Come anticipato nella sintesi riepilogativa di venerdì scorso, SmokeLoader ha fatto la sua comparsa in Italia con una serie di campagne aventi come oggetto l’ Agenzia delle Entrate, veicolate nella giornata di martedi 22 settembre e per le quali il CERT-AgID ha rapidamente diramato 34 IoC a tutela delle strutture accreditate.

SmokeLoader, in vendita nei forum underground già dal 2011 e perfezionato nel corso degli anni, risulta essere piuttosto complesso e della sua analisi si è ampiamente discusso in letteratura. Su questo documento non verrà ripetuta la sua analisi completa ma verranno presentate le metodologie di analisi adottate dal CERT-AgID per decodificare il sample e semplificare le analisi future su codice simile oltre a fornire agli analisti delle linee di azione per ottenere il payload e le URL in breve tempo.

Verranno proposti alcuni metodi e le alternative per neutralizzare il caricamento di specifiche librerie, per impedire l’abilitazione di tecniche anti VM e anti Tool introdotte nelle versioni rilasciate a partire dal 2018, per rimuovere i controlli anti analisi ed in fine ottenere URL e Payload.

A seguire, nel dettaglio, verranno analizzate e discusse le varie componenti e le relative azioni per estrarre il codice di interesse e renderlo comprensibile. A tal proposito, sono stati descritti due metodi: uno automatico, con codice del PoC in linguaggio C, ed uno tramite debug.

Stringhe ottenute dal programma in C

[vmtest@localhost tmp]$ ./sl injected.dll https://dns.google/resolve?name=microsoft.com Software\Microsoft\Internet Explorer advapi32.dll Location: plugin_size \explorer.exe user32 advapi32 urlmon ole32 winhttp ws2_32 dnsapi shell32 svcVersion Version <![CDATA[GetObject("winmgmts:Win32_Process"). Create("%ls",null,null,null);]]> .bit %sFF %02x %s%08X%08X %s\%hs %s%s regsvr32 /s %s regsvr32 /s /n /u /i:"%s" scrobj %APPDATA% %TEMP% .exe .dll .bat :Zone.Identifier POST Content-Type: application/x-www-form-urlencoded open Host: %s PT10M 1999-11-30T00:00:00 NvNgxUpdateCheckDaily_{%08X-%04X-%04X-%04X-%08X%04X} Accept: / Referer: %S http://the3rd.ml/ http://xieliorn.com/ http://kavauelo.co/ http://piesislel.is/ http://danae.to/ http://3rdcamp.ga/

Link: Scarica l’analisi tecnica (PDF)

Link: Consulta gli IoC