Analyse von Cryptolocker / TeslaCrypt Sample

Bei fast allen Typen von Ransomware, welche ich bisher analysiert hatte, waren die entsprechenden Locker-Samples ziemlich einfach aufzufinden: Diese kopieren sich nämlich einfach mal schnell ins Home-Directory des Users und verstecken sich dort (hidden Files). Doch wieso geht man so fahrlässig damit um? So ist das Sammeln von IOCs und anderen Verhaltensmustern ja ziemlich einfach und man muss andauernd wieder neue Versionen produzieren und verteilen… Natürlich ist es mittlerweile dank Packer und anderen Tools sehr einfach aus einem Sample gleich hundert neue zu generieren, doch wieso macht man sich den Aufwand überhaupt, wenn man es auch von Anfang an richtig machen könnte? Würde man den Locker lediglich aus dem Memory starten, so wäre es weitaus schwieriger, das Sample in die Finger zu bekommen, da man in der Regel den Stop der Verschlüsselung einer forensisch Tiefen Analyse des Clients vorzieht…

Diese Gedanken sind wieder aufgekommen, als mir vor kurzem ein Sample einer Variante von TeslaCrypt zugetragen wurde. Dieses ist aktuell noch nicht erkannt von den bekannten AV-Herstellern (Stand 17.03.2016), weshalb ich hier gerne meine IOCs weitergebe:

Netzwerk

Wie bei allen aktuellen Ransomware Samples gibt es auch hier natürlich einen initialen Kontakt mit C2 Systemen, mindestens um den entsprechenden Public-Key anzufordern, der sich durch charakteristisch klar erkennbare HTTP-Posts zeigt:

POST /*/*.[php|cgi] HTTP/1.1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.3 rv:11.0) like Gecko
Host: *
Content-Length: 645
Cache-Control: no-cache

Insgesamt findet die Kommunikation mit 2 verschiedenen Servern und mehreren URLs statt:

IP Domain Data
174.136.12.119 esbook.com POST /phsys.php HTTP/1.1
Accept: , \x90\x01\xb2, , , , , ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., w, ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., .
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.3 rv:11.0) like Gecko
Host: esbook.com
Content-Length: 645
Cache-Control: no-cache
174.136.12.119 esbook.com GET /cgi-sys/suspendedpage.cgi HTTP/1.1
Accept: , \x90\x01\xb2, , , , , ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., w, ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., .
Connection: Keep-Alive
User-Agent: Mozilla/5.0 (Windows NT 6.3 rv:11.0) like Gecko
Host: esbook.com
Cookie: _asomcnc=1
Cache-Control: no-cache
66.147.244.86 hmgame.net POST /phsys.php HTTP/1.1
Accept: , \x90\x01\xb2, , , , , ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., w, ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., ., .
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 6.3 rv:11.0) like Gecko
Host: hmgame.net
Content-Length: 645
Cache-Control: no-cache

File

Das File selbst kommt laut Metainfos von einer Firma namens „Cerious Software, Inc.“ und ist unter dem Namen „Recogniser Payslips“ in der Version „0.8.250.145“ verfügbar. Immerhin waren die Schreiber so ehrlich und haben die Software nur als Pre-Release veröffentlicht. 😀

Die gedroppten Files selbst bestehen aus einem Buchstaben-String von zufälligen Buchstaben. Bei meiner Ausführung war dies rwhiti.exe und jdlsfg.exe, zwei Namen, jedoch nur eine Datei dahinter… Die Files starten sich mehrfach selbst als Kindsprozesse, wohl um die Analyse zu erschweren. Nebenbei wird auch noch ein CMD.exe gestartet, mit dem Versuch rwhiti.exe zu löschen. Wieso hierbei aber auf das Löschen von jdlsfg.exe verzichtet wird, ist mir ein Rätsel, aber vielleicht kommt das ja noch, sobald wir die Stable-Version der Ransomware erreicht haben…

Einnisten tun sich die Files in der Registry an den üblichen Orten:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"" = "%System%\CMD.EXE /C START %UserProfile%\My Documents\*.exe.

Das File selbst hat die folgenden Eigenschaften:

FILE NAME rwhiti.exe
FILE SIZE 406096 bytes
FILE TYPE PE32 executable (GUI) Intel 80386, for MS Windows
MD5 36876e94ffe785addb9b21e85f78b2fd
SHA1 e228d0cdd3ad649c5a31c464252646183d7b0fbf
SHA256 613e13ba403ad91777298999e968f3a0610c53e0ecdf99657db92fc508873a5c

Eine Zusammenfassung der IOC gibt es hier. Happy Hunting!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.