Διαβάστε την ανακοίνωση του Facebook (στα αγγλικά) αναφορικά με το Lecpetex πριν από λίγο! Το Facebook προσπαθούσε να σταματήσει το Lecpetex επί περίπου 7 (!) μήνες χωρίς αποτέλεσμα!
Μπορείτε να διαβάσετε την συνολική ανακοίνωση/ανάλυση του Facebook [εδώ]
The Threat Infrastructure team at Facebook analyzes threat information from all over the web to help keep people on Facebook safe and secure. We build platforms like ThreatData and work closely with our abuse-fighting teams to stay a step ahead of people who try to use Facebook’s popularity and reach for bad intentions. Over the last seven months we battled and ultimately helped bring down a little known malware family known as “Lecpetex” that attackers were attempting to spread using Facebook and other online services. We coordinated with several industry partners in disrupting the botnet and proactively escalated the the case to law enforcement officials. This post covers the interesting technical elements of the malware and describes our role in taking down the botnet.
Outline
- History and overview
- Mechanics of the Lecpetex botnet
- Facebook helps take down the botnet
- Malware technical detailsDelivery techniques (JAR + VBS + Dropbox)
a. Malware technical detailsDelivery techniques (JAR + VBS + Dropbox)
b. Malware string payload obfuscation (AES128 + SHA1)
c. C2 methodologies (dedicated C2, Pastebin, disposable email accounts)
History and overview
Late last year, our abuse-fighting teams started to see a distinct new botnet. The attack was given the name “Lecpetex” by our peers at the Microsoft Malware Protection Center. Based on statistics released by the Greek Police, the botnet may have infected as many as 250,000 computers. Those infections enabled those directing the botnet to hijack those computers and use them to promote social spam, which impacted close to 50,000 accounts at its peak. As we describe below, there were several technical features of the malware that made it more resilient to technical analysis and disruption efforts. In addition, the Lecpetex authors appeared to have a good understanding of anti-virus evasion because they made continuous changes to their malware to avoid detection. In total, the botnet operators launched more than 20 distinct waves of spam between December 2013 and June 2014.
Lecpetex worked almost exclusively by using relatively simple social engineering techniques to trick victims into running malicious Java applications and scripts that infected their computers. (For more on the success of social engineering being used to induce people to run malicious code, see our recent post about self-XSS).
On April 30, 2014, we escalated the Lecpetex case to the Cybercrime Subdivision of the Greek Police, and the agency immediately showed strong interest in the case. On July 3 the Greek Police reported that the investigation had progressed to the final stage and that two suspects were placed in custody. According to the Greek Police, the authors were in the process of establishing a Bitcoin “mixing” service to help launder stolen Bitcoins at the time of their arrest. More details about their findings are available here.
The heat map below shows the distribution of Lecpetex victims as of June 10, 2014, with the highest concentration of victims found in the vicinity of Greece. Because Lecpetex spread through friend and contact networks, the distribution of victims tended to concentrate in specific geographies. From our analysis, the most frequently affected countries were Greece, Poland, Norway, India, Portugal, and the United States.
The Greek Police developed the following image to illustrate the botnet’s operations as part of a presentation on Lecpetex.
Mechanics of the Lecpetex botnet
To better understand the botnet, here is a bit of additional detail about its capabilities and how the operators used it in an attempt to profit.
Fundamentally, the Lecpetex botnet is a collection of modules installed on a Windows computer that can steal a person’s online credentials and use that access to spread through private messages. Along the way, it self-installs updates to try to evade anti-virus products and installs arbitrary executables. Our analysis revealed two distinct malware payloads delivered to infected machines: the DarkComet RAT, and several variations of Litecoin mining software. Ultimately the botnet operators focused on Litecoin mining to monetize their pool of infected systems. We saw reports that the botnet was also seeded using malicious torrent downloads, but did not observe this tactic in our research.
Περισσότερα [εδώ]
Σύμφωνα με το Facebook οι ενέργειες που ακολούθησε για την διερεύνηση του Lecpetex ήταν:
- Δεκέμβριος του 2013 : Πρώτος εντοπισμός μηνυμάτων από την Ελλάδα
- Απρίλιος 10-17, 2014 : Περιορισμός δράσης του malware
- Απρίλιος 30: Αναφορά στις Ελληνικές αρχές
- Μαίος 2014: Οι δημιουργοί του malware αφήνουν μηνύματα (?) στις σελίδες διαχείρισης του malware. Οι δημιουργοί χρησιμοποιούν αυτοδιαγραφόμενα e-mails (disposable emails) και δημόσιες ιστοσελίδες pastebin για τον έλεγχο
- Μάιος – Ιούνιος 2014: Το Facebook προσθέτει στοχευμένα μέτρα ασφάλειας για να εμποδίσει την διασπορά του Lecpetex
- Ιούνιος 2014: Οι δημιουργοί προσθέτουν διασπορά μέσω e-mail στο λογισμικό λόγω των περιορισμών του Facebook.
- Ιούλιος 3 2014: Η ΕΛ.ΑΣ ανακοινώνει σύλληψη δυο νεαρών ως κύριους δημιουργούς του λογισμικού.
Μερικά σημεία της ανακοίνωσης χρήζουν ιδιαίτερης προσοχής:
- Καταρχήν στο τέλος της ανακοίνωσης οι υπεύθυνοι διαχείρισης του Facebook αναφέρουν ότι η συνεργασία μπορεί να βοηθήσει στον εντοπισμό νέων τεχνικών, ώστε να βοηθήσουμε τους χρήστες της πλατφόρμας του Facebook. Ίσως θα πρέπει να συνεργαστούν με τους νεαρούς δημιουργούς του Lecpetex για επαύξηση της ασφάλειας της πλατφόρμας κοινωνικής δικτύωσης.
- Σε κανένα σημείο της ανακοίνωσης δεν στρέφονται εναντίον των δημιουργών του Lecpetex ούτε αναφέρονται για εγκληματικές συμπεριφορές ή κακόβουλες ενέργειες που ζημίωσαν οικονομικά είτε το Facebook είτε οποιονδήποτε χρήστη αυτού.
- Ο εντοπισμός και ανάλυση του λογισμικού πραγματοποιήθηκε όπως αναφέρουν σε συνεργασία με τους συνεργάτες τους στην Microsoft αλλά και κυβερνητικούς οργανισμούς & αμερικανικές διωκτικές αρχές.
- Η ανακοίνωση σαφέστατα αναφέρει ότι το λογισμικό διέθετε εξαιρετικές δυνατότητες όπως παράκαμψη antivirus και στοιχεία που εμπόδιζαν την ανάλυσή του από τους ειδικούς, δείγμα του υψηλού γνωστικού επιπέδου των δημιουργών του. Επιπλέον υπερτονίζουν την διαχείριση του λογισμικού με χρήση αυτοδιασπώμενων e-mails αλλά και μέσω του pastebin που δεν είχαν συναντηθεί σε άλλο malware στο παρελθόν.
- Σε κανένα σημείο δεν αναφέρετε ότι επιτεύχθηκε οικονομικό όφελος από την χρήση του λογισμικού.
Ο υπεύθυνος για την ανάλυση και τον εντοπισμό του λογισμικού Lecpetex είναι μέλος του Facebook Security team και συγκεκριμένα ο Mat Henley αλλά και ο Matt Richard, μηχανικοί ασφαλείας.Ο Mat Henley στην ανακοίνωση [εδώ] αναφέρει ότι ο “Lecpetex δεν έπληξε την υποδομή του Facebook αλλά τα τερματικά των χρηστών”.
Τα συμπεράσματα δικά σας!
LucasKaimaras
ευχαριστούμε για τα καλά σας λόγια. Όλες οι απόψεις είναι σεβαστές και χωράνε στην ιστοσελίδα μας. Εξάλλου προτιμούμε ανθρώπους που σκέφτονται από αυτούς που καταπίνουν αμάσητες πληροφορίες
iGuru_gr LucasKaimaras Ευχαριστώ για την απόκριση και δεν θα σχολίαζα αν δεν εκτιμούσα τη γενική σας αρθρογραφία και χρήσιμη ενημέρωση. Βιάστηκα μεν να σχολιάσω, γιατί θυμήθηκα post προηγουμένων ημερών που έλεγε "Λευτεριά στα παιδιά του Lecpetex" και εν πολλοίς τους ανήγαγε σε ήρωες που κατάφεραν να δείξουν την ευπάθεια του FB. Τα στοιχεία όμως, που πολύ σωστά εκθέτετε, δείχνουν ότι μάλλον ήταν καιροσκόποι με σκοπό το όφελος. Το άρθρο βέβαια του iguru.gr εκφράζει άποψη, λανθασμένη κατά την γνώμη μου ("το συμπέρασμα δικό μου" βέβαια αλλά, αυτά διαβάζω, αυτά καταλαβαίνω) καθώς προσπαθεί να δημιουργήσει εντυπώσεις υπέρ των "παληκαριών" ενώ ο κάθε χρήστης μάλλον μπήκε σε κίνδυνο υποκλοπής ή και κλοπής.
LucasKaimaras φυσικά και δεν συμφωνούμε με οποιεσδήποτε κακόβουλες ενέργειες αν ρωτάτε την άποψη μας, οπότε δεν είναι "ΟΚ".
Οι πληροφορία που αναφέρει ότι σε "κανένα σημείο δεν αναφέρετε ότι επιτεύχθηκε οικονομικό όφελος από την χρήση του λογισμικού" δημοσιεύτηκε από το φιλικά προσκείμενο iguru.gr. Μπορεί το ρεπορτάζ τους να έδειξε κάτι τέτοιο. Η αστυνομία φυσικά αναφέρει μια άλλη άποψη. Μπορείτε να διαβάσετε την ανακοίνωση σε pdf που αναφέρει πολλά επιπλέον στοιχεία. http://www.astynomia.gr/images/stories/2014/proki…
Αν καταλαβαίνω σωστά, θεωρείτε Οκ το γεγονός ότι το “Lecpetex δεν έπληξε την υποδομή του Facebook αλλά τα τερματικά των χρηστών”; Επίσης το αγγλικό κείμενο λέει για ξέπλυμα κλεμμένων Bitcoin ενώ εσείς σχολιάζετε ότι "Σε κανένα σημείο δεν αναφέρετε ότι επιτεύχθηκε οικονομικό όφελος από την χρήση του λογισμικού." Μήπως παρανοώ κάτι;