ការ​ទទួល​បាន​បរាជ័យ៖ សូម​បង្ហាញ AgentTesla ឲ្យ​មាន​ទឹក​ស្អាត។ ផ្នែកទី 2

យើងបន្តស៊េរីអត្ថបទរបស់យើងដែលផ្តោតលើការវិភាគមេរោគ។ IN ដំបូង ជាផ្នែកមួយ យើងបានប្រាប់ពីរបៀបដែល Ilya Pomerantsev អ្នកឯកទេសវិភាគមេរោគនៅ CERT Group-IB បានធ្វើការវិភាគលម្អិតនៃឯកសារដែលទទួលបានតាមសំបុត្រពីក្រុមហ៊ុនមួយក្នុងចំណោមក្រុមហ៊ុនអ៊ឺរ៉ុប ហើយបានរកឃើញ spyware នៅទីនោះ។ ភ្នាក់ងារ Tesla. នៅក្នុងអត្ថបទនេះ Ilya ផ្តល់នូវលទ្ធផលនៃការវិភាគជាជំហាន ៗ នៃម៉ូឌុលមេ ភ្នាក់ងារ Tesla.

ភ្នាក់ងារ Tesla គឺ​ជា​កម្មវិធី​ចារកម្ម​ម៉ូឌុល​ដែល​បាន​ចែកចាយ​ដោយ​ប្រើ​គំរូ​សេវា​មេរោគ​ដែល​ស្ថិត​ក្រោម​ការ​បង្ហាញ​ពី​ផលិតផល​ដែល​ត្រូវ​បាន​គេ​លួច​ចូល​កូដ​ស្របច្បាប់។ ភ្នាក់ងារ Tesla មានសមត្ថភាពទាញយក និងបញ្ជូនព័ត៌មានសម្ងាត់របស់អ្នកប្រើប្រាស់ពីកម្មវិធីរុករកតាមអ៊ីនធឺណិត កម្មវិធីអ៊ីមែល និងម៉ាស៊ីនភ្ញៀវ FTP ទៅកាន់ម៉ាស៊ីនមេ ទៅកាន់អ្នកវាយប្រហារ កត់ត្រាទិន្នន័យក្ដារតម្បៀតខ្ទាស់ និងចាប់យកអេក្រង់ឧបករណ៍។ នៅពេលនៃការវិភាគ គេហទំព័រផ្លូវការរបស់អ្នកអភិវឌ្ឍន៍មិនអាចប្រើបានទេ។

ឯកសារកំណត់រចនាសម្ព័ន្ធ

តារាងខាងក្រោមរាយបញ្ជីមុខងារណាដែលអនុវត្តចំពោះគំរូដែលអ្នកកំពុងប្រើ៖

បរិយាយ	តម្លៃ
ទង់ការប្រើប្រាស់ KeyLogger	ជាការពិត
ទង់ការប្រើប្រាស់ ScreenLogger	មិនពិត
ការផ្ញើកំណត់ហេតុ KeyLogger ចន្លោះពេលជានាទី	20
ការបញ្ជូនកំណត់ហេតុ ScreenLogger ចន្លោះពេលប៉ុន្មាននាទី	20
ទង់ការគ្រប់គ្រងសោ Backspace ។ មិនពិត - កត់ត្រាតែប៉ុណ្ណោះ។ ពិត - លុបសោពីមុន	មិនពិត
ប្រភេទ CNC ។ ជម្រើស៖ smtp, webpanel, ftp	SMTP
ទង់ធ្វើឱ្យសកម្មខ្សែស្រឡាយសម្រាប់ការបញ្ចប់ដំណើរការពីបញ្ជី “%filter_list%”	មិនពិត
UAC បិទទង់ជាតិ	មិនពិត
កម្មវិធីគ្រប់គ្រងភារកិច្ចបិទទង់	មិនពិត
CMD បិទទង់	មិនពិត
ដំណើរការបង្អួចបិទទង់	មិនពិត
Registry Viewer បិទទង់	មិនពិត
បិទទង់ចំណុចស្ដារប្រព័ន្ធ	ជាការពិត
ផ្ទាំងបញ្ជាបិទទង់ជាតិ	មិនពិត
MSCONFIG បិទទង់ជាតិ	មិនពិត
ដាក់ទង់ដើម្បីបិទម៉ឺនុយបរិបទនៅក្នុង Explorer	មិនពិត
ទង់ជាតិ	មិនពិត
ផ្លូវសម្រាប់ចម្លងម៉ូឌុលមេ នៅពេលខ្ទាស់វាទៅប្រព័ន្ធ	%startupfolder% %insfolder%%insname%
ទង់សម្រាប់កំណត់គុណលក្ខណៈ "ប្រព័ន្ធ" និង "លាក់" សម្រាប់ម៉ូឌុលមេដែលបានកំណត់ទៅប្រព័ន្ធ	មិនពិត
ដាក់ទង់ដើម្បីដំណើរការការចាប់ផ្តើមឡើងវិញនៅពេលដែលបានខ្ទាស់ទៅប្រព័ន្ធ	មិនពិត
ដាក់ទង់សម្រាប់ផ្លាស់ទីម៉ូឌុលមេទៅថតបណ្តោះអាសន្ន	មិនពិត
UAC រំលងទង់ជាតិ	មិនពិត
ទម្រង់កាលបរិច្ឆេទ និងពេលវេលាសម្រាប់ការកត់ត្រា	yyyy-MM-dd HH:mm:ss
ដាក់ទង់សម្រាប់ប្រើតម្រងកម្មវិធីសម្រាប់ KeyLogger	ជាការពិត
ប្រភេទនៃតម្រងកម្មវិធី។ 1 - ឈ្មោះកម្មវិធីត្រូវបានស្វែងរកក្នុងចំណងជើងបង្អួច 2 - ឈ្មោះកម្មវិធីត្រូវបានរកមើលនៅក្នុងឈ្មោះដំណើរការបង្អួច	1
តម្រងកម្មវិធី	"ហ្វេសប៊ុក" "twitter" "gmail" "Instagram" "ភាពយន្ត" "skype" "សិច" "លួច" " whatsapp " "ជម្លោះ"

ការភ្ជាប់ម៉ូឌុលមេទៅប្រព័ន្ធ

ប្រសិនបើទង់ដែលត្រូវគ្នាត្រូវបានកំណត់ ម៉ូឌុលមេត្រូវបានចម្លងទៅផ្លូវដែលបានបញ្ជាក់ក្នុងការកំណត់ជាផ្លូវដែលត្រូវកំណត់ទៅប្រព័ន្ធ។

អាស្រ័យលើតម្លៃពីការកំណត់ ឯកសារត្រូវបានផ្តល់គុណលក្ខណៈ "លាក់" និង "ប្រព័ន្ធ" ។
Autorun ត្រូវបានផ្តល់ដោយសាខាចុះបញ្ជីចំនួនពីរ៖

• HKCU SoftwareMicrosoftWindowsCurrentVersionRun%insregname%
• HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %insregname%

ចាប់តាំងពីកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធចាក់ចូលទៅក្នុងដំណើរការ RegAsmការកំណត់ទង់ជាប់លាប់សម្រាប់ម៉ូឌុលមេនាំទៅរកផលវិបាកគួរឱ្យចាប់អារម្មណ៍ណាស់។ ជំនួសឱ្យការចម្លងខ្លួនវា មេរោគបានភ្ជាប់ឯកសារដើមទៅប្រព័ន្ធ RegAsm.exeក្នុងអំឡុងពេលដែលការចាក់ត្រូវបានអនុវត្ត។

អន្តរកម្មជាមួយ C&C

ដោយមិនគិតពីវិធីសាស្រ្តដែលបានប្រើ ការទំនាក់ទំនងបណ្តាញចាប់ផ្តើមជាមួយនឹងការទទួលបាន IP ខាងក្រៅរបស់ជនរងគ្រោះដោយប្រើធនធាន ពិនិត្យ[.]amazonaws[.]com/.
ខាងក្រោមនេះពិពណ៌នាអំពីវិធីសាស្រ្តអន្តរកម្មបណ្តាញដែលបានបង្ហាញនៅក្នុងកម្មវិធី។

ផ្ទាំងបណ្ដាញ

អន្តរកម្មកើតឡើងតាមរយៈពិធីការ HTTP ។ មេរោគដំណើរការសំណើ POST ដែលមានចំណងជើងខាងក្រោម៖

• ភ្នាក់ងារអ្នកប្រើប្រាស់៖ Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
• ការតភ្ជាប់៖ Keep-Alive
• ប្រភេទមាតិកា៖ application/x-www-form-urlencoded

អាសយដ្ឋានម៉ាស៊ីនមេត្រូវបានបញ្ជាក់ដោយតម្លៃ %PostURL%. សារដែលបានអ៊ិនគ្រីបត្រូវបានផ្ញើក្នុងប៉ារ៉ាម៉ែត្រ «ភី». យន្តការអ៊ិនគ្រីបត្រូវបានពិពណ៌នានៅក្នុងផ្នែក "ក្បួនដោះស្រាយការអ៊ិនគ្រីប" (វិធីទី 2).

សារដែលបានបញ្ជូនមើលទៅដូចនេះ៖

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}

ប៉ារ៉ាម៉ែត្រ ប្រភេទ បង្ហាញប្រភេទសារ៖

hwid - MD5 hash ត្រូវបានកត់ត្រាពីតម្លៃនៃ motherboard serial number និង processor ID។ ភាគច្រើនទំនងជាប្រើជាលេខសម្គាល់អ្នកប្រើប្រាស់។
ពេល - បម្រើដើម្បីបញ្ជូនពេលវេលានិងកាលបរិច្ឆេទបច្ចុប្បន្ន។
pcname - កំណត់ជា /.
ទិន្នន័យកំណត់ហេតុ - ទិន្នន័យកំណត់ហេតុ។

នៅពេលបញ្ជូនពាក្យសម្ងាត់ សារមើលទៅដូច៖

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]

ខាងក្រោមនេះគឺជាការពិពណ៌នាអំពីទិន្នន័យដែលលួចនៅក្នុងទម្រង់ nclient[]={0}nlink[]={1}ឈ្មោះអ្នកប្រើ[]={2}npassword[]={3}.

SMTP

អន្តរកម្មកើតឡើងតាមរយៈពិធីការ SMTP ។ លិខិតដែលបានបញ្ជូនគឺនៅក្នុងទម្រង់ HTML ។ ប៉ារ៉ាម៉ែត្រ តួអត្ថបទ មើល​ទៅ​ដូច​ជា:

ក្បាលសំបុត្រមានទម្រង់ទូទៅ៖ / . ខ្លឹមសារនៃសំបុត្រ ក៏ដូចជាឯកសារភ្ជាប់របស់វាមិនត្រូវបានអ៊ិនគ្រីបទេ។

អន្តរកម្មកើតឡើងតាមរយៈពិធីការ FTP ។ ឯកសារដែលមានឈ្មោះត្រូវបានផ្ទេរទៅម៉ាស៊ីនមេដែលបានបញ្ជាក់ _-_.html. មាតិកានៃឯកសារមិនត្រូវបានអ៊ិនគ្រីបទេ។

ក្បួនដោះស្រាយការអ៊ិនគ្រីប

ករណីនេះប្រើវិធីសាស្ត្រអ៊ិនគ្រីបខាងក្រោម៖

វិធីសាស្ត្រ 1

វិធីសាស្រ្តនេះត្រូវបានប្រើដើម្បីអ៊ិនគ្រីបខ្សែអក្សរនៅក្នុងម៉ូឌុលមេ។ ក្បួនដោះស្រាយដែលប្រើសម្រាប់ការអ៊ិនគ្រីបគឺ AES.

ការបញ្ចូលគឺជាលេខទសភាគប្រាំមួយខ្ទង់។ ការផ្លាស់ប្តូរខាងក្រោមត្រូវបានអនុវត្តលើវា៖

f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3

តម្លៃលទ្ធផលគឺជាសន្ទស្សន៍សម្រាប់អារេទិន្នន័យដែលបានបង្កប់។

ធាតុអារេនីមួយៗគឺជាលំដាប់ DWORD ។. នៅពេលបញ្ចូលគ្នា DWORD ។ អារេនៃបៃត្រូវបានទទួល៖ 32 បៃដំបូងគឺជាគន្លឹះនៃការអ៊ិនគ្រីប បន្ទាប់មក 16 បៃនៃវ៉ិចទ័រចាប់ផ្តើម ហើយបៃដែលនៅសល់គឺជាទិន្នន័យដែលបានអ៊ិនគ្រីប។

វិធីសាស្ត្រ 2

ក្បួនដោះស្រាយបានប្រើ 3DES នៅក្នុងរបៀប ECB ជាមួយ padding ជាបៃទាំងមូល (PKCS7).

គន្លឹះត្រូវបានបញ្ជាក់ដោយប៉ារ៉ាម៉ែត្រ %urlkey%ទោះយ៉ាងណាក៏ដោយ ការអ៊ិនគ្រីបប្រើប្រាស់ MD5 hash របស់វា។

មុខងារព្យាបាទ

គំរូដែលកំពុងសិក្សាប្រើកម្មវិធីខាងក្រោមដើម្បីអនុវត្តមុខងារព្យាបាទរបស់វា៖

អ្នកកាប់ឈើ

ប្រសិនបើមានទង់មេរោគដែលត្រូវគ្នាដោយប្រើមុខងារ WinAPI កំណត់ WindowsHookEx កំណត់កម្មវិធីគ្រប់គ្រងផ្ទាល់ខ្លួនរបស់វាសម្រាប់ព្រឹត្តិការណ៍ចុចគ្រាប់ចុចនៅលើក្តារចុច។ មុខងារដោះស្រាយចាប់ផ្តើមដោយទទួលបានចំណងជើងនៃបង្អួចសកម្ម។

ប្រសិនបើទង់តម្រងកម្មវិធីត្រូវបានកំណត់ តម្រងត្រូវបានអនុវត្តអាស្រ័យលើប្រភេទដែលបានបញ្ជាក់៖

1. ឈ្មោះកម្មវិធីត្រូវបានរកមើលនៅក្នុងចំណងជើងបង្អួច
2. ឈ្មោះកម្មវិធីត្រូវបានរកមើលនៅក្នុងឈ្មោះដំណើរការបង្អួច

បន្ទាប់មក កំណត់ត្រាមួយត្រូវបានបន្ថែមទៅក្នុងកំណត់ហេតុជាមួយនឹងព័ត៌មានអំពីបង្អួចសកម្មក្នុងទម្រង់៖

បន្ទាប់មកព័ត៌មានអំពីសោដែលបានចុចត្រូវបានកត់ត្រា៖

គន្លឹះ	ការកត់ត្រា
Backspace	អាស្រ័យលើទង់ដំណើរការសោ Backspace៖ មិនពិត – {BACK} ពិត - លុបសោពីមុន
សោ​រ​អក្សរ​ធំ	{សោ​រ​អក្សរ​ធំ}
គេច	{ESC}
គេហទំព័រ	{PageUp}
ចុះក្រោម	↓
លុប	{DEL}
"	"
F5	{F5}
&	និង
F10	{F10}
TAB	{TAB}
<	<
>	>
កន្លែងទំនេរ
F8	{F8}
F12	{F12}
F9	{F9}
អាល់ធី + ថេប	{ALT+TAB}
END	{END}
F4	{F4}
F2	{F2}
បញ្ជា	{CTRL}
F6	{F6}
ស្តាំ	→
Up	↑
F1	{F1}
ខាងឆ្វេង	←
ទំព័រចុះក្រោម	{PageDown}
បញ្ចូល	{បញ្ចូល}
ការទទួលជ័យជម្នះ	{ឈ្នះ}
លេខចាក់សោ	{NumLock}
F11	{F11}
F3	{F3}
ទំព័រដើម	{HOME}
ENTER	{ENTER}
ALT + F4	{ALT+F4}
F7	{F7}
គន្លឹះផ្សេងទៀត។	តួ​អក្សរ​គឺ​ជា​អក្សរ​ធំ ឬ​តូច អាស្រ័យ​លើ​ទីតាំង​នៃ​គ្រាប់ចុច CapsLock និង Shift

នៅប្រេកង់ដែលបានបញ្ជាក់ កំណត់ហេតុដែលប្រមូលបានត្រូវបានផ្ញើទៅម៉ាស៊ីនមេ។ ប្រសិនបើការផ្ទេរមិនជោគជ័យ កំណត់ហេតុត្រូវបានរក្សាទុកក្នុងឯកសារ %TEMP%log.tmp ក្នុងទម្រង់៖

នៅពេលដែលកម្មវិធីកំណត់ម៉ោងឆេះ ឯកសារនឹងត្រូវបានផ្ទេរទៅម៉ាស៊ីនមេ។

ScreenLogger

នៅប្រេកង់ដែលបានបញ្ជាក់ មេរោគបង្កើតរូបថតអេក្រង់ក្នុងទម្រង់ Jpeg ជាមួយនឹងអត្ថន័យ គុណភាព ស្មើនឹង 50 ហើយរក្សាទុកវាទៅក្នុងឯកសារមួយ។ %APPDATA %.jpg. បន្ទាប់ពីផ្ទេរឯកសារត្រូវបានលុប។

ក្តារតម្បៀតខ្ទាស់

ប្រសិនបើទង់សមស្របត្រូវបានកំណត់ ការជំនួសត្រូវបានធ្វើឡើងនៅក្នុងអត្ថបទស្ទាក់ចាប់យោងតាមតារាងខាងក្រោម។

បន្ទាប់ពីនេះ អត្ថបទត្រូវបានបញ្ចូលទៅក្នុងកំណត់ហេតុ៖

អ្នកលួចពាក្យសម្ងាត់

មេរោគអាចទាញយកពាក្យសម្ងាត់ពីកម្មវិធីខាងក្រោម៖

ប៊េរីសសេរៀ	អតិថិជនអ៊ីមែល	ម៉ាស៊ីនភ្ញៀវ FTP
កម្មវិធី Chrome	ទស្សនវិស័យ	FileZilla
របស់ Firefox	មយូរា	WS_FTP
IE/Edge	សំបុត្រ Fox	WinSCP
Safari	សំបុត្រល្ខោនអូប៉េរ៉ា	CoreFTP
កម្មវិធីរុករកល្ខោន	IncrediMail	កម្មវិធីរុករក FTP
Yandex	Pocomail	FlashFXP
Comodo	Eudora	SmartFTP
ChromePlus	បាត	FTPCommander
Chromium	ប្រអប់​សំបុត្រ
ឆ័ត្រ	ClawsMail
7Star
មិត្ត
កម្មវិធី Brave	អតិថិជន Jabber	អតិថិជន VPN
CentBrowser	Psi/Psi+	បើក VPN
ឆូត
កូកូកូ
កម្មវិធីរុករកធាតុ	កម្មវិធីគ្រប់គ្រងការទាញយក
កម្មវិធីរុករកភាពឯកជនវីរភាព	កម្មវិធីគ្រប់គ្រងអ៊ីនធឺណិតទាញយក
កូមេតា	JDownloader ។
អ័រដុម
Sputnik
uCozMedia
Vivaldi
SeaMonkey
Flock Browser
កម្មវិធីរុករកយូស៊ី
ស្ទាំង​ព​ណ៍​ខ្មៅ
CyberFox
ខេមីលតុន
ឆ្មាទឹកកក
នាគទឹកកក
ផាលម៉ុន
WaterFox
កម្មវិធីរុករក Falkon

ការប្រឆាំងទៅនឹងការវិភាគថាមវន្ត

• ការប្រើប្រាស់មុខងារ ការគេង. អនុញ្ញាតឱ្យអ្នករំលងប្រអប់ខ្សាច់មួយចំនួនដោយអស់ពេល
• បំផ្លាញខ្សែស្រឡាយ ឧបករណ៍កំណត់តំបន់. អនុញ្ញាតឱ្យអ្នកលាក់ការពិតនៃការទាញយកឯកសារពីអ៊ីនធឺណិត
• នៅក្នុងប៉ារ៉ាម៉ែត្រ %filter_list% បញ្ជាក់បញ្ជីនៃដំណើរការដែលមេរោគនឹងបញ្ចប់នៅចន្លោះពេលមួយវិនាទី
• ផ្ដាច់ UAC
• បិទកម្មវិធីគ្រប់គ្រងភារកិច្ច
• ផ្ដាច់ CMD
• ការបិទបង្អួច Выполнить»
• ការបិទផ្ទាំងបញ្ជា
• ការបិទឧបករណ៍ RegEdit
• បិទចំណុចស្ដារប្រព័ន្ធ
• បិទម៉ឺនុយបរិបទនៅក្នុង Explorer
• ផ្ដាច់ MSCONFIG ។
• ផ្លូវវាង UAC:

លក្ខណៈអសកម្មនៃម៉ូឌុលមេ

ក្នុងអំឡុងពេលនៃការវិភាគនៃម៉ូឌុលមេ មុខងារត្រូវបានគេកំណត់អត្តសញ្ញាណដែលទទួលខុសត្រូវចំពោះការរីករាលដាលនៃបណ្តាញ និងតាមដានទីតាំងរបស់កណ្តុរ។

មេរោគ Worm

ព្រឹត្តិការណ៍សម្រាប់ភ្ជាប់មេឌៀចល័តត្រូវបានត្រួតពិនិត្យនៅក្នុងខ្សែស្រឡាយដាច់ដោយឡែកមួយ។ នៅពេលភ្ជាប់ មេរោគដែលមានឈ្មោះត្រូវបានចម្លងទៅ root នៃប្រព័ន្ធឯកសារ scr.exeបន្ទាប់ពីនោះវាស្វែងរកឯកសារដែលមានផ្នែកបន្ថែម lnk. ក្រុមរបស់អ្នករាល់គ្នា lnk ការផ្លាស់ប្តូរទៅ cmd.exe /c ចាប់ផ្តើម scr.exe&ចាប់ផ្តើម & ចេញ.

ថតនីមួយៗនៅឫសនៃប្រព័ន្ធផ្សព្វផ្សាយត្រូវបានផ្តល់គុណលក្ខណៈមួយ។ "លាក់" ហើយឯកសារមួយត្រូវបានបង្កើតជាមួយផ្នែកបន្ថែម lnk ជាមួយ​នឹង​ឈ្មោះ​នៃ​ថត​ដែល​បាន​លាក់​និង​ពាក្យ​បញ្ជា​ cmd.exe /c ចាប់ផ្តើម scr.exe&explorer /root,"%CD%" & ចេញ.

កម្មវិធីតាមដានកណ្តុរ

វិធីសាស្រ្តសម្រាប់អនុវត្តការស្ទាក់ចាប់គឺស្រដៀងនឹងអ្វីដែលប្រើសម្រាប់ក្តារចុច។ មុខងារនេះនៅតែស្ថិតក្រោមការអភិវឌ្ឍន៍។

សកម្មភាពឯកសារ

ផ្លូវ	បរិយាយ
%temp%temp.tmp	មានបញ្ជរសម្រាប់ការប៉ុនប៉ងរំលង UAC
%startupfolder%%insfolder%%insname%	ផ្លូវដែលត្រូវកំណត់ទៅប្រព័ន្ធ HPE
%Temp%tmpG{ពេលវេលាបច្ចុប្បន្នគិតជាមិល្លីវិនាទី}.tmp	ផ្លូវសម្រាប់ការបម្រុងទុកនៃម៉ូឌុលមេ
%Temp%log.tmp	ឯកសារកំណត់ហេតុ
%AppData%{លំដាប់បំពាននៃ 10 តួអក្សរ}.jpeg	រូបថតអេក្រង់
C:UsersPublic{លំដាប់បំពាននៃ 10 តួអក្សរ}.vbs	ផ្លូវទៅកាន់ឯកសារ vbs ដែលកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធអាចប្រើដើម្បីភ្ជាប់ទៅប្រព័ន្ធ
%Temp%{ឈ្មោះថតផ្ទាល់ខ្លួន}{ឈ្មោះឯកសារ}	ផ្លូវដែលប្រើដោយកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធដើម្បីភ្ជាប់ខ្លួនវាទៅប្រព័ន្ធ

ប្រវត្តិរូបអ្នកវាយប្រហារ

សូមអរគុណចំពោះទិន្នន័យការផ្ទៀងផ្ទាត់ដោយ hardcode យើងអាចទទួលបានសិទ្ធិចូលទៅកាន់មជ្ឈមណ្ឌលបញ្ជា។

វាអនុញ្ញាតឱ្យយើងកំណត់អត្តសញ្ញាណអ៊ីមែលចុងក្រោយរបស់អ្នកវាយប្រហារ៖

Junaid[.]in ***@gmail[.]com.

ឈ្មោះដែននៃមជ្ឈមណ្ឌលបញ្ជាត្រូវបានចុះឈ្មោះទៅសំបុត្រ sg***@gmail[.]com.

សេចក្តីសន្និដ្ឋាន

ក្នុងអំឡុងពេលនៃការវិភាគលម្អិតនៃមេរោគដែលប្រើក្នុងការវាយប្រហារ យើងអាចបង្កើតមុខងាររបស់វា និងទទួលបានបញ្ជីពេញលេញបំផុតនៃសូចនាករនៃការសម្របសម្រួលដែលទាក់ទងនឹងករណីនេះ។ ការយល់ដឹងអំពីយន្តការនៃអន្តរកម្មបណ្តាញរវាងមេរោគបានធ្វើឱ្យវាអាចធ្វើទៅបានដើម្បីផ្តល់នូវអនុសាសន៍សម្រាប់ការកែតម្រូវប្រតិបត្តិការនៃឧបករណ៍សុវត្ថិភាពព័ត៌មាន ក៏ដូចជាការសរសេរច្បាប់ IDS ដែលមានស្ថេរភាព។

គ្រោះថ្នាក់ចម្បង ភ្នាក់ងារ Tesla ដូចជា DataStealer ក្នុងការដែលវាមិនចាំបាច់ ប្តេជ្ញាចិត្តចំពោះប្រព័ន្ធ ឬរង់ចាំពាក្យបញ្ជាបញ្ជា ដើម្បីបំពេញភារកិច្ចរបស់វា។ នៅពេលដែលនៅលើម៉ាស៊ីន វាចាប់ផ្តើមប្រមូលព័ត៌មានឯកជនភ្លាមៗ ហើយផ្ទេរវាទៅ CnC ។ អាកប្បកិរិយាឈ្លានពាននេះគឺនៅក្នុងវិធីមួយចំនួនដែលស្រដៀងទៅនឹងអាកប្បកិរិយារបស់ ransomware ជាមួយនឹងភាពខុសគ្នាតែមួយគត់គឺថាក្រោយមកទៀតមិនតម្រូវឱ្យមានការតភ្ជាប់បណ្តាញ។ ប្រសិនបើអ្នកជួបប្រទះក្រុមគ្រួសារនេះ បន្ទាប់ពីសម្អាតប្រព័ន្ធមេរោគពីមេរោគដោយខ្លួនឯង អ្នកពិតជាគួរតែផ្លាស់ប្តូរពាក្យសម្ងាត់ទាំងអស់ដែលអាច យ៉ាងហោចណាស់តាមទ្រឹស្តី ត្រូវបានរក្សាទុកនៅក្នុងកម្មវិធីមួយក្នុងចំណោមកម្មវិធីដែលបានរាយខាងលើ។

សម្លឹងទៅមុខ ចូរនិយាយថាអ្នកវាយប្រហារបញ្ជូន ភ្នាក់ងារ Teslaកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធដំបូងត្រូវបានផ្លាស់ប្តូរជាញឹកញាប់។ នេះអនុញ្ញាតឱ្យអ្នកនៅតែមិនមាននរណាកត់សម្គាល់ដោយម៉ាស៊ីនស្កេនឋិតិវន្ត និងឧបករណ៍វិភាគ heuristic នៅពេលវាយប្រហារ។ ហើយទំនោរនៃគ្រួសារនេះក្នុងការចាប់ផ្តើមសកម្មភាពរបស់ពួកគេភ្លាមៗ ធ្វើឱ្យការត្រួតពិនិត្យប្រព័ន្ធគ្មានប្រយោជន៍។ មធ្យោបាយដ៏ល្អបំផុតដើម្បីប្រយុទ្ធប្រឆាំងនឹង AgentTesla គឺការវិភាគបឋមនៅក្នុងប្រអប់ខ្សាច់។

នៅក្នុងអត្ថបទទីបីនៃស៊េរីនេះ យើងនឹងពិនិត្យមើលកម្មវិធីចាប់ផ្ដើមប្រព័ន្ធផ្សេងទៀតដែលបានប្រើ ភ្នាក់ងារ Teslaហើយក៏សិក្សាពីដំណើរការនៃការវេចខ្ចប់ពាក់កណ្តាលស្វ័យប្រវត្តិរបស់ពួកគេ។ កុំនឹក!

ហាស់

SHA1

A8C2765B3D655BA23886D663D22BDD8EF6E8E894

8010CC2AF398F9F951555F7D481CE13DF60BBECF

79B445DE923C92BF378B19D12A309C0E9C5851BF

15839B7AB0417FA35F2858722F0BD47BDF840D62

1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD

ស៊ី & ស៊ី

URL

sina-c0m[.]icu

smtp[.]sina-c0m[.]icu

RegKey

ចុះបញ្ជី

HKCUSoftwareMicrosoftWindowsCurrentVersionRun{ឈ្មោះស្គ្រីប}

HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname%

HKCUSOFTWAREMicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%insregname%

Mutex

មិនមានសូចនាករទេ។

ឯកសារ

សកម្មភាពឯកសារ

%temp%temp.tmp

%startupfolder%%insfolder%%insname%

%Temp%tmpG{ពេលវេលាបច្ចុប្បន្នគិតជាមិល្លីវិនាទី}.tmp

%Temp%log.tmp

%AppData%{លំដាប់បំពាននៃ 10 តួអក្សរ}.jpeg

C:UsersPublic{លំដាប់បំពាននៃ 10 តួអក្សរ}.vbs

%Temp%{ឈ្មោះថតផ្ទាល់ខ្លួន}{ឈ្មោះឯកសារ}

ព័ត៌មានគំរូ

ឈ្មោះ	មិនស្គាល់
MD5	F7722DD8660B261EA13B710062B59C43
SHA1	15839B7AB0417FA35F2858722F0BD47BDF840D62
SHA256	41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9
ប្រភេទ	PE (.NET)
ទំហំ	327680
ឈ្មោះដើម	AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe
ត្រាកាលបរិច្ឆេទ	01.07.2019
អ្នកចងក្រង	VB.NET ។

ឈ្មោះ	IELibrary.dll
MD5	BFB160A89F4A607A60464631ED3ED9FD
SHA1	1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD
SHA256	D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE
ប្រភេទ	PE (.NET DLL)
ទំហំ	16896
ឈ្មោះដើម	IELibrary.dll
ត្រាកាលបរិច្ឆេទ	11.10.2016
អ្នកចងក្រង	Microsoft Linker (48.0*)

ប្រភព: www.habr.com