ZBOT-UPATRE nutzt nun beliebige Header

Originalartikel von Jaaziel Carlos, Threat Response Engineer

TROJ_UPATRE ist der bekannteste, über Spam verbreitete Schädling. Er lädt die verschlüsselte Malware Gameover ZeuS auf die betroffenen Systeme. Dieser Schädling wiederum sticht durch die Peer-to-Peer-Verbindungen zu seinem Command-and-Control-Server hervor. Nun stellten die Sicherheitsforscher fest, dass diese ZeuS-Varianten auch nicht-binäre Dateien nutzen.

Der UPATRE-Downloader entschlüsselt diese bösartigen Dateien, um die Sicherheitsfunktionen zu umgehen und somit unentdeckt zu bleiben. Früher konnte ZBOT-Schadsoftware über ihren Header mit ZZPO entdeckt werden, auch wenn er von UPATRE verschlüsselt wurde. Nun hat ZeuS diesen Header durch beliebige ersetzt und die Datei-Extensions geändert, und das erschwert die Entdeckung erheblich. Ein Beispiel eines dieser beliebigen Header:



Bild 1. Beliebige Header

Die Entschlüsselung dieser Dateien fängt beim fünften Byte an und nutzt einen Schlüssel, der sich im TROJ_UPATRE-Downloader befindet. Das Beispiel nutzt 1b23fed8h als XOR-Schlüssel. Nach Ausführung der XOR-Routine zeigt die Datei eine komprimierte Version der ausführbaren Datei. Der XOR-Schlüssel ist für jedes Muster anders.



Bild 2. Der zu entschlüsselnde Teil ist markiert

Um die tatsächliche ausführbare Datei zu erhalten, nutzt die UPATRE-Variante die RtlDecompressBuffer-Funktion für den entschlüsselten Teil der Datei. Die ursprüngliche ausführbare Datei sieht folgendermaßen aus:


Bild 3. Ausführbare Originaldatei

UPATRE entwickelt sich stetig weiter, nicht nur bezüglich der immer effizienter funktionierenden Social Engineering-Köder, etwa Missbrauch von Dropbox-Links, die zu ZBOT, NECURS und kürzlich zu Cryptolocker führen. Auch Verbesserungen wie die Nutzung des XOR-Schlüssels gehören dazu.

Die Hintermänner sind sich dessen bewusst, dass ihre Taktik des Herunterladens von verschlüsselten Dateien von den Sicherheitslösungen bereits entdeckt wurde. Deshalb ändern sie ihren Algorithmus ständig.

Die Hauptfunktion von UPATRE als Downloader ist es, die Payload abzuliefern, nämlich Gameover ZeuS. Früher wurden der Pony-Loader und Cutwail Spam-Botnet für das Herunterladen von GoZ Malware verwendet. Kürzlich unterstützten die Trend Micro-Sicherheitsforscher das FBI dabei, die Aktivitäten von Gameover ZeuS zu stoppen.

Zusätzliche Analysen von Lord Alfred Remorin

Die SHA1-Hashes der Dateien mit diesem Verhalten sind:

  • 01FD900D3CF7E372CE32C5BEA36286644321095D
  • 94B53631F936F5B1C1B2A6B97A430EC2291FE321
  • A12AB11823B90A16E468294B901805B720797815

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.