Tuesday, 10 May 2016

Rover

Intro

Το Rover ειναι ενα καινουργιο malware που εχει ως στοχο χωρες οπως Αφγανισταν και Ινδια(Για παραδεγειμα διπλωματη στην Ινδια).
Το συγκεκριμενο malware  διαδιδεται μεσω email, χρησιμοποιοντας ενα exploit για το word (CVE-2010-3333).Αφου γινει execute, o dropper θα κατεβασει το malware μαζι με ορισμενα DLLs που ειναι απαραιτητα ωστε να ξεκινησει.

File Details

File Name: WindowsSecurityService2.exe
SHA-256: 7757517ae6b4d513a57826f9ab65bd070d99d25ac526cfae3e9955c3c7cd457a

Rover

Αρχικα, το Rover θα δημιουργησει ενα registry key προκειμενουν να αποκτησει persistence(Εικονα 1 και 2)
Εικονα 1

Εικονα 2












Επειτα θα δημιουργησει ενα directory, στο οποιο θα κανει store logs, audio files,screenshots(Εικονα 3).
Εικονα 3












Για να επικοινωνησει με τον C&C server χρησιμοποιει την curl βιβλιοθηκη. Αν δεν μπορει να επικοινωνησει με τον server, τοτε σταματαει η εκτελεση(Εικονα 4)
Εικονα 4
.











Στην εικονα 5 φαινεται το audio recording που γινεται
Εικονα 5













Το rover εχει και μια παραπανω λειτουργια. Σκαναρει για αρχεια που θεωρει σημαντικα,και επειτα τα στελνει στον server. Στην εικονα 6 φαινεται η λουπα και μερικα απο τα extensions που θα ψαξει.
Εικονα 6










Στην εικονα 7 φαινεται ενα απο τα request που στελνει στον server, το οποιο περιεχει ονομα του υπολογιστη, τι operating system εχει κτλ.

Εικονα 7










Ενα ακομη option που εχει ειναι το keylogging οπου τα keystrokes αποθηκευονται ως log.txt (Εικονα 8)

Εικονα 8












Τελος, θα αποθηκευσει και θα στειλει μια φωτογραφια απο τον υπολογιστη του χρηστη στον server (Εικονα 9)


Εικονα 9