Chapardeur de mots de passe

ÉnoncĂ© :

Un ami vous demande de l'aide pour déterminer si l'email qu'il vient d'ouvrir au sujet du Covid-19 était malveillant et si c'était le cas, ce qu'il risque.

Il prĂ©tend avoir essayĂ© d'ouvrir le fichier joint Ă  cet mail sans y parvenir. Peu de temps aprĂšs, une fenĂȘtre liĂ©e Ă  l'anti-virus a indiquĂ©, entre autre, le mot KPOT v2.0 mais rien d'apparent n'est arrivĂ© en dehors de cela.

AprÚs une analyse préliminaire, votre ami vous informe qu'il est probable que ce malware ait été légÚrement modifié, étant donné que le contenu potentiellement exfiltré (des parties du format de texte et de fichier avant chiffrement) ne semble plus prédictible. Il vous recommande donc de chercher d'autres éléments pour parvenir à l'aider.

Vous disposez d'une capture réseau de son trafic pour l'aider à déterminer si des données ont bien été volées et lui dire s'il doit rapidement changer ses mots de passe !

pws.pcap.zip ~500Mo

Étape 1 - Recherche sur le malware

Pour commencer, nous téléchargeons la capture de trames de ~500Mo. Cela nous laisse le temps de chercher quelques informations sur le malware KPOT v2.0.

Je tombe sur 2 sites :

  • https://www.proofpoint.com/us/threat-insight/post/new-kpot-v20-stealer-brings-zero-persistence-and-memory-features-silently-steal

  • https://labs.sentinelone.com/info-stealers-how-malware-hacks-private-user-data/

On apprend que le malware contamine les victimes généralement par des attaques phishing à partir de la piÚce jointe. Kpot utilise http pour agßr, il communique avec un serveur distant pour l'informer de l'infection d'un poste.

Il envoie une requĂȘte GET Ă  destination d'un serveur de ce type: http://lesitemalveillant.ru/lmpUNlwDfoybeulu/gate.php

La réponse du serveur est encodé en base64 et XOR'd avec une clé stocké sous forme de chaßne. Voici un exemple d'échantillon déja analysé :

1111111111111100__DELIMM__A.B.C.D__DELIMM__appdata__GRABBER__*.log,*.txt,__GRABBER__%appdata%__GRABBER__0__GRABBER__1024__DELIMM__desktop_txt__GRABBER__*.txt,__GRABBER__%userprofile%\Desktop__GRABBER__0__GRABBER__150__DELIMM____DELIMM____DELIMM__

Les données contenu dans cette réponse sont délimitées par "DELIMM" et sont réparties selon le type de données suivant :

  • Une chaĂźne de bit indiquant les commandes Ă  Ă©xĂ©cuter

  • L'adresse ip de la victime

  • Les rĂšgles GRABBER prĂ©cisant les fichiers Ă  rechercher et exfiltrer

Le premier composant de la réponse ci dessus est une chaßne de 16 bits. Chaque 1 active une fonctionnalité, 0 la désactive. Voici une liste de quelques fonctionnalités :

  • Voler les cookies, les mots de passe de Chrome

  • Voler les cookies, les mots de passe de Firefox

  • Voler les cookies, les mot de passe d'Internet Explorer

  • Voler les comptes Skype

  • Voler les comptes de TĂ©lĂ©gram

  • Voler des comptes Discord

  • Volez les comptes Steam

  • Prendre une capture d'Ă©cran

  • Voler divers comptes clients FTP

  • Se supprimer lui mĂȘme

  • RĂ©cupĂ©rer un fichier en fonction de son extension, sa taille, son path

Enfin ! La capture de trames est téléchargé. Maintenant que nous avons une vision sur le fonctionnement général du malware, commençons à l'analyser !

Étape 2 - La communication post-infection

Vu le contexte du challenge, je commence par chercher des trames en rapport avec la piÚce jointe télécharger par notre ami, mais RAS.

Je passe donc Ă  la recherche de la requĂȘte GET envoyĂ© au serveur malveillant sur le fichier ciblĂ© "gate.php".

onosh@kali:/home/onosh/FCSC/FORENSIC/CHAPARDEUR# tshark -r pws.pcap http.request.method == "GET" |grep -iH 'gate.php'
2656  37.377541 192.168.4.129 → 198.54.117.197 HTTP 217 GET /lmpUNlwDfoybeulu/gate.php HTTP/1.1 
3251  39.543285 192.168.4.129 → 104.27.140.49 HTTP 218 GET /o96xEVtEmxfoYNxf/gate.php HTTP/1.1 
6138  41.601461 192.168.4.129 → 185.25.51.81 HTTP 217 GET /WjXxdpfqDyEE45gr/gate.php HTTP/1.1 
7174  44.655584 192.168.4.129 → 203.0.113.42 HTTP 230 GET /Ym9ubmVfcGlzdGVf/gate.php HTTP/1.1

On tombe sur 4 requĂȘtes, voyons voir la quelle Ă  rĂ©pondu par OK Ă  cette demande !

onosh@kali:/home/onosh/FCSC/FORENSIC/CHAPARDEUR# tshark -r pws.pcap http.response |egrep '(198.54.117.197|104.27.140.49|185.25.51.81|203.0.113.42)'
 2658  37.533943 198.54.117.197 → 192.168.4.129 HTTP 380 HTTP/1.1 403 Forbidden  (text/html)
 3253  39.548535 104.27.140.49 → 192.168.4.129 HTTP 530 HTTP/1.1 403 Forbidden  (text/plain)
 6186  41.650472 185.25.51.81 → 192.168.4.129 HTTP 1460 HTTP/1.1 404 Not Found  (text/html)
 7176  44.656395 203.0.113.42 → 192.168.4.129 HTTP 603 HTTP/1.1 200 OK  (text/html)
11616  47.662486 203.0.113.42 → 192.168.4.129 HTTP 267 HTTP/1.1 200 OK  (text/html)

Le serveur en 203.0.113.42 a l'air d'ĂȘtre le bon candidat.

Récupérons le contenu de sa réponse :

onosh@kali:/home/onosh/FCSC/FORENSIC/CHAPARDEUR# tshark -r pws.pcap -T fields -e http.file_data frame.number eq 7176
RHVdQ1V8BFVHAgRSAGNZRisbKDYoBXgpKW0HUgl8WUZMal1HXWIGU0Vtaid0HiE7ORszEhQ8UQUCU2o8dgApNDYBPiw7ZhsIGVUZSR8mEAJYGzM0Ng13JjNgajwUMxgGECUYEkETaiMkc3chdAA3KUQbMzQ2DXcmM2BqPABiWkIrGyg2KAV4KSltUQZCORwZBBsYCxATaiMkc3chdAA3KV5qGAsQYGo7MWB0IXMXOikrYRkAAT5FFhlUXA9UdzQyETcHBws8ajsxYHQhcxc6KSt0MywjHnQmNHdnPG5iNykwASA6KQFqOyltcSZ9GyU7KxszLCAJeS07f2o8

D'aprÚs la documentation sur le malware, les données ont été encodé en base64 puis XOR'd à l'aide d'une clé, cependant nous n'avons pas cette clé...

Étape 3 - La clĂ© XOR

Quelques types d'attaques sont connues avec XOR :

  • plaintext ⊕ key = encrypted_text

  • encrypted_text ⊕ plaintext = key

  • encrypted_text ⊕ key = plaintext

Ici nous avons des données chiffrées, pas de clé, mais nous connaissons les potentiels données qui pourraient se trouver à l'intérieur (GRABBER, DELIM etc...).

AprÚs quelque recherche je trouve un tool capable de gérer cette attaque :

  • https://blog.didierstevens.com/2017/06/06/update-xor-kpa-py-version-0-0-5/.

La description de son fonctionnement est ici :

  • https://isc.sans.edu/forums/diary/Malware+and+XOR+Part+1/22486/

  • https://isc.sans.edu/forums/diary/Malware+and+XOR+Part+2/22490/

Il ne reste plus qu'Ă  tester !

L'outil xor-kpa.py prend 2 fichiers en entrée :

Le premier fichier contient le texte en clair, et le second le fichier encodé.

Dans son exemple, Monsieur Didier Stevens recherche la chaßne "This program cannot be run in DOS mode" contenu généralement dans les éxécutables.

Son programme est d'ailleurs adaptés pour travailler avec cette chaßne, mais nous cela ne nous intéresse pas.

Notre texte en clair est composé de :

1111111111111100__DELIMM__A.B.C.D__DELIMM__appdata__GRABBER__*.log,*.txt,__GRABBER__%appdata%__GRABBER__0__GRABBER__1024__DELIMM__desktop_txt__GRABBER__*.txt,__GRABBER__%userprofile%\Desktop__GRABBER__0__GRABBER__150__DELIMM____DELIMM____DELIMM__

Prenons un Ă©chantillon !

Je décide de modifier le script xor-kpa.py :

onosh@kali:/home/onosh/FCSC/FORENSIC/CHAPARDEUR# grep -inH --color 'dos' xor-kpa.py 
xor-kpa.py:42:dPlaintext = {'dos': 'This program cannot be run in DOS mode'}

Je remplace This program cannot be run in DOS mode par GRABBER__0__GRABBER__1024

Le script ne prend pas en compte l'encodage base64, je décode donc la chaßne

onosh@kali#:/home/onosh/FCSC/FORENSIC/CHAPARDEUR# base64 -d enc.b64 >ciph.txt

Je lance le script en indiquant que nous recherchons le plaintext contenu dans la variable dos dans le contenu du fichier cipher.txt

onosh@kali:/home/onosh/FCSC/FORENSIC/CHAPARDEUR# ./custom.py -n dos ciph.txt 
Key:       '!\x053s2Uxly>F0^a\x02DX\x16\x1eJ\x06(k\x03'
Key (hex): 0x210533733255786c793e46305e61024458161e4a06286b03
Extra:     1
Divide:    1
Counts:    1
Keystream: '3s2Uxly>F0^a\x02DX\x16\x1eJ\x06(k\x03!\x053'

Key:       'f+lMSn\x10G@\x168c)1\x19\x06\x02?+e6[sd'
Key (hex): 0x662b6c4d536e10474016386329311906023f2b65365b7364
Extra:     1
Divide:    1
Counts:    1
Keystream: '\x02?+e6[sdf+lMSn\x10G@\x168c)1\x19\x06\x02'

Key:       tDlsdL5dv25c1Rhv
Key (hex): 0x74446c73644c35647632356331526876
Extra:     9
Divide:    1
Counts:    1
Keystream: dv25c1RhvtDlsdL5dv25c1Rhv

Nous voilà maintenant avec 3 clés !

D'aprÚs les deux sites que l'on a vu au début expliquant le fonctionnement du malware, la clé fait généralement 16 bits, oh ! comme la derniÚre :)

La clĂ© XOR serait donc : tDlsdL5dv25c1Rhv 🍀

Nous retrouvons donc bien le texte en clair en utilisant cette clé :

0110101110111110__DELIMM__218.108.149.373__DELIMM__appdata__GRABBER__*.log,*.txt,__GRABBER__%appdata%__GRABBER__0__GRABBER__1024__DELIMM__desktop_txt__GRABBER__*.txt,__GRABBER__%userprofile%\Desktop__GRABBER__0__GRABBER__0__DELIMM____DELIMM____DELIMM__

Maintenant analysons la requĂȘte POST envoyĂ© au serveur, cette requĂȘte exfiltre les donnĂ©es en utilisant la clĂ© XOR.

onosh@kali:/home/onosh/FCSC/FORENSIC/CHAPARDEUR# tshark -r pws.pcap http.request |egrep '203.0.113.42'
11614  47.662486 192.168.4.129 → 203.0.113.42 HTTP 267 HTTP/1.1 200 POST  (text/html)
onosh@kali:/home/onosh/FCSC/FORENSIC/CHAPARDEUR# tshark -r pws.pcap -T fields -e http.file_data frame.number eq 11614

Nous récupérons le résultat en hexa :

2b003e3234097431296249164260181301363d06017e78501a13154363661b0501365f09491a5a10045718225c63453300691a1c552f04321946470655205c061125192c220f66277c49015508375047427c5b425c750c5213510d50506b5a1717205a15017a575d1502060007310d1246255f125329020544020d5a53675b4216250d165d7b54530b386a2763133833351133

MĂȘme manipulation que toute Ă  l'heure pour dĂ©chiffrer les donnĂ©es

_DRAPEAU_P|us2peurQue2M4l!  R4ssur3z-Votre-Am1-Et-vo1c1Votredr4peau_FCSC
{469e8168718996ec83a92acd6fe6b9c03c6ced2a3a7e7a2089b534baae97a7}
_DRAPEAU_

DerniĂšre mise Ă  jour