Cedric PERNET - Forensics, Malware & Cybercrime

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - carberp

Fil des billets - Fil des commentaires

lundi 21 février 2011

CARBERP - Nouvelle étude

Voici une rapide synthèse de l'excellent document de MalwareIntelligence sur ce malware, dont j'avais déjà parlé précédemment.

Ce malware dispose de plus en plus de fonctionnalités avancées, alors qu'au départ il n'était qu'un dropper (un binaire malveillant dont le seul but est d'installer un autre malware sur le poste de la victime). La seconde génération de CARBERP a permis de créer des botnets "carberp" disposant de communications HTTP avec un serveur de command&control (c&c). Cette seconde génération a également ajouté un module additionnel (plugin) nommé "grabber" permettant de voler les identifiants et mots de passe d'une longue liste d'applications Windows diverses et variées (MSN, Firefox, etc.), ce qui a fait entrer Carberp dans la liste des familles de malware de type chevaux de Troie (trojan).

La troisième génération intègre d'autres modules : "stopav", "miniav", "passw". Ces modules ne sont pas exactement les même sur toutes les variantes découvertes sur Internet, du fait de la possibilité de "customiser" ces modules en fonction du client privé à qui Carberp est vendu. Car le modèle économique choisi par les auteurs de Carberp n'est pas le même que celui de ZeuS/Zbot par exemple. Alors qu'il est possible d'acheter ZeuS/ZBot sur des forums, Carberp n'est pas vendu publiquement (Tout comme Torpig/Anserin/Sinowal d'ailleurs).

Niveau systèmes d'exploitations, Carberp est capable d'infecter des systèmes Windows 95/98/Me/NT/2000/XP/Vista, et 7. Pour infecter un système 7, Carberp créé des fichiers dans certains répertoires qui ne nécessitent pas d'être administrateur du poste, à savoir Startup, Application Data et Temp. Carberp n'a pas besoin des droits d'administrateur parce qu'il ne change rien à la base de registre, contrairement à la plupart des autres malware : une fois un poste infecté, Carberp créé une copie de lui-même dans "Startup", il sera ainsi exécuté à chaque redémarrage du système. Il dispose du coup de fonctionnalités de type rootkit, pour éviter que l'utilisateur ne le voie dans ce répertoire (injection dans diverses API).

Carberp se propage de diverses façons, la plus intéressante étant qu'il utilise des accès dérobés de FTP pour injecter des iframes dans des pages web, de façon totalement automatisée, pour infecter d'autres postes.

La première connexion vers le c&c est une requête POST vers /set/first.html qui contient la liste des processus en cours de l'utilisateur, ainsi qu'un identifiant (ID) unique.

La seconde connexion vers le c&c est une demande du malware pour recevoir les modules additionnels. Puis vient une requête GET /cfg/gsbcc permettant de télécharger la configuration du botnet.

Enfin, une connexion POST vers /set/task.html permet au malware de savoir s'il doit accomplir une tâche particulière.

Le plugin "passw.plug" contient la liste des logiciels dont le malware va voler les identifiants/mots de passe :

AIM - AIMPro - AOLInstantMessenger - ASP.NETAccount - AppleSafari - Becky - BitKinex - BlackwoodPRO - BulletProofFTPClient - CamFrog - CiscoVPNClient - ClassicFTP - CoffeeCupFTP - CoreFTP - CuteFTP - Dev Zero G FTPUploader - Digsby - DirectoryOpus - Eudora - ExcitePrivateMessenger - ExpanDrive - FARManagerFTP - FFFTP - FTPCommander - FTPExplorer - FTPRush - FTPUploader - FTPWare - Faim - FileZilla - FinamDirect - FlashFXP - FlingFTP - ForteAgent - FreeCall - FreeFTP/DirectFTP - Frigate3FTP - GAIM - GizmoProject - GmailNotifier - GoogleChrome - GoogleTalk - GrayBox - GroupMailFree - ICQ2003/Lite - ICQ99b-2002 - IncrediMail - InternetExplorer - JAJC - LeapFTP - LTGRoup - MSNMessenger - Mail.RuAgent - MailCommander - Mbt - Mirabilis - MirandaIM - MozillaFirefox - MySpaceIM - Odigo - Opera - Opera 9 Beta - Outlook - POPPeeper - PSI - Paltalk - Pandion - Pidgin - PocoMail - QIP - QIP.Online - Remote Desktop ..Connection - RimArts - Safari - SaxoTrader - ScotTrader - ScreenSaver9x - Scribe - SecureFX - SIM - SmartFTP - SoftXFTPClient - TheBat! - Trillian - Trillian Astra - UltraFXP - WebSitePublisher - WS_FTP - Wi - WinSCP - WinSCP 2 - WinVNC - Windows / ..TotalCommander - WindowsCredentials - WindowsLiveMail - WindowsLiveMessenger - Yahoo!Messenger

Carberp dérobe également des identifiants/mots de passe de certains sites bancaires, et de certains sites d'e-commerce. (iBank, CyberPlat ...)

A noter que les données volées sont transmises directement vers le c&c, sans aucun chiffrement. Il doit donc être possible de créer de bonnes règles de détection sur votre trafic sortant afin de déterminer les données volées et obtenir la certitude d'une infection (Ceci dit, de bonnes règles d'IDS en entrée doivent également permettre de détecter une infection Carberp). De bons screenshots sont disponibles dans le document de MalwareIntelligence.

Le plugin "stopav.plug" contient la liste des solutions anti-virales connues et stoppées par le malware :

ESET NOD32 Antivirus - ESET Smart Security - ArcaVir Antivirus - AVG8 - Mcafee Antivirus - Avast! - Avast5 - Avast4 - Microsoft Security Essentials - Sophos - DrWeb - BitDeffender - Avira

Le plugin "miniav" mène la guerre contre les autres malware de type trojan : il détecte et nettoie les infections des malware suivants:

ZeuS - Limbo - ImageFileExecution - Barracuda And BlackEnergy - MyLoader - Adrenalin - Generetic

Détail amusant et plutôt malin concernant les c&c de Carberp : lorsqu'accédés par le web, ils affichent une page "This account has been suspended", phrase bien connue indiquant que le compte a été suspendu, généralement du fait de contenu illicite. Un point de détail qui fera peut-être stopper les investigations des moins curieux. En fait, l'accès au c&c se fait par une page /accounts/authorization.html.

A noter que toute l'interface est en russe et ne propose pas d'autre langue.

Les accès de MalwareIntelligence sur certains c&c indiquent des botnets de plus de 500 000 machines. Les statistiques sont d'ailleurs plutôt agréables graphiquement, à voir les captures d'écran du rapport.

D'autres captures sont très intéressantes, notamment celle exhibant la configuration du malware: alors que Carberp est livré avec 3 modules par défaut, il en existe d'autres, certains aux noms évocateurs tels que "vnc.plug" et d'autres semblant présenter des pseudonymes de fraudeurs.

Carberp est donc un malware très dangereux : il dispose de fonctionnalités impressionantes qui le mettent en concurrence directe avec les meilleurs trojans tels que ZeuS ou Torpig, et son business model le rend peu détecté, parce que vendu uniquement à des clients de confiance, vraisemblablement tous russes. Même s'il semble "down" depuis peu au niveau de son développement (les principaux c&c sont downs), nous ne sommes pas à l'abri d'en voir ressurgir.

mercredi 6 octobre 2010

Nouvelle menace malware : Carberp

Et voilà, encore un nouveau malware avec un nom improbable : CARBERP.

Ce malware est un malware de type cheval de Troie. Il dérobe des données de l'utilisateur après avoir infecté sa machine, les données les plus intéressantes pour lui étant vos coordonnées bancaires ainsi que tout couple login/mot de passe intéressant.

TrustDefender vient du coup de publier un excellent rapport sur ce malware, dont je vous invite à lire une synthèse ici. La version complète peut être obtenue sur simple demande.

Ce que j'en retiens ?

  • Carberp prend grand soin de ne jamais avoir besoin de droits système. Aucune élévation de privilège n'est nécessaire pour qu'il fonctionne à 100%, que ce soit sous XP, Vista, ou Windows 7. Du coup, seul un user de la machine est infecté.
  • pour le moment, il ne hooke qu'Internet Explorer -> les users sous Chrome/Firefox/etc. sont donc safe.
  • Il n'écrit rien dans la base de registre. Se relance au reboot en copiant un exe caché (effet rootkit) dans la section "Startup" de l'utilisateur. GMER peut le voir par contre.
  • Il envoie les données volées en temps réel vers le command&control, mais tenez-vous bien, les données sont envoyées en HTTP, EN CLAIR ! Nul doute qu'une des prochaines évolution de ce malware consistera à ajouter une couche de chiffrement.
  • Il n'intercepte que les requêtes POST sur les sessions SSL. Il ne fait rien sur le trafic HTTP. Certaines banques africaines sont donc safe ;-)))
  • Possibilités de détection de machines infectées :

- surveiller les requêtes POST vers URLduc&c/set/first.html. Pour éviter tout risque de faux positif, le paquet contient "id=debot" en entête.

- détecter les requêtes GET de format URL/cfg/passw.plug , URL/cfg/miniav.plug, et URL/cfg/stopav.plug : ces 3 fichiers sont toujours downloadés au moment de l'infection initiale.

  • il tue les AV qu'il rencontre, mais aussi les ZeuS et les Limbo sur les postes qu'il infecte, apparemment.

Si vous voulez mon avis, on n'a pas fini de le voir évoluer, et rapidement je pense, parce que comme dirait l'autre, "il a tout d'un grand".

Ajout de dernière minute: on vient de m'informer qu'une souche capable de cibler Firefox vient de voir le jour... Quand je parlais d'évolution rapide... A suivre ! :-)