ScusiBlog

background emmission of scusi.

Weltweite FinSpy CC Server Veröffentlicht | Update

Updates am Ende des Artikels

Heute wurde eine neue FinSpy Analyse veröffentlicht, die auch diverse Command & Control Server in verschiedenen Ländern beinhaltet.

Die nebenstehende Karte zeigt die Standorte der Server. Auf das Bild klicken um die Karte auf google maps zu öffnen

Im folgenden eine Liste der Server, deren IPs und die Länder in denen die Server beheimatet sind::

  • 112.78.143.26 (Indonesia)
  • 121.215.253.151 (Australia)
  • 78.100.57.165 (Qatar)
  • 213.55.99.74 (Ethiopia)
  • 94.112.255.116 (Czech Republic)
  • 213.168.28.91 (Estonia)
  • 54.248.2.220 (USA)
  • 202.179.31.227 (Mongolia)
  • 80.95.253.44 (Czech Republic)
  • 81.198.83.44 (Latvia)
  • 86.97.255.50 (Dubai, UAE)

Bis auf den Server in Litauen (Latvia) reagieren die oben genannten Server nicht mehr mit der typischen Meldung “Hallo Steffi” auf eine HTTP HEAD Anfrage wie im folgenden dokumentiert.

1
2
3
4
5
HTTP/1.1 200 OK
Content-Type: text/html; charset=UTF-8
Content-Length:12

Hallo Steffi

Gamma, der Hersteller der staatlichen Überwachungssoftware namens FinFisher, behauptet das seien nicht ihre Server, ich glaube ihnen kein Wort.

Die Analyse zeigt noch einige andere Interessante Details .Hier eine Liste der durch die Malware manipulierten Systemaufrufe.

ntdll.dll!NtDeviceIoControlFile
ntdll.dll!NtEnumerateKey
ntdll.dll!NtEnumerateValueKey
ntdll.dll!NtQueryDirectoryFile
ntdll.dll!NtQueryKey
ntdll.dll!NtQuerySystemInformation
kernel32.dll!CreateFileW
kernel32.dll!CreateProcessInternalW
kernel32.dll!MoveFileW
kernel32.dll!DeleteFileW
kernel32.dll!MoveFileExW
USER32.dll!PostMessageW
USER32.dll!GetMessageW
USER32.dll!PeekMessageW
USER32.dll!GetMessageA
USER32.dll!SendMessageW
USER32.dll!PeekMessageA
USER32.dll!PostMessageA
GDI32.dll!GetDeviceCaps
GDI32.dll!DeleteDC
GDI32.dll!CreateDCA
GDI32.dll!CreateDCW
GDI32.dll!DPtoLP
GDI32.dll!Escape
GDI32.dll!ResetDCW
GDI32.dll!EndPage
GDI32.dll!EndDoc
GDI32.dll!StartPage
GDI32.dll!ResetDCA
GDI32.dll!SetAbortProc
GDI32.dll!StartDocW
GDI32.dll!StartDocA
ADVAPI32.dll!OpenTraceA
ADVAPI32.dll!OpenTraceW

Die folgenden Signaturen für das Intrusion detection system Snort können helfen FinFisher Infektionen im eigenen Netz aufzuspüren. Allerdings muss man davon ausgehen dass Gamma seine Software entsprechend verändern wird, um in Zukunft nicht erkannt zu werden.

alert tcp any any -> any any (msg:"FinFisher Malware Connection Initialization"; \
content:"|0c 00 00 00 40 01 73 00|"; offset:0; depth:8; sid:1000001; rev:1;) \
alert tcp any any -> any any (msg:"FinFisher Malware Connection Handshake"; \
content:"|5c 00 00 00 a0 02 72 00 0c 00 00 00 40 04 fe 00|"; \
offset:0; depth:16; sid:1000002; rev:1;)

Für weitere Infos lest einfach die neue Analyse.

Update | Do 9 Aug 2012 17:38:08 CEST

Es gibt verbesserte Snort Signaturen für FinFischer:

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"FinFisher Malware Connection \
Initialization"; flow:to_server,established; content:"|0c 00 00 00 40 01 73 00|"; \
depth:8; sid:1000001; rev:1; classtype:trojan-activity; \
reference:url,community.rapid7.com/community/infosec/blog/2012/08/08/finfisher;)

alert tcp $HOME_NET any -> $EXTERNAL_NET any (msg:"FinFisher Malware Connection \
Handshake"; flow:to_server,established; \
content:"|5c 00 00 00 a0 02 72 00 0c 00 00 00 40 04 fe 00|"; depth:16; \
sid:1000002; rev:1; classtype:trojan-activity; \
reference:url,community.rapid7.com/community/infosec/blog/2012/08/08/finfisher;)

Auf https://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher gibt es noch ein zweites Update und auch einen interessanten Kommentar eines Nutzers, der die entsprechenden CC-Server in passiveDNS Systemen nachgeschlagen hat. Sein Kommentar:

Digging around with some passive DNS, you can find that ic3545.com was resolving to 121.215.253.151 between 2011-04-02 and 2011-04-17 (with 922 requests seen), and to 124.178.225.178 the 2010-11-22 (with 2 requests seen). No other IP you discovered yield something interesting from passive DNS.

Demnach hat die Domain ic3545.com zwischen dem 02.04.2011 und dem 17.04.2011 auf die IP des FinSpy CC-Server (oder proxy) aufgelöst. In diesem Zeitraum gab es 922 requests (welche an der passiven DNS-Falle vorbei gekommen sind.

Die Domain ic3545.com ist auf eine Firma in den USA registriert die DNS und Email Dienstleistungen anbietet, siehe http://dyn.com/

Dyn Inc
c/o ic3545.com
816 Elm Street
Box 606
Manchester, NH 03101
US
+1.6037124016