Zyklon malware
Angol cím: 
Zyklon Malware
CERT-Hungary ID: 
CH-14350
Felfedezés dátuma: 
2018-01-17
Összefoglaló: 

A Fireeye biztonsági cég egy friss tanulmánya a már ismert Zyklon káros szoftver új verziójára hívja fel a figyelmet.

Leírás: 

A Zyklon backdoor rengeteg képességgel bír: keylogger, jelszó tolvaj, a saját alapképességeit kiterjesztő plugin-okat tölt le és futtat (pl. kriptovaluta bányászat) a fertőzött gépen, DDoS támadásokban vehet részt, frissíteni, de akár törölni is képes magát. A felsorolt képességeket a saját command&control (C2) szerverei segítségével, a botnet gazdája tudja vezérelni. A kommunikációt a Tor hálózat biztosítja.

A legújabb verzió elsősorban spam email-ek segítségével terjed, amely jellemzően egy "zip" állományba tömörített Microsoft Office "doc" fájlt tartalmaz. A dokumentum kicsomagolása után az Office programcsomag 3 ismert sérülékenységét kihasználva egy PowerShell script letölti a valódi kártevő programot a C2 szerverekről, majd lefuttatja azt.

  • A "doc" fájl egy beágyazott OLE objektumot tartalmaz, amely végrehajtáskor elindítja egy újabb "doc" állomány letöltését az objektumban tárolt URL címről.
  • Hasonló technikát használ egy másik ismert sérülékenységet kihasználó módszer.
  • A harmadik módszer a Dynamic Data Exchange (DDE) interprocessz kommunikációját használja ki arra, hogy egy PowerShell script segítségével letöltse a payload-ot.

Mindhárom módszer arra jó, hogy letöltődjön a gépre egy Base64 kódolású PowerShell script (2. fázis), ami végezetül leszedi a szerverről a végleges payload-ot, amely egy PE formátumú .NET keretrendszerrel készített futtatható állomány.

Fertőzöttségre utaló jelek

Az alábbi fájlok megléte:

  • 76011037410d031aa41e5d381909f9ce     accounts.doc
  • 4bae7fb819761a7ac8326baf8d8eb6ab    Courier.doc   
  • eb5fa454ab42c8aec443ba8b8c97339b    doc.doc
  • 886a4da306e019aa0ad3a03524b02a1c    Pause.ps1
  • 04077ecbdc412d6d87fc21e4b3a4d088    words.exe

Kommunikáció az alábbi szerverek/IP címek felé:

  •     154.16.93.182
  •     85.214.136.179
  •     178.254.21.218
  •     159.203.42.107
  •     217.12.223.216
  •     138.201.143.186
  •     216.244.85.211
  •     51.15.78.0
  •     213.251.226.175
  •     93.95.100.202
  •     warnono.punkdns.top
Megoldás: 

A naprakészen tartott víruskereső alkalmazások képesek eltávolítani a káros szoftvert a fertőzött számítógépről, illetve létfontosságú, hogy a telepített alkalmazásokhoz és az operációs rendszerhez telepítsük a gyártó által kiadott biztonsági frissítéseket.

Érintett verziók: 
Microsoft Windows