Malware Analysis && UnEthical Hacking
inicio hacking WiFu WiBOG MDB

Troyano/Ransomware Troldesh (.better_call_saul)
General

Troyano del tipo Ransomware que cifra los archivos con el algoritmo AES-256 y la extensión .better_call_saul, para recuperar la información requiere de un pago de 150 USD y el envío de un código a las cuentas de correo:

post77999@gmail.com
post7799@yahoo.com
callsaul77@yahoo.com

 

Comportamiento

El proceso de infección inicia una vez el usuario abre el archivo schet1074.15.03.16.doc el cual contiene el exploit para MS Office CVE-2015-1641 (agradecimientos especiales a FireF0X por esta información).

Una vez se ha vulnerado la seguridad del equipo se inicia el proceso (csrss.exe / vmsk.exe) encargado de cifrar la información.


Crea los archivos:

» C:\ProgramData\Windows\csrss.exe
» C:\Users\W7_MMD\AppData\Local\Temp\E8B6CE19.exe - "Nombre aleatorio"
» C:\Users\W7_MMD\AppData\Local\Temp\025074DE.exe - "Nombre aleatorio"
» C:\Users\W7_MMD\AppData\Local\Temp\state
» C:\Users\W7_MMD\AppData\Local\Temp\lock
» C:\Users\W7_MMD\AppData\Roaming\77E4183577E41835.bmp - "Nombre aleatorio"
» C:\Users\W7_MMD\Desktop\README1.txt
» C:\Users\W7_MMD\Desktop\README2.txt
» C:\Users\W7_MMD\Desktop\README3.txt
» C:\Users\W7_MMD\Desktop\README4.txt
» C:\Users\W7_MMD\Desktop\README5.txt
» C:\Users\W7_MMD\Desktop\README6.txt
» C:\Users\W7_MMD\Desktop\README7.txt
» C:\Users\W7_MMD\Desktop\README8.txt
» C:\Users\W7_MMD\Desktop\README9.txt
» C:\Users\W7_MMD\Desktop\README10.txt
» C:\Users\Public\Desktop\README1.txt
» C:\Users\Public\Desktop\README2.txt
» C:\Users\Public\Desktop\README3.txt
» C:\Users\Public\Desktop\README4.txt
» C:\Users\Public\Desktop\README5.txt
» C:\Users\Public\Desktop\README6.txt
» C:\Users\Public\Desktop\README7.txt
» C:\Users\Public\Desktop\README8.txt
» C:\Users\Public\Desktop\README9.txt
» C:\Users\Public\Desktop\README10.txt

Crea y modifica las siguientes llaves de registro:

» HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
» HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\cnt
» HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\i
» HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\mode
» HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\pk
» HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\state
» HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\sys
» HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\System32\Configuration\Version

Se definen los diferentes tipos de archivo que deben ser modificados:

wb2, cdr, srw, p7b, odm, mdf, p7c, 3fr, der, odb, arw, rwl, cer, xlk, pdd, rw2, crt, dx, r3d, pem, bay, ptx, pfx, indd, nrw, p12, bd, backup, torrent, kwm, pwm, safe, xl, xls, xlsx, xlsm, xlsb, xltm, xlt, xlam, xla, mdb, rtf, txt, xml, csv, pdf, prn, dif, slk, ods, xltx, xlm, odc, xlw, uxdc, pm, udl, dsn, iqy, dqy, rqy, oqy, cub, bak, xsn, xsf, xtp, xtp2, accdb, adb, adp, mda, accda, mde, accde, accdw, accdt, accdc, mdw, dbf, tab, asc, frm, opt, myd, myi, db, onetoc2, one, onepkg, vcs, ics, pst, oft, msg, pptx, ppt, pptm, pps, ppsm, pot, potx, potm, odp, thmx, wpd, wps, ppa, ppam, wmf, emf, pub, ps, xps, vsd, vdx, vss, vsx, vst, vtx, vsw, vdw, emz, dwg, dxf, docx, doc, docm, dotx, dot, dotm, djvu, chm, htm, html, mht, mhtml, shtml, shtm, asp, aspx, dwt, stm, cs, css, psd, pdd, 3ds, max, crw, nef, raf, orf, mrw, dcr, mos, pef, srf, dng, x3f, cr2, erf, sr2, kdc, mfw, mef, cin, sdpx, dpx, fido, dae, dcm, dc3, dic, eps, kmz, iff, tdi, exr, pcx, pdp, pxr, sct, u3d, obj, ai3, ai4, ai5, ai6, ai7, ai8, ai, epsp, epsf, hdr, rgbe, xyze, flm, pbm, pgm, ppm, pnm, pfm, pam, pct, pict, psb, fxg, swf, hta, htc, ssi, as, asr, xsl, xsd, dtd, xslt, rss, rdf, lbi, asa, ascx, asmx, config, cfm, cfml, cfc, tld, phtml, jsp, wml, tpl, lasso, jsf, vb, vbs, vtm, vtml, edml, raw, jpg, jpeg, jpe, bmp, png, tif, tiff, dib, gif, svg, svgz, rle, tga, vda, icb, wbm, wbmp, jpf, jpx, jp2, j2k, j2c, jpc, avi, mkv, mov, mp4, wmv, 3gp, mpg, mpeg, m4v, divx, mpv, m1v, dat, anim, m4a, qt, 3g2, f4v, mkidx, mka, avs, vdr, flv, bin, mp3, wav, asx, pls, zip, 7z, rar, tar, gz, bz2, wim, xz, c, h, hpp, cpp, php, php3, php4, php5, py, pl, sln, js, json, inc, sql, java, class, ini, asm, clx, tbb, tbi, tbk, pst, dbx, cbf, crypted, tib, eml, fld, vbm, vbk, vib, vhd, 1cd, dt, cf, cfu, mxl, epf, vrp, grs, geo, elf, lgf, lgp, log, st, pff, mft, efd, md, dmp, fdb, lst, fbk


Ejemplo de un nombre de archivo que ha sido cifrado:

tBu9egicxcQ87iVx74AehcHywpXdJ1e4C-i-wFueLdQ=.0C45EA3C056FB8D46410.better_call_saul

El contenido del sitio cryptorzimsbfbkx.onion permite identificar la tercera cuenta de correo activa y disponible para poder establecer la comunicación con los atacantes:

Al establecer comunicación con los atacantes se define el costo/monto a pagar y los requerimientos para poder recuperar toda la información:

Durante este proceso se ejecutan a su vez conexiones con diferentes servidores C2:

» 86.59.21.38 - Austria Klosterneuburg Buchberggasse - tor.noreply.org
» 208.83.223.34 - United States San Francisco Rgnx - rgnx.net
» 37.59.46.159 - France Roubaix Ovh Sas
» 158.58.170.2 - Italy Codogno Seflow S.n.c. Di Marco Brame & C. - sef5.seflow.it
» 188.165.26.13 - France Roubaix Ovh Sas
» 104.25.11.6 - United States Phoenix Cloudflare Inc.
» 72.246.48.8 - United States Raton Akamai Technologies Inc.

En este enlace es posible encontrar un excelente ANÁLISIS con información detallada sobre el funcionamiento, características y métodos de cifrado: The shade encryptor a double threat


Así mismo al ejecutar algunas de las pruebas se detectó la descarga y ejecución de un segundo componente KELIHOS (E8B6CE19.exe) encargado de realizar el envío masivo de SPAM, en muchas de las conexiones HTTP detectadas con servidores que forman parte de esta Botnet se identificó el uso de páginas Web con los siguientes nombres: /login.htm /setup.htm /online.htm /index.htm /main.htm /default.htm /welcome.htm /search.htm /home.htm /file.htm /install.htm

» 155.94.254.7 - /home.htm /main.htm
» 220.116.246.88 - /index.htm
» 73.69.54.155 - /main.htm /default.htm
» 59.16.141.51 - /main.htm /index.htm
» 46.241.162.75 - /online.htm
» 181.229.176.179 - /file.htm
» 181.46.183.183 - /login.htm /setup.htm /online.htm /index.htm /main.htm /default.htm
» 84.202.188.225 - /login.htm /file.htm
» 91.250.53.114 - /login.htm
» 69.23.139.144 - /home.htm /login.htm
» 105.131.75.227 - /search.htm /online.htm
» 188.0.72.57 - /install.htm /main.htm
» 176.223.169.98 - /index.htm /home.htm
» 121.136.241.45 - /search.htm /login.htm
» 1.64.242.80 - /file.htm
» 76.9.38.194 - /index.htm /setup.htm
» 125.143.234.235 - /main.htm
» 73.205.91.110 - /main.htm
» 203.175.48.196 - /setup.htm
» 1.239.96.173 - /search.htm /file.htm

Finalmente se envían los correos electrónicos encargados de expandir dicha Botnet infectando con Malware a más equipos en Internet, adjunto la lista de algunos de los servidores SMTP que son utilizados con este propósito.


Enlaces relacionados:

- Kelihos Botnet Monitor
- MMD-0046-2015 - Cyber crime: Kelihos 10 nodes CNC on NJIIX, New Jersey USA, with a known russian crook who rented them

 

Descarga

Nombre de archivo: schet1074.15.03.16.doc / Tamaño: 1.1 MB / VT
MD5: 99289be18f8eff90737733fd7e1255c6
SHA1: 736c1b31cb3735f301d8cd4981c24ad70d017083
SHA256: 72b14306c9f95536d03d88cf63204f70630dd9cd00664ad7f86c1d774c8508e9

Nombre de archivo: CSRSS.exe / Tamaño: 1.8 MB / VT
MD5: 3760fe84a6ffa9ddb8aaa09c75da522a
SHA1: d114536a402051de51f5746d1ad22d79293e017e
SHA256: b8660031e2ad82f3fc3670f291742f5ee3068ecb278ee451d598d62a7bf2927e

Nombre de archivo: 025074DE.exe / Tamaño: 114.3 KB / VT
MD5: 31c45fc5ab610ebd6fc40027f5312da2
SHA1: 570ebae33e55a3aa0a21964e8e7360b203185b9d
SHA256: fced345165dcdcf40afe381267d678db3cf5977db31b1b32bdf6a7a27db9a1b1

Nombre de archivo: E8B6CE19.exe / Tamaño: 1.0 MB / VT
MD5: fe75d110255a8bc86ef264ef890d1586
SHA1: e2e4b47bedd0433c9b8652c8b207cd555a325405
SHA256: 8552fe9499097efb1d645926cfe7b522b56b504367397a8f0991cc1f4e1b9c6d

Descargue los archivos únicamente con motivos de investigación y bajo su propia responsabilidad.
Troldesh Files

 

Mosh
@nyxbone
#MalwareMustDie

Inicio       ||       Comunidad       ||      Servicios       ||      Proyectos       ||      Hacking       ||      Contáctenos