email avec piece jointe .pdf.zip

Sur tout ce qui concerne la sécurité des réseaux et systèmes avec leur protection et comment les contourner.

email avec piece jointe .pdf.zip

Messagepar HappyMan » 13 Janvier 2015, 23:02

Salut les foromeux,

Tous mes voeux pour cette nouvelle année.

Dans ma boite nous avons tous reçus (plusieurs milliers de users) des emails provenant de nos serveurs exchange, avec une pièce jointe ouvremoi.pdf.zip de 11ko.
Par curiosité j'aurai bien jeter un oeil dessus. Mes connaissances dans le domaine des malwares se limitent à mettre à jour mes anti virus.

Je sais qu'il existe des exploits javascript sur les pdf mais je ne sais pas si cela existe sur les ZIP.
Quel risque si je unzip ce pdf ?

sur virustotal il ressort 19/50
Code: Tout sélectionner
Ad-Aware   Trojan.Agent.BHEX   20150113
Baidu-International   Adware.Win32.iBryte.CVDZ   20150113
BitDefender   Trojan.Agent.BHEX   20150113
Comodo   Heur.Dual.Extensions   20150113
ESET-NOD32   a variant of Win32/Kryptik.CVDZ   20150113
Emsisoft   Trojan.Agent.BHEX (B)   20150113
F-Prot   W32/Heuristic-300!Eldorado   20150113
F-Secure   Trojan.Agent.BHEX   20150113
GData   Trojan.Agent.BHEX   20150113
Ikarus   Trojan-Downloader.Win32.Upatre   20150113
K7AntiVirus   Trojan ( 7000000c1 )   20150113
Malwarebytes   Trojan.Email.FakeDoc   20150113
MicroWorld-eScan   Trojan.Agent.BHEX   20150113
Microsoft   TrojanDownloader:Win32/Upatre   20150113
Norman   Upatre.EP   20150113
Qihoo-360   HEUR/QVM20.1.Malware.Gen   20150113
Sophos   Troj/Bredo-AJR   20150113
Symantec   Downloader.Upatre   20150113
TheHacker   W32/Generic!zip-dobleextension   20150112


je pensais le déziper et le passer sur des tools comme PDF Stream dumper

edit:
En regardant le fichier avec un editeur hexa je vois la chaine suivante : ouvremoi.pdf.scr
Plus la peine de chercher a le déziper pour le passer sous pdf stream dumper.

HM
Dernière édition par HappyMan le 13 Janvier 2015, 23:24, édité 1 fois.
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: email avec piece jointe .pdf.zip

Messagepar Todd » 13 Janvier 2015, 23:21

Salut,

Les risques sont les mêmes que d'habitude... :roll:
Peux-tu nous le prêter ? :mrgreen: Quelqu'un aura bien 5min pour y regarder !? :wink:

Todd
Avatar de l’utilisateur
Todd
Modérateur
Modérateur
 
Messages: 1795
Inscription: 19 Avril 2009, 12:11

Re: email avec piece jointe .pdf.zip

Messagepar HappyMan » 13 Janvier 2015, 23:43

Et voici pour les curieux.
hxxps://mon-partage.fr/f/IJP8Ta0T/
C'est un fichier scr zippé
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: email avec piece jointe .pdf.zip

Messagepar Horgh » 14 Janvier 2015, 00:27

Un grand classique, Upatre + Dyre en payload

/1301us22/PCNAME/0/51-SP3/0/ <- ping classique upatre.

C&C : 202.153.35.133

payload :

eltenfootwear.com/mandoc/lit22.pdf
alnudrah.com/mandoc/lit22.pdf

C'est un exe déchiffré par upatre.

Dyre + unpacked : hxxp://www31.zippyshare.com/v/aWK5Z83m/file.html pwd : infected

Edit : hxxp://blogs.technet.com/b/mmpc/archive ... dyzap.aspx
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24

Re: email avec piece jointe .pdf.zip

Messagepar HappyMan » 14 Janvier 2015, 07:36

Merci Horgh pour ces infos.

Si j'essaye de vulgariser ça pour les néophytes (et savoir si j'ai bien tout compris) on pourrait dire:

le fichier scr contient une merdouille du nom de upatre, que l'on identifie grâce à cette trace: /1301us22/PCNAME/0/51-SP3/0/

Ce upatre une fois installé, tente de télécharger: eltenfootwear.com/mandoc/lit22.pdf ou alnudrah.com/mandoc/lit22.pdf ce sont des exe cryptés que upatre est chargé de déchiffrer.

Cet exe n'est autre qu'un trojan appelé Dyre qui comme son copain dyzap se charge de récupérer les certificats de sécurité bancaire de l'hôte.

Adresse du serveur command and control: 202.153.35.153

HM
Qui rira n'amasse pas mousse.
A la saint Barnabé on fait la chasse au boulet.
A la saint Alban la misère s'abat sur le gland.
Avatar de l’utilisateur
HappyMan
Mega Crackeur !
Mega Crackeur !
 
Messages: 296
Inscription: 21 Novembre 2006, 11:43
Localisation: Paris

Re: email avec piece jointe .pdf.zip

Messagepar Horgh » 14 Janvier 2015, 15:40

Dyre = dyreza = dyzap

Chaque éditeur à sa dénomination histoire de changer. D'ailleurs j'ai vu passer un post sur reddit (/r/malware) ou quelqu'un avait chopé le même sample.
Avatar de l’utilisateur
Horgh
Maître des ténèbres
Maître des ténèbres
 
Messages: 526
Inscription: 21 Janvier 2010, 16:24


Retourner vers Sécurité informatique

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités