# COMPUTER FORENSIC INVESTIGATION OF {mobile} BANKING TROJAN Ivanov Boris ----- ##### Ivanov Boris: #### Senior Computer Forensics Specialist LLC «Group-IB» Graduate student 05.13.19 - Defense methods and systems of information, information security Kuban State Technological University ----- #### • WTF Computer Forensics • Real case of APT • The skill of using common tools to find malware ----- ## Основные принципы мошенничества в системах ДБО ----- |РЗ|Col2| |---|---| ||| |З|| ######  Структура типичной мошеннической группы на примере группы Carberp, ликвидированной в марте 2012 года. **Gizmo** Лидер группы, создатель бот-сети **Программист** ##### G П Автор вредоносной программы Carberp **Траффер** ##### Т Взламывал популярные сайты и незаметно перенаправлял их посетителей на вредоносные ресурсы. Среди взломанных: www.rzd.ru, www.ikea.ru, www.kp.ru, www.mk.ru, www.klerk.ru, www.glavbukh.ru и д.р. **Руководитель заливщиков** **Руководитель обнала** ###### РЗ Координировал заливщиков, выдавал РО Обеспечивал группу пластиковыми им реквизиты для перевода картами, банковскими счетами для похищенных средств перевода денежных средств. **Дропы** Люди, которые снимали деньги через **Заливщики** Д банкомата или в банке ##### З Получив чужие логины/пароли, выводили деньги со счетов **Поставщики пластиковых карт и счетов в** **банках** ###### ПК Занимаются продажей пластиковых карт и банковских счетов, оформленных на подставных лиц ----- ### Этапа работы мошенниковЭтапы работы мошенников ##### Покупка малвари Крипт исполняемых файлов ###### Аренда дедиков для управления бот сетью Gartner. Competitive Landscape: Threat Intelligence Services, Worldwide, 2015 Покупка трафа в определенных Having its base in Eastern Europe offers Group-IB the advantage of getting visibility on many регионах РФ threats originating from this region, and its local presence offers the ability to better infiltrate the many threat actors based in this region. Involved in the most high-profile investigations allows Group-IB to get more information about cybercriminals, their relationships and other intelligence. ##### Отправка платежных поручений ###### www.gartner.com/doc/2874119/competitive-landscape-threat-intelligence-services ##### Обнал ----- ###### Вывод на юридическое лицо Вывод на физическое лицо Оформление банковской Регистрация юридического лица карты … Поиск человека (дропа) Оформление счета в банке Перевод денег на карту Перевод денег на счет компании Обналичивание с карты Перевод на карту/карты для обналичивания ----- ## Новые схемы мошенничества ----- ##### Once decoded, the key translates to the following number: 31298847196625400639506938637161930162789011464295952600544145829335849533528834917800088971765784757175491347320005860302574523 ##### This is definitely not a 1024 bits key! The number has 128 digits, which could indicate a (big) mistake from the malware author, who wanted to generate a 128 bytes key. ----- ----- ##### «PGP по-прежнему не@ебически стойка, и справится с её правильно реализованным шифрованием невозможно даже ценой объединенных усилий спецслужб» ----- ##### CPL Dropper – реквизиты.doc.cpl ###### Александр, Добрый день! Высылаю Вам наши реквизиты для заключения договора, и документы на проверку Сумма депозита 32 000 000 руб 00 коп, сроком на один год, % в конце срока С Уважением, Сергей Симонов тел. +7(962) 7135296 Email:x60x@nxt.ru mimi.exe mimi.cmd \x86\mimikatz.exe \x64\mimikatz.exe If "%ProgramW6432%" Neq "" (x64\mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit >6.txt) else (x86\mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit >6.txt) ----- ##### Наличие бот-сети в 100 000 мобильных устройств позволит хакеру похитить $16 000 000 в короткие сроки * *report2014.group-ib.ru ----- ----- ``` Диспенсер. [PinPad.EXE] – ulssm.exe ###### Исследуемый файл представляет собой программу, позволяющую при помощи XFS-API взаимодействовать с PINPAD и диспенсером в АТМ и позволить злоумышленнику дать команду на опустошение кассет с наличностью. Команды: 111111 – Сделать видимым главное окно программы 333333 – Самоудаление исследуемой программы и созданного ей ключа реестра 555555 – Отображение текстовой надписи «TIME WAS EXTENED. +++» ``` **DISABLING LOCAL AREA NETWORK...** **PLEASE WAIT** **CASH OPERATION FINISHED.** **CASH OPERATION PERMITTED.** **TAKE THE MONEY NOW!** **TO START DISPENSE OPERATION -** **ENTER CASSETTE NUMBER AND PRESS ENTER** …wait 3 seconds **CASH OPERATION PERMITTED.** **CASH OPERATION IN PROGRESS...PLEASE WAIT...** **TO START DISPENSE OPERATION –** **ENTER CASSETTE NUMBER AND PRESS ENTER** **CASH OPERATION PERMITTED** **INVALID CASSETTE NUMBER. TRY AGAIN.** **TO START DISPENSE OPERATION –** **ENTER CASSETTE NUMBER AND PRESS ENTER.** ----- ###### Dump Memory Grabber [vSkimmer] ----- ##### Folder Share: \forensics\materials\ Part 1 «Infection banking trojan»: VMware Player ver. > 6.0.3 Sans Workstation ver. 3.0 Free Space > 20 Gb Part 2 «Investigation malware for «Android OS»: VMware Player ver. > 6.0.3 Santoku Community Edition ver. 0.5 Free Space > 4 Gb ----- ## INVESTIGATION OF INFECTION BANKING TROJAN ----- ##### Infection vector: Malware dropper (exploit CVE-2012-0158) 1. Social Engineering (trusted source/phone call) 2. Send email: Добрый день, прошу ознакомиться с договором. Спасибо -- Best regards, Viktoria Gybareva, Senior accountant Tel.: +7 (495) 123-45-67, ext. 1001 d.golybev@rrrmoney.ru www.rrrmoney.ru ##### 3. Open attachment 4. Run «договор.doc» 5. Privilege escalation, backconnect to CnC Server, download payload, etc… ----- ----- ### Before ? ##### 446 bytes – Bootstrap 64 bytes - Partition table 2 bytes – Signature 446 + 64 + 2 = 512 ----- ##### NTFS Volume Serial Number. 58 7C BC 6C 09 B9 86 7A 6CBC-7C58 %SYSTEMDRIVE% ----- ##### Repair %SYSTEMDRIVE% + TimeLine ###### root@siftworkstation:/mnt/hgfs/ZN# log2timeline.py -z Europe/Moscow --vss -o 206848 /tmp/out.dmp image.raw.001 [INFO] (MainProcess) Starting to collect pre-processing information. [INFO] (MainProcess) Filename: image.raw.001 [INFO] (MainProcess) [PreProcess] Set attribute: sysregistry to //Windows/System32/config [INFO] (MainProcess) [PreProcess] Set attribute: windir to //Windows [INFO] (MainProcess) [PreProcess] Set attribute: systemroot to //Windows/System32 [INFO] (MainProcess) [PreProcess] Set attribute: osversion to Windows 7 Ultimate [INFO] (MainProcess) [PreProcess] Set attribute: users to [{'path': u'%systemroot%\\system32\\config\\systemprofile', 'name': u'systemprofile', 'sid': u'S-1-5-18'}, {'path': u'C:\\Windows\\ServiceProfiles\\LocalService', 'name': u'LocalService', 'sid': u'S-1-5- 19'}, {'path': u'C:\\Windows\\ServiceProfiles\\NetworkService', 'name': u'NetworkService', 'sid': u'S-1-5-20'}, {'path': u'C:\\Users\\Buh', 'name': u'Buh', 'sid': u'S-1-5-21-1763802780-1856636607-2041353846-1001'}] root@siftworkstation:/mnt/hgfs/ZN# psort.py -w out.csv /tmp/out.dmp "date > '2014-11-01'" [INFO] *********************************** Counter ************************************ [INFO] Stored Events : 589599 [INFO] Filter By Date : 388829 [INFO] Events Included : 200770 [INFO] Duplicate Removals : 70564 ----- 2014-11-11T17:41:23.644137+00:00 – F1E64096.doc:vss_store_0 2014-11-11T17:41:25.148820+00:00 – /USERS/BUH/APPDATA/LOCAL/NTXOBJ.EXE 2014-11-11T17:41:25.708204+00:00 – /Windows/System32/com/svchost.exe 2014-11-11T17:43:54.666821+00:00 – /ProgramData/Mozilla/AFpDX1MObVpfDwUMBQ.bin 2014-11-11T17:43:58.278689+00:00 – \ControlSet001\services\FDResPubSys - C:\Windows\system32\com\svchost.exe 2014-11-11T14:54:36.135177+00:00 – netsh + u'http://+:80 … go to hell 2014-11-11T17:53:32.350000+00:00 – mimi.exe 2014-11-11T17:53:41.404527+00:00 – /Intell/mimi/6.txt 2014-11-11T17:54:52.053700+00:00 – /Intell/mimi/mimi32/mimikatz.log … 2014-11-11T20:00:06.057633+00:00 – \CLSID\{%GUID%}\InProcServer32 - C:\Users\Buh\AppData\Local\DAOimdx7tab.dmo 2014-11-11T20:30:08.342691+00:00 – /Windows/Prefetch/RUNDLL32.EXE-46F5E288.pf 2014-11-11T20:30:08.764554+00:00 – /Users/Buh/AppData/Local/Temp/DMI72CF.tmp … 2014-11-11T21:10:52.354147+00:00 – /Users/Buh/AppData/Local/Temp/MBR_Eraser.exe ----- ###### 2014-11-11T17:41:23.644137+00:00 - F1E64096.doc:vss_store_0 2014-11-11T17:41:25.148820+00:00 - /USERS/BUH/APPDATA/LOCAL/NTXOBJ.EXE 2014-11-11T17:41:25.708204+00:00 - /Windows/System32/com/svchost.exe HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 2014-11-11T17:43:54.666821+00:00 – /ProgramData/Mozilla/AFpDX1MObVpfDwUMBQ.bin ----- ###### 2014-11-11T17:41:23.644137+00:00 - F1E64096.doc:vss_store_0 2014-11-11T17:41:25.148820+00:00 - /USERS/BUH/APPDATA/LOCAL/NTXOBJ.EXE 2014-11-11T17:41:25.708204+00:00 - /Windows/System32/com/svchost.exe 2014-11-11T20:30:08.342691+00:00 - /Windows/Prefetch/RUNDLL32.EXE-46F5E288.pf 2014-11-11T20:30:08.764554+00:00 - /Users/Buh/AppData/Local/Temp/DMI72CF.tmp ----- ##### Detecting Injection - Code injection is relatively easy to detect and having no memory-mapped: ###### - Process: svchost.exe Pid: 3668 Address: 0x60000 Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE Flags: CommitCharge: 53, MemCommit: 1, PrivateMemory: 1, Protection: 6 - Process: svchost.exe Pid: 3896 Address: 0x60000 Vad Tag: VadS Protection: PAGE_EXECUTE_READWRITE Flags: CommitCharge: 53, MemCommit: 1, PrivateMemory: 1, Protection: 6 ----- ###### 2014-11-11T17:43:58.278689+00:00 – \ControlSet001\services\FDResPubSys - C:\Windows\system32\com\svchost.exe vol.py -f memory.dump --profile=Win7SP0x86 printkey -K "ControlSet001\services\FDResPubSys" ----- ###### 2014-11-11T20:00:06.057633+00:00 – \CLSID\{%GUID%}\InProcServer32 - C:\Users\Buh\AppData\Local\DAOimdx7tab.dmo vol.py -f memory.dump --profile=Win7SP0x86 printkey -K "CLSID\{FB314EDC-A251-47B7-93E1- CDD82E34AF8B}\InProcServer32" ----- ###### 2014-11-11T17:53:32.350000+00:00 – mimi.exe 2014-11-11T17:53:41.404527+00:00 – /Intell/mimi/6.txt ----- ###### 2014-11-11T17:53:32.350000+00:00 – mimi.exe 2014-11-11T17:53:41.404527+00:00 – /Intell/mimi/6.txt 2014-11-11T17:54:52.053700+00:00 – /Intell/mimi/mimi32/mimikatz.log Result: User Name : Buh Domain : Buh-PC Domain : INTAD * Password : igf42er5 ----- NOP Reboot Wipe SelfRemove CfgWrite Update DownloadAndExecuteEXE или DAMPDLL ChangeURLs ##### u machine - proxy ----- ##### CVE-2012-0158 + договор.doc = <3 bc:31.131.17.125 + blizko.net/blizko.org ntxobj.exe %SYSTEM%/Com/svchost.exe %All Users%\Application Data\Mozilla\%name%.bin netsh AmmyAdmin Mimikatz ----- - ##### Corkow.dll MON KLG HVNC FG QUIK Rundll32.dll + Volume Serial + DllGetClassObject = <3 *http://habrahabr.ru/company/eset/blog/214197/ ----- ##### MachineGuid + Handles Rundll32.dll + Volume Serial + DllGetClassObject = <3 ----- ## INVESTIGATION OF INFECTION {mobile} BANKING TROJAN ----- ##### /Root/data/com.android.providers.downloads/databases/downloads.db: ###### /storage/sdcard0/Download/FlashPlayerUpdate.apk - 27 june 2014 20:02:20 from http://chek-flash-player.com/FlashPlayerUpdate.apk ##### Virtual Device (Xamarin) + Dex to jar + JD-GUI ----- |idevice|counrty|Col3|network|number|gate|Col7| |---|---|---|---|---|---|---| |0000000111111|ru||MTS RUS||http://91.237.198.78|| |||||||| |http://client- sberbank.com/verification/m/?i=010101010101011&l=%c2%eb%e0%e4%e8%f1%eb%e0%e2+%de%f0%f c%e5%e2%e8%f7|Col2|Col3|15 Jul 2014 20:04:45 GMT| |---|---|---|---| |sberbank.com/verification/m/?i=010101010101011&l=%c2%eb%e0%e4%e8%f1%eb%e0%e2+%de%f0%f c%e5%e2%e8%f7|||| |http://client|-sberbank.com|/verification/m/img/s_cfmxw.css|| |http://client|-sberbank.com|/verification/m/img/form.css|| |http://client|-sberbank.com|/verification/m/img/s_gyzt.css|| |http://client|-sberbank.com|/verification/m/img/s_c.js|| |http://client|-sberbank.com|/verification/m/js/jquery.validate.js|| |http://client|-sberbank.com|/verification/m/js/additional-methods.js|| |http://client|-sberbank.com|/verification/m/img/logo.png|| |91.237.198.|60||15 Jul 2014 20:04:48 GMT| |http://client|-sberbank.com|/verification/m/img/hit.gif|| |http://client|-sberbank.com|/verification/m/img/p.gif|| |http://ajax.g|oogleapis.com|/ajax/libs/jquery/1.9.0/jquery.min.js|| ###### /Root/data/ com.timer.seconds/databases/System: idevice counrty network number gate 0000000111111 ru MTS RUS http://91.237.198.78 http://client- 15 Jul 2014 20:04:45 sberbank.com/verification/m/?i=010101010101011&l=%c2%eb%e0%e4%e8%f1%eb%e0%e2+%de%f0%f GMT c%e5%e2%e8%f7 http://client-sberbank.com/verification/m/img/s_cfmxw.css http://client-sberbank.com/verification/m/img/form.css http://client-sberbank.com/verification/m/img/s_gyzt.css http://client-sberbank.com/verification/m/img/s_c.js http://client-sberbank.com/verification/m/js/jquery.validate.js http://client-sberbank.com/verification/m/js/additional-methods.js http://client-sberbank.com/verification/m/img/logo.png 91.237.198.60 15 Jul 2014 20:04:48 GMT http://client-sberbank.com/verification/m/img/hit.gif http://client-sberbank.com/verification/m/img/p.gif http://ajax.googleapis.com/ajax/libs/jquery/1.9.0/jquery.min.js ----- ## Ivanov Boris b0@live.ru @BlackCaesar1973 -----