Dettaglio News Dettaglio News

Analisi di Rozena "fileless"
05/07/2018
I ricercatori G Data hanno rilevato ed analizzato un sample, denominato "Rozena", che sfrutta impropriamente gli strumenti messi a disposizione dal sistema operativo Windows per compiere azioni malevole. Nello specifico il sample in questione utilizza PowerShell per compromettere il sistema della vittima e aprire una backdoor per consentirne la gestione remota.

Analisi del malware

Rozena è un file PE che si presenta con icona di MS Word, un modo semplice per ingannare l'utente facendo credere di avere a che fare con un documento Word piuttosto che con un file eseguibile.

Cliccando sul file la prima azione intrapresa dall'eseguibile è quella di individuare la cartella TEMP sul sistema e scriverci un file denominato "Hi6kI7hcxZwU".


La chiamata successiva avvia un ciclo che si occupa di estrarre le informazioni che andranno a popolare il contenuto del file (binario) nella cartella "Temp".



Completato questo processo, la fase successiva prevede l'interpretazione delle informazioni ed il caricamento in memoria di uno script PowerShell con i relativi parametri seguiti da codice meticolosamente offuscato.


Saranno i parametri utilizzati da PowerShell ad occuparsi di interpretare il contenuto della query tramite apposite funzioni come Join, Split e Convert.

Il malware esegue la query PowerShell caricata in memoria per stabilire una connessione con il server remoto all'indirizzo 18.231.121.185 sulla porta 443.

Al momento il server non risulta raggiungibile, i ricercatori G Data hanno simulato l'ambiente remoto con una macchina Kali Linux con a bordo Metasploit Framework, scoprendo così che il malware si interfaccia correttamente con Meterpreter per ricevere file o specifici comandi.

In fine una chiamata a MessageBoxA viene utilizzata per mostrare all'utente il seguente messaggio di errore.


Indicatori di Compromissione

  • Rozena.exe: c23d6700e93903d05079ca1ea4c1e36151cdba4c5518750dc604829c0d7b80a7
  • Hi6kI7hcxZwU: fc1314249046f75bdf7a38f57979b900c031f6553cd1a2f028b6fb5a2b520b21
      • d906dc14dae9f23878da980aa0a3108c52fc3685cb746702593dfa881c23d13f
  • Remote IP: 18.231.121.185:443