt – ein Auruf liefert folgende Fehlermeldung zurück: “Notice: Undefined index: raw data in /var/www/html/recvdata.php on line 24“

Fazit und Anmerkungen

Dank an meinen Kollegen Nicolas Brulez für die Unterstützung bei der Analyse.

Chewbacca wird derzeit nicht, wie bspw. Zeus, öffentlich (in Untergrund Foren) angeboten. Möglicherweise befindet sich der Schädling noch in der Entwicklung oder wird nur Privat eingesetzt bzw. verteilt.

Einige Kriminelle scheinen daran interessiert, Ihre Infrastruktur über Tor zu hosten, da Tor Sicherheit für die C&Cs verspricht. Jedoch birgt dies, wie oben bereits erwähnt, auch einige Probleme.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.