Incident Activity Report

Date: 2017­06­01
Analyst: 0x776b7364

EXECUTIVE SUMMARY
On 8 December 2014 23:18 GMT, a user on the host 38NTRGDFQKR­PC (192.168.204.137) accessed
www.excelforum.com via a Google search. This previously­compromised website contained a 
malicious script file which caused the user’s browser to be redirected to other websites containing 
malicious active content such as Java and Flash files. Existing browser­based vulnerabilities present on 
the host computer enabled the website to download and execute programs on the computer. The whole 
intrusion and infection sequence took about two minutes to complete. Based on the provided network 
traffic file, private or company information could potentially have been exfiltrated.
The organisation should:
• Consider encouraging or forcing users to use alternative browsers
• Encourage users to install browser add­ons/extensions such as NoScript to prevent 
potentiallymalicious scripts from loading automatically
• Ensure that endpoint protection software (such as antivirus) is installed and up­to­date
• Implement application whitelisting on Windows workstations
• Consider implementing a reverse proxy filtering solution (such as F5 or Blue Coat).
TECHNICAL ANALYSIS
The Network Miner tool was first used to get an overall picture of the contents within the included pcap
file. From Network Miner, I obtained the following information:
• A large majority of the sessions originated from the host 192.168.204.137. This Windows host 
had the corresponding hostname ‘38NTRGDFQKR­PC’ and MAC address of 
00:0C:29:9D:B8:6D.
• Later analysis would demonstrate that this host is the host affected by the malicious JavaScript 
files.
• The ‘Parameters’ tab indicated that the user­agent parameter values for the host 
192.168.204.137 is largely “Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1;…”. This 
indicates that the user is using the IE 8.0 browser on Windows 7 to access the sites. A further 
user­agent was observed: “Mozilla/4.0 (Windows 7 6.1) Java/1.6.0_25". Later analysis would 
show that this user­agent belonged to the malware reaching out to malicious servers to 
download binary payloads.
Wireshark was then used to open the pcap file for analysis. The following display filter was used to 
isolate HTTP traffic related to the affected host:
(ip.src_host == 192.168.204.127 || ip.dst_host == 192.168.204.137) && http
From the display filter results, I concluded that the affected user first entered the search term 
“http://www.excelforum.com” into Google [frame 8], and then clicked on the result which redirected 
him to the website http://www.excelforum.com (69.167.155.134:80) [frame 22]. Based on the ‘Date’ 
HTTP parameter in the HTTP response [frame 309], the date and time in which this event occurred is 8
December 2014 23:18:42 GMT. The website included a <script> tag on line 127 which has the URL:
• http://magggnitia.com/?
Q2WP=p4VpeSdhe5ba&nw3=9n6MZfU9I_1Ydl8y&9M5to=_8w6t8o4W_abrev&GgiMa=8Hfr8Tlcgk
d0sfV&t6Mry=I6n2
This causes the affected user’s browser to perform a HTTP GET request to http://magggnitia.com 
(94.242.216.69:80) [frame 94]. The HTTP response was a JavaScript file which caused a redirect to the
domain digiwebname.in (205.234.186.111:80). This JavaScript file though obfuscated had the 
‘gNUmtrTcEF’ parameter value of ‘http://digiwebname.in/6ktpi5xo/PoHWLGZwrjXeGDG3P-I5’. 
The pcap file supported the hypothesis that the user got redirected to that URL [frame 1300]. This 
event occurred on 8 December 2014 23:20:09 GMT.
The response of the HTTP request to the digiwebname.in domain was a HTML file containing another 
set of obfuscated JavaScript code [frame 1340]. The obfuscated JavaScript code was isolated and 
copied to a Remnux installation for further analysis. After patching the JavaScript code, and using 
Rhino­debugger and Google Chrome v8 for debugging and analysis, I determined that this JavaScript 
code profiled the browser and its plugins, and then used the results to make HTTP GET requests to 
download further payloads. The relevant subsequent HTTP GET requests and its corresponding frame 
numbers are as follows:
• http://digiwebname.in/6ktpi5xo/3830948c194842760701040b0b0f095a010b000b0d5608
58060c0b060a060a5a;118800;94 [frames 1347 and 1360]

• http://digiwebname.in/6ktpi5xo/7d0d7c94be7afa7a5b0d525f0558080d0557035f030109
0f0250085204510b0d;910 [frames 1414 and 1435]

• http://digiwebname.in/6ktpi5xo/39e112e34c7d1c884055130a0309540a010a560a055055
08060d5d070200570a;4060531 [frames 1418 and 1444]

• http://digiwebname.in/6ktpi5xo/55fdd7ebca026cab5447075f560c545b0706555f505555
5900015e525705575b [frames 1977 and 1986]

These encrypted payloads were extracted to the examining system using Wireshark’s Export Objects 
(HTTP) feature. The following list is a mapping from URL to filename to SHA1 hash of the payloads:
• http://digiwebname.in/6ktpi5xo/3830948c194842760701040b0b0f095a010b000b0d560858060
c0b060a060a5a;118800;94 > hyepksam259.swf > 
4e8bdc5611f8ef8e6473bd38cc625341832b7d3
• http://digiwebname.in/6ktpi5xo/7d0d7c94be7afa7a5b0d525f0558080d0557035f0301090f02500
85204510b0d;910 > buvyoem41.pdf > 15add2fdcd6f4ee6a16ae2c8557aaba8bf2943d3
• http://digiwebname.in/6ktpi5xo/39e112e34c7d1c884055130a0309540a010a560a05505508060d
5d070200570a;4060531 > dszohrfb90.xap > 90208b3c149a01de487a64f469042326050da3d0
• http://digiwebname.in/6ktpi5xo/55fdd7ebca026cab5447075f560c545b0706555f505555590001
5e525705575b > syvwkahx581.jar > 59c07162d0c10658eec2298f19febfcb8275b25d
The SHA1 hashes was used as a search term within VirusTotal to confirm that all of the payloads are 
malicious, and that they are recognized by most antivirus vendors. The VirusTotal analysis further 
identifies that the SWF and JAR payloads exploit CVE­2014­0569 and CVE­2012­0507 respectively. 
A search of these two exploits reveals that both of them are used in the RIG and Fiesta exploit kits 
(EKs). A blog post by Context Information Security [1] confirms that the pcap file captured a Fiesta 
EK incident due to the unique way in which the malicious URLs were generated and the JavaScript 
code was obfuscated.
The files referenced above exploited vulnerabilities in browser plugins such as Adobe Flash, Adobe 
PDF, Microsoft Silverlight, and Java. Some or all of the plugins were exploited to further download 
malicious encrypted payloads in frames 1596, 1757, 1961, 2139, and 2291 (these are shown as having 
the MIME type ‘application/octet­stream’).
I used a script provided by Context Information Security [2] to decode the second set of obfuscated 
JavaScript code, and obtained the following URLs which were not present in the pcap file:
• http://digiwebname.in/6ktpi5xo/228759d200ad45b60a060c0c0702550b00010b0c015b54
0907060001060b560b (incompatible Flash version)

• http://digiwebname.in/6ktpi5xo/69266c7425df8059030f0b0d0458060d040a010d020107
0f030d0a000551050d (incompatible Flash version)

• http://digiwebname.in/6ktpi5xo/1b9a9eecb34c4c045b0c555a0b5e545a03510a5a0d0755
58045601570a57575a (missing or incompatible JavaFX)

Presumably, the JavaScript file determined that certain exploits do not match certain installed browser 
plugins due to missing or incompatible versions, and hence the downloads for these files are not 
triggered. In future incidents, such URLs should be accessed by a sacrificial Virtual Machine (VM) 
over a dedicated connection in order to accurately assess the impact of such malware on the 
organisation’s environment.
Each of the file format exploits (swf/pdf/xap/jar) dropped an encrypted binary onto the local filesystem.
A script by user 0x3a [3] was used to decrypt the encrypted binaries, and all the decrypted binaries 
resulted in the same SHA1 hash of dc54148d7b01c4ef6fe0bb9f74cce09a4ff83809. The VirusTotal and 
Malwr analysis of this binary confirmed that this is a PE executable malware. In addition, the Malwr 
page [4] indicated that an outgoing connection to the host 209.239.112.229:80 was observed. This 
corresponds to frames 1792 and 1799 in the pcap file, and it is likely that the malware has executed and
is “phoning home” or exfiltrating information. I was unsuccessful in determining the plaintext from the 
base­64 encoded POST request; further analysis on the binary using a debugger such as IDA Pro is 
recommended.
RECOMMENDED CLEAN UP AND MITIGATION STRATEGIES
The following steps should be undertaken immediately:
• The affected system should be removed from the network, and a comprehensive forensics and 
data recovery exercise (if required) should be performed
• The Operating System should be wiped, and if the malware infection is severe, the system 
should be decommissioned
• The malicious binary files should be blacklisted in the centralized antivirus console, and quick 
scans using the updated signatures should be performed against sensitive systems
• Network and website filters should be set to restrict access to the affected websites and IP 
addresses.
The following steps should be considered and undertaken in the short­term:
• Deploy alternative browsers such as Mozilla Firefox and Google Chrome to users
• Browser add­ons/extensions which disable automatic loading of scripts and plugins should be 
used
• The Standard Operating Environment (SOE) should be reviewed and unnecessary software 
(such as Flash or Java) should be removed unless required for operations.
The following steps should be considered and undertaken in the long­term:
• Windows workstations should have application whitelisting enabled (such as via AppLocker)
• A reverse proxy filtering solution should be implemented to check the target website’s 
reputation and presence of malware through analysis or blacklists.
REFERENCES
The following tools were used in the generation of this report:
• Wireshark, Network Miner, Unix ‘file’, Remnux, Google Chrome v8, Rhino­debugger
The following links were referenced and/or used in the generation of this report:
• [1]: https://www.contextis.com/resources/blog/fiesta­exploit­kit­analysis/
• [2]: https://www.contextis.com/documents/34/Fiesta_Decoder.zip
• [3]: https://raw.githubusercontent.com/0x3a/tools/master/fiesta­payload­decrypter.py
• [4]: 
https://malwr.com/analysis/MmNiMTdhZTFhMGRmNDAwZjg2ZDhhMDZjODFjMGY3NjI/

Master your semester with Scribd & The New York Times

Special offer for students: Only $4.99/month.

Master your semester with Scribd & The New York Times

Cancel anytime.