How to install Volatility on Mac OS X (Version 10.8.4)

## Requirements ##
1.) Installing Xcode
Install Xcode from the Mac App Store.
Launch Xcode and agree to the Xcode License Agreement. Go to ‘Xcode’ –> ‘Preferences…’

Xcode Click on the ‘Downloads’ preferences panel, and you’ll see Command Line Tools in the ‘Components’ tab.
Click the ‘Install’ button to install the Command Line Tools.

2.) Installing Homebrew
$ ruby -e "$(curl -fsSL https://raw.github.com/mxcl/homebrew/go)"
$ brew doctor
3.) Installing XQuartz

http://xquartz.macosforge.org/landing/

Download: http://xquartz.macosforge.org/downloads/SL/XQuartz-2.7.4.dmg
Install XQuartz
4.) Installing Wine with Homebrew
$ brew install wine
Note: Keeping Wine up-to-date:
$ brew update && brew upgrade
5.) Installing Wget with Homebrew
$ brew install wget
6.) Installing pcre with Homebrew
$ brew install pcre
7.) Installing pip
$ sudo easy_install pip

## Recommended packages ##
Note: Change ownership of ‘opt’ directory to your user account:
$ sudo chown -R [USERNAME] /opt --> sudo chown -R evild3ad /opt
8.) Installing Distorm3
$ cd /opt/
$ wget http://distorm.googlecode.com/files/distorm-package3.1.zip
$ unzip distorm-package3.1.zip
$ rm distorm-package3.1.zip
$ cd /opt/distorm3
$ python setup.py build
$ sudo python setup.py install
9.) Installing Yara
$ cd /opt/
$ wget http://yara-project.googlecode.com/files/yara-1.7.tar.gz
$ tar xvzf yara-1.7.tar.gz
$ rm yara-1.7.tar.gz
$ mv yara-1.7 yara
$ cd /opt/yara
$ ./configure
$ make
$ sudo make install
10.) Installing Yara-Python
$ cd /opt/
$ wget http://yara-project.googlecode.com/files/yara-python-1.7.tar.gz
$ tar xvzf yara-python-1.7.tar.gz
$ rm yara-python-1.7.tar.gz
$ mv yara-python-1.7 yara-python
$ cd /opt/yara-python
$ python setup.py build
$ sudo python setup.py install
Test by running python shell:
$ python
>>> import yara
>>>
11.) Installing PyCrypto
$ cd /opt/
$ wget https://pypi.python.org/packages/source/p/pycrypto/pycrypto-2.6.tar.gz
$ tar xvzf pycrypto-2.6.tar.gz
$ rm pycrypto-2.6.tar.gz
$ mv pycrypto-2.6 pycrypto
$ cd /opt/pycrypto
$ python setup.py build
$ sudo python setup.py install
12.) Installing PIL – Python Imaging Library
$ sudo pip install PIL
13.) Installing OpenPyxl
$ sudo pip install openpyxl
14.) Installing Graphviz
$ brew install libtool (not necessary if you have already installed Wine)
www.graphviz.org/Download_macos.php
Download: www.graphviz.org/pub/graphviz/stable/macos/mountainlion/graphviz-2.32.0.pkg
Install Graphviz
Usage:
# ./vol.py psscan -f /opt/memory-samples/Shylock.vmem --output=dot --output-file=psscan.dot
# dot -Tpng psscan.dot -o psscan.png

## Optional packages ##
15.) Installing pytz
$ cd/opt/
$ wget http://downloads.sourceforge.net/pytz/pytz/2006p/pytz-2006p.zip
$ unzip pytz-2006p.zip
$ rm pytz-2006p.zip
$ mv pytz-2006p pytz
$ cd /opt/pytz
$ python setup.py build
$ sudo python setup.py install
16.) IPython
Installing Anaconda:
$ cd ~/Downloads
$ wget http://09c8d0b2229f813c1b93-c95ac804525aac4b6dba79b00b39d1d3.r79.cf1.rackcdn.com/Anaconda-1.6.1-MacOSX-x86_64.sh
$ bash <downloaded file> --> $ bash Anaconda-1.6.1-MacOSX-x86_64.sh
Installing IPython:
$ conda update conda
$ conda update ipython
17.) pyxpress
$ cd/opt/
$ mkdir pyxpress
$ cd /opt/pyxpress
$ wget http://volatility.googlecode.com/svn/branches/scudette/contrib/pyxpress/README
$ wget http://volatility.googlecode.com/svn/branches/scudette/contrib/pyxpress/pyxpress.c
$ wget http://volatility.googlecode.com/svn-history/r1609/branches/scudette/contrib/pyxpress/setup.py
$ python setup.py build
$ sudo python setup.py install
18.) libforensic1394
$ cd /opt/
$ git clone git://git.freddie.witherden.org/forensic1394.git
$ cd forensic1394
www.cmake.org/cmake/resources/software.html
Download: www.cmake.org/files/v2.8/cmake-2.8.11.2-Darwin64-universal.dmg
Install CMake
$ cmake CMakeLists.txt
$ sudo make install
$ cd python
$ sudo python setup.py install
19.) Sysinternals Strings
$ cd /opt/
$ mkdir Tools
$ cd /opt/Tools
$ wget http://download.sysinternals.com/files/Strings.zip
$ unzip Strings.zip
$ rm Strings.zip && rm Eula.txt
Usage:
$ cd /opt/Tools
$ wine strings.exe -q -o /opt/memory-samples/zeus.vmem > /opt/zeus-analysis/strings/sysinternals_strings_complete.txt
$ cd /opt/Volatility
$ ./vol.py --profile=Win7SP1x86 strings -f /opt/memory-samples/zeus.vmem -s /opt/zeus-analysis/strings/sysinternals_strings_complete.txt --output-file=/opt/zeus-analysis/strings/vol_strings_complete.txt
$ less /opt/zeus-analysis/strings/vol_strings_complete.txt

Volatility (Code Repository)

## Volatility ##
20.) Installing Volatility 2.3_beta
$ cd /opt/
$ sudo svn checkout http://volatility.googlecode.com/svn/trunk Volatility
$ cd /opt/Volatility
$ sudo chmod +x vol.py
21.) Go into your Volatility directory and check your supported plugin commands
$ cd /opt/Volatility
$ ./vol.py -h
Note: To update your repository you can run the following command from inside the trunk directory:
$ cd /opt/Volatility
$ sudo svn update

Links:
Basic Usage for Volatility 2.3
Command Reference for Volatility 2.3
Cheat Sheet v2.3
Community Docs
Memory Samples

Posted in English, Mac OS X, Malware Forensics, Memory Forensics, Volatility | 1 Comment

BKA-Trojaner: Ihr Internet Service Provider ist blockiert

Der BKA-Trojaner ist zurück!Revoyem DE 2013-05

Seit Mitte März wird die neue Ransomware-Familie Revoyem via Drive-By-Downloads auch in Deutschland verteilt.

Sobald die Ransomware ein System befallen hat, wird der Computer gesperrt und es erfolgt eine bildschirmfüllende Einblendung mit einem angeblichen Logo des deutschen Bundeskriminalamtes (Pressestelle). Die bildschirmfüllende Einblendung beinhaltet, neben einem funktionierenden Webcam-Fenster, vier Bilder mit kinderpornografischem Inhalt, die auch auf den Opfer-Rechner heruntergeladen werden. In der Einblendung wird dem Opfer mit einer entsprechenden Strafe gedroht, wenn nicht ein Lösegeld in Höhe von 100 Euro via Ukash oder Paysafecard bezahlt wird.

Revoyem
Hinweis: Das Bundeskriminalamt ist nicht Urheber der Meldung! Lassen Sie sich von der Einblendung und der Behauptung, dass „die Wiedergabe von pornografischen Inhalten mit Minderjährigen festgestellt“ worden sei, nicht einschüchtern und zu einer vermeintlichen Geldstrafe drängen.


Revoyem.exe (MD5: 06f041771579b59fc684d2f856040d18)
Submission date: 2013-05-03 11:00:44 UTC
Result: 23/45
Report

Download: Revoyem.rar

Revoyem Revoyem Revoyem Revoyem Revoyem Revoyem

Windows 7

Account Name: evild3ad | Account Type : Administrator

File System:
C:\Users\evild3ad\Desktop\Revoyem.exe
Injects svchost.exe or ctfmon.exe and executes C:\windows\system32\dllhost.exe

Registry:
It creates the following registry entries to allow it to automatically run every time Windows starts: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
→ Userinit = “C:\Windows\system32\Userinit.exe,C:\Users\evild3ad\Desktop\Revoyem.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Sysyem Cleaner = C:\Users\evild3ad\Desktop\Revoyem.exe

DNS Requests:
craigtropgr.biz (5.45.179.149:80) → killed on May 05, Thx to @_MDL_
ajax.googleapis.com
google.com
shell.view

HTTP Requests:
GET /gate/in.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx&os=6.1×32&bot_id=xxxxxx (Check-in)
GET /gate/DE/index.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx-&gr=bot_id (Geo-Redirector → Landing Page)
POST /gate/DE/index.php?id=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx-&gr=bot_id (Voucher Code wird übertragen)

Downloaded Files:
C:\Users\evild3ad\AppData\Local\Microsoft\Windows\
…Temporary Internet Files\Content.IE5\4V4ZS2LR\2[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\4V4ZS2LR\bg-btn-sprite[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\dotted-small[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\esso[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\index[1].htm
…Temporary Internet Files\Content.IE5\4V4ZS2LR\jquery.jscrollpane[1].js
…Temporary Internet Files\Content.IE5\4V4ZS2LR\jquery.min[1].js
…Temporary Internet Files\Content.IE5\4V4ZS2LR\kash[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\omv[1].png
…Temporary Internet Files\Content.IE5\4V4ZS2LR\style-custom[1].css
…Temporary Internet Files\Content.IE5\4V4ZS2LR\total[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\4[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\5PMS9JJZ\bg-box-bottom[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\bg-box[1].jpg
…Temporary Internet Files\Content.IE5\5PMS9JJZ\epay[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\logo[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\rossmann[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\webcam[1].png
…Temporary Internet Files\Content.IE5\5PMS9JJZ\westfalen[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\3[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\L9RCJ6E3\aral[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\bg-html[1].jpg
…Temporary Internet Files\Content.IE5\L9RCJ6E3\bg-li[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\charge[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\dotted-copy[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\func[1].js
…Temporary Internet Files\Content.IE5\L9RCJ6E3\netto[1].png
…Temporary Internet Files\Content.IE5\L9RCJ6E3\oder[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\1[1].jpg (child pornography!)
…Temporary Internet Files\Content.IE5\S8Y952LI\agip[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\all[1].css
…Temporary Internet Files\Content.IE5\S8Y952LI\arrow[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\avia[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\bg-track[1].gif
…Temporary Internet Files\Content.IE5\S8Y952LI\dotted[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\jquery.mousewheel[1].js
…Temporary Internet Files\Content.IE5\S8Y952LI\paysafe[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\shell[1].png
…Temporary Internet Files\Content.IE5\S8Y952LI\x[1].jpg

Index
Index
Index
Links:
Bundeskriminalamt warnt vor einer neuen Variante von digitaler Erpressung
Botnets.fr – Revoyem
Revoyem entfernen
Posted in BKA-Trojaner, Deutsch, Ransomware | Leave a comment

HitmanPro.Kickstart vs. Ransomware


HitmanPro.Kickstart ist eine sehr gute Lösung zur Bekämpfung von Ransomware (z.B. BKA-Trojaner, GVU-Trojaner), die insbesondere auch vom Standard-Anwender problemlos zur Systembereinigung genutzt werden kann. Der Anwender muss lediglich seinen Computer über einen frisch mit HitmanPro erstellten USB-Stick starten. Die Programme auf dem Speicherstick gewährleisten, dass ein Start in das gewohnte Windows-System erfolgt und HitmanPro in diesem automatisch gestartet wird. Alle erforderlichen Treiber inklusive WLAN-Kennwort stehen somit problemlos zur Verfügung. Manuelle Arbeitsschritte, etwa eine Bearbeitung der Registry, sind hier nicht erforderlich.

Hinweis: Die Systembereinigung sollte nur der Freischaltung des Rechners dienen. Nach einer Datensicherung sollte der Rechner auf jeden Fall neu aufgesetzt werden, da die Sicherheitseinstellungen des Betriebssystems und des Browsers von der Ransomware verändert worden sind. In der Regel werden vom AV-Programm nur das Executable und der Autostart-Eintrag entfernt.

1.) Laden Sie sich HitmanPro von einem sauberen Rechner herunter. Wählen Sie hierzu die passende Version, um sie auf diesem Rechner starten zu können:
HitmanPro (32-bit)
HitmanPro (64-bit)

2.) Starten Sie nun HitmanPro auf diesem Rechner und klicken Sie auf das Kickstart-Symbol.

HitmanPro.Kickstart
3.) Folgen Sie nun den Anweisungen von HitmanPro.Kickstart und halten Sie Ihren freien (!) USB-Stick bereit.

Schritt 1 von 4
Schritt 2 von 4
Schritt 3 von 4
Warnmeldung
Schritt 4 von 4
4.) Um HitmanPro.Kickstart zu testen, habe ich meinen Test-PC mit der Ransomware “Reveton” infiziert.

Reveton.N
5.) Schließen Sie nun den USB-Stick an Ihren infizierten Computer an und schalten ihn anschließend ein. Falls der PC nicht automatisch vom USB-Stick startet, müssen Sie die Bootreihenfolge im BIOS ändern.

Hinweis: Zum Aufrufen des Bootmenüs muss dann, je nach Computerhersteller, die Taste F8, F11 oder F12 gedrückt werden. Achten Sie auf die Texteinblendungen Ihres BIOS.

Bootet man vom USB-Stick, so erscheint zunächst folgendes Auswahlmenü:

Startmenü von HitmanPro.Kickstart
6.) Hier kann man wählen, ob HitmanPro.Kickstart den Master Boot Record (MBR) Ihrer Festplatte überspringen soll (default = Standardeinstellung) oder der originale MBR Ihrer Festplatte verarbeitet werden soll. In der Regel müssen Sie hier die Taste 1 drücken. Option 2 ist nur zu verwenden, wenn ein benutzerdefinierter Bootloader, beispielsweise Grub, auf Ihrer Festplatte installiert ist.

Nach ca. 3 Sekunden wird der Start von der Festplatte aus fortgesetzt und Windows gestartet.

Boot Options
7.) Folgende Windows-Fehlermeldung kann erscheinen, wenn Sie beispielsweise Ihren PC aufgrund der Ransomware nicht ordnungsgemäß heruntergefahren haben. Dies hat jedoch keinerlei Auswirkungen auf HitmanPro.Kickstart.

Windows-Fehlerbehebung
8.) Wenn Windows gestartet wurde, wird entweder das Fenster zur Anmeldung des Benutzers eingeblendet (nicht anmelden!) oder auch automatisch der Desktop geladen, falls das System für die automatische Anmeldung konfiguriert ist. Warten Sie jeweils bis HitmanPro.Kickstart automatisch gestartet wird.

Klicken Sie auf „Weiter“, um nach Schadsoftware zu suchen.

Start von HitmanPro
9.) Wir empfehlen, den Scan ohne Installation auszuführen.

Setup von HitmanPro 10.) Während HitmanPro Ihren PC freischaltet, können Sie sich erstmal zurücklehnen.

Fortschrittsanzeige 11.) Wird Schadsoftware auf dem Computer erkannt, dann wird bereits während des Scans eine entsprechende Meldung angezeigt.

Fund
Kostenlose Lizenz aktivieren
HitmanPro wurde erfolgreich aktiviert.
Reveton.N wurde entfernt.
Links:
SurfRight: HitmanPro
HitmanPro.Kickstart – Bedienungsanleitung
HitmanPro.Kickstart – Häufig gestellte Fragen

Posted in BKA-Trojaner, Deutsch, GEMA-Trojaner, GVU-Trojaner, Ransomware, Systembereinigung | 1 Comment

JSDetox – A javascript malware analysis tool

Die Verbreitung von Schadsoftware erfolgt heute meist nicht mehr über Dateianhänge in dubiosen E-Mails, sondern über das Web mittels sogenannter Drive-By-Downloads. Online-Kriminelle kompromittieren Webseiten oder mieten irgendwo auf der Welt einen Server an und halten dort ihren Schadcode bereit. All dies ist mittels anonymer Bezahldienste und auch über Standard-Bezahldienste, wie PayPal, mittels Eingabe von Fake-Daten problemlos möglich. Es werden dann präparierte Webseiten sowie Werbebanner in jeglicher Form genutzt, um die Besucher mittels speziellen JavaScript Code zu einem Exploit Kit (z.B. Blackhole Exploit Kit) umzuleiten. Hier wird dann der Browser auf verschiedene Lücken in den Plugins, wie Java, Adobe Reader oder Adobe Flash Player abgeklopt und meistens auch infiziert. Dies geschieht nicht nur im File-Sharing Bereich, bei werbefinanzierten Porno-Seiten sondern auch auf ganz normalen Webseiten. Die Täter versenden außerdem Spam-Mails mit direkten Links zu diesen Seiten und optimieren diese für Suchmaschinen. Wer den Links folgt, kann sich dann schnell und unbemerkt ein Trojanisches Pferd auf den Rechner holen.

Um den eigentlichen Ursprungsort des Angriffs zu verschleiern, gehen die Online-Kriminellen mehrstufig vor. Zum einen betten sie in gehackten Webseiten oder infizierten Werbebannern keine Links im Klartext ein, sondern codieren URLs über lange Zeichenketten (Spaghetti-Code), die ein Java- oder ActionScript erst wieder zur Laufzeit zusammenbaut – oft ist sogar das Skript selbst noch codiert. Zum anderen werden mehrfache Umleitungen (Redirections) genutzt, um den Browser über mehrere Sprünge zum eigentlichen Schadcode zu führen. Das alles hat den Zweck, sowohl Anwender als auch Webseitenbetreiber und sogar Antivirenspezialisten in die Irre zu führen und ihnen die Arbeit zu erschweren. Glücklicherweise gibt es Tools respektive Dienste, die den so gut wie unlesbaren JavaScript Code in einen mehr oder minder verständlichen Code zurückführen können.

Alte Bekannte wie Malzilla und Jode oder Dienste wie Wepawet und jsunpack haben Verstärkung bekommen!


Installation unter Ubuntu 12.04 LTS:
Wie bei jedem Tool, dass mit maliziösen oder unbekannten Code umgeht, sollte die Installation in einer isolierten virtuellen Umgebung (z.B. mit VirtualBox und/oder DeepFreeze) erfolgen.

$ sudo apt-get install ruby1.9.1 ruby1.9.1-dev libxslt1-dev libxml2-dev build-essential git
$ sudo gem install bundler
$ cd #Ziel-Verzeichnis#
$ git clone https://github.com/svent/jsdetox.git
$ cd jsdetox
$ sudo bundle install

JSDetox starten:
$ cd jsdetox
$ ./jsdetox
Browser starten: http://localhost:3000/

(Strg + C zum Beenden)

Update:
cd #jsdetox-Ordner#
git pull
sudo bundle install

Analysis | JSDetox

Analysis | JSDetox


Links:
JSDetox – Project Website
JSDetox – Documentation
JSDetox – Screencasts

Posted in Deobfuscation, Deutsch, JavaScript | Leave a comment