Leis an artaigil seo cuiridh sinn crìoch air an t-sreath de fhoillseachaidhean a tha coisrigte do mhion-sgrùdadh bathar-bog droch-rùnach. ANNS
An-diugh bruidhnidh Ilya Pomerantsev, eòlaiche mion-sgrùdadh malware aig CERT Group-IB, air a’ chiad ìre de sgrùdadh malware - dì-phapadh leth-fèin-ghluasadach de shamhlaichean AgentTesla a’ cleachdadh eisimpleir de thrì mion-chùisean bho chleachdadh eòlaichean CERT Group-IB.
Mar as trice, is e a’ chiad ìre ann an mion-sgrùdadh malware toirt air falbh dìon ann an cruth pacaidh, cryptor, dìonadair no luchdan. Anns a 'mhòr-chuid de chùisean, faodar an duilgheadas seo a rèiteachadh le bhith a' ruith an malware agus a 'coileanadh dump, ach tha suidheachaidhean ann far nach eil an dòigh seo freagarrach. Mar eisimpleir, ma tha an malware na chrioptachadh, ma dhìonas e na roinnean cuimhne aige bho bhith air an dumpadh, ma tha innealan lorg inneal brìgheil anns a ’chòd, no ma thèid an malware ath-thòiseachadh sa bhad às deidh tòiseachadh. Ann an leithid de chùisean, thathas a’ cleachdadh dì-phapadh “leth-fèin-ghluasadach”, is e sin, tha smachd iomlan aig an neach-rannsachaidh air a’ phròiseas agus faodaidh e eadar-theachd a dhèanamh aig àm sam bith. Beachdaichidh sinn air a’ mhodh-obrach seo a’ cleachdadh trì sampaill den teaghlach AgentTesla mar eisimpleir. Is e malware an ìre mhath gun chron a tha seo ma chuireas tu dheth an ruigsinneachd lìonra aige.
Eisimpleir Àireamh 1
Tha am faidhle tùsail na sgrìobhainn MS Word a bhios a’ gabhail brath air so-leòntachd CVE-2017-11882.
Mar thoradh air an sin, thèid an t-uallach pàighidh a luchdachadh sìos agus a chuir air bhog.
Tha mion-sgrùdadh air craobh pròiseas agus comharran giùlain a ‘sealltainn stealladh a-steach don phròiseas RegAsm.exe.
Tha comharran giùlain sònraichte aig AgentTesla.
Is e an sampall a chaidh a luchdachadh sìos am fear so-ghnìomhaichte .NET- faidhle air a dhìon le dìonadair .NET Reactor.
Fosglaidh sinn e anns a' ghoireas dnSpy x86 agus gluais air adhart chun àite inntrigidh.
Le bhith a 'dol don ghnìomh DateTimeOffset, lorgaidh sinn an còd tòiseachaidh airson an tè ùr .NET-modal. Cuireamaid àite-briseadh air an loidhne anns a bheil ùidh againn agus ruith am faidhle.
Ann am fear de na bufairean a thill thu chì thu an t-ainm MZ (0x4D 0x5A). Sàbhailidh sinn e.
Tha faidhle so-ghnìomhaichte dumped na leabharlann fiùghantach a tha na luchdan, i.e. thoir a-mach an t-uallach pàighidh bhon roinn ghoireasan agus cuir air bhog e.
Aig an aon àm, chan eil na goireasan riatanach iad fhèin an làthair anns an dump. Tha iad anns an sampall phàrant.
Goireasach dnSpy tha dà ghoireas air leth feumail a chuidicheas sinn gu math luath gus “Frankenstein” a chruthachadh bho dhà fhaidhle co-cheangailte.
- Leigidh a’ chiad fhear leat leabharlann fiùghantach a “phasgadh” a-steach don sampall phàrant.
- Is e an dàrna fear an còd gnìomh ath-sgrìobhadh aig an àite inntrigidh gus an dòigh a tha thu ag iarraidh airson an leabharlann fiùghantach a chuir a-steach a ghairm.
Bidh sinn a’ sàbhaladh an seata “Frankenstein” againn àite-briseadh air an loidhne a’ tilleadh bufair le goireasan dì-chrioptaichte, agus a’ toirt a-mach dump mar an ceudna ris an ìre roimhe.
Tha an dàrna dump sgrìobhte ann VB.NET faidhle so-ghnìomhaichte a tha air a dhìon le dìonadair air a bheil sinn eòlach ConfuserEx.
Às deidh dhuinn an dìonadair a thoirt air falbh, bidh sinn a ’cleachdadh riaghailtean YARA a chaidh a sgrìobhadh na bu thràithe agus a’ dèanamh cinnteach gu bheil an malware gun phacaid dha-rìribh AgentTesla.
Eisimpleir Àireamh 2
Tha am faidhle tùsail na sgrìobhainn MS Excel. Bidh macro togte ag adhbhrachadh cur an gnìomh còd droch-rùnach.
Mar thoradh air an sin, tha an sgriobt PowerShell air a chuir air bhog.
Bidh an sgriobt a’ dì-chrioptachadh a’ chòd C # agus a’ gluasad smachd thuige. Tha an còd fhèin na bootloader, mar a chithear cuideachd bhon aithisg bogsa gainmhich.
Tha an t-uallach pàighidh so-ghnìomhaichte .NET-faidhle.
A ' fosgladh am faidhle a-steach dnSpy x86, chì thu gu bheil e toirmisgte. Thoir air falbh obfuscation a 'cleachdadh an utility dot 4 agus tilleadh gu mion-sgrùdadh.
Nuair a bhios tu a’ sgrùdadh a’ chòd, faodaidh tu an gnìomh a leanas a lorg:
Tha na loidhnichean còdaichte iongantach Puing-inntrigidh и A ’toirt cuireadh. Chuir sinn àite-briseadh chun a 'chiad loidhne, ruith agus sàbhail an luach bufair beite_0.
Tha an dump a-rithist na iarrtas air .NET agus air a dhìon ConfuserEx.
Bidh sinn a 'toirt air falbh obfuscation a' cleachdadh dot 4 agus luchdachadh suas gu dnSpy. Bho thuairisgeul an fhaidhle tha sinn a 'tuigsinn gu bheil sinn nar n-aghaidh Luchdaich a-nuas CyaX Sharp.
Tha comas-gnìomh farsaing an-aghaidh mion-sgrùdadh aig a’ luchdachadh seo.
Tha an gnìomh seo a’ toirt a-steach a bhith a’ dol seachad air siostaman dìon Windows togte, a’ cur casg air Windows Defender, a bharrachd air bogsa gainmhich agus dòighean lorg inneal mas-fhìor. Tha e comasach an t-uallach pàighidh a luchdachadh bhon lìonra no a stòradh anns an roinn ghoireasan. Bithear a’ cur air bhog tro in-stealladh a-steach don phròiseas aige fhèin, gu bhith na dhùblachadh den phròiseas aige fhèin, no gu pròiseasan MSBuild.exe, vbc.exe и RegSvcs.exe a rèir am paramadair a thagh an neach-ionnsaigh.
Ach, dhuinne chan eil iad cho cudromach ri AntiDump- gnìomh a chuireas ris ConfuserEx. Gheibhear a chòd stòr aig
Gus dìon a chuir dheth, cleachdaidh sinn an cothrom dnSpy, a leigeas leat deasachadh IL-na chòd.
Sàbhail is stàlaich àite-briseadh chun loidhne gairm an gnìomh dì-chrioptachaidh pàighidh pàighidh. Tha e suidhichte ann an neach-togail a 'phrìomh chlas.
Bidh sinn a 'cur air bhog agus a' dumpadh an luchd pàighidh. A’ cleachdadh riaghailtean YARA a chaidh a sgrìobhadh roimhe seo, nì sinn cinnteach gur e seo AgentTesla.
Eisimpleir Àireamh 3
Is e am faidhle stòr am faidhle so-ghnìomhaichte VB Dùthchasach PE32-faidhle.
Tha mion-sgrùdadh entropy a’ sealltainn làthaireachd pìos mòr de dhàta crioptaichte.
Nuair a thathar a’ dèanamh anailis air an fhoirm-iarrtais ann an VB Decompiler is dòcha gu mothaich thu cùl-raon neònach pixelated.
Graf entropy bmp-image co-ionann ri graf entropy an fhaidhle tùsail, agus tha am meud 85% de mheud an fhaidhle.
Tha coltas coitcheann na h-ìomhaigh a 'sealltainn cleachdadh steganography.
Bheir sinn aire do choltas a 'chraoibh phròiseas, a bharrachd air làthaireachd comharradh stealladh.
Tha seo a’ sealltainn gu bheil dì-phapadh a’ dol air adhart. Airson luchdan Visual Basic (aka VBKrypt no VBIinjector) cleachdadh àbhaisteach slige-chòd gus an t-uallach pàighidh a thòiseachadh, a bharrachd air an in-stealladh fhèin a dhèanamh.
Mion-sgrùdadh ann an VB Decompiler nochd e làthaireachd tachartas Luchdaich aig an fhoirm FegatassocAirballoon2.
Rachamaid gu IDA airson chun an t-seòlaidh ainmichte agus dèan sgrùdadh air a’ ghnìomh. Tha an còd air a thoirmeasg gu mòr. Tha a’ chriomag anns a bheil ùidh againn air a thaisbeanadh gu h-ìosal.
An seo tha àite seòlaidh a’ phròiseis air a sganadh airson ainm-sgrìobhte. Tha an dòigh-obrach seo gu math amharasach.
An toiseach, seòladh tòiseachaidh an sganaidh 0x400100. Tha an luach seo statach agus chan eil e air atharrachadh nuair a thèid am bonn a ghluasad. Ann an suidheachaidhean taigh-glainne air leth freagarrach bidh e a’ comharrachadh an deireadh PE- ceann-cinn an fhaidhle so-ghnìomhaichte. Ach, chan eil an stòr-dàta statach, faodaidh a luach atharrachadh, agus faodaidh rannsachadh airson fìor sheòladh an ainm-sgrìobhte a tha a dhìth, ged nach adhbharaich e thar-shruth caochlaideach, ùine mhòr a thoirt.
San dàrna àite, brìgh an ainm-sgrìobhte iWGK. Tha mi a 'smaoineachadh gu bheil e follaiseach gu bheil 4 bytes ro bheag airson a bhith cinnteach gu bheil iad gun samhail. Agus ma bheir thu aire don chiad phuing, tha an coltachd mearachd a dhèanamh gu math àrd.
Gu dearbh, tha a 'chriomag a tha a dhìth air a cheangal ri deireadh na chaidh a lorg roimhe bmp- dealbhan le chothromachadh 0xA1D0D.
Coileanadh Còd slige air a dhèanamh ann an dà ìre. Bidh a 'chiad fhear a' mìneachadh a 'phrìomh chorp. Anns a 'chùis seo, tha an iuchair air a dhearbhadh le feachd brùideil.
Dump am fear a chaidh a dhì-chrioptachadh Còd slige agus coimhead air na loidhnichean.
An toiseach, tha fios againn a-nis air a 'ghnìomh airson pròiseas pàiste a chruthachadh: Cruthaich pròiseas a-staigh W.
San dàrna h-àite, dh'fhàs sinn mothachail air an dòigh rèiteachaidh san t-siostam.
Rachamaid air ais chun phròiseas tùsail. Cuireamaid àite-briseadh air Cruthaich pròiseas a-staigh W agus lean an cur gu bàs. An uairsin chì sinn an ceangal NtGetContextThread/NtSetContextThread, a dh'atharraicheas an seòladh tòiseachaidh cur gu bàs chun an t-seòlaidh Còd Shell.
Bidh sinn a’ ceangal ris a’ phròiseas cruthaichte le debugger agus a’ cur an tachartais an gnìomh Cuir stad air luchdachadh / dì-luchdachadh leabharlann, ath-thòisich am pròiseas agus feitheamh ri luchdachadh .NET-leabharlainn.
Nas fhaide air a chleachdadh Pròiseas Hacker roinnean dump anns a bheil unpacked .NET-iarrtas.
Bidh sinn a’ stad a h-uile pròiseas agus a’ sguabadh às an leth-bhreac den malware a chaidh a stèidheachadh san t-siostam.
Tha am faidhle dumped air a dhìon le dìonadair .NET Reactor, a ghabhas toirt air falbh gu furasta le bhith a’ cleachdadh goireas dot 4.
A’ cleachdadh riaghailtean YARA a chaidh a sgrìobhadh na bu thràithe, nì sinn cinnteach gur e seo AgentTesla.
Leig leinn geàrr-chunntas a dhèanamh
Mar sin, sheall sinn gu mionaideach pròiseas dì-phapadh sampall leth-fèin-ghluasadach a’ cleachdadh trì mion-chùisean mar eisimpleir, agus rinn sinn mion-sgrùdadh cuideachd air malware stèidhichte air cùis làn-chuimseach, a’ faighinn a-mach gur e AgentTesla an sampall a tha fo sgrùdadh, a’ stèidheachadh a ghnìomhachd agus a liosta iomlan de chomharran co-rèiteachaidh.
Feumaidh mion-sgrùdadh air an rud droch-rùnach a rinn sinn tòrr ùine agus oidhirp, agus bu chòir an obair seo a bhith air a dhèanamh le neach-obrach sònraichte sa chompanaidh, ach chan eil a h-uile companaidh deiseil airson anailisiche fhastadh.
Tha aon de na seirbheisean a tha Saotharlann Foireansach Coimpiutaireachd agus Mion-sgrùdadh Còd Droch-mhì-chinnteach a’ toirt seachad mar fhreagairt do thachartasan saidhbear. Agus gus nach bi luchd-ceannach a’ caitheamh ùine a ’ceadachadh sgrìobhainnean agus a’ beachdachadh orra ann am meadhan ionnsaigh saidhbear, chuir Group-IB air bhog Neach-gleidhidh freagairt tachartas, seirbheis freagairt tachartas ro-chlàraidh a tha cuideachd a’ toirt a-steach ceum mion-sgrùdadh malware. Gheibhear tuilleadh fiosrachaidh mu dheidhinn seo
Ma tha thu airson sgrùdadh a dhèanamh a-rithist air mar a tha sampallan AgentTesla air an dì-phapadh agus faicinn mar a bhios eòlaiche CERT Group-IB ga dhèanamh, faodaidh tu an clàradh webinar air a’ chuspair seo a luchdachadh sìos
Source: www.habr.com