analisi dinamica del malware blackenergyads/.../2018/...blackenergy.pdf · blackenergy v.3 – 2/3...

Analisi Dinamica del Malware BlackEnergy

Alfredo De SantisDipartimento di InformaticaUniversità di Salerno

[email protected]

http://www.dia.unisa.it/professori/ads

Maggio 2018

SommarioØCaratteristiche di BlackEnergy

V.3ØRichiami

ØAnalisi DinamicaØBlack BoxØWhite Box

BlackEnergy

IdentikitNome

ØBlackEnergyAnno Nascita

Ø2007SO Attaccati

ØMicrosoft Windows®Segni Particolari

ØUsato per un attacco alsettore energetico ucraino(2015)

Descrizione – 1/2

Descrizione – 2/2Ø È costituito da tre elementi principali

1. File Microsoft Excel®Ø Contente una macro in Visual Basic for

Application (VBA)2. Modulo Dropper3. Modulo Core

Struttura BlackEnergy v.3 – 1/3

File Microsoft Excel®

Ø Questo file rappresenta il veicolo didiffusione del modulo Dropper del malwareØ Al suo interno è inclusa una macroØ La macro contiene del codice malevoloØ Viene generalmente trasmesso mediante allegati e-

mail


Visual Basic for Application (VBA) Macro

Ø Una macro è uno script contenente una serie diØ ComandiØ FunzioniØ Procedure

Ø Una macro è contenuta in un modulo di Microsoft VisualBasic®Ø Può essere eseguita ogni volta che è necessarioØ È tipicamente inglobata all’interno di un file

Microsoft Office

Ø Il linguaggio di programmazione in cui è scritta unamacro è Visual Basic for Application (VBA)Ø Versione rimodellata e semplificata di Microsoft

Visual Basic (VB)

Def

inizione

di M

acro


File Excel con Macro

Inoculazione ed esecuzione del modulo Dropper e del modulo Core



Macro con codice malizioso(affinché la macro venga eseguita è necessario il consenso dell’utente)

Inoculazione ed esecuzione del modulo Dropper e del modulo Core



vba_macro.exe

Inocula ed Esegue il file vba_macro.exe



vba_macro.exe

FONTCACHE.DAT rundll32.exe



vba_macro.exe

FONTCACHE.DAT rundll32.exe

vba_macro.exeinocula i seguenti file

• FONTCACHE.DAT• rundll32.exe

Struttura del modulo Dropper

Ø Si tratta del file eseguibile vba_macro.exeØ Inocula quattro file, di cui due necessari per

l’esecuzione del codice malevoloØ FONTCACHE.DAT

Ø Modulo Core del malwareØ Si tratta di una DLLØ Necessita di rundll32.exe per essere eseguito

Ø rundll32.exeØ File del Sistema Operativo Microsoft Windows®: tale

file non è alterato dal malwareØ Viene inoculato solo se non è presente o se

eventualmente è inaccessibile


Struttura del modulo Dropper

Ø Si tratta del file eseguibile vba_macro.exeØ Inocula quattro file, di cui due necessari per

l’esecuzione del codice malevoloØ FONTCACHE.DAT

Ø Modulo Core del malwareØ Si tratta di una DLLØ Necessita di rundll32.exe per essere eseguito

Ø rundll32.exeØ File del Sistema Operativo Microsoft Windows®: tale

file non è alterato dal malwareØ Viene inoculato solo se non è presente o se

eventualmente è inaccessibile


rundll32.exe è un processo legittimo di Microsoft

Windows, che è responsabile del caricamento e

l’esecuzione dei file dynamiclink library (.dll).

Struttura del modulo Core

Ø È costituito dal file FONTCACHE.DATØ Si tratta di una DLL

Ø Per essere eseguita necessita di rundll32.exeØ Viene inoculato nel sistema infetto

Ø Tramite il modulo DropperØ Fornisce una serie di API a basso livello

Ø Utilizzate dal malware per svolgere le proprieazioni malevole


Ø Ci focalizzeremo sul modulo DropperØ Il primo passo è quello estrarre tale modulo dal file

Excel ed isolarloØ Eliminando le due righe evidenziate dal rettangolo verde ed

eseguendo la macro stessa in ambiente controllato

Analisi DinamicaBlack-Box

Ø Ci focalizzeremo sul modulo DropperØ Il primo passo è quello di isolare tale modulo

Ø Effettuando alcune modifiche alla macro del file Exceled eseguendo la macro stessa in ambiente controllato


Eliminando queste due istruzioni evitiamo che vba_macro.exe venga eseguito dalla macro

del file Excel e possiamo analizzarne il comportamento

Ø Ci focalizzeremo sul modulo DropperØ Il primo passo è quello di isolare tale modulo

Ø Effettuando alcune modifiche alla macro del file Exceled eseguendo la macro stessa in ambiente controllato


Una volta eseguita la macro modificata, potremo reperire il modulo Dropper malware

dalla cartella temporanea di Windows

Ci sono comunque diversi altri metodi per ottenere il modulo Dropper

Ø Dopo aver isolato il modulo DropperØ Il passo successivo consiste nella sua

esecuzione in un ambiente controllatoØ Su una macchina virtuale oppureØ Su una macchina fisica adeguatamente

protetta


Ø Il modulo Dropper delmalware BlackEnergy(file vba_macro.exe) èstato eseguito su unamacchina virtualeØ Microsoft Windows ® 7

Ø Per semplicità il file èstato eseguito dalDesktopØ Ma è possibile eseguirlo

da qualsiasi cartella con imedesimi effetti


Esecuzione in Macchina Virtuale

Ø N.B. vba_script.exe èun file consideratolegittimo da parte diWindowsØ Veniamo avvisati della

possibile pericolosità ditale file eseguibilepoiché non dispone diuna firma digitale valida


Ø OsservazioniØ L’esecuzione del modulo

Dropper è molto rapidaØ Subito dopo la sua

esecuzione, il filevba_macro.exe vieneautoeliminatoØ Tale file non è più

presente sul Desktop


Ø OsservazioniØ L’esecuzione del modulo

Dropper è molto rapidaØ Subito dopo la sua

esecuzione, il filevba_macro.exe vieneautoeliminatoØ Tale file non è più

presente sul Desktop


Questo comportamento è tipicodei software che eseguonocodice malevoloØ Cercano di nascondere le

proprie “tracce”Ø Codice malevoloØ File correlatiØ Etc.

Ø Abbiamo osservato alcuni effetti immediatamente“visibili” dopo l’esecuzione del DropperØ Autoeliminazione del modulo stesso (file vba_macro.exe)



Ø Quali sono state le altre conseguenzedell’esecuzione del modulo Dropper di BlackEnergy?Ø Ricordiamo quello che abbiamo individuato nell’analisi

statica…




statica…Ø vba_macro.exe prima di inoculare file, reperisce

Ø Il path della cartella di sistema APPDATAØ Il path della cartella di sistema System32




statica…Ø vba_macro.exe prima di inoculare file, reperisce

Ø Il path della cartella di sistema APPDATAØ Il path della cartella di sistema System32

Ø È importante quindi monitorare queste due cartelleed in particolar modo la cartella APPDATA

Ø Il path della cartella System32 viene reperito moltoprobabilmente per vedere se è presente (ed accessibile) il filerundll32.exeØ Solitamente memorizzato da Windows proprio in questa cartella



Ø Monitorando prima e dopol’esecuzione del malware ilcontenuto della cartellaAPPDATAØ Possiamo osservare che è stato

inoculato il modulo DropperØ Caratterizzato dal file

FONTCACHE.DAT

Ø Il modulo Core (file FONTCACHE.DLL) è una libreria DLLche necessita del file di sistema rundll32.exe per poteressere eseguito

Ø Il legame tra il modulo Core ed il file rundll32.exe èevidenziato anche dal messaggio mostrato in output quandosi tenta (senza successo) di eliminare il fileFONTCACHE.DAT


Analisi DinamicaBlack-Box à White-Box

Ø Il passo successivo all’analisi dinamica black-box consiste nell’analisi white-box del moduloDropperØ Monitorando il comportamento del processo

istanziato dal file eseguibile vba_macro.exe

Analisi DinamicaBlack-Box à White-Box

Ø Il passo successivo all’analisi dinamica black-box consiste nell’analisi white-box del moduloDropperØ Monitorando il comportamento del processo

istanziato dal file eseguibile vba_macro.exeØ L’obiettivo è quello di ampliare le conoscenze

relative al modulo in esame e carpire ulterioriinformazioni utili

Analisi DinamicaWhite-Box

Ø Mediante il tool Process Monitor è possibilemonitorare il comportamento del processoistanziato da vba_macro.exe

Ø Mediante il tool Process Monitor è possibilemonitorare il comportamento del processoistanziato da vba_macro.exe


Finestra in cui vengono mostrati i processi attivi


1° Colonna: Nome del Processo e relativo PIDViene mostrato il nome di ogni processo attivo ed eventuali gerarchie

relative a sotto-processi

Tra parentesi tonde è mostrato il Process IDentifier (PID) di ciascun processo



2° Colonna: Descrizione del processo



3° Colonna: Path del file eseguibile che ha istanziato il processo



4° Colonna: Life Time (Tempo di Attività)

Ø VerdeØ Tempo di attività del processo

Ø BiancoØ Tempo di inattività del processo



5° Colonna: Nome Azienda Sviluppatrice



Una riga mostra le informazione complete di un processo


Ø Il processo vba_macro.exe è un processo“figlio” del processo Explorer.EXEØ Windows Explorer (Explorer.EXE) è un processo

che si occupa principalmente della gestionedell’interfaccia graficaØ I processi che fanno uso di interfaccia grafica sono

quasi sempre dipendenti da tale processo o ne sonofigli

Ø Si può notare come lo stesso Process Monitor(Procmon.exe) sia figlio di Explorer.exe


Ø Il tool Process Monitor evidenzia che ilprocesso vba_macro.exe genera unprocesso figlio


Ø Il tool Process Monitor evidenzia che ilprocesso vba_macro.exe genera unprocesso figlioØ Denominato cmd.exe

Ø L’eseguibile è memorizzato nella cartellaSystem32


Ø Il tool Process Monitor evidenzia che ilprocesso vba_macro.exe genera unprocesso figlioØ Denominato cmd.exe

Ø L’eseguibile è memorizzato nella cartellaSystem32

Ø Il processo cmd.exe genera un ulterioreprocesso figlioØ Denominato PING.EXE



cmd.exe PING.EXEØ Prompt dei comandi di Microsoft

WindowsØ Tramite il prompt è possibile

effettuare diverse operazioni (copia,cancellazione, esecuzione, etc.)

Ø Usato da vba_macro.exe perØ Istanziare il processo PING.EXEØ Inoculare il modulo Core

Ø Applicativo di Microsoft Windows chepermette di effettuare diverseoperazioniØ Connessioni a reti/InternetØ Monitoring dell’esecuzione di

applicazioniØ Etc.

cmd.exeSintassi e alcune opzioni di PING.EXE

Ø Process Monitor mette in luce altreimportanti informazioni riguardanti ilprocesso vba_macro.exe


Ø Process Monitor mette in luce altreimportanti informazioni riguardanti ilprocesso vba_macro.exeØ Come si può osservare dall’analisi Black Box,

l’esecuzione è molto rapidaØ Il tempo di attività (life time) del processo

vba_macro.exe e dei relativi sotto-processi è moltobreve


Ø Process Monitor mette in luce altreimportanti informazioni riguardanti ilprocesso vba_macro.exeØ Le attività del modulo Dropper sono quindi molto rapide

Ø Al fine di occultare velocemente le operazioni malevoleØ L’attività del malware prosegue con il modulo Core

(libreria DLL)Ø Che si avvale del legittimo processo di sistema

rundll32.exe


Ø Mediante il tool Process Monitor è possibileproseguire l’analisi dinamica sul moduloDropper ed in particolare sul comportamentodel processo vba_macro.exeØ È possibile osservare nel dettaglio quali sono le API

di sistema invocate e quali sono le eventuali chiavi diregistro coinvolte dal processo vba_macro.exe edai relativi sotto-processi


Ø Le operazioni svolte dal processovba_macro.exe riguardano funzioni edoperazioni appartenenti principalmente allalibreria ADVAPI32.DLLØ ADvanced Windows Base API 32-bit

Ø Libreria che permette di effettuare numeroseoperazioniØ Accesso al registro di sistemaØ Riavvio/spegnimento del SistemaØ Avvio/stop/creazione di servizi


Ø Le attività svolte dal processo PING.EXEriguardano principalmente funzioni edoperazioni delle librerieØ kernel32.dllØ ntdll.dllØ apisetschema.dll

Ø Librerie che svolgono un ruolo importantenell’ambito della sicurezza del sistemaoperativo


Ø Analizzando le operazioni svolte dal processocmd.exe è possibile osservareØ Il probabile punto in cui viene inoculato il modulo

CoreØ Il modulo Core, caratterizzato dal file

FONTCACHE.DAT, viene memorizzato nellacartella APPDATA


Ø Process Monitor permette di individuare la cartella (o lechiavi in caso di funzioni su registro) su cui opera unafunzioneØ Tuttavia, non fornisce ulteriori informazioni riguardo i

parametri utilizzati nelle invocazioni delle funzioniØ Nel caso specifico, è lecito supporre che le funzioni

evidenziate operino sull’unico file presente nella cartellaAPPDATA, ovvero il file FONTCACHE.DAT (modulo Core delmalware)



Ø Mediante la funzione CreateFile viene creato ilfile FONTCACHE.DAT



Ø Mediante la funzione SetBasicInformationFilevengono impostate le informazioni di base relative atale file, mentre, mediante la funzioneQueryFileInternalInformationFile, vengonorichieste alcune informazioni relative allo statusinterno del file



Ø Mediante la funzione SetBasicInformationFilevengono impostate le informazioni di base relative atale file, mentre, mediante la funzioneQueryFileInternalInformationFile, vengonorichieste alcune informazioni relative allo statusinterno del file

Ø Mediante la funzione CloseFile, il file viene infinechiuso

Ø Mediante il tool Process Monitor è possibileproseguire l’analisi dinamica sul moduloDropper ed in particolare sul comportamentodel processo vba_macro.exeØ È possibile osservare nel dettaglio quali sono le API

di sistema invocate e quali sono le eventuali chiavi diregistro coinvolte dal processo vba_macro.exe edai relativi sotto-processi



Ø Passiamo ora all’analisi del fileFONTCACHE.DATØ Corrisponde ad una libreria DLL (packet.dll)

Ø DLL – Dynamic-Link Library - Libreriacondivisa in ambiente Microsoft Windows®

Ø Rappresenta il modulo Core di BlackEnergyØ Può essere usato come uno sniffer di reteØ FONTCACHE.DAT sembra incapsulare la

libreria WinPCAPØ WinPCAP permette di catturare e

trasmettere pacchetti, senza utilizzare leAPI di rete fornite da Windows

Ø https://www.winpcap.org/

https://www.winpcap.org/


Ø Passiamo ora all’analisi del fileFONTCACHE.DATØ Corrisponde ad una libreria DLL (packet.dll)

Ø DLL – Dynamic-Link Library - Libreriacondivisa in ambiente Microsoft Windows®

Ø Rappresenta il modulo Core di BlackEnergyØ Può essere usato come uno sniffer di reteØ FONTCACHE.DAT sembra incapsulare la

libreria WinPCAPØ WinPCAP permette di catturare e

trasmettere pacchetti, senza utilizzare leAPI di rete fornite da Windows

Ø https://www.winpcap.org/

Ø Windows mette a disposizioni apposite API (Winsock API) perpermette agli applicativi di utilizzare lo stack di protocolli voltialle reti

Ø L’incapsulamento della libreria WinPCAP (invece dell’utilizzo delleWinsock API) pone notevolmente l’accento sulla potenzialemaliziosità del modulo Core

https://www.winpcap.org/

Ø Mediante il tool Wireshark è possibileanalizzare il comportamento relativo altraffico di rete generato dal modulo Core

Ø L’obiettivo principale è quello di individuareeventuale traffico anomalo da e verso unostesso indirizzo IP


Ø In seguito all’esecuzione del modulo Droppered all’entrata in azione del modulo Core sonoemerse innumerevoli richieste HTTP verso ununico indirizzo IP


ANATOMIA DI UN PACCHETTO (su Wireshark)


1° Colonna: Timestamp del pacchetto



2° Colonna: IP sorgente del pacchetto



3° Colonna: IP destinazione del pacchetto



4° Colonna: Protocollo del pacchetto



5° Colonna: Lunghezza del pacchetto



6° Colonna: Dettagli del pacchetto

Ø Analizziamo nel dettaglio una delleinnumerevoli richieste aventi il medesimo IP didestinazioneØ IP destinazione: 5.149.254.114Ø Protocollo: HTTP (HTTP/1.1)Ø Dettagli Richiesta HTTP

Ø POSTØ /Microsoft/Update/KC074913.php


Ø Analizziamo nel dettaglio una delleinnumerevoli richieste con il medesimo IP didestinazioneØ IP destinazione: 5.149.254.114Ø Protocollo: HTTP (HTTP/1.1)Ø Dettagli Richiesta HTTP



Indirizzo IP di un Proxy che si interfaccia con il modulo Core del malware

Ø Analizziamo nel dettaglio una delleinnumerevoli richieste con il medesimo IP didestinazioneØ IP destinazione: 5.149.254.114Ø Protocollo: HTTP (HTTP/1.1)Ø Dettagli Richiesta HTTP



Da notare come le richieste siano adeguatamente mascherate per somigliare al servizio di Microsoft

Windows Update

Ø Analizzando ulteriormente il traffico èpossibile osservare che la comunicazione èbidirezionaleØ Sono presenti anche risposte da parte del server


Risposte dall’indirizzo IP 5.149.254.114

1. Il primo passo relativo all’analisi dinamica è stato l’isolamento delmodulo DropperØ Partendo dalla macro del file Excel è stato possibile isolare il modulo

DropperØ Caratterizzato dal file vba_macro.exe

2. Mediante l’analisi dinamica black-box è stato possibile monitoraresuperficialmente il comportamento del modulo Dropper, da cuisono emerse alcune informazioni fondamentali per l’analisidinamica white-boxØ Il modulo Dropper si autoelimina al termine della propria esecuzioneØ Nella cartella di sistema APPDATA viene inoculato il modulo Core

Ø Il modulo Core è costituito dal file FONTCACHE.DAT. Tale file corrisponde aduna libreria DLL, che può essere eseguita in maniera diretta medianterundll32.exe

Ø Non è possibile eliminare il suddetto file, poiché utilizzato dal processolegittimo di Windows, denominato rundll32.exe

Analisi DinamicaConclusioni – 1/3

3. Utilizzando l’analisi dinamica white-box si è studiato ilcomportamento del modulo DropperØ Mediante Process Monitor è stata monitorata l’attività del

processo vba_macro.exe e sono state ottenute leseguenti informazioniØ Il Life Time (tempo di attività) del suddetto processo risulta essere

molto breveØ Viene creato un processo “figlio”, il quale ha il compito di invocare la

Shell di Windows (cmd.exe), che a sua volta genera un altroprocesso, «PING.EXE»Ø Osservando le operazioni e le API invocate dal processo

cmd.exe è stato possibile individuare il probabile punto in cuiviene inoculato il modulo Core del malware


4. Il modulo Core è essenzialmente uno sniffer di reteØ Basato sulla libreria WinPCAPØ È quindi necessaria un’analisi del traffico di rete per studiarne il

comportamento5. L’analisi del traffico di rete è stata effettuata mediante

il tool WiresharkØ L’analisi è stata effettuata prima e dopo l’esecuzione del modulo

Dropper (e conseguentemente del modulo Core)Ø L’obiettivo principale è stato l’individuazione di anomalie

(invio/ricezione di pacchetti da/verso uno stesso indirizzo IP, etc.)Ø L’analisi del traffico ha condotto all’individuazione di un indirizzo

IP di un proxy, con cui il modulo Core comunicava in manierabidirezionaleØ Le interazioni di rete sono state abilmente mascherate, sotto forma

di interazioni effettuate dal servizio Microsoft Windows Update


Ø L’analisi dinamica white-box potrebbe ulteriormentesvilupparsi in diverse direzioni, alcune delle qualipotrebbero essere le seguentiØ Utilizzo di debugger interattivi come OllyDBG

Ø Per reperire ulteriori dettagli circa l’esecuzione del modulo Droppere del modulo Core

Ø Analisi dei pacchetti di reteØ Per reperire eventuali informazioni

Ø Analisi delle API invocate dal modulo Core

Analisi DinamicaSviluppi Futuri

Bibliografia/SitografiaØ https://www.f-

secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf

Ø https://www.sentinelone.com/wp-content/uploads/2016/01/BlackEnergy3_WP_012716_1c.pdf

Ø https://msdn.microsoft.com/en-us/library/windows/desktop/gg314982(v=vs.85).aspx

https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf

https://www.sentinelone.com/wp-content/uploads/2016/01/BlackEnergy3_WP_012716_1c.pdf

https://msdn.microsoft.com/en-us/library/windows/desktop/gg314982(v=vs.85).aspx

analisi dinamica del malware blackenergyads/.../2018/...blackenergy.pdf · blackenergy v.3 – 2/3...

Documents