Compromission d'un site internet légitime à forte affluence.
Type: Injection de la page d'accueil après la balise </HTML>.

Avant de commencer quelques définitions.

Source: Sophos

Source: f-secure

[!] LE SITE EST TOUJOURS COMPROMIS / WEBSITE IS ALWAYS COMPROMISED [!]

Historique des premières requêtes effectuées par le navigateur:

Puis 3 requêtes consécutives qui ne sont valides que pour une visite/session (traçage IP).:
URL: /mito/?fixed_length_73_hexadecimal_characters
URL: /mito/?fixed_length_73_hexadecimal_characters
URL: /mito/?fixed_length_73_hexadecimal_characters

Vous rencontrez une première page offusquée qui semble être importante vu la taille occupé par le code. Une technique simple afin de dé-offusquer le code javascript va consister à remplacer la fonction eval(A); Dans ce cas précis, un document.write(A); va permettre d'afficher le code en clair directement sur la page du navigateur. Il existe des outils spécifiques pour ces opérations, on pourrait par exemple citer Malzilla codé par notre ami Bobby. Petite parenthèse pour vous présenter le projet MINA qui nécessite les outils de debboguage de Microsoft ; un outil qui peut s'avérer intéressant ; fin de parenthèse.

Une fois le javascript lisible, le mot RSA devrait suffir pour que vous constatiez que nous sommes en présence d'éléments de crypto. Nous n'allons pas rentrer dans les détails mais concrètement la variable 'nextkey' de ce script sera utilisée dans les pages à venir afin de décrypter grâce à une fonction de décryptage RC4 les variables nommées 'k' qui représentent des blocs de données qui sont quant à eux encodés en Base64.

La dernière requête télécharge un fichier flash. Si vous souhaitez analyser n'importe quel fichier flash, vous devrez généralement utiliser des outils. Dans cette étude de cas l'outil utilisé à été flasm linux (pour Windows) ; La commande -x vous permettra de décompresser le SWF ensuite vous pouvez soit désassembler à l'aide de la commande -d ou bien utiliser d'autres outils. A noter que pour ceux qui n'y arriveraient pas, rien ne vous empêche d'utiliser un service en ligne d'analyse de fichiers flash. Une fois désassemblé, nous obtenons l'adresse de téléchargement de la charge utile (payload) qui est: http://202.73.57.6/mito/?h=2e

Enfin, une requête contenant le champs d'en-tête 'Referer' sera envoyée aux pirates (QWEHOST.COM) leur indiquant que "le cycle d'infection" s'est terminé avec succès.

##>Le dropper

Premier constat, il ne fonctionne pas sur ThreatExpert ; c'est probablement dû au packer. Il est important de s'attarder quelques instants sur ce point car nous allons le retrouver sous des formes diverses à peu près sur tous les fichiers.

Support vidéo: [ How to unpack the binary ]
Précision: VirtualAlloc réserve une région dans l'espace d'adressage du processus appelant. En audio, il est dit: "VirtualAlloc  sert à allouer du code", c'est vis à vis du contexte. Vidéo enregistrée le lendemain du 1 janvier, soyez indulgent :]=~

##> Procédure de générations des noms de fichiers temporaires.
Dans un premier temps, kernel32.GetTempPathA est utilisé pour obtenir %tmp%
La chaîne de caractères "TDSS" sera utilisée à chaque nouveaux noms de fichiers.
La fonction kernel32.GetTickCount sera utilisée pour générer un chiffre aléatoire.
Le formatage du nom de fichier est "%s%s%x.tmp", il s'agit d'une concaténation.
Une fois généré, la fonction kernel32.GetFileAttributes vérifie si le fichier existe déjà.
Si le fichier n'existe pas, il est alors créé avec la fonction kernel32.CreateFileA

[!] Le repérage des fonctions est utile dans vos analyses.
Grâce à la documentation MSDN appropriée, il est possible de recréer "a peu près" le code.

##> Procédure de décryptage de section.

1. Récupère l'e_lfanew du DOS Header
MOVZX ECX,WORD PTR DS:[EAX+14]
2. Lecture du nom de la section.
LEA EDX,DWORD PTR DS:[ECX+EAX+18]
3. Récupère SizeOfOptionalHeader du File Header
MOVZX EAX,WORD PTR DS:[EAX+6]
4. Parcours de toutes les sections à la recherche de celle nommée ".tdl"
Une fois trouvé, extrait ses caractéristiques.
L'offset -> le registre ESI prends pour valeur 0x4000
La taille -> le registre EAX prends pour valeur 0x19000
Enfin, ajoute l'ImageBase sur la valeur du registre ESI soit 0x404000 (RVA).

Puis appel la routine de décryptage (offset: 0x004011A5).

Pour simplifier, ça vous donne un decrypt(byte^0x54+cpt)
Exemple:
0x19^0x54=0x4D
0x0F^(0x54+1)=0x5A
etc...


Vérifie la présence des 4 sections du PE décrypté (00401290)
Le contenu de ".tdl" décrypté est écrit dans le fichier avec kernel32.WriteFile

##> Utilisation (non détaillée) de ntdll.ZwCreateSection

##> Copie d'advapi32.dll
Réalise une copie de "%windir%\system32\advapi32.dll" en "%tmp%\TDSS%s.tmp"

##> Utilisation (non détaillée) de ntdll.ZwCreateEvent ("\TDKD")


##> L'injection
La copie de librairie "advapi32.dll" est patchée.
Les 21 bytes suivants sont alors injectés à l'OEP:

Chargera "dll.dll", qui au final, correspond à notre section ".tdl" décryptée.

##> Service "MSIServer" via les API d'advapi32.
- OpenSCManagerA
- OpenServiceA
- ControlService
- StartServiceA

Lance le service "MSIServer" qui correspond à "Windows Installer"
L'exécution du processus "msiexec.exe" va entraîner le chargement d'advapi32.
L'utilisation du Flags "DONT_RESOLVE_DLL_REFERENCES" entraîne le chargement
de la mauvaise librairie, la précédemment patchée. ("\knowndlls\advapi32.dll")
Qui a son tour va, grâce à l'injection, charge "dll.dll" (qui en réalité, n'existe pas).



Une fois le processus en mémoire, le fichier patché dans %tmp% est effacé.
Quant au dropper source, son déplacement est forcé dans %tmp% puis effacé.
nb: La machine est à ce moment précis infectée et rootkitée.



##> Unpacking de la lib "dll.dll"
Trouver l'OEP n'est pas bien compliqué, toute la difficulté va être
de fixer la table des imports avant le déchargement en mémoire.
Offset: 0x10001571 PUSH EBP ; <--[OEP]
Dumper en vérifiant la présence de toutes les sections.
Reconstruction de la table avec la fonctionnalité "Pick DLL".
Sélection de "dll.dll" en mémoire + modification manuelle de l'OEP.
Get & Dump ; puis testez votre lib via votre dbg.

nb: Veillez à bien config les options de votre dbg au préalable.

[!] Nous avons un petit piège à déjouer si on ne souhaite pas être éjecté pendant l'analyse.
Il s'agit d'un ntdll._strcmpi qui vérifie que l'injection a bien été réalisée avec "msiexec.exe".
Et oui... nous sommes en cours de débogage donc nous avons le chargeur de librairies du déboguer.
Il faudra par conséquent feinter le TEST EAX, EAX au moment de la vérification.

##> Driver TDSSserv
La routine de décryptage de la section est la même.
La seule différence réside dans les premiers bytes.
Ils fournissent des informations sur la build.

La chaîne "62;v300;standart;clicker;-wa;" est alors scindée.
Le filtre utilisé étant: "%[^;];%[^;];%[^;];%[^;];"

Ces infos seront écrites dans la base de registre:



Le driver est ensuite créé puis écrit à l'emplacement:
"\\?\globalroot\systemroot\system32\drivers\TDSSserv.sys"

A cet instant, pour résumer, le service est créé.
* [ntdll.RtlCreateRegistryKey] (non détaillée)
* [ntdll.RtlWriteRegistryValue] (non détaillée)


* [ntdll.RtlCreateRegistryKey] (non détaillée)

Et enfin, (RtlAdjustPrivilege+NtLoadDriver) le driver est chargé.

##> La librairie droppée par le driver dans "%windir%\system32\"
Comme à chaque fois, la librairie est encore packée.
La bibliothèque principale se nomme initialement: "tdll.dll"
Voici ses fonctions:
--> 0x0001  0x00002541 "CheckValue"
--> 0x0002  0x00003176 "CmdExec"
--> 0x0003  0x00003711 "CmdExecAffID"
--> 0x0004  0x000037E0 "CmdExecBotID"
--> 0x0005  0x0000379B "CmdExecBuild"
--> 0x0006  0x000036CC "CmdExecSubID"
--> 0x0007  0x00003756 "CmdExecType"
--> 0x0008  0x0000359F "CmdExecVersion"
--> 0x0009  0x000024A5 "CopyAffID"
--> 0x000A  0x00002462 "CopySubID"
--> 0x000B  0x00002713 "CryptKeySet"
--> 0x000C  0x000030BA "FileDownload"
--> 0x000D  0x00003121 "FileDownloadRandom"
--> 0x000E  0x000030CF "FileDownloadRandomUnxor"
--> 0x000F  0x00003094 "FileDownloadUnxor"
--> 0x0010  0x0000291E "ImpersonateAsInput"
--> 0x0011  0x00002CC6 "Knock"
--> 0x0012  0x00003030 "ModuleDownload"
--> 0x0013  0x00002FBF "ModuleDownloadUnxor"
--> 0x0014  0x00002AA9 "ModuleLoad"
--> 0x0015  0x00002A43 "ModuleUnload"
--> 0x0016  0x00003165 "ModulesVersionLog"
--> 0x0017  0x00002601 "SetCmdDelay"
--> 0x0018  0x000024E8 "SetInputDesktop"
--> 0x0019  0x00002884 "SetLoadedURL"
--> 0x001A  0x00002750 "SetTimeout"

Les urls sont harcodées et sélectionnées aléatoirement.
Liste des urls disponibles pour le fichier "main" crypté:


Ci-dessous, la routine de décryptage:

[!] Il est important de savoir placer des points d'arrêts stratégiques.
BPX sur RET à l'offset 0x10001407 permet d'obtenir chaque fichier temporaire decrypté.
BPX sur CALL [ARG.4] en 0x100016E4 permet d'intercepter toutes les fonctions de la lib.

Pendant l'analyse, il y a eu plusieurs versions du "main".
Ce fichier "main" une fois téléchargé puis décrypté contient des ordres.

Les ordres sont séparés par le filtre: "%[^.].%[^(](%[^)])"

Exemples:
Ordre: "FileDownloadRandom"
Cible: "http://yournewsblog.net/tdss/tdssserverscr.dat"

Autre exemple avec "tdssserverscr.dat" décrypté.
-------------------------------------------------

L'avantage pour les pirates, c'est qu'ils ont un contrôl plutôt correct des machines.
Si un programme devient gênant, il pourra être interdit dans la prochaine config.

Voici d'autres exemples de configurations.


Et enfin, télécharge les autres bibliothèques TDSS*.dll



Récapitulatif simplifié de la méthodologie.

-> Le dropper "mito.exe":
--> Créer des fichiers "%tmp%\TDSS*.*"
--> Décrypte la librairie ("%tmp%\dll.dll")
--> Réalise une copie de "%windir%\system32\advapi32.dll" dans %tmp%
--> Patch la copie d'advapi32.dll puis lance le service "MSIServer"
--> Entraîne le passage en mémoire de la copie patchée d'advapi32.dll
--> Qui a son tour entraîne le chargement de "%tmp%\dll.dll"

----> La librairie "dll.dll":
-----> Décrypte le drivers "%windir%\system32\drivers\TDSSserv.sys"
-----> Extrait & stock les infos "client" dans la base de registre.
-----> Créer le service "TDSSserv.sys" & charge le pilote.

--------> Le driver "TDSSserv.sys"":
---------> Les fonctionnalités de rootkit (non détaillées) sont actives:
---------> (Exemple: les fichiers TDSS* sont alors masqués, etc...)
---------> Dépose la librairie "tdll.dll" dans "%windir%\system32\"

-----------> La librairie "tdll.dll":
------------> Télécharge un fichier de config principal parmis des urls embarquées.
------------> Décrypte les fichiers téléchargés.
------------> Effectue tous les ordres indiqués.

Ci-dessous, la correspondance des librairies téléchargées:

[+] tdssadw.dll (Nom original: "adw_dll1.dll")
-- fonction: "Update"

[+] tdsslog.dll (Nom original: "tdllog.dll")
- Version: 1.0.0.126
-- fonction: "LogOS"
-- fonction: "LogSend"
-- fonction: "LogSendEx"
-- fonction: "Update"

[+] tdssmain.dll (Nom original: "tdlmain.dll")
- Version: 1.0.0.114
-- fonction: "ConnectionHiddenAdd"
-- fonction: "DisallowedAdd"
-- fonction: "Exec"
-- fonction: "InjectorAdd"
-- fonction: "ProcessKill"
-- fonction: "ProcessList"
-- fonction: "ProcessTrustedAdd"
-- fonction: "RegistryHiddenAdd"
-- fonction: "Update"

[+] tdssl.dll (Nom original: "tdll.dll")
- Version: 1.0.0.1080
-- fonction: "CheckValue"
-- fonction: "CmdExec"
-- fonction: "CmdExecAffID"
-- fonction: "CmdExecBotID"
-- fonction: "CmdExecBuild"
-- fonction: "CmdExecSubID"
-- fonction: "CmdExecType"
-- fonction: "CmdExecVersion"
-- fonction: "CopyAffID"
-- fonction: "CopySubID"
-- fonction: "CryptKeySet"
-- fonction: "FileDownload"
-- fonction: "FileDownloadRandom"
-- fonction: "FileDownloadRandomUnxor"
-- fonction: "FileDownloadUnxor"
-- fonction: "ImpersonateAsInput"
-- fonction: "Knock"
-- fonction: "ModuleDownload"
-- fonction: "ModuleDownloadUnxor"
-- fonction: "ModuleLoad"
-- fonction: "ModuleUnload"
-- fonction: "ModulesVersionLog"
-- fonction: "SetCmdDelay"
-- fonction: "SetInputDesktop"
-- fonction: "SetLoadedURL"
-- fonction: "SetTimeout"

 Ce billet touche à sa fin, je pourrais pourtant continuer quelques temps sur le sujet mais mon objectif qui consistait à démystifier des points précis est terminé.

Liens connexes:
Embassy of India in Spain Serving Malware ( January 27, 2009 - Dancho Danchev )
India's embassy in Spain victim of a malicious attack ( January 28, 2009 - Paul O Baccas )
Embassy Site Attack Reveals Other Compromised Sites ( January 29, 2009 - JM Hipolito )