H1N1 Loader

O malware H1N1 foi detectado pela primeira vez em liberdade como um carregador simples - ele tinha a tarefa de entregar outras ameaças de malware mais complexas ao computador já comprometido. No entanto, ele passou por uma evolução rápida, com os hackers por trás dele equipando a ameaça com várias funções ameaçadoras, como técnicas de ofuscação para impedir qualquer tentativa de análise, função de bypass do Controle de Conta de Usuário, coleta de dados e autopropagação na rede infiltrada. Claro, as funções do carregador ainda foram mantidas intactas.

O H1N1 foi entregue ao sistema de destino por meio de documentos do MS Word que contêm macros VBA corrompidas. Para ocultar o verdadeiro propósito da macro, ofuscação pesada, o uso das funções de string StrReverse, Ucase, Lcase, Right, Mid e Left é colocado em prática. Os documentos envenenados usam táticas de engenharia social para convencer o usuário a executar a macro corrompida, mostrando um bloco embaralhado acompanhado da mensagem - 'Habilite o conteúdo para ajustar este documento à sua versão do Microsoft Word.' O objetivo final da macro é eliminar um arquivo executável H1N1 para% temp% e, em seguida, executá-lo.

O próprio H1N1 emprega duas técnicas de anti-detecção e análise - ofuscação de string e ofuscação de importação por meio de hashing de importação. A ofuscação de string é obtida por meio do uso de SUB, XOR e ADD com valores DWORD fixos. Quando cada operação é resolvida, ela é usada como entrada para a próxima.

Para contornar o Controle de Conta de Usuário (UAC) dos sistemas Windows, o H1N1 explorou uma vulnerabilidade de sequestro de DLL. Ele forçou o instalador autônomo do Windows Update (wusa.exe) a executar um arquivo DLL corrompido como um processo de alta integridade sem obter uma resposta do UAC. Outra ferramenta anexada ao H1N1 foi uma função de eliminação de processo. A ameaça tem uma lista interna de processos e, se uma correspondência for detectada no sistema comprometido, ela será eliminada por meio do comando 'cmd.exe/c net stop [Nome do serviço] '. O processo também é impedido de ser iniciado em qualquer inicialização do sistema subsequente por meio de 'cmd.exe/c sc config[Nome do serviço] start=disabled.' A lista do H1N1 consistia em 5 processos, sendo quatro deles:

• MpsSvc - Serviço de Firewall do Windows
• wscsvc - Windows Security Center Service
• WinDefend - Serviço Windows Defender
• wuauserv - Serviço de atualização do Windows.

Um aspecto bastante peculiar do H1N1 era sua capacidade de excluir backups do sistema. Essa funcionalidade é comumente usada por ameaças de ransomware, mas raramente é evocada em outros tipos de malware. Nesse caso, as Cópias de Volume de Sombra dos arquivos são excluídas por meio de 'vssadmin.exe delete shadow/quiet/all', enquanto as opções de recuperação padrão do Windows foram desabilitadas executando comandos bcdedit.

A mudança mais drástica de comportamento, entretanto, foi a transição do H1N1 de um malware de carregamento para se tornar uma ameaça potente de exfiltração de dados principalmente. O carregador H1N1 pode extrair dados de informações de login do Firefox. Ele procurou o arquivo de dados de login 'logins.json' em todos os perfis do sistema e exfiltrou os valores que correspondiam às chaves 'encryptionUsername,' 'encryptionPassword' e 'hostname'. Para obter acesso às credenciais de login do Internet Explorer, a ameaça primeiro enumerou o cache de URL, fez o hash dos URLs e tentou combiná-los com os valores armazenados em - HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook and HKLM\Software\Microsoft\Office\15.0\Outlook\Profiles\Outlook.

O H1N1 Loader é um exemplo perfeito de como, por meio da iteração e do desenvolvimento constante, mesmo ameaças não tão sofisticadas podem se tornar partes potentes dos kits de ferramentas dos cibercriminosos.