02.png

Nossa rede de monitoramento e detecção de ameaças através de honeypot, constatou nesta semana um grande volume de trafego com características de ataques via SMB, ao que tudo indica se trata de uma campanha ativa de GhostRAT, contendo mineração de BitCoin e SMB Worm.

O malware GhostRAT, bastante conhecido na categoria trojan de acesso remoto (RAT), tem como principal objetivo controlar remotamente sistemas operacionais infectados e manter-se no alvo por longo período sem que seja detectado.

img01.png

(Detecção de ameaças durante o período)

Em nossa análise através do sample md5: 685bc2af410d86a742b59b96d116a7d9, identificamos que o artefato possui uma função anti-debugging em seu código chamada “IsDebuggerPresent”, com a finalidade de interromper a execução do código malicioso ao detectar a presença de softwares de depuração.
 

Maiores informações no seguinte link:

https://docs.microsoft.com/en-us/windows/win32/api/debugapi/nf-debugapi-isdebuggerpresent.

img03.png

(Proteção Anti-debugging)

Ao analisar em nossa sandbox (https://sandbox.opencti.net.br/analysis/6075/summary), identificamos que o sample também possui comportamentos de dropper e desta forma realiza o download dos seguintes artefatos:

 

img04.png

(artefato 86.exe)

  • File: 86.exe

  • MD5: 21b02cf0b40a7dc842ba1f03556de040

  • SHA1: 86247791c3be04600f57f03d8b5c755651393c10

  • SHA256: 6c21d7282b93acb82d8931c5f8887365310b2f3d53d90aa9acc1e79f28980647

  • SHA512: f66c4ce77daa0d24ed97718015e811820bfde6e0f5759f07eb7033fa6c336189fc1c2e07ab7e68d23757718589c8bbaac17bf019692a8a1a2bcb05014eaddf21

  • IMPHASH: 7e3107c64f6a7a76d8463e3f374f74af

  • Hostname: dllhost.website (117.52.82.194)

  • IP_Dst: 117.52.82.194

  • IP_Port DST: 117.52.82.194:8099

img05.png

(artefato iexplore.exe)

 

 

  • File: iexplore.exe

  • MD5: 07eb2ff68044f7d3795f3eea7f25b6af

  • SHA1: 408a7345b81373b71d09afc9423c7a0cd6ff4db6

  • SHA256: a5817d0e553b0246e46ac24f15820de0523c69eaa3324631cdd257a75c671be6

  • SHA512:  0b8883a307a5398177c0aff3e14e3f43b0aa5d3aac86d30626967edecb89d91549cd9f9a4618f75539f16da16687c77ce49d5f1c467967a387359e71864e6549

  • IMPHASH: f61687272ede04042da2ed03fc12db7b

  • Hostname: a.ccmd.website (121.125.72.169)

  • IP_Port: 121.125.72.169:1188

  • Hostname: b.ccmd.website (58.211.172.134, 219.153.48.112, 151.106.6.34)

  • IP_Port: 58.211.172.134:1166

  • IP_Port: 219.153.48.112:1166

  • IP_Port: 151.106.6.34:1166

img06.png

(artefato: c64.exe)

  • File: c64.exe

  • MD5: d071887d9e9af01d3ee009dffe1be16d

  • SHA1: 140edb4850081d890fa7267efe002129ff2c5067

  • SHA256: 044d234d96ba4d2c8d6b75dce9f3b778137708ed2fd39edfab8711d3431f8763

  • SHA512: 2dda346899ad643efb00ab2a820261ac9215ae8758189a105cf3ee8deeff8d2891e3b8183f746a7b85d8fba55b2096312008164b6ab9ec3069edfe500f2a708f

  • IMPHASH: de1fa96ad5bc81910ffb7ed552e29d0d

Indicadores de Comprometimento (IOC)

  • MD5: 685bc2af410d86a742b59b96d116a7d9

  • SHA1: 17c237b3bd6b63effa1c309c91f7203300eb07e2

  • SHA256: 56dededa09c602a20079ec6aa5b5be0cab897c92f2b5ad98c9d9c1f401b13fd7

  • SHA512:0655726cdf4715a45f4c894235424a5b6a3c49e5d020712511a54115c849a09380380705682ed8d0aa4b5b597f08414915181336a2155d355b985bbaeba3cab2

  • IMPHASH: f9b3cce3de2e9e78aa0cd0519c7ab711

  • Hostname: 2.indexsinas.me

  • URL: http://2.indexsinas.me:811/86.exe

  • URL: http://2.indexsinas.me:811/iexplore.exe

  • URL: http://2.indexsinas.me:811/c64.exe
  • IP DST: 211.255.17.17

  • IP DST: 185.85.237.210

  • IP DST: 1.234.209.2

  • IP DST Port: 211.255.17.17:811

  • IP DST Port: 185.85.237.210:811

  • IP DST Port: 1.234.209.2:811

Pulsedive%2520with%2520Name_edited_edite

Apoiadores