Ciekawy atak z wykorzystaniem procesu FCIV.exe

12 lipca, 2019

Działania cyberprzestępców nie są w żaden sposób ograniczone technologicznie. Jest tylko kwestią czasu kiedy zaprezentują nowy sposób na dostarczenie złośliwego oprogramowania na urządzenia pracowników. Często wybierają najprostsze metody. Niekiedy jednak mogą skorzystać z czyjejś pracy i zaskoczyć nowym wektorem ataku.

Aplikacja FCIV.exe (File Checksum Integrity Verifier) to małe narzędzie firmy Microsoft, które pozwala obliczać sumę kontrolną pliku, którą da się wyrazić w postaci MD5 i SHA1. Działa niemal w dowolnym systemie operacyjnym: Windows 10, 8, 7, Vista, XP, 2000. Narzędzie posiada podpis cyfrowy Microsoftu, dlatego po skopiowaniu programu do „C:Windows” może być uruchomione z wiersza poleceń bez podawania ścieżki docelowej do pliku EXE. Podobnych programów używa się do sprawdzania integralności plików, a także podczas analizy złośliwego oprogramowania.

Pierwsze uruchomienie FCIV.exe

Narzędzie można pobrać z tej strony. Trzeba je uruchomić. Wypakować do wskazanego folderu i uruchomić z wiersza poleceń plik fciv.exe. Na przykład:

fciv.exe FileZilla_3.43.0_win64-setup.exe

Albo bardziej skomplikowanie — hashujemy wszystkie pliki EXE we wskazanej lokalizacji:

fciv.exe c:UserstestDownloads -type *.exe

//
// File Checksum Integrity Verifier version 2.05.
//

e2c6d562bd35352b73c00a744e9c07c6 c:userstestdownloadsfciv.exe

cf5e742163ec145b989cf3691374b852 c:userstestdownloadsFileZilla_3.43.0_win64-setup.exe

58dc4df814685a165f58037499c89e76 c:userstestdownloadsWindows-KB841290-x86-ENU.exe

Poniższym poleceniem można stworzyć plik XML zawierający zbiór sum kontrolnych dla sprawdzanych plików:

fciv.exe c:UserstestDownloads -xml baza.xml

//
// File Checksum Integrity Verifier version 2.05.
//

Error loading XML document.

Create New XML database

W docelowym folderze utworzono plik XML zawierający sumy kontrolne wszystkich plików.

Wszystkie pozostałe polecenia są dostępne po wpisaniu parametru „fciv.exe –help”, dlatego nie będziemy przytaczać więcej przykładów.

Niezależnie od tego czy jest to złośliwa albo aplikacja natywna, w systemie operacyjnym dzieją się rzeczy, które są ukryte dla użytkownika. Można je zaobserwować uruchamiając np. narzędzie Process Moniotor. Jest to świetny program do dynamicznej analizy podejrzanych plików oraz sprawdzania co dzieje się w systemie w czasie rzeczywistym.

Proces Monitor ujawnia, że fciv.exe korzysta z bibliotek CRYPTSP.dll i USERENV.dll.

Wiemy już, że fciv.exe korzysta m.in. z bibliotek „CRYPTSP.dll” i „USERENV.dll” podczas tworzenia kryptograficznego skrótu MD5 albo SHA1. To jest zupełnie normalne. Jeśli przygotujemy złośliwe oprogramowanie i nazwiemy je tak samo jak jedna z bibliotek, a następnie umieścimy ją w tym samym folderze co narzędzie fciv.exe, to spreparowany plik DLL z niebezpiecznym kodem zostanie uruchomiony.

Ten sposób nie działa w Windows 10, natomiast w Windows 7 bez problemu można uruchomić złośliwy kod. Po pomyślnym odpaleniu narzędzia FCIV użytkownik otrzyma błąd, taki sam jak przedstawiony na poniższym zrzucie ekranu. Ofiara nie ma już kontroli nad tym co wykonuje aplikacja FCIV.

Process Monitor w Windows 7 pokazuje, że biblioteka DLL o nazwie CRYPTSP.dll została załadowana, ale z lokalizacji zupełnie innej.

Okazuje się, chociaż program zwraca w konsoli błąd, to dodatkowo biblioteka CRYPTSP.dll jest uruchamiana z tej samej lokalizacji, w której znajduje się plik fciv.exe. Stwarza to pole do nadużycia. Przestępcy mogą wykorzystać to do przygotowania droppera pobierającego FCIV.exe do systemu. Jest to plik podpisany przez firmę Microsoft, dlatego może być potraktowany jako bezpieczny przez oprogramowanie antywirusowe. Następnie trzeba przygotować i dostarczyć złośliwą bibliotekę DLL. W kierowanym ataku na organizację można kupić własny certyfikat. Taki atak będzie jeszcze trudniejszy do wykrycia.

Zespoły odpowiedzialne za bezpieczeństwo powinny zwrócić uwagę na proces FCIV.exe. Jeżeli w organizacji monitoruje się i sprawdza integralność plików za pomocą np. najnowszego Sysmon, trzeba aplikację ficv.exe dodać do obserwowanych.

Jeżeli artykuł czytają pracownicy firm antywirusowych — albo dystrybutorów, którzy często bezpośrednio współpracują z producentami — powinni zwrócić uwagę na proces FCIV.exe, który nie może mieć pełnych uprawnień, pomimo że jest aplikacją zaufaną.

Poniżej załączamy dodatkową listę procesów, z których najczęściej korzysta złośliwe oprogramowanie. Warto zwrócić uwagę na co najmniej kilka z nich:

appsyncvpublishing.exe
CertUtil.exe
cmd.exe
conhost.exe
control.exe
contsent.exe
csc.exe
cscript.exe
forfiles.exe
iexplore.exe
msbuild.exe
mshta.exe
msiexec.exe
net1.exe
ping.exe
powershell.exe
reg.exe
Regsvr32.exe
rundll32.exe
sc.exe
schtasks.exe
scrcons.exe
svchost.exe
taskhost.exe
tor.exe
vssadmin.exe
winrm.exe
wmic.exe
wmiprvse.exe
wscript.exe
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]