IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

SmokeLoader: Linee di azione per ottenere rapidamente Payload e URL

28/09/2020

SmokeLoader
Schema dei componenti e delle relative azioni

Come anticipato nella sintesi riepilogativa di venerdì scorso, SmokeLoader ha fatto la sua comparsa in Italia con una serie di campagne aventi come oggetto l’ Agenzia delle Entrate, veicolate nella giornata di martedi 22 settembre e per le quali il CERT-AgID ha rapidamente diramato 34 IoC a tutela delle strutture accreditate.

SmokeLoader, in vendita nei forum underground già dal 2011 e perfezionato nel corso degli anni, risulta essere piuttosto complesso e della sua analisi si è ampiamente discusso in letteratura. Su questo documento non verrà ripetuta la sua analisi completa ma verranno presentate le metodologie di analisi adottate dal CERT-AgID per decodificare il sample e semplificare le analisi future su codice simile oltre a fornire agli analisti delle linee di azione per ottenere il payload e le URL in breve tempo.

Verranno proposti alcuni metodi e le alternative per neutralizzare il caricamento di specifiche librerie, per impedire l’abilitazione di tecniche anti VM e anti Tool introdotte nelle versioni rilasciate a partire dal 2018, per rimuovere i controlli anti analisi ed in fine ottenere URL e Payload.

A seguire, nel dettaglio, verranno analizzate e discusse le varie componenti e le relative azioni per estrarre il codice di interesse e renderlo comprensibile. A tal proposito, sono stati descritti due metodi: uno automatico, con codice del PoC in linguaggio C, ed uno tramite debug.

Stringhe ottenute dal programma in C
[vmtest@localhost tmp]$ ./sl injected.dll
https://dns.google/resolve?name=microsoft.com
Software\Microsoft\Internet Explorer
advapi32.dll
Location:
plugin_size
\explorer.exe
user32
advapi32
urlmon
ole32
winhttp
ws2_32
dnsapi
shell32
svcVersion
Version
<![CDATA[GetObject("winmgmts:Win32_Process").

Create("%ls",null,null,null);]]>

.bit
%sFF
%02x
%s%08X%08X
%s\%hs
%s%s
regsvr32 /s %s
regsvr32 /s /n /u /i:"%s" scrobj
%APPDATA%
%TEMP%
.exe
.dll
.bat
:Zone.Identifier
POST
Content-Type: application/x-www-form-urlencoded
open
Host: %s
PT10M
1999-11-30T00:00:00
NvNgxUpdateCheckDaily_{%08X-%04X-%04X-%04X-%08X%04X}
Accept: /
Referer: %S
http://the3rd.ml/
http://xieliorn.com/
http://kavauelo.co/

http://piesislel.is/
http://danae.to/
http://3rdcamp.ga/

Link: Scarica l’analisi tecnica (PDF)

Link: Consulta gli IoC

Taggato  SmokeLoader