ಮಾರ್ಚ್ 2019 ರಲ್ಲಿ, ಸೈಬರ್ ಗುಂಪಿನ OceanLotus ನಿಂದ MacOS ಮಾಲ್ವೇರ್ನ ಹೊಸ ಮಾದರಿಯನ್ನು ಜನಪ್ರಿಯ ಆನ್ಲೈನ್ ಸ್ಕ್ಯಾನಿಂಗ್ ಸೇವೆಯಾದ VirusTotal ಗೆ ಅಪ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ. ಬ್ಯಾಕ್ಡೋರ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ ನಾವು ಅಧ್ಯಯನ ಮಾಡಿದ ಮ್ಯಾಕೋಸ್ ಮಾಲ್ವೇರ್ನ ಹಿಂದಿನ ಆವೃತ್ತಿಯಂತೆಯೇ ಅದೇ ಸಾಮರ್ಥ್ಯಗಳನ್ನು ಹೊಂದಿದೆ, ಆದರೆ ಅದರ ರಚನೆಯು ಬದಲಾಗಿದೆ ಮತ್ತು ಅದನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಹೆಚ್ಚು ಕಷ್ಟಕರವಾಗಿದೆ. ದುರದೃಷ್ಟವಶಾತ್, ಈ ಮಾದರಿಯೊಂದಿಗೆ ಸಂಯೋಜಿತವಾಗಿರುವ ಡ್ರಾಪರ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯಲು ನಮಗೆ ಸಾಧ್ಯವಾಗಲಿಲ್ಲ, ಆದ್ದರಿಂದ ನಮಗೆ ಇನ್ನೂ ಸೋಂಕಿನ ವೆಕ್ಟರ್ ತಿಳಿದಿಲ್ಲ.
ನಾವು ಇತ್ತೀಚೆಗೆ ಪ್ರಕಟಿಸಿದ್ದೇವೆ ಮತ್ತು ಆಪರೇಟರ್ಗಳು ನಿರಂತರತೆಯನ್ನು ಒದಗಿಸಲು, ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ವೇಗಗೊಳಿಸಲು ಮತ್ತು ವಿಂಡೋಸ್ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಹೆಜ್ಜೆಗುರುತನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಹೇಗೆ ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದಾರೆ. ಈ ಸೈಬರ್ ಗುಂಪು ಮ್ಯಾಕೋಸ್ಗಾಗಿ ಒಂದು ಘಟಕವನ್ನು ಸಹ ಹೊಂದಿದೆ ಎಂದು ತಿಳಿದಿದೆ. ಈ ಪೋಸ್ಟ್ ಹಿಂದಿನ ಆವೃತ್ತಿಗೆ ಹೋಲಿಸಿದರೆ MacOS ಗಾಗಿ ಮಾಲ್ವೇರ್ನ ಹೊಸ ಆವೃತ್ತಿಯಲ್ಲಿನ ಬದಲಾವಣೆಗಳನ್ನು ವಿವರಿಸುತ್ತದೆ (), ಮತ್ತು IDA ಹೆಕ್ಸ್-ರೇಸ್ API ಬಳಸಿಕೊಂಡು ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ ನೀವು ತಂತಿಗಳ ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಹೇಗೆ ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಬಹುದು ಎಂಬುದನ್ನು ವಿವರಿಸುತ್ತದೆ.
ಅನಾಲಿಜ
ಮುಂದಿನ ಮೂರು ಭಾಗಗಳು SHA-1 ಹ್ಯಾಶ್ನೊಂದಿಗೆ ಮಾದರಿಯ ವಿಶ್ಲೇಷಣೆಯನ್ನು ವಿವರಿಸುತ್ತದೆ E615632C9998E4D3E5ACD8851864ED09B02C77D2. ಫೈಲ್ ಅನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ ಬ್ಯಾಟರಿ ಬೆಳಕು, ESET ಆಂಟಿವೈರಸ್ ಉತ್ಪನ್ನಗಳು ಇದನ್ನು OSX/OceanLotus.D ಎಂದು ಪತ್ತೆ ಮಾಡುತ್ತವೆ.
ವಿರೋಧಿ ಡೀಬಗ್ ಮಾಡುವಿಕೆ ಮತ್ತು ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ರಕ್ಷಣೆ
ಎಲ್ಲಾ macOS OceanLotus ಬೈನರಿಗಳಂತೆ, ಮಾದರಿಯು UPX ನೊಂದಿಗೆ ಪ್ಯಾಕ್ ಮಾಡಲ್ಪಟ್ಟಿದೆ, ಆದರೆ ಹೆಚ್ಚಿನ ಪ್ಯಾಕೇಸರ್ ಗುರುತಿಸುವಿಕೆ ಉಪಕರಣಗಳು ಅದನ್ನು ಗುರುತಿಸುವುದಿಲ್ಲ. ಇದು ಬಹುಶಃ "UPX" ಸ್ಟ್ರಿಂಗ್ನ ಉಪಸ್ಥಿತಿಯ ಮೇಲೆ ಅವಲಂಬಿತವಾದ ಸಹಿಯನ್ನು ಒಳಗೊಂಡಿರುವ ಕಾರಣ, ಜೊತೆಗೆ, Mach-O ಸಹಿಗಳು ಕಡಿಮೆ ಸಾಮಾನ್ಯವಾಗಿದೆ ಮತ್ತು ಆಗಾಗ್ಗೆ ನವೀಕರಿಸಲಾಗುವುದಿಲ್ಲ. ಈ ವೈಶಿಷ್ಟ್ಯವು ಸ್ಥಿರ ಪತ್ತೆಯನ್ನು ಕಷ್ಟಕರವಾಗಿಸುತ್ತದೆ. ಕುತೂಹಲಕಾರಿಯಾಗಿ, ಅನ್ಪ್ಯಾಕ್ ಮಾಡಿದ ನಂತರ, ಪ್ರವೇಶ ಬಿಂದುವು ವಿಭಾಗದ ಆರಂಭದಲ್ಲಿದೆ __cfstring ವಿಭಾಗದಲ್ಲಿ .TEXT. ಕೆಳಗಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ಈ ವಿಭಾಗವು ಫ್ಲ್ಯಾಗ್ ಗುಣಲಕ್ಷಣಗಳನ್ನು ಹೊಂದಿದೆ.
ಚಿತ್ರ 1. MACH-O __cfstring ವಿಭಾಗದ ಗುಣಲಕ್ಷಣಗಳು
ಚಿತ್ರ 2 ರಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ, ವಿಭಾಗದಲ್ಲಿನ ಕೋಡ್ ಸ್ಥಳಗಳು __cfstring ಕೋಡ್ ಅನ್ನು ತಂತಿಗಳಾಗಿ ಪ್ರದರ್ಶಿಸುವ ಮೂಲಕ ಕೆಲವು ಡಿಸ್ಅಸೆಂಬಲ್ ಸಾಧನಗಳನ್ನು ಮೋಸಗೊಳಿಸಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
ಚಿತ್ರ 2. ಬ್ಯಾಕ್ಡೋರ್ ಕೋಡ್ ಅನ್ನು IDA ಯಿಂದ ಡೇಟಾದಂತೆ ಪತ್ತೆಹಚ್ಚಲಾಗಿದೆ
ಒಮ್ಮೆ ಕಾರ್ಯಗತಗೊಳಿಸಿದ ನಂತರ, ಬೈನರಿಯು ಆಂಟಿ-ಡೀಬಗರ್ ಆಗಿ ಥ್ರೆಡ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ, ಇದರ ಏಕೈಕ ಉದ್ದೇಶವು ಡೀಬಗರ್ ಇರುವಿಕೆಯನ್ನು ನಿರಂತರವಾಗಿ ಪರಿಶೀಲಿಸುವುದು. ಈ ಹರಿವಿಗೆ:
- ಯಾವುದೇ ಡೀಬಗರ್ ಅನ್ನು ಅನ್ಹುಕ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ, ಕರೆ ಮಾಡುತ್ತಿದೆ ptrace с PT_DENY_ATTACH ವಿನಂತಿಯ ನಿಯತಾಂಕವಾಗಿ
- ಕಾರ್ಯವನ್ನು ಕರೆಯುವ ಮೂಲಕ ಕೆಲವು ವಿಶೇಷ ಪೋರ್ಟ್ಗಳು ತೆರೆದಿವೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ task_get_exception_ports
- ಧ್ವಜದ ಉಪಸ್ಥಿತಿಯನ್ನು ಪರಿಶೀಲಿಸುವ ಮೂಲಕ ಕೆಳಗಿನ ಚಿತ್ರದಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ಡೀಬಗರ್ ಸಂಪರ್ಕಗೊಂಡಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ P_TRACED ಪ್ರಸ್ತುತ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ
ಚಿತ್ರ 3. sysctl ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಡೀಬಗರ್ ಸಂಪರ್ಕವನ್ನು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ
ವಾಚ್ಡಾಗ್ ಡೀಬಗರ್ ಇರುವಿಕೆಯನ್ನು ಪತ್ತೆ ಮಾಡಿದರೆ, ಕಾರ್ಯವನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ exit. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮಾದರಿಯು ಎರಡು ಆಜ್ಞೆಗಳನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ ಪರಿಸರವನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ:
ioreg -l | grep -e "Manufacturer" и sysctl hw.model
ತಿಳಿದಿರುವ ವರ್ಚುವಲೈಸೇಶನ್ ಸಿಸ್ಟಮ್ಗಳಿಂದ ಹಾರ್ಡ್-ಕೋಡೆಡ್ ಸ್ಟ್ರಿಂಗ್ಗಳ ಪಟ್ಟಿಯ ವಿರುದ್ಧ ಮಾದರಿಯು ಹಿಂತಿರುಗುವ ಮೌಲ್ಯವನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ: ಅಕ್ಕಲು, vmware, ವರ್ಚುವಲ್ಬಾಕ್ಸ್ ಅಥವಾ ಸಮಾಂತರ. ಅಂತಿಮವಾಗಿ, ಮುಂದಿನ ಆಜ್ಞೆಯು ಯಂತ್ರವು ಈ ಕೆಳಗಿನ "MBP", "MBA", "MB", "MM", "IM", "MP" ಮತ್ತು "XS" ಗಳಲ್ಲಿ ಒಂದಾಗಿದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಇವು ಸಿಸ್ಟಂ ಮಾದರಿ ಸಂಕೇತಗಳಾಗಿವೆ, ಉದಾಹರಣೆಗೆ, "MBP" ಎಂದರೆ ಮ್ಯಾಕ್ಬುಕ್ ಪ್ರೊ, "MBA" ಎಂದರೆ ಮ್ಯಾಕ್ಬುಕ್ ಏರ್, ಇತ್ಯಾದಿ.
system_profiler SPHardwareDataType 2>/dev/null | awk '/Boot ROM Version/ {split($0, line, ":");printf("%s", line[2]);}
ಮುಖ್ಯ ಸೇರ್ಪಡೆಗಳು
ಟ್ರೆಂಡ್ ಮೈಕ್ರೋನ ಸಂಶೋಧನೆಯ ನಂತರ ಹಿಂಬಾಗಿಲ ಆಜ್ಞೆಗಳು ಬದಲಾಗಿಲ್ಲವಾದರೂ, ನಾವು ಕೆಲವು ಇತರ ಮಾರ್ಪಾಡುಗಳನ್ನು ಗಮನಿಸಿದ್ದೇವೆ. ಈ ಮಾದರಿಯಲ್ಲಿ ಬಳಸಲಾದ C&C ಸರ್ವರ್ಗಳು ಸಾಕಷ್ಟು ಹೊಸದಾಗಿವೆ ಮತ್ತು 22.10.2018/XNUMX/XNUMX ರಂದು ರಚಿಸಲಾಗಿದೆ.
- daff.faybilodeau[.]com
- sarc.onteagleroad[.]com
- au.charlineopkesston[.]com
ಸಂಪನ್ಮೂಲ URL ಗೆ ಬದಲಾಗಿದೆ /dp/B074WC4NHW/ref=gbps_img_m-9_62c3_750e6b35.
C&C ಸರ್ವರ್ಗೆ ಕಳುಹಿಸಲಾದ ಮೊದಲ ಪ್ಯಾಕೆಟ್ ಕೆಳಗಿನ ಕೋಷ್ಟಕದಲ್ಲಿನ ಆಜ್ಞೆಗಳಿಂದ ಸಂಗ್ರಹಿಸಲಾದ ಎಲ್ಲಾ ಡೇಟಾವನ್ನು ಒಳಗೊಂಡಂತೆ ಹೋಸ್ಟ್ ಯಂತ್ರದ ಕುರಿತು ಹೆಚ್ಚಿನ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ.
ಈ ಕಾನ್ಫಿಗರೇಶನ್ ಬದಲಾವಣೆಗೆ ಹೆಚ್ಚುವರಿಯಾಗಿ, ಮಾದರಿಯು ನೆಟ್ವರ್ಕ್ ಫಿಲ್ಟರಿಂಗ್ಗಾಗಿ ಲೈಬ್ರರಿಯನ್ನು ಬಳಸುವುದಿಲ್ಲ , ಆದರೆ ಬಾಹ್ಯ ಗ್ರಂಥಾಲಯ. ಅದನ್ನು ಹುಡುಕಲು, ಹಿಂಬಾಗಿಲು ಪ್ರಸ್ತುತ ಡೈರೆಕ್ಟರಿಯಲ್ಲಿರುವ ಪ್ರತಿ ಫೈಲ್ ಅನ್ನು ಕೀಲಿಯೊಂದಿಗೆ AES-256-CBC ಬಳಸಿಕೊಂಡು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ gFjMXBgyXWULmVVVzyxy, ಸೊನ್ನೆಗಳೊಂದಿಗೆ ಪ್ಯಾಡ್ ಮಾಡಲಾಗಿದೆ. ಪ್ರತಿ ಫೈಲ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಉಳಿಸಲಾಗಿದೆ /tmp/store, ಮತ್ತು ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಅದನ್ನು ಗ್ರಂಥಾಲಯವಾಗಿ ಲೋಡ್ ಮಾಡುವ ಪ್ರಯತ್ನವನ್ನು ಮಾಡಲಾಗುತ್ತದೆ . ಡೀಕ್ರಿಪ್ಶನ್ ಪ್ರಯತ್ನವು ಯಶಸ್ವಿ ಕರೆಗೆ ಕಾರಣವಾದಾಗ dlopen, ಹಿಂಬಾಗಿಲು ರಫ್ತು ಮಾಡಿದ ಕಾರ್ಯಗಳನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ Boriry и ChadylonV, ಇದು ಸರ್ವರ್ನೊಂದಿಗೆ ನೆಟ್ವರ್ಕ್ ಸಂವಹನಕ್ಕೆ ಸ್ಪಷ್ಟವಾಗಿ ಕಾರಣವಾಗಿದೆ. ಮಾದರಿಯ ಮೂಲ ಸ್ಥಳದಿಂದ ಡ್ರಾಪರ್ ಅಥವಾ ಇತರ ಫೈಲ್ಗಳನ್ನು ನಾವು ಹೊಂದಿಲ್ಲ, ಆದ್ದರಿಂದ ನಾವು ಈ ಲೈಬ್ರರಿಯನ್ನು ಪಾರ್ಸ್ ಮಾಡಲು ಸಾಧ್ಯವಿಲ್ಲ. ಇದಲ್ಲದೆ, ಘಟಕವು ಎನ್ಕ್ರಿಪ್ಟ್ ಆಗಿರುವುದರಿಂದ, ಈ ತಂತಿಗಳನ್ನು ಆಧರಿಸಿದ YARA ನಿಯಮವು ಡಿಸ್ಕ್ನಲ್ಲಿ ಕಂಡುಬರುವ ಫೈಲ್ಗೆ ಹೊಂದಿಕೆಯಾಗುವುದಿಲ್ಲ.
ಮೇಲಿನ ಲೇಖನದಲ್ಲಿ ವಿವರಿಸಿದಂತೆ, ಅದು ರಚಿಸುತ್ತದೆ ಕ್ಲೈಂಟ್ ಐಡಿ. ಈ ID ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಗಳಲ್ಲಿ ಒಂದರ ರಿಟರ್ನ್ ಮೌಲ್ಯದ MD5 ಹ್ಯಾಶ್ ಆಗಿದೆ:
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformSerialNumber/ { split($0, line, """); printf("%s", line[4]); }'
- ioreg -rd1 -c IOPlatformExpertDevice | awk '/IOPlatformUUID/ { split($0, line, """); printf("%s", line[4]); }'
- ifconfig en0 | awk '/ether /{print $2}' (MAC ವಿಳಾಸವನ್ನು ಪಡೆಯಿರಿ)
- ಅಪರಿಚಿತ ತಂಡ ("x1ex72x0a"), ಇದನ್ನು ಹಿಂದಿನ ಮಾದರಿಗಳಲ್ಲಿ ಬಳಸಲಾಗುತ್ತದೆ
ಹ್ಯಾಶಿಂಗ್ ಮಾಡುವ ಮೊದಲು, ರೂಟ್ ಸವಲತ್ತುಗಳನ್ನು ಸೂಚಿಸಲು ರಿಟರ್ನ್ ಮೌಲ್ಯಕ್ಕೆ "0" ಅಥವಾ "1" ಅನ್ನು ಸೇರಿಸಲಾಗುತ್ತದೆ. ಈ ಕ್ಲೈಂಟ್ ಐಡಿ ಸಂಗ್ರಹಿಸಲಾಗಿದೆ /Library/Storage/File System/HFS/25cf5d02-e50b-4288-870a-528d56c3cf6e/pivtoken.appex, ಕೋಡ್ ಅನ್ನು ರೂಟ್ನಂತೆ ರನ್ ಮಾಡಿದರೆ ಅಥವಾ ~/ಲೈಬ್ರರಿ/ಸ್ಮಾರ್ಟ್ಕಾರ್ಡ್ಗಳು ಸೇವೆಗಳು/ತಂತ್ರಜ್ಞಾನ/ಪ್ಲಗ್ಇನ್ಗಳು/ಡ್ರೈವರ್ಗಳು/ಸ್ನಿಪ್ಪೆಟ್ಸ್.ಇಸಿಜಿಎಂಎಲ್ನಲ್ಲಿ ಎಲ್ಲಾ ಇತರ ಸಂದರ್ಭಗಳಲ್ಲಿ. ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಫೈಲ್ ಅನ್ನು ಸಾಮಾನ್ಯವಾಗಿ ಮರೆಮಾಡಲಾಗಿದೆ , ಅದರ ಟೈಮ್ಸ್ಟ್ಯಾಂಪ್ ಅನ್ನು ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಬದಲಾಯಿಸಲಾಗುತ್ತದೆ touch –t ಯಾದೃಚ್ಛಿಕ ಮೌಲ್ಯದೊಂದಿಗೆ.
ಡಿಕೋಡಿಂಗ್ ತಂತಿಗಳು
ಹಿಂದಿನ ಆಯ್ಕೆಗಳಂತೆ, ತಂತಿಗಳನ್ನು AES-256-CBC ಬಳಸಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ (ಹೆಕ್ಸಾಡೆಸಿಮಲ್ ಕೀ: 9D7274AD7BCEF0DED29BDBB428C251DF8B350B92 ಸೊನ್ನೆಗಳೊಂದಿಗೆ ಪ್ಯಾಡ್ ಮಾಡಲಾಗಿದೆ, ಮತ್ತು IV ಸೊನ್ನೆಗಳಿಂದ ತುಂಬಿದೆ) ಕಾರ್ಯದ ಮೂಲಕ . ಹಿಂದಿನ ಆವೃತ್ತಿಗಳಿಂದ ಕೀ ಬದಲಾಗಿದೆ, ಆದರೆ ಗುಂಪು ಇನ್ನೂ ಅದೇ ಸ್ಟ್ರಿಂಗ್ ಎನ್ಕ್ರಿಪ್ಶನ್ ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸುವುದರಿಂದ, ಡೀಕ್ರಿಪ್ಶನ್ ಅನ್ನು ಸ್ವಯಂಚಾಲಿತಗೊಳಿಸಬಹುದು. ಈ ಪೋಸ್ಟ್ಗೆ ಹೆಚ್ಚುವರಿಯಾಗಿ, ಬೈನರಿ ಫೈಲ್ನಲ್ಲಿರುವ ಸ್ಟ್ರಿಂಗ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಹೆಕ್ಸ್-ರೇಸ್ API ಅನ್ನು ಬಳಸುವ IDA ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ನಾವು ಬಿಡುಗಡೆ ಮಾಡುತ್ತಿದ್ದೇವೆ. ಈ ಸ್ಕ್ರಿಪ್ಟ್ OceanLotus ನ ಭವಿಷ್ಯದ ವಿಶ್ಲೇಷಣೆ ಮತ್ತು ನಾವು ಇನ್ನೂ ಪಡೆಯಲು ಸಾಧ್ಯವಾಗದ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಮಾದರಿಗಳ ವಿಶ್ಲೇಷಣೆಗೆ ಸಹಾಯ ಮಾಡಬಹುದು. ಸ್ಕ್ರಿಪ್ಟ್ ಒಂದು ಕಾರ್ಯಕ್ಕೆ ರವಾನಿಸಲಾದ ವಾದಗಳನ್ನು ಸ್ವೀಕರಿಸಲು ಸಾರ್ವತ್ರಿಕ ವಿಧಾನವನ್ನು ಆಧರಿಸಿದೆ. ಹೆಚ್ಚುವರಿಯಾಗಿ, ಇದು ಪ್ಯಾರಾಮೀಟರ್ ಕಾರ್ಯಯೋಜನೆಗಳನ್ನು ಹುಡುಕುತ್ತದೆ. ಫಂಕ್ಷನ್ ಆರ್ಗ್ಯುಮೆಂಟ್ಗಳ ಪಟ್ಟಿಯನ್ನು ಪಡೆಯಲು ಮತ್ತು ನಂತರ ಅದನ್ನು ಕಾಲ್ಬ್ಯಾಕ್ಗೆ ರವಾನಿಸಲು ವಿಧಾನವನ್ನು ಮರುಬಳಕೆ ಮಾಡಬಹುದು.
ಕಾರ್ಯದ ಮೂಲಮಾದರಿಯನ್ನು ತಿಳಿದುಕೊಳ್ಳುವುದು ಡೀಕ್ರಿಪ್ಟ್, ಸ್ಕ್ರಿಪ್ಟ್ ಈ ಕಾರ್ಯಕ್ಕೆ ಎಲ್ಲಾ ಅಡ್ಡ-ಉಲ್ಲೇಖಗಳನ್ನು ಕಂಡುಕೊಳ್ಳುತ್ತದೆ, ಎಲ್ಲಾ ಆರ್ಗ್ಯುಮೆಂಟ್ಗಳು, ನಂತರ ಡೇಟಾವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕ್ರಾಸ್-ರೆಫರೆನ್ಸ್ ವಿಳಾಸದಲ್ಲಿ ಕಾಮೆಂಟ್ನಲ್ಲಿ ಸರಳ ಪಠ್ಯವನ್ನು ಇರಿಸುತ್ತದೆ. ಸ್ಕ್ರಿಪ್ಟ್ ಸರಿಯಾಗಿ ಕೆಲಸ ಮಾಡಲು, ಅದನ್ನು ಬೇಸ್ 64 ಡಿಕೋಡಿಂಗ್ ಫಂಕ್ಷನ್ನಿಂದ ಬಳಸಲಾಗುವ ಕಸ್ಟಮ್ ವರ್ಣಮಾಲೆಗೆ ಹೊಂದಿಸಬೇಕು ಮತ್ತು ಕೀಲಿಯ ಉದ್ದವನ್ನು ಒಳಗೊಂಡಿರುವ ಜಾಗತಿಕ ವೇರಿಯಬಲ್ ಅನ್ನು ವ್ಯಾಖ್ಯಾನಿಸಬೇಕು (ಈ ಸಂದರ್ಭದಲ್ಲಿ ಒಂದು DWORD, ಚಿತ್ರ 4 ನೋಡಿ).
ಚಿತ್ರ 4. ಜಾಗತಿಕ ವೇರಿಯಬಲ್ ಕೀ_ಲೆನ್ನ ವ್ಯಾಖ್ಯಾನ
ಫಂಕ್ಷನ್ ವಿಂಡೋದಲ್ಲಿ, ನೀವು ಡೀಕ್ರಿಪ್ಶನ್ ಫಂಕ್ಷನ್ ಅನ್ನು ಬಲ ಕ್ಲಿಕ್ ಮಾಡಿ ಮತ್ತು "ಆರ್ಗ್ಯುಮೆಂಟ್ಗಳನ್ನು ಹೊರತೆಗೆಯಿರಿ ಮತ್ತು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿ" ಕ್ಲಿಕ್ ಮಾಡಿ. ಚಿತ್ರ 5 ರಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ಸ್ಕ್ರಿಪ್ಟ್ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಸಾಲುಗಳನ್ನು ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ಇರಿಸಬೇಕು.
ಚಿತ್ರ 5. ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಪಠ್ಯವನ್ನು ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ಇರಿಸಲಾಗಿದೆ
ಈ ರೀತಿಯಲ್ಲಿ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ತಂತಿಗಳನ್ನು IDA ವಿಂಡೋದಲ್ಲಿ ಅನುಕೂಲಕರವಾಗಿ ಒಟ್ಟಿಗೆ ಇರಿಸಲಾಗುತ್ತದೆ xrefs ಚಿತ್ರ 6 ರಲ್ಲಿ ತೋರಿಸಿರುವಂತೆ ಈ ಕಾರ್ಯಕ್ಕಾಗಿ.
ಚಿತ್ರ 6. f_decrypt ಕಾರ್ಯಕ್ಕೆ Xrefs
ಅಂತಿಮ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಇಲ್ಲಿ ಕಾಣಬಹುದು .
ತೀರ್ಮಾನಕ್ಕೆ
ಈಗಾಗಲೇ ಹೇಳಿದಂತೆ, OceanLotus ತನ್ನ ಟೂಲ್ಕಿಟ್ ಅನ್ನು ನಿರಂತರವಾಗಿ ಸುಧಾರಿಸುತ್ತಿದೆ ಮತ್ತು ನವೀಕರಿಸುತ್ತಿದೆ. ಈ ಸಮಯದಲ್ಲಿ, ಸೈಬರ್ ಗುಂಪು ಮ್ಯಾಕ್ ಬಳಕೆದಾರರೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಮಾಲ್ವೇರ್ ಅನ್ನು ಸುಧಾರಿಸಿದೆ. ಕೋಡ್ ಹೆಚ್ಚು ಬದಲಾಗಿಲ್ಲ, ಆದರೆ ಅನೇಕ ಮ್ಯಾಕ್ ಬಳಕೆದಾರರು ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳನ್ನು ನಿರ್ಲಕ್ಷಿಸುವುದರಿಂದ, ಮಾಲ್ವೇರ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚುವಿಕೆಯಿಂದ ರಕ್ಷಿಸುವುದು ದ್ವಿತೀಯ ಪ್ರಾಮುಖ್ಯತೆಯನ್ನು ಹೊಂದಿದೆ.
ಸಂಶೋಧನೆಯ ಸಮಯದಲ್ಲಿ ESET ಉತ್ಪನ್ನಗಳು ಈಗಾಗಲೇ ಈ ಫೈಲ್ ಅನ್ನು ಪತ್ತೆಹಚ್ಚುತ್ತಿವೆ. C&C ಸಂವಹನಕ್ಕಾಗಿ ಬಳಸಲಾದ ನೆಟ್ವರ್ಕ್ ಲೈಬ್ರರಿಯು ಈಗ ಡಿಸ್ಕ್ನಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಆಗಿರುವುದರಿಂದ, ದಾಳಿಕೋರರು ಬಳಸುವ ನಿಖರವಾದ ನೆಟ್ವರ್ಕ್ ಪ್ರೋಟೋಕಾಲ್ ಇನ್ನೂ ತಿಳಿದಿಲ್ಲ.
ರಾಜಿ ಸೂಚಕಗಳು
ರಾಜಿ ಸೂಚಕಗಳು ಮತ್ತು MITER ATT&CK ಗುಣಲಕ್ಷಣಗಳು ಸಹ ಇಲ್ಲಿ ಲಭ್ಯವಿದೆ .
ಮೂಲ: www.habr.com