Thaum kawg ntawm lub Tsib Hlis, peb tau tshawb pom ib qho kev sib tw los faib cov chaw taws teeb nkag Trojan (RAT) malware-cov kev pab cuam uas tso cai rau cov neeg tawm tsam los tswj cov kab mob nyob deb.
Cov pab pawg uas peb tau tshuaj xyuas tau txawv ntawm qhov tseeb tias nws tsis tau xaiv ib tsev neeg RAT tshwj xeeb rau kev kis kab mob. Ob peb Trojans tau pom nyob rau hauv kev tawm tsam hauv kev sib tw (tag nrho cov uas muaj dav dav). Nrog rau qhov tshwj xeeb no, pab pawg ua rau peb nco txog tus huab tais nas - ib qho tsiaj mythical uas muaj cov nas nrog cov tails sib txuas.
Thawj yog muab los ntawm cov ntawv sau los ntawm K. N. Rossikov "Ntsuas thiab nas zoo li nas, qhov tseem ceeb tshaj plaws ntawm kev lag luam" (1908)
Nyob rau hauv kev hwm ntawm tus tsiaj no, peb hu ua pab pawg peb tab tom txiav txim siab RATKing. Hauv tsab ntawv tshaj tawm no, peb yuav nkag mus rau hauv cov ncauj lus kom ntxaws txog yuav ua li cas cov neeg tawm tsam tau tawm tsam, cov cuab yeej siv dab tsi, thiab tseem qhia peb cov kev xav txog kev ua haujlwm rau qhov phiaj xwm no.
Kev vam meej ntawm kev tawm tsam
Txhua qhov kev tawm tsam hauv qhov kev sib tw no tau tshwm sim raws li cov hauv qab no algorithm:
Tus neeg siv tau txais email phishing nrog qhov txuas mus rau Google Drive.
Siv qhov txuas, tus neeg raug tsim txom rub tawm cov ntawv tsis zoo VBS uas tau teev tseg lub tsev qiv ntawv DLL kom thauj khoom kawg rau hauv Windows sau npe thiab pib PowerShell los tua nws.
Lub tsev qiv ntawv DLL tau txhaj cov nyiaj them kawg nkaus - qhov tseeb, ib qho ntawm RATs siv los ntawm cov neeg tawm tsam - rau hauv cov txheej txheem txheej txheem thiab sau npe VBS tsab ntawv hauv autorun txhawm rau txhawm rau nce foothold hauv lub tshuab muaj kab mob.
Qhov kawg payload raug tua nyob rau hauv ib tug txheej txheem system thiab muab lub attacker lub peev xwm los tswj tus kab mob lub computer.
Schematically nws tuaj yeem sawv cev zoo li no:
Tom ntej no, peb yuav tsom mus rau thawj peb theem, txij li peb txaus siab rau cov khoom xa tuaj ntawm malware. Peb yuav tsis piav qhia meej txog cov txheej txheem ntawm kev ua haujlwm ntawm malware nws tus kheej. Lawv muaj dav - yog muag ntawm cov rooj sib tham tshwj xeeb, lossis txawm tias muab faib ua cov haujlwm qhib - thiab yog li ntawd tsis tshwj xeeb rau pawg RATKing.
Kev soj ntsuam ntawm cov theem tawm tsam
Theem 1. Phishing email
Kev tawm tsam pib nrog tus neeg raug tsim txom tau txais tsab ntawv phem (cov neeg tawm tsam siv cov qauv sib txawv nrog cov ntawv nyeem; lub screenshot hauv qab no qhia ib qho piv txwv). Cov lus muaj qhov txuas mus rau qhov chaw khaws ntaub ntawv raug cai drive.google.com, uas supposedly coj mus rau ib tug PDF ntaub ntawv download nplooj.
Phishing email piv txwv
Txawm li cas los xij, qhov tseeb, nws tsis yog cov ntaub ntawv PDF uas tau thauj khoom txhua, tab sis VBS tsab ntawv.
Thaum koj nyem rau ntawm qhov txuas los ntawm email hauv lub screenshot saum toj no, cov ntaub ntawv muaj npe Cargo Flight Details.vbs. Nyob rau hauv rooj plaub no, cov neeg tawm tsam tsis txawm sim ua kom zais cov ntaub ntawv raws li cov ntaub ntawv raug cai.
Nyob rau tib lub sijhawm, raws li ib feem ntawm qhov kev sib tw no, peb nrhiav tau ib tsab ntawv hu ua Cargo Trip Detail.pdf.vbs. Nws tuaj yeem dhau mus rau qhov raug cai PDF vim Windows zais cov ntaub ntawv txuas ntxiv los ntawm lub neej ntawd. Tseeb, nyob rau hauv cov ntaub ntawv no, kev xav tsis thoob tseem tuaj yeem tshwm sim los ntawm nws lub cim, uas sib raug rau VBS tsab ntawv.
Nyob rau theem no, tus neeg raug tsim txom tuaj yeem paub qhov kev dag ntxias: tsuas yog ua tib zoo saib cov ntaub ntawv rub tawm rau ib pliag. Txawm li cas los xij, hauv cov phiaj xwm phishing zoo li no, cov neeg tawm tsam feem ntau tso siab rau tus neeg siv tsis txaus siab lossis maj nrawm.
Theem 2. VBS tsab ntawv ua haujlwm
VBS tsab ntawv, uas tus neeg siv tuaj yeem qhib tsis tau, sau npe DLL lub tsev qiv ntawv hauv Windows sau npe. Tsab ntawv tau obfuscated: cov kab hauv nws tau sau ua bytes sib cais los ntawm tus cwj pwm arbitrary.
Piv txwv ntawm ib tsab ntawv obfuscated
Lub deobfuscation algorithm yog qhov yooj yim heev: txhua tus cim thib peb raug cais tawm ntawm txoj hlua obfuscated, tom qab ntawd cov txiaj ntsig tau txiav txim siab los ntawm base16 rau hauv cov hlua qub. Piv txwv li, los ntawm tus nqi 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (highlighted nyob rau hauv lub screenshot saum toj no) lub resulting kab yog WScript.Shell.
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
Hauv qab no, ntawm kab 9-10, peb qhia txog tus nqi uas nws deobfuscation ua rau DLL cov ntaub ntawv. Nws yog nws uas tau pib ua haujlwm tom ntej siv PowerShell.
Txoj hlua nrog obfuscated DLL
Txhua txoj haujlwm hauv VBS tsab ntawv raug tua raws li cov hlua tau deobfuscated.
Tom qab khiav cov ntawv, lub luag haujlwm tau hu ua wscript.sleep - nws tau siv los ua qhov kev txiav txim ncua sij hawm.
Tom ntej no, tsab ntawv ua haujlwm nrog Windows sau npe. Nws siv WMI thev naus laus zis rau qhov no. Nrog nws cov kev pab, tus yuam sij tshwj xeeb tau tsim, thiab lub cev ntawm cov ntaub ntawv ua tiav tau raug sau rau nws qhov ntsuas. Cov npe tau nkag los ntawm WMI siv cov lus txib hauv qab no:
Hauv daim ntawv decompiled, lub bootloader zoo li no:
Loader nyob rau hauv daim ntawv decompiled (qhov ua haujlwm uas ua tiav ntawm lub tsev qiv ntawv DLL pib yog kos hauv liab)
Lub bootloader tiv thaiv los ntawm .Net Reactor protector. Lub tshuab hluav taws xob de4dot ua haujlwm zoo heev ntawm kev tshem tus tiv thaiv no.
Qhov no loader:
txhaj cov payload rau hauv cov txheej txheem system (hauv qhov piv txwv no nws svchost.exe);
Kuv ntxiv VBS tsab ntawv rau autorun.
Payload txhaj tshuaj
Wb saib cov haujlwm uas PowerShell tsab ntawv hu ua.
Muaj nuj nqi hu ua PowerShell tsab ntawv
Txoj haujlwm no tau ua cov haujlwm hauv qab no:
decrypted ob txheej ntaub ntawv (array ΠΈ array2 hauv qhov screenshot). Lawv tau pib compressed siv gzip thiab encrypted nrog XOR algorithm nrog tus yuam sij xorKey;
theej cov ntaub ntawv rau faib cov chaw nco. Cov ntaub ntawv los ntawm array - mus rau qhov chaw nco taw tes rau intPtr (payload pointer nyob rau hauv lub screenshot); cov ntaub ntawv los ntawm array2 - mus rau qhov chaw nco taw tes rau intPtr2 (shellcode pointer nyob rau hauv lub screenshot);
hu ua function CallWindowProcA(cov lus piav qhia Cov haujlwm no muaj nyob rau ntawm Microsoft lub vev xaib) nrog rau cov kev txwv hauv qab no (cov npe ntawm cov tsis muaj npe hauv qab no, hauv lub screenshot lawv nyob hauv tib qho kev txiav txim, tab sis nrog cov txiaj ntsig ua haujlwm):
lpPrevWndFunc - pointer rau cov ntaub ntawv los ntawm array2;
Kom nkag siab tias qhov kev txhaj tshuaj tau ua li cas, peb decrypted cov ntaub ntawv arrays array ΠΈ array2. Txhawm rau ua qhov no peb siv Python ua haujlwm hauv qab no:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
Raws li qhov tshwm sim, peb pom tias:
array yog PE cov ntaub ntawv - qhov no yog qhov kawg them nyiaj;
array2 yog lub shellcode yuav tsum tau nqa tawm txhaj tshuaj.
Shellcode los ntawm ib qho array array2 dhau los ua tus nqi ua haujlwm lpPrevWndFunc rau hauv kev ua haujlwm CallWindowProcA. lpPrevWndFunc - callback muaj nuj nqi, nws cov qauv zoo li no:
Peb tsis tuaj yeem suav qhov kev tshaj tawm tsis zoo uas tau piav qhia rau txhua tus neeg tawm tsam paub. Txog tam sim no, peb ntseeg tias cov kev tawm tsam no tau ua los ntawm ib pab pawg tshiab. Raws li peb tau sau thaum pib, peb hu ua RATKing.
Txhawm rau tsim VBS tsab ntawv, pab pawg yuav siv cov cuab yeej zoo ib yam li cov khoom siv hluav taws xob VBS-Crypter los ntawm tus tsim tawm NYAN-x-CAT. Qhov no yog qhia los ntawm qhov zoo sib xws ntawm tsab ntawv uas qhov kev pab cuam no tsim nrog cov neeg tawm tsam tsab ntawv. Tshwj xeeb, lawv ob leeg:
ua ncua kev ua tiav siv cov haujlwm Sleep;
siv WMI;
sau npe lub cev ntawm cov ntaub ntawv executable raws li ib qho kev sau npe tseem ceeb parameter;
ua cov ntaub ntawv no siv PowerShell hauv nws qhov chaw nyob.
Kom meej meej, sib piv cov lus txib PowerShell kom khiav cov ntaub ntawv los ntawm kev sau npe, uas yog siv los ntawm tsab ntawv tsim siv VBS-Crypter: