La notizia è stata riportata da tutte le maggiori testate nazionali. Una coppia italiana, i coniugi Occhionero, è stata arrestata per aver condotto negli ultimi anni un’operazione di cyber spionaggio. A questo link di Repubblica è possibile leggere un articolo a riguardo.

Il malware chiamato Eyepyramid, sembra aver spiato elementi di spicco degli ambienti politici e militari negli ultimi 10 anni, il che è abbastanza clamoroso perchè un malware che passa inosservato per tanti anni è inusuale.

Sono riuscito ad avere un sample del malware e ho deciso di effettuare la mia analisi, provando a fare reverse engineering, analisi statica e dinamica, limitatamente a quello che so fare.

Non sono un malware analyst professionista, ma so comunque effettuare un po’ di attività in questo senso ed ecco quello che son ostato in grado di trovare:

Tanto per iniziare ho utilizzato una macchina windows 8 32bit che uso specificamente per questo tipo di analisi, senza antivirus, windows defender o qualsiasi altro sistema di protezione.

Dopo aver caricato il malware lo dò in pasto al tool Hook Analyzer e noto nell’output questi nomi file:

vmgr.exe

crrr.exe

lcrrr.exe

ghk.exe

jghk.exe

run.exe

jrun.exe

Una volta eseguito il malware sotto l’osservazione del tool procmon noto che il malware effettua il dropping di una copia sotto c\windows\system32 selezionando il filename randomicamente da uno di quelli elencati precedentemente per poi fissarsi con un nome file definitivo apparentemente randomico.

Il malware è offuscato pesantemente e non è quindi possibile analizzarlo tramite decompiler direttamente.

Tramite il tool Exeinfo PE riesco ad individuare che è stato offuscato usando due software, Dotfuscator e Skater, inoltre il tool mi dice che il malware è sviluppato in .NET. Sono quindi in grado di capire come deoffuscarlo. Parte del malware è anche crittografata in 3DES, soprattutto nella parte contenente gli indirizzi IP del server C&C utilizzati. Mi occuperò più avanti di risolvere questo problema.

Il deoffuscamento mi permette ora di dare in pasto il malware ad un decompilatore e opto per Dotpeek in quanto è specifico per software sviluppato in :NET, il quale mi dà parecchie informazioni utili.

 

in una sezione noto il seguente output

public static string[] G3xSlIRykJHgCsYYQL4f9wuWJDosQUChVBfVdEAosQUChVBfVdEAOMiDvUmzS4CA = new string[12]
 {
 "plfyp",
 "pming",
 "pnbwz",
 "pxcfx",
 "qbpye",
 "qdtai",
 "qislg",
 "qwioc",
 "rqklt",
 "runwt",
 "ruzvs",
 "rvhct"
 };

Quello che sembrava un filename randomico si rivela invece essere presente in questa lista. Ora so che il malware si manifesta attraveso uno di questi file. E’ un’informazione importante che può essere considerata un IoC (Indicator of compromise), cioè un indicatore di compromissione.

Visto che Dotpeek mi permette di dare un’occhiata al decompilato “simil C”, vado avanti e trovo anche altre informazioni molto interessanti come ad esempio quelle che riporto di seguito

public static string[] s7eoCrQ0E6NHC5d88vgTpS5ovH9ZnEmFepqIKDA9ZnEmFepqIKDAxRIaV2T0wHUA = new string[77]
 {
 ".accdb",
 ".accde",
 ".asp",
 ".aspx",
 ".avi",
 ".bat",
 ".bmp",
 ".c",
 ".cab",
 ".cer",
 ".chm",
 ".com",
 ".config",
 ".cs",
 ".csv",
 ".ctt",
 ".dat",
 ".db",
 ".dbx",
 ".der",
 ".doc",
 ".docx",
 ".dwg",
 ".dxf",
 ".eml",
 ".eps",
 ".exe",
 ".gif",
 ".gz",
 ".hlp",
 ".htm",
 ".html",
 ".ico",
 ".inf",
 ".ini",
 ".iso",
 ".jpg",
 ".js",
 ".key",
 ".log",
 ".manifest",
 ".mdb",
 ".msg",
 ".msi",
 ".oeaccount",
 ".pdf",
 ".pfx",
 ".png",
 ".ppt",
 ".pptx",
 ".pps",
 ".pst",
 ".rar",
 ".rdp",
 ".rtf",
 ".sln",
 ".sql",
 ".tif",
 ".txt",
 ".vb",
 ".vbe",
 ".vbproj",
 ".vbs",
 ".vcf",
 ".vcproj",
 ".vhd",
 ".vmcx",
 ".wab",
 ".wks",
 ".wmf",
 ".wpd",
 ".wri",
 ".xls",
 ".xlsx",
 ".xml",
 ".zip",
 ".zipx"
 };

Possiamo ragionevolmente presupporre che si tratti dell’elenco delle estensioni dei filename esfiltrati dal malware. Si tratta sostanzialmente dell’elenco dei file che il malware è in grado di rubare.

 

 

Torno sull’output di Hook Analyzer e noto tra le altre cose il seguente output

SELECT * FROM Accounts

SELECT * FROM Contacts

SELECT * FROM Messages

SELECT * FROM SMSes

Si tratta delle informazioni che vengono esfiltrate dagli account skype. Il malware sembra proprio essere in grado di fare anche questo.

L’analisi del malware mi ha dato da pensare. I coniugi Occhionero non sembrano essere hacker professionisti, ma il malware è scritto troppo bene per essere stato fatto da dilettanti, presenta infatti un doppio livello di offuscamento e una crittografia 3DES, inoltre implementa dei meccanismi anti VM che non permettono l’analisi dinamica se il malware è eseguito su una macchina virtuale. L’ho testato sulla mia piattaforma virtuale ed il malware fa solo dei collegamenti verso Facebook, Twitter e Youtube, ma nulla di malicious.

Il malware controlla anche la presenza di antivirus installati sulla vittima. Questo è chiaramente visibile dall’output di Dotpeek nella seguente parte.

public static string[] vlI4kmi2Yy1T2HDaRXaOr0am5DLZSWh8ErR7NAALZSWh8ErR7NAAn0PqPax2d6RA = new string[75]
 {
 "\\Ad-Aware Antivirus",
 "\\Alice Total Security",
 "\\AhnLab",
 "\\Alwil Software",
 "\\Ashampoo",
 "\\AVAST Software",
 "\\AVG",
 "\\avira",
 "\\bitdefender",
 "\\BullGuard Ltd",
 "\\CA",
 "\\CCleaner",
 "\\ClamWin",
 "\\ClamAV for Windows",
 "\\Comodo",
 "\\DriveSentry Security Suite",
 "\\DrWeb",
 "\\Emsisoft Anti-Malware",
 "\\Eset",
 "\\Faronics",
 "\\FRISK Software",
 "\\Fortinet",
 "\fsi",
 "\f-secure",
 "\\F-Secure Internet Security",
 "\\G Data",
 "\\GFI Software",
 "\\Grisoft",
 "\\IKARUS",
 "\\Immunet Protect",
 "\\INCAInternet",
 "\\IObit",
 "\\K7",
 "\\K7 Computing",
 "\\kaspersky lab",
 "\\Lavasoft",
 "\\Malwarebytes",
 "\\Malwarebytes' Anti-Malware",
 "\\McAfee",
 "\\McAfee Security Scan",
 "\\Microsoft Security Client",
 "\\Microsoft Security Essentials",
 "\\network associates",
 "\\Norman",
 "\\norton antivirus",
 "\\Norton AntiVirus Corporate Edition",
 "\\norton internet security",
 "\\norton security scan",
 "\\norton 360",
 "\\Panda Security",
 "\\PC Tools Antivirus",
 "\\Quick Heal",
 "\\Rising",
 "\\SafeCentral",
 "\\Softwin",
 "\\Sophos",
 "\\SPAMfighter",
 "\\Spybot - Search & Destroy",
 "\\SpyShredder",
 "\\spyware doctor",
 "\\Spyware Terminator",
 "\\Sunbelt Software",
 "\\Symantec",
 "\\Symantec AntiVirus",
 "\\Symantec Shared",
 "\\ThreatFire",
 "\\Trend Micro",
 "\\Trojan Remover",
 "\\TrustPort",
 "\\UAV",
 "\\Vba32",
 "\\Virusbuster",
 "\\Webroot",
 "\\Windows Defender",
 "\\zone labs"
 };

Ci sono degli elementi che però possono essere considerati errori banali, come ad esempio l’uso della libreria MailBee con licenza regolarmente intestata a Occhionero; ora mi chiedo, quale sprovveduto farebbe un errore del genere?.

MI sono sempre ripromesso di effettuare l’analisi dinamica eseguendo il malware su una macchina fisica, questo mi permetterebbe di poter effettuare un debugging completo e soprattutto analizzare il comportamento del malware in termini di socket aperti verso internet, alla ricerca degli indirizzi IP dei server C&C. Purtroppo pe rmotivi di tempo non l’ho ancora fatto.

Eyepyramid è ora rilevato da qualsiasi antivirus e i loro utilizzatore sono in carcere. Possiamo star quindi relativamente tranquilli in fatto di nuove infezioni. Il malware infatti veniva usato in maniera “targeted” per spiare politici e militari. Tra l’altro i server C&C sono stati spediti in Italia per essere analizzati. Possiamo quindi affermare che è stato effettuato il takedown della botnet e non è più pericolosa.

 

 

 

 

 

 

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *