Monday, March 30, 2015

Project APC - Analyse einer Schadsoftware (german)

Den nachfolgend im Detail beschriebenen Bot habe ich auf der Suche nach Schadsoftware gefunden, die mit Hilfe sog. asynchroner Funktionsaufrufe (engl. Asynchronous Procedure Calls oder kurz APC) Schadcode in einen anderen Prozess laden kann. Neben der Möglichkeit sich mittels APCs in verschiedene Windows Prozesse zu injizieren, besitzt dieser Bot eine Reihe anderer interessanter Funktionen. Zum Beispiel enthält die Schadsoftware, wie normalerweise üblich, keinerlei verschlüsselten oder im Klartext vorhandenen Command-and-Control-Server (C&C-Server) in Form einer IP Adresse, einem Domainnamen oder einem Domain-Generierungs-Algorithmus (DGA). Stattdessen implementierte der Autor einen Mechanismus um mit Hilfe des Mikroblogging-Dienstes Twitter an den C&C-Server zu gelangen. Diese Methode ist nicht neu und kam schon bei der OSX/Flashback Schadsoftware zum Einsatz. Des Weiteren verwendet die Schadsoftware durchgehend verschiedene Verschlüsselungsmethoden, um die Analyse der Daten und des Datenverkehrs zu erschweren.

Bericht: https://www.dropbox.com/s/3woi74vdrgxs1gv/Project%20APC%20-%20Bericht.pdf?dl=0

Samples: https://www.dropbox.com/s/ktngh4qphisb9d9/Project%20APC.zip?dl=0 (PW: infected)
Share: