وبهذا المقال نكمل سلسلة المنشورات المخصصة لتحليل البرامج الضارة. في لقد أجرينا تحليلاً مفصلاً لملف مصاب استلمته شركة أوروبية عبر البريد واكتشفنا برنامج تجسس AgentTesla هناك. في وصف نتائج التحليل خطوة بخطوة لوحدة AgentTesla الرئيسية.
سيتحدث اليوم إيليا بوميرانتسيف، المتخصص في تحليل البرامج الضارة في CERT Group-IB، عن المرحلة الأولى من تحليل البرامج الضارة - التفريغ شبه التلقائي لعينات AgentTesla باستخدام مثال ثلاث حالات صغيرة من ممارسة متخصصي CERT Group-IB.
عادةً ما تكون المرحلة الأولى في تحليل البرامج الضارة هي إزالة الحماية في شكل أداة تعبئة أو تشفير أو أداة حماية أو أداة تحميل. في معظم الحالات، يمكن حل هذه المشكلة عن طريق تشغيل البرامج الضارة وإجراء تفريغ، ولكن هناك حالات لا تكون فيها هذه الطريقة مناسبة. على سبيل المثال، إذا كانت البرامج الضارة عبارة عن برنامج تشفير، أو إذا كانت تحمي مناطق الذاكرة الخاصة بها من الإغراق، أو إذا كانت التعليمات البرمجية تحتوي على آليات اكتشاف الجهاز الظاهري، أو إذا تم إعادة تشغيل البرامج الضارة فورًا بعد البدء. في مثل هذه الحالات، يتم استخدام ما يسمى بالتفريغ "شبه التلقائي"، أي أن الباحث لديه سيطرة كاملة على العملية ويمكنه التدخل في أي وقت. دعونا نفكر في هذا الإجراء باستخدام ثلاث عينات من عائلة AgentTesla كمثال. هذه برامج ضارة نسبيًا إذا قمت بتعطيل الوصول إلى الشبكة.
العينة رقم 1
الملف المصدر هو مستند MS Word يستغل الثغرة الأمنية CVE-2017-11882.
ونتيجة لذلك، يتم تنزيل الحمولة وتشغيلها.
يُظهر تحليل شجرة العملية والعلامات السلوكية إدخالها في العملية RegAsm.exe.
هناك علامات سلوكية مميزة لـ AgentTesla.
العينة التي تم تنزيلها هي العينة القابلة للتنفيذ . NET- الملف محمي بواسطة حامي مفاعل .NET.
دعونا نفتحه في الأداة المساعدة دي ان سباي x86 والانتقال إلى نقطة الدخول.
عن طريق الذهاب إلى الوظيفة DateTimeOffset، سنجد رمز التهيئة الجديد . NET-وحدة. هيا نضع نقطة توقف على الخط الذي يهمنا وتشغيل الملف.
في أحد المخازن المؤقتة التي تم إرجاعها، يمكنك رؤية توقيع MZ (0x4D 0x5A). دعونا نحفظه.
الملف القابل للتنفيذ الذي تم تفريغه هو مكتبة ديناميكية تعمل كمحمل، أي. يستخرج الحمولة من قسم الموارد ويطلقها.
وفي الوقت نفسه، فإن الموارد اللازمة نفسها غير موجودة في التفريغ. وهم في العينة الأصل.
فائدة com.dnSpy يحتوي على وظيفتين مفيدتين للغاية ستساعدنا في إنشاء "فرانكشتاين" بسرعة كبيرة من ملفين مرتبطين.
- الأول يسمح لك "بلصق" مكتبة ديناميكية في العينة الأصلية.
- والثاني هو إعادة كتابة رمز الوظيفة عند نقطة الإدخال لاستدعاء الطريقة المطلوبة للمكتبة الديناميكية المدرجة.
نحن نحفظ مجموعة "فرانكشتاين" الخاصة بنا نقطة توقف على الخط، يتم إرجاع مخزن مؤقت بموارد تم فك تشفيرها، وإنتاج تفريغ عن طريق القياس مع المرحلة السابقة.
التفريغ الثاني مكتوب فيه VB.NET ملف قابل للتنفيذ محمي بواسطة أداة حماية مألوفة لدينا ConfuserEx.
بعد إزالة أداة الحماية، نستخدم قواعد YARA المكتوبة مسبقًا ونتأكد من أن البرنامج الضار الذي تم فك حزمته هو AgentTesla بالفعل.
العينة رقم 2
الملف المصدر هو مستند MS Excel. يتسبب الماكرو المضمن في تنفيذ تعليمات برمجية ضارة.
ونتيجة لذلك، يتم تشغيل البرنامج النصي PowerShell.
يقوم البرنامج النصي بفك تشفير كود C# وينقل التحكم إليه. الكود نفسه عبارة عن أداة تحميل التشغيل، كما يمكن رؤيته أيضًا من تقرير وضع الحماية.
الحمولة هي ملف قابل للتنفيذ . NET-ملف.
فتح الملف في دي ان سباي x86، يمكنك أن ترى أنه غامض. إزالة التشويش باستخدام الأداة المساعدة com.de4dot والعودة إلى التحليل.
عند فحص الكود، قد تكتشف الوظيفة التالية:
الخطوط المشفرة ملفتة للنظر نقطة الدخول и استدعاء. نضع نقطة توقف إلى السطر الأول، قم بتشغيل وحفظ قيمة المخزن المؤقت بايت_0.
التفريغ هو مرة أخرى تطبيق على . NET ومحمية ConfuserEx.
نقوم بإزالة التشويش باستخدام com.de4dot وتحميل إلى com.dnSpy. من وصف الملف نفهم أننا نواجه محمل CyaX-Sharp.
يتمتع هذا المُحمل بوظيفة واسعة النطاق لمكافحة التحليل.
تتضمن هذه الوظيفة تجاوز أنظمة حماية Windows المضمنة، وتعطيل Windows Defender، بالإضافة إلى آليات وضع الحماية والكشف عن الأجهزة الافتراضية. من الممكن تحميل الحمولة من الشبكة أو تخزينها في قسم الموارد. يتم تنفيذ الإطلاق من خلال الحقن في عمليته الخاصة، أو في نسخة مكررة من عمليته الخاصة، أو في العمليات MSBuild.exe, vbc.exe и RegSvcs.exe اعتمادًا على المعلمة التي اختارها المهاجم.
ومع ذلك، بالنسبة لنا فهي أقل أهمية من مكافحة تفريغ- الوظيفة التي تضيف ConfuserEx. يمكن العثور على كود المصدر الخاص به على .
لتعطيل الحماية، سوف ننتهز هذه الفرصة com.dnSpy، والذي يسمح لك بالتحرير IL-الشفرة.
حفظ وتثبيت نقطة توقف إلى خط استدعاء وظيفة فك تشفير الحمولة. وهو موجود في منشئ الطبقة الرئيسية.
نقوم بإطلاق وتفريغ الحمولة. باستخدام قواعد YARA المكتوبة مسبقًا، نتأكد من أن هذا هو AgentTesla.
العينة رقم 3
الملف المصدر هو الملف القابل للتنفيذ VB الأصلي PE32-ملف.
يُظهر تحليل الإنتروبيا وجود جزء كبير من البيانات المشفرة.
عند تحليل نموذج الطلب في برنامج فك ترجمات VB قد تلاحظ خلفية منقطة غريبة.
الرسم البياني الانتروبيا BMP-الصورة مطابقة للرسم البياني للإنتروبيا للملف الأصلي، وحجمها هو 85% من حجم الملف.
يشير المظهر العام للصورة إلى استخدام إخفاء المعلومات.
دعونا ننتبه إلى مظهر شجرة العملية، وكذلك وجود علامة الحقن.
يشير هذا إلى أن التفريغ قيد التقدم. بالنسبة إلى أدوات تحميل Visual Basic (المعروفة أيضًا باسم VBKrypt أو VBInjector) الاستخدام النموذجي كود القشرة لتهيئة الحمولة، وكذلك لإجراء الحقن نفسه.
تحليل في برنامج فك ترجمات VB أظهر وجود حدث حمل في النموذج فيجاتاسوكAirballoon2.
لنذهب إلى المؤسسة الدولية للتنمية برو إلى العنوان المحدد ودراسة الوظيفة. الكود غامض بشدة. الجزء الذي يهمنا معروض أدناه.
هنا يتم فحص مساحة عنوان العملية بحثًا عن التوقيع. هذا النهج مشكوك فيه للغاية.
أولاً، عنوان بدء المسح 0x400100. هذه القيمة ثابتة ولا يتم تعديلها عند تغيير القاعدة. في ظروف الدفيئة المثالية سوف يشير إلى النهاية PE- رأس الملف القابل للتنفيذ. ومع ذلك، فإن قاعدة البيانات ليست ثابتة، ويمكن أن تتغير قيمتها، والبحث عن العنوان الحقيقي للتوقيع المطلوب، على الرغم من أنه لن يتسبب في تجاوز سعة المتغير، قد يستغرق وقتًا طويلاً جدًا.
ثانيا: معنى التوقيع iWGK. أعتقد أنه من الواضح أن 4 بايت صغيرة جدًا بحيث لا تضمن التفرد. وإذا أخذت في الاعتبار النقطة الأولى، فإن احتمال ارتكاب خطأ مرتفع للغاية.
في الواقع، يتم إرفاق الجزء المطلوب بنهاية ما تم العثور عليه مسبقًا BMP-الصور عن طريق الإزاحة 0xA1D0D.
إعدام كود القشرة تتم على مرحلتين. الأول يفك رموز الجسم الرئيسي. في هذه الحالة، يتم تحديد المفتاح بالقوة الغاشمة.
تفريغ واحد فك تشفيرها كود القشرة وانظر إلى السطور.
أولاً، نحن نعرف الآن وظيفة إنشاء عملية فرعية: إنشاء عملية داخليةW.
ثانيا، أصبحنا على علم بآلية التثبيت في النظام.
دعنا نعود إلى العملية الأصلية. هيا نضع نقطة توقف في إنشاء عملية داخليةW ومواصلة التنفيذ. التالي نرى الاتصال NtGetContextThread/NtSetContextThread، والذي يغير عنوان بدء التنفيذ إلى العنوان شلكود.
نحن نتصل بالعملية التي تم إنشاؤها باستخدام مصحح الأخطاء ونقوم بتنشيط الحدث تعليق عند تحميل/تفريغ المكتبة، استأنف العملية وانتظر التحميل . NET-المكتبات.
مزيد من الاستخدام ProcessHacker مناطق تفريغ تحتوي على تفكيك . NET-طلب.
نقوم بإيقاف جميع العمليات وحذف نسخة البرامج الضارة التي أصبحت مدمجة في النظام.
الملف الذي تم تفريغه محمي بواسطة أداة حماية مفاعل .NET، والتي يمكن إزالتها بسهولة باستخدام الأداة المساعدة com.de4dot.
باستخدام قواعد YARA المكتوبة سابقًا، نتأكد من أن هذا هو AgentTesla.
تلخيص
لذلك، أظهرنا بالتفصيل عملية تفريغ العينات شبه التلقائية باستخدام ثلاث حالات صغيرة كمثال، وقمنا أيضًا بتحليل البرامج الضارة بناءً على حالة كاملة، واكتشفنا أن العينة قيد الدراسة هي AgentTesla، مما أدى إلى تحديد وظائفها و قائمة كاملة من مؤشرات التسوية.
إن تحليل الكائن الخبيث الذي قمنا به يتطلب الكثير من الوقت والجهد، ويجب أن يقوم بهذا العمل موظف خاص في الشركة، ولكن ليست كل الشركات مستعدة لتوظيف محلل.
إحدى الخدمات التي يقدمها مختبر Group-IB للطب الشرعي الحاسوبي وتحليل الرموز الضارة هي الاستجابة للحوادث السيبرانية. وحتى لا يضيع العملاء الوقت في الموافقة على المستندات ومناقشتها وسط الهجوم السيبراني، أطلقت Group-IB مثبت الاستجابة للحوادث، وهي خدمة الاستجابة لحوادث الاشتراك المسبق والتي تتضمن أيضًا خطوة تحليل البرامج الضارة. يمكن العثور على مزيد من المعلومات حول هذا .
إذا كنت ترغب في دراسة كيفية تفريغ عينات AgentTesla مرة أخرى ومعرفة كيف يقوم متخصص CERT Group-IB بذلك، يمكنك تنزيل تسجيل الندوة عبر الإنترنت حول هذا الموضوع .
المصدر: www.habr.com