Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Kroniki Hellsinga: Imperium kontratakuje

Tagi:

Wprowadzenie

Jednym z najbardziej aktywnych ugrupowań APT w Azji, szczególnie w obszarze Morza Południowochińskiego, jest “Naikon”. Naikon odgrywa główną rolę w naszej historii, jednak w tym raporcie skupimy się na zupełnie innym ugrupowaniu cyberprzestępczym; takim które zwróciło naszą uwagę, gdy wzięło odwet za atak Naikona.     

Grupa Naikon jest znana ze swojego backdoora o nazwie RARSTONE, opisanego szczegółowo przez naszych kolegów z Trend Micro. Nazwa Naikon pochodzi z niestandardowego ciągu agenta użytkownika, “NOKIAN95/WEB”, zlokalizowanego wewnątrz backdoora:

hellsing_01_auto.png

Ciąg NOKIAN wewnątrz backdoora grupy Naikon

Ugrupowanie Naikon jest aktywne głównie w państwach takich jak Filipiny, Malezja, Kambodża, Indonezja, Wietnam, Birma, Singapur oraz Nepal, gdzie uderza w różnorodne cele w niezwykle oportunistyczny sposób. Prawdopodobnie jedna z największych operacji ugrupowania Naikon została przeprowadzona w marcu 2014 r. tuż po zaginięciu lotu MH370, które miało miejsce 8 marca. 11 marca grupa Naikon przeprowadzała aktywnie ataki na większość państw zaangażowanych w poszukiwanie MH370. Cele były niezwykle zróżnicowane, obejmowały jednak instytucje posiadające dostęp do informacji dotyczących zaginięcia MH370, takie jak:     

  • biuro prezydenta,
  • siły zbrojne,
  • biuro sekretarza rządu,
  • narodowa rada bezpieczeństwa,
  • biuro zastępcy prokuratora generalnego,
  • krajowa agencja ds. koordynacji informacji wywiadowczych,
  • organ ds. lotnictwa cywilnego,
  • departament sprawiedliwości,
  • policja,
  • sztab prezydencki.

Ugrupowanie Naikon wykorzystywało w atakach głównie spersonalizowane dokumenty typu spear-phishing, przy czym charakterystyczny dla tego ugrupowania backdoor był dostarczany przy pomocy exploitów CVE-2012-0158.  

Chociaż wiele z tych ataków było udanych, co najmniej jednemu z celów nie podobało się, że jest atakowany, i zamiast otworzyć dokument zdecydował się na całkiem inne działanie.

Imperium kontratakuje

Nasze pytanie – co powinieneś zrobić w przypadku otrzymania podejrzanego dokumentu od kogoś, kogo nie znasz lub znasz bardzo słabo? Wybierz jedną odpowiedź:

  1. Otworzyć dokument.
  2. Nie otwierać dokumentu.
  3. Otworzyć dokument na Maku (wszyscy wiedzą, że Maki są odporne na wirusy :).
  4. Otworzyć dokument na maszynie wirtualnej z systemem Linux.

Z naszego doświadczenia wynika, że większość osób wybrałoby wariant 2,3 lub 4. Bardzo niewiele osób otworzyłoby dokument, a jeszcze mniej zdecydowałoby się sprawdzić osobę atakującą i zweryfikować jego historię.

Tak jednak stało się, gdy jeden z celów ataków spear-phishingowych przeprowadzonych przez ugrupowanie Naikon otrzymał podejrzany e-mail. Zamiast otworzyć dokument lub zrobić to na jakiejś mało znanej platformie postanowił sprawdzić e-mail u źródła. 

hellsing_02_auto.png

Cel ataków ugrupowania Naikon prosi o potwierdzenie wysłania e-maila

W e-mailu powyżej cel ataku kwestionuje autentyczność wiadomości wysłanej w ramach ataku spear-phishing przeprowadzonego przez ugrupowanie Naikon.  

Osoba atakująca w ogóle nie dała się zmylić i dobrze obeznana z wewnętrzną strukturą agencji rządowej celu odpowiedziała, że pracuje dla sekretariatu i została poproszona o wysłanie tej wiadomości przez zarząd organizacji:

hellsing_03_auto.png

Członek ugrupowania Naikon odpowiada celowi ataku

Odpowiedź jest napisana słabym angielskim i wskazuje, że atakujący prawdopodobnie nie jest tak biegły w tym języku jak ofiara. Widząc taką odpowiedź, cel najwidoczniej postanowił nie otwierać dokumentu. Co więcej zdecydował się pójść o krok dalej i spróbować dowiedzieć się czegoś więcej o osobie atakującej.  

Niedługo po pierwszej wymianie korespondencji cel wysłał osobie atakującej następujący e-mail:

hellsing_04_auto.png

Załącznik znajduje się w chronionym hasłem archiwum RAR, przez co może bezpiecznie obejść skanery szkodliwego oprogramowania powiązane z darmowym kontem e-mail wykorzystywanym przez osoby atakujące. Wewnątrz archiwum znajdują się dwa pliki PDF oraz jeden plik SCR:

hellsing_05_auto.png

Ku naszemu zdziwieniu, plik SCR okazał się backdoorem stworzonym specjalnie dla oszustów z ugrupowania Naikon.

Plik “Directory of ... Mar 31, 2014.scr” (md5: 198fc1af5cd278091f36645a77c18ffa) pobiera czysty dokument zawierający komunikat o błędzie oraz moduł backdoora  (md5: 588f41b1f34b29529bc117346355113f). Backdoor łączy się z serwerem kontroli zlokalizowanym pod adresem philippinenews[.]mooo[.]com. 

Backdoor może wykonywać następujące działania:

  • pobieranie plików
  • wysyłanie plików,
  • uaktualnianie plików,
  • odinstalowywanie się z systemu.

Byliśmy zaskoczeni takim przebiegiem sytuacji i postanowiliśmy przyjrzeć się bliżej backdoorowi, tj. ugrupowaniu “Hellsing” (o którym napiszemy później).

Szkodliwe oprogramowanie wykorzystane przez osobę, w którą został wymierzony atak, posiada następujący rozkład geograficzny, według danych pochodzących z systemu KSN: 

  • Malezja – sieci rządowe,
  • Filipiny – sieci rządowe,
  • Indonezja – sieci rządowe,
  • Stany Zjednoczone – placówki dyplomatyczne,
  • Indie (starsze wersje szkodliwego oprogramowania).

Ponadto zarejestrowaliśmy ataki na podmioty związane z ASEAN.

hellsing_06_auto.jpg

Cyberprzestępca atakuje swoje cele przy użyciu wiadomości e-mail typu spear-phishing zawierających archiwa, w których znajduje się szkodliwe oprogramowanie podobne do tego wykorzystywanego przeciwko grupie Naikon. Zaobserwowaliśmy między innymi następujące nazwy załączników:

  • 2013 Mid-Year IAG Meeting Admin Circular FINAL.7z
  • HSG FOLG ITEMS FOR USE OF NEWLY PROMOTED YNC FEDERICO P AMORADA 798085 PN CLN.zip
  • Home Office Directory as of May 2012.Please find attached here the latest DFA directory and key position officials for your referenece.scr
  • LOI Nr 135-12 re 2nd Quarter.Scr
  • Letter from Paquito Ochoa to Albert Del Rosario,the Current Secretary of Foreign Affairs of the Philippines.7z
  • Letter to SND_Office Call and Visit to Commander, United States Pacific Command (USPACOM) VER 4.0.zip
  • PAF-ACES Fellowship Program.scr
  • RAND Analytic Architecture for Capabilities Based Planning, Mission System Analysis, and Transformation.scr
  • Update Attachments_Interaction of Military Personnel with the President _2012_06_28.rar
  • Update SND Meeting with the President re Hasahasa Shoal Incident.scr
  • Washington DC Directory November 2012-EMBASSY OF THE PHILIPPINES.zip
  • ZPE-791-2012&ZPE-792-2012.rar
  • zpe-791-2012.PDF.scr

W atakach zaobserwowaliśmy archiwa RAR, ZIP oraz 7ZIP – chronione hasłem archiwa 7ZIP zostały prawdopodobnie wprowadzone jako sposób na obejście najnowszych funkcji bezpieczeństwa w serwisie Gmail, które blokują archiwa chronione hasłem zawierające pliki wykonywalne.

Każdy backdoor zawiera wewnątrz serwer kontroli jak również numer wersji oraz identyfikator ofiary lub kampanii. Poniżej przedstawiamy kilka przykładów:

MD5

Data

C&C

ID kampanii

2682a1246199a18967c98cb32191230c

31.03.2014

freebsd.extrimtur[.]com

1.6.1_MOTAC

31b3cc60dbecb653ae972db9e57e14ec

31.03.2014

freebsd.extrimtur[.]com

1.6.1_MOTAC

4dbfd37fd851daebdae7f009adec3cbd

08.11.2013

articles.whynotad[.]com

1.5_articles.

whynotad.

com-nsc

015915bbfcda1b2b884db87262970a11

19.02.2014

guaranteed9.strangled[.]net

1.5_guarant
eed9-nsc

3a40e0deb14f821516eadaed24301335

31.03.2014

hosts.mysaol[.]com

1.6.1_imi;simple

73396bacd33cde4c8cb699bcf11d9f56

08.11.2013

web01.crabdance[.]com

1.5_op_laptop

7c0be4e6aee5bc5960baa57c6a93f420

08.11.2013

hosts.mysaol[.]com

1.5_MMEA

bff9c356e20a49bbcb12547c8d483352

02.04.2014

imgs09.homenet[.]org

1.6.1_It

c0e85b34697c8561452a149a0b123435

02.04.2014

imgs09.homenet[.]org

1.6.1_It

f13deac7d2c1a971f98c9365b071db92

08.11.2013

hosts.mysaol[.]com

1.5_MMEA

f74ccb013edd82b25fd1726b17b670e5

12.05.2014

second.photo-frame[.]com

1.6.2s_Ab

Identyfikatory kampanii mogą nawiązywać do organizacji atakowanych przez określone kompilacje tego szkodnika APT. Przykładowe rozwinięcia tych inicjałów:

  • MOTAC - Ministry of Tourism and Culture, Malaysia - http://www.motac.gov.my/en/
  • NSC - http://www.nsc.gov.my/
  • MMEA - Malaysian Maritime Enforcement Agency - http://www.mmea.gov.my

Artefakty i powiązania z innymi szkodnikami APT

Co ciekawe, wydaje się, że niektóre elementy infrastruktury wykorzystywanej przez osoby atakujące częściowo pokrywają się (chociaż jest między nimi różnica jednego roku) z tymi stosowanymi przez grupę zidentyfikowaną wewnętrznie w Kaspersky Lab jako PlayfullDragon (znaną również jako “GREF”); z kolei inne aspekty infrastruktury są zbieżne z infrastrukturą specyficzną dla grupy znanej jako Mirage lub Vixen Panda.  

Na przykład jeden z backdoorów Xslcmd grupy PlayfillDragon opisany przez naszych kolegów z FireEye (md5: 6c3be96b65a7db4662ccaae34d6e72cc) łączy się z cdi.indiadigest[.]in:53. Jedna z analizowanych przez nas próbek stworzonych przez ugrupowanie Hellsing (md5: 0cbefd8cd4b9a36c791d926f84f10b7b) łączy się z serwerem kontroli pod adresem webmm[.]indiadigest[.]in. Chociaż nazwa domeny nie jest taka sama, domena najwyższego poziomu sugeruje, że obie te grupy są w jakiś sposób powiązane ze sobą. Kilka innych subdomen C&S pod adresem “indiadigest[.]in” obejmuje:  

  • aac.indiadigest[.]in
  • ld.indiadigest[.]in
  • longc.indiadigest[.]in

Inna zaobserwowana przez nas zbieżność dotyczy kampanii APT występującej pod nazwą Cycldek lub Goblin Panda. Niektóre z próbek ugrupowania Hellsing, które przeanalizowaliśmy w tej operacji (np. md5: a91c9a2b1bc4020514c6c49c5ff84298), komunikuje się z serwerem webb[.]huntingtomingalls[.]com przy użyciu protokołu typowego dla backdoorów Cycldek (binup.asp/textup.asp/online.asp).  

Wygląda na to, że twórca z ugrupowania Hellsing rozpoczął od źródeł Cycldek i współpracował z operatorami z innych grup APT. Mimo to kod jest wystarczająco odmienny, aby mógł zostać zaklasyfikowany jako oddzielna operacja.

A zatem, skąd wzięła się nazwa Hellsing? Jedna z przeanalizowanych przez nas próbek (md5: 036e021e1b7f61cddfd294f791de7ea2) wygląda, jakby została skompilowana w pośpiechu, a osoba atakująca zapomniała usunąć informacji debugowania. Jak widać, nazwa projektu to Hellsing, a szkodliwe oprogramowanie nazywa się “msger”: 

hellsing_07_auto.png

Naturalnie, Hellsing posiada wiele różnych znaczeń, w tym może nawiązywać do sławnego doktora z powieści Dracula Brama Stokera. Jednak według Wikipedii, “Hellsing (ヘルシング Herushingu) to również japońska seria mangi napisana i ilustrowana przez Kouta Hirano. Po raz pierwszy ukazała się w Young King Ours w 1997 r., została natomiast zakończona we wrześniu 2008 r”.

hellsing_08.png 

Seria Hellsing relacjonuje zmagania tajemniczej i sekretnej organizacji Hellsing, która walczy z wampirami, upiorami oraz innymi nadprzyrodzonymi wrogami; w tym sensie jest to prawdopodobnie odpowiednia nazwa dla tej grupy. 

Oprócz szkodliwego oprogramowania Hellsing/msger zidentyfikowaliśmy próbki trojana drugiej generacji, które osoby atakujące najwyraźniej określają jako “xweber”:

hellsing_09_auto.png 

Sądząc po sygnaturach czasowych kompilacji “Xweber” stanowi nowszego trojana. Wszystkie próbki “msger”, jakie widzieliśmy, zostały prawdopodobnie skompilowane w 2012 r. Próbki “Xweber” pochodzą z 2013 i 2014 r., co sugeruje, że w którymś momencie w 2013 r. projekt związany ze szkodliwym oprogramowaniem “msger” uzyskał nową nazwę i/lub został zintegrowany z “Xweber”.   

Podczas naszego badania zaobserwowaliśmy, że w kampanii ataków APT Hellsing wykorzystywane są zarówno backdoory “Xweber” jak i “msger”, jak również inne narzędzia o nazwie “xrat”, “clare”, “irene” and “xKat”.    

Inne narzędzia

Jak tylko osoby atakujące z ugrupowania Hellsing włamią się do komputera, rozmieszczają tam inne narzędzia, które mogą być wykorzystywane do gromadzenia dalszych informacji dotyczących ofiary lub innych działań. Jednym z takich narzędzi jest “test.exe”: 

Nazwa

test.exe

Rozmiar

45,568 bajtów

MD5

14309b52f5a3df8cb0eb5b6dae9ce4da

Typ

Plik wykonywalny Win32 PE i386

Narzędzie to jest wykorzystywane do zbierania informacji i testowania dostępnych serwerów proxy. Co ciekawe, zawiera również ścieżkę debugowania Hellsing: 

hellsing_10_auto.png

Innym narzędziem ataku zastosowanym w środowisku ofiary był sterownik systemu plików o nazwie “diskfilter.sys”, chociaż jego wewnętrzna nazwa brzmi “xrat.sys”. Sterownik ten jest niepodpisany i został skompilowany dla 32-bitowych systemów Windows. Wykorzystywany krótko w 2013 r., został następnie zarzucony przez osoby atakujące, prawdopodobnie ze względu na wymagania związane z podpisywaniem sterownika w systemie Windows 7:    

hellsing_11_auto.png

Kolejne narzędzie wykorzystywane przez osoby atakujące nosi nazwę “xKat”:

Nazwa

xkat.exe

Rozmiar

78,848 bajtów

MD5

621e4c293313e8638fb8f725c0ae9d0f

Typ

Plik wykonywalny Win32 PE i386

Jest to rozbudowane narzędzie służące do usuwania plików i zatrzymywania procesów, które wykorzystuje sterownik (Dbgv.sys) w celu wykonania operacji. Osoby atakujące wykorzystywały je do zatrzymywania i usuwania szkodliwego oprogramowania należącego do konkurencji. 

Przykłady ścieżek debugowania znajdujących się w binariach:

  • e:\Hellsing\release\clare.pdb
  • e:\Hellsing\release\irene\irene.pdb
  • d:\hellsing\sys\irene\objchk_win7_x86\i386\irene.pdb
  • d:\hellsing\sys\xkat\objchk_win7_x86\i386\xKat.pdb
  • d:\Hellsing\release\msger\msger_install.pdb
  • d:\Hellsing\release\msger\msger_server.pdb
  • d:\hellsing\sys\xrat\objchk_win7_x86\i386\xrat.pdb
  • D:\Hellsing\release\exe\exe\test.pdb 

Kto stoi za kampanią

Ogólnie, przypisanie autorstwa kampanii APT jest bardzo trudnym zadaniem, dlatego wolimy opublikować dane techniczne i pozwolić innym, aby wyciągnęli własne wnioski. 

Próbki przypisywane ugrupowaniu Hellsing zostały prawdopodobnie skompilowane w następującym czasie:

hellsing_12_auto.png

Jeśli przyjąć, że praca zaczyna się standardowo około godziny 9 rano, osoba atakująca wydaje się być najaktywniejsza w strefie czasowej GMT+8 lub +9, zakładając model pracy od godziny 9/10 do 18/19.

Wnioski

Ugrupowanie APT Hellsing jest obecnie aktywne w regionie Azji i Pacyfiku, atakując cele znajdujące się głównie na obszarze Morza Południowochińskiego, przeważnie w Malezji, na Filipinach i w Indonezji. Przewaga mniejszych grup polega na tym, że mogą przez dłuższy czas pozostać “poza radarem”, co miało miejsce w omawianym przypadku.   

Najciekawszym elementem całej historii jest zaatakowanie grupy Naikon przez ugrupowanie APT Hellsing. W przeszłości odnotowaliśmy już przypadki, gdy ugrupowania APT atakowały siebie nawzajem w sposób niezamierzony, kradnąc książki adresowe swoich ofiar, a następnie generując masowe wysyłki do każdej znajdującej się na takiej liście osoby. Jednak biorąc pod uwagę czas i źródło ataku, rozpatrywany przypadek wydaje się być celowym atakiem jednego ugrupowania APT na inne. 

W celu zabezpieczenia się przed atakiem ugrupowania Hellsing zalecamy organizacjom stosowanie następujących podstawowych praktyk bezpieczeństwa:

  • Nie otwieraj załączników od nieznajomych.
  • Uważaj na archiwa chronione hasłem, które zawierają pliki SCR lub inne pliki wykonywalne.
  • Jeśli masz wątpliwości co do załącznika, spróbuj otworzyć go w piaskownicy (sandbox).
  • Upewnij się, że posiadasz współczesny system operacyjny z zainstalowanymi wszystkimi łatami.
  • Aktualizuj aplikacje innych producentów, takie jak Microsoft Office, Java, Adobe Flash Player oraz Adobe Reader.

Produkty firmy Kaspersky Lab wykrywają backdoory wykorzystywane przez grupę Hellsing jako: HEUR:Trojan.Win32.Generic, Trojan-Dropper.Win32.Agent.kbuj, Trojan-Dropper.Win32.Agent.kzqq

Dodatek

MD5

015915BBFCDA1B2B884DB87262970A11

036E021E1B7F61CDDFD294F791DE7EA2

04090aca47f5360b84f6a55033544863

055BC765A78DA9CC759D1BA7AC7AC05E

085FAAC21114C844529E11422EF684D1

0BA116AA1704A415812552A815FCD34B

0CBEFD8CD4B9A36C791D926F84F10B7B

0CC5918D426CD836C52207A8332296BC

0dfcbb858bd2d5fb1d33cd69dcd844ae

0F13DEAC7D2C1A971F98C9365B071DB9

0FFE80AF4461C68D6571BEDE9527CF74

13EF0DFE608440EE60449E4300AE9324

14309b52f5a3df8cb0eb5b6dae9ce4da

17EF094043761A917BA129280618C1D3

2682A1246199A18967C98CB32191230C

2CCE768DC3717E86C5D626ED7CE2E0B7

3032F4C7A6E4E807DD7B012FA4B43718

31B3CC60DBECB653AE972DB9E57E14EC

3A40E0DEB14F821516EADAED24301335

3de2a22babb69e480db11c3c15197586

4DBFD37FD851DAEBDAE7F009ADEC3CBD

4F19D5D2C04B6FC05E56C6A48FD9CB50

58670063EC00CAF0D2D17F9D52F0AC95

588f41b1f34b29529bc117346355113f

5dec2e81037b2d72320516e86a2bcfbd

5f776a0de913173e878844d023a98f1c

5fc86559ae66dd223265540fd5dfaf3b

621e4c293313e8638fb8f725c0ae9d0f

67E032085DC756BB7123DFE942E5DCA4

73396BACD33CDE4C8CB699BCF11D9F56

824C92E4B27026C113D766C0816428A0

8BEFABB08750548D7BA64717D92B71E0

8E5FD9F8557E0D39787DD205ABFFA973

9317458E0D8484B77C0B9FA914A98230

a23d7b6a81dc0b460294e8be829f564d

a642c3dfd7e9dad5dc2a27ac6d8c9868

A6703722C6A1953A8C3807A6FF93D913

aa906567b9feb1af431404d1c55e0241

ac073ad83555f3748d481bcf796e1993

e8770d73d7d8b837df44a55de9adb7d5

fe07da37643ed789c48f85d636abcf66

Serwery C&C - nazwy hostów i adresy IP

122[.]10[.]9[.]73

122[.]9[.]247[.]4

122[.]10[.]9[.]155

122[.]9[.]247[.]4

23[.]88[.]236[.]96

122[.]10[.]26[.]24

a[.]huntingtomingalls[.]com

ack[.]philippinenewss[.]com

af[.]huntingtomingalls[.]com

afc[.]philippinenewss[.]com

afnews[.]philippinenewss[.]com

articles[.]whynotad[.]com

ccid[.]mooo[.]com

d6[.]philippinenewss[.]com

de[.]philippinenewss[.]com

dec[.]huntingtomingalls[.]com

df1[.]huntingtomingalls[.]com

df2[.]huntingtomingalls[.]com

df3[.]huntingtomingalls[.]com

df4[.]huntingtomingalls[.]com

df5[.]huntingtomingalls[.]com

email[.]philippinenewss[.]com

email[.]philstarnotice[.]com

files[.]philippinenewss[.]com

files[.]philstarnotice[.]com

freebsd[.]extrimtur[.]com

gr[.]philippinenewss[.]com

guaranteed9[.]strangled[.]net

hosts[.]mysaol[.]com

ima03[.]now[.]im

img02[.]mooo[.]com

imgs09[.]homenet[.]org

knl[.]russkoeumea[.]com

login[.]philstarnotice[.]com

mail[.]philippinenewss[.]com

my[.]philippinenewss[.]com

na[.]huntingtomingalls[.]com

na[.]philstarnotice[.]com

new[.]philippinenewss[.]com

news[.]huntingtomingalls[.]com

news[.]philstarnotice[.]com

ng[.]philstarnotice[.]com

ns01[.]now[.]im

ny[.]huntingtomingalls[.]com

ny[.]philstarnotice[.]com

philippinenews[.]mooo[.]com

philnews[.]twilightparadox[.]com

pic[.]philstarnotice[.]com

pm[.]philstarnotice[.]com

pop[.]philippinenewss[.]com

pop[.]philstarnotice[.]com

premium9[.]crabdance[.]com

second[.]photo-frame[.]com

shoping[.]jumpingcrab[.]com

so[.]philippinenewss[.]com

web[.]huntingtomingalls[.]com

web01[.]crabdance[.]com

webmm[.]indiadigest[.]in

wg[.]philippinenewss[.]com

zq[.]philippinenewss[.]com

flags13[.]twilightparadox[.]com

Domeny

Nazwy plików 

  • %systemroot%\system32\irmon32.dll
  • %systemroot%\system32\FastUserSwitchingCompatibilityex.dll
  • %systemroot%\system32\inetinfo32.dll
  • %systemroot%\system32\drivers\drivers\diskfilter.sys
  • %systemroot%\system32\usbcon.exe
  • %windir%\temp\xKat.exe
  • %systemroot%\system32\drivers\drivers\usbmgr.sys
  • %appdata%\Microsoft\MMC\mmc.exe
  • %systemroot%\system32\Iasex.dll
  • %systemroot%\system32\Ipripex.dll
  • %windir%\temp\mm_server.exe
  • %windir%\temp\sys.exe
  • %windir%\temp\test.exe

Reguły Yara 

rule apt_hellsing_implantstrings { 
 
meta:
                  version = "1.0"
                  filetype = "PE"
                  author = "Costin Raiu, Kaspersky Lab"
                  copyright = "Kaspersky Lab"
                  date = "2015-04-07"
                  description = "detection for Hellsing implants"
strings:
        $mz="MZ"
        $a1="the file uploaded failed !"
        $a2="ping 127.0.0.1"
 
        $b1="the file downloaded failed !"
        $b2="common.asp"
 
        $c="xweber_server.exe"
        $d="action="
                  $debugpath1="d:\\Hellsing\\release\\msger\\" nocase
                  $debugpath2="d:\\hellsing\\sys\\xrat\\" nocase
                  $debugpath3="D:\\Hellsing\\release\\exe\\" nocase
                  $debugpath4="d:\\hellsing\\sys\\xkat\\" nocase
                  $debugpath5="e:\\Hellsing\\release\\clare" nocase
                  $debugpath6="e:\\Hellsing\\release\\irene\\" nocase
                  $debugpath7="d:\\hellsing\\sys\\irene\\" nocase
                  $e="msger_server.dll"
                  $f="ServiceMain"
condition:
                  ($mz at 0) and (all of ($a*)) or (all of ($b*)) or ($c and $d) or (any of ($debugpath*)) or ($e and $f) and filesize < 500000
}
rule apt_hellsing_installer { 
meta:
                  version = "1.0"
                  filetype = "PE"
                  author = "Costin Raiu, Kaspersky Lab"
                  copyright = "Kaspersky Lab"
                  date = "2015-04-07"
                  description = "detection for Hellsing xweber/msger installers"
strings:
        $mz="MZ"
                  $cmd="cmd.exe /c ping 127.0.0.1 -n 5&cmd.exe /c del /a /f \"%s\""
                  $a1="xweber_install_uac.exe"
                  $a2="system32\\cmd.exe" wide
                  $a4="S11SWFOrVwR9UlpWRVZZWAR0U1aoBHFTUl2oU1Y="
                  $a5="S11SWFOrVwR9dnFTUgRUVlNHWVdXBFpTVgRdUlpWRVZZWARdUqhZVlpFR1kEUVNSXahTVgRaU1YEUVNSXahTVl1SWwRZValdVFFZUqgQBF1SWlZFVllYBFRTVqg="
                  $a6="7dqm2ODf5N/Y2N/m6+br3dnZpunl44g="
                  $a7="vd/m7OXd2ai/5u7a59rr7Ki45drcqMPl5t/c5dqIZw=="
                  $a8="vd/m7OXd2ai/usPl5qjY2uXp69nZqO7l2qjf5u7a59rr7Kjf5tzr2u7n6euo4+Xm39zl2qju5dqo4+Xm39zl2t/m7ajr19vf2OPr39rj5eaZmqbs5OSI Njl2tyI"
                  $a9="C:\\Windows\\System32\\sysprep\\sysprep.exe" wide
                  $a10="%SystemRoot%\\system32\\cmd.exe" wide
                  $a11="msger_install.dll"
                  $a12={ 00 65 78 2E 64 6C 6C 00}

condition:
                  ($mz at 0) and ($cmd  and   (2 of ($a*))) and filesize < 500000
}
rule apt_hellsing_proxytool { 
meta:
                  version = "1.0"
                  filetype = "PE"
                  author = "Costin Raiu, Kaspersky Lab"
                  copyright = "Kaspersky Lab"
                  date = "2015-04-07"
                  description = "detection for Hellsing proxy testing tool"
strings:
        $mz="MZ"
                  $a1="PROXY_INFO: automatic proxy url => %s "
                  $a2="PROXY_INFO: connection type => %d "
                  $a3="PROXY_INFO: proxy server => %s "
                  $a4="PROXY_INFO: bypass list => %s "
                  $a5="InternetQueryOption failed with GetLastError() %d"
                  $a6="D:\\Hellsing\\release\\exe\\exe\\" nocase
condition:
                  ($mz at 0) and (2 of ($a*)) and filesize < 300000
}
rule apt_hellsing_xkat {  
meta:
                  version = "1.0"
                  filetype = "PE"
                  author = "Costin Raiu, Kaspersky Lab"
                  copyright = "Kaspersky Lab"
                  date = "2015-04-07"
                  description = "detection for Hellsing xKat tool"
strings:
        $mz="MZ"
                  $a1="\\Dbgv.sys"
                  $a2="XKAT_BIN"
                  $a3="release sys file error."
                  $a4="driver_load error. "
                  $a5="driver_create error."
                  $a6="delete file:%s error."
                  $a7="delete file:%s ok."
                  $a8="kill pid:%d error."
                  $a9="kill pid:%d  ok."
                  $a10="-pid-delete"
                  $a11="kill and delete pid:%d error."
                  $a12="kill and delete pid:%d  ok."
condition:
                  ($mz at 0) and (6 of ($a*)) and filesize < 300000
}
 
rule apt_hellsing_msgertype2 { 
meta:
                  version = "1.0"
                  filetype = "PE"
                  author = "Costin Raiu, Kaspersky Lab"
                  copyright = "Kaspersky Lab"
                  date = "2015-04-07"
                  description = "detection for Hellsing msger type 2 implants" 
strings:
        $mz="MZ"
                  $a1="%s\\system\\%d.txt"
                  $a2="_msger"
                  $a3="http://%s/lib/common.asp?action=user_login&uid=%s&lan=%s&host=%s&os=%s&proxy=%s"
                  $a4="http://%s/data/%s.1000001000"
                  $a5="/lib/common.asp?action=user_upload&file="
                  $a6="%02X-%02X-%02X-%02X-%02X-%02X"
condition:
                  ($mz at 0) and (4 of ($a*)) and filesize < 500000
}
 
rule apt_hellsing_irene { 
meta:
                  version = "1.0"
                  filetype = "PE"
                  author = "Costin Raiu, Kaspersky Lab"
                  copyright = "Kaspersky Lab"
                  date = "2015-04-07"
                  description = "detection for Hellsing msger irene installer"
strings:
        $mz="MZ"
                  $a1="\\Drivers\\usbmgr.tmp" wide
                  $a2="\\Drivers\\usbmgr.sys" wide
                  $a3="common_loadDriver CreateFile error! "
                  $a4="common_loadDriver StartService error && GetLastError():%d! "
                  $a5="irene" wide
                  $a6="aPLib v0.43  -  the smaller the better"
condition:
                  ($mz at 0) and (4 of ($a*)) and filesize < 500000
}