ಈ ಲೇಖನದೊಂದಿಗೆ ನಾವು ದುರುದ್ದೇಶಪೂರಿತ ಸಾಫ್ಟ್ವೇರ್ ವಿಶ್ಲೇಷಣೆಗೆ ಮೀಸಲಾದ ಪ್ರಕಟಣೆಗಳ ಸರಣಿಯನ್ನು ಪೂರ್ಣಗೊಳಿಸುತ್ತೇವೆ. IN ಯುರೋಪಿಯನ್ ಕಂಪನಿಯು ಮೇಲ್ ಮೂಲಕ ಸ್ವೀಕರಿಸಿದ ಸೋಂಕಿತ ಫೈಲ್ನ ವಿವರವಾದ ವಿಶ್ಲೇಷಣೆಯನ್ನು ನಾವು ನಡೆಸಿದ್ದೇವೆ ಮತ್ತು ಅಲ್ಲಿ ಏಜೆಂಟ್ಟೆಸ್ಲಾ ಸ್ಪೈವೇರ್ ಅನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದೇವೆ. ರಲ್ಲಿ ಮುಖ್ಯ ಏಜೆಂಟ್ ಟೆಸ್ಲಾ ಮಾಡ್ಯೂಲ್ನ ಹಂತ-ಹಂತದ ವಿಶ್ಲೇಷಣೆಯ ಫಲಿತಾಂಶಗಳನ್ನು ವಿವರಿಸಲಾಗಿದೆ.
ಇಂದು ಸಿಇಆರ್ಟಿ ಗ್ರೂಪ್-ಐಬಿಯಲ್ಲಿ ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆಯಲ್ಲಿ ಪರಿಣಿತರಾದ ಇಲ್ಯಾ ಪೊಮರಂಟ್ಸೆವ್ ಅವರು ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆಯ ಮೊದಲ ಹಂತದ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತಾರೆ - ಸಿಇಆರ್ಟಿ ಗ್ರೂಪ್-ಐಬಿ ತಜ್ಞರ ಅಭ್ಯಾಸದಿಂದ ಮೂರು ಮಿನಿ-ಕೇಸ್ಗಳ ಉದಾಹರಣೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಏಜೆಂಟ್ಟೆಸ್ಲಾ ಮಾದರಿಗಳ ಅರೆ-ಸ್ವಯಂಚಾಲಿತ ಅನ್ಪ್ಯಾಕ್.
ವಿಶಿಷ್ಟವಾಗಿ, ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆಯ ಮೊದಲ ಹಂತವು ಪ್ಯಾಕರ್, ಕ್ರಿಪ್ಟರ್, ಪ್ರೊಟೆಕ್ಟರ್ ಅಥವಾ ಲೋಡರ್ ರೂಪದಲ್ಲಿ ರಕ್ಷಣೆಯನ್ನು ತೆಗೆದುಹಾಕುವುದು. ಹೆಚ್ಚಿನ ಸಂದರ್ಭಗಳಲ್ಲಿ, ಮಾಲ್ವೇರ್ ಅನ್ನು ಚಾಲನೆ ಮಾಡುವ ಮೂಲಕ ಮತ್ತು ಡಂಪ್ ಮಾಡುವ ಮೂಲಕ ಈ ಸಮಸ್ಯೆಯನ್ನು ಪರಿಹರಿಸಬಹುದು, ಆದರೆ ಈ ವಿಧಾನವು ಸೂಕ್ತವಲ್ಲದ ಸಂದರ್ಭಗಳಿವೆ. ಉದಾಹರಣೆಗೆ, ಮಾಲ್ವೇರ್ ಎನ್ಕ್ರಿಪ್ಟರ್ ಆಗಿದ್ದರೆ, ಅದು ತನ್ನ ಮೆಮೊರಿ ಪ್ರದೇಶಗಳನ್ನು ಡಂಪ್ ಆಗದಂತೆ ರಕ್ಷಿಸಿದರೆ, ಕೋಡ್ ವರ್ಚುವಲ್ ಮೆಷಿನ್ ಡಿಟೆಕ್ಷನ್ ಮೆಕ್ಯಾನಿಸಮ್ಗಳನ್ನು ಹೊಂದಿದ್ದರೆ ಅಥವಾ ಮಾಲ್ವೇರ್ ಪ್ರಾರಂಭಿಸಿದ ತಕ್ಷಣ ರೀಬೂಟ್ ಆಗಿದ್ದರೆ. ಅಂತಹ ಸಂದರ್ಭಗಳಲ್ಲಿ, "ಅರೆ-ಸ್ವಯಂಚಾಲಿತ" ಅನ್ಪ್ಯಾಕಿಂಗ್ ಎಂದು ಕರೆಯಲ್ಪಡುವದನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಅಂದರೆ, ಸಂಶೋಧಕರು ಪ್ರಕ್ರಿಯೆಯ ಮೇಲೆ ಸಂಪೂರ್ಣ ನಿಯಂತ್ರಣವನ್ನು ಹೊಂದಿದ್ದಾರೆ ಮತ್ತು ಯಾವುದೇ ಸಮಯದಲ್ಲಿ ಮಧ್ಯಪ್ರವೇಶಿಸಬಹುದು. ಏಜೆಂಟ್ ಟೆಸ್ಲಾ ಕುಟುಂಬದ ಮೂರು ಮಾದರಿಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಈ ವಿಧಾನವನ್ನು ಉದಾಹರಣೆಯಾಗಿ ಪರಿಗಣಿಸೋಣ. ನೀವು ಅದರ ನೆಟ್ವರ್ಕ್ ಪ್ರವೇಶವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಿದರೆ ಇದು ತುಲನಾತ್ಮಕವಾಗಿ ನಿರುಪದ್ರವ ಮಾಲ್ವೇರ್ ಆಗಿದೆ.
ಮಾದರಿ ಸಂಖ್ಯೆ 1
ಮೂಲ ಫೈಲ್ MS Word ಡಾಕ್ಯುಮೆಂಟ್ ಆಗಿದ್ದು ಅದು CVE-2017-11882 ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುತ್ತದೆ.
ಪರಿಣಾಮವಾಗಿ, ಪೇಲೋಡ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ.
ಪ್ರಕ್ರಿಯೆಯ ಮರ ಮತ್ತು ನಡವಳಿಕೆಯ ಗುರುತುಗಳ ವಿಶ್ಲೇಷಣೆಯು ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಇಂಜೆಕ್ಷನ್ ಅನ್ನು ತೋರಿಸುತ್ತದೆ RegAsm.exe.
ಏಜೆಂಟ್ ಟೆಸ್ಲಾಗೆ ವಿಶಿಷ್ಟವಾದ ವರ್ತನೆಯ ಗುರುತುಗಳಿವೆ.
ಡೌನ್ಲೋಡ್ ಮಾಡಲಾದ ಮಾದರಿಯು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಒಂದಾಗಿದೆ ನೆಟ್- ಫೈಲ್ ಅನ್ನು ರಕ್ಷಕರಿಂದ ರಕ್ಷಿಸಲಾಗಿದೆ .NET ರಿಯಾಕ್ಟರ್.
ಅದನ್ನು ಉಪಯುಕ್ತತೆಯಲ್ಲಿ ತೆರೆಯೋಣ dnSpy x86 ಮತ್ತು ಪ್ರವೇಶ ಬಿಂದುವಿಗೆ ತೆರಳಿ.
ಕಾರ್ಯಕ್ಕೆ ಹೋಗುವ ಮೂಲಕ ದಿನಾಂಕ ಸಮಯಆಫ್ಸೆಟ್, ನಾವು ಹೊಸದಕ್ಕಾಗಿ ಇನಿಶಿಯಲೈಸೇಶನ್ ಕೋಡ್ ಅನ್ನು ಕಂಡುಕೊಳ್ಳುತ್ತೇವೆ ನೆಟ್-ಘಟಕ. ಹಾಕೋಣ ಬ್ರೇಕ್ಪಾಯಿಂಟ್ ಸಾಲಿನಲ್ಲಿ ನಾವು ಆಸಕ್ತಿ ಹೊಂದಿದ್ದೇವೆ ಮತ್ತು ಫೈಲ್ ಅನ್ನು ರನ್ ಮಾಡುತ್ತೇವೆ.
ಹಿಂತಿರುಗಿದ ಬಫರ್ಗಳಲ್ಲಿ ನೀವು MZ ಸಹಿಯನ್ನು ನೋಡಬಹುದು (0x4D 0x5A) ಅದನ್ನು ಉಳಿಸೋಣ.
ಡಂಪ್ಡ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ ಡೈನಾಮಿಕ್ ಲೈಬ್ರರಿಯಾಗಿದ್ದು ಅದು ಲೋಡರ್ ಆಗಿದೆ, ಅಂದರೆ. ಸಂಪನ್ಮೂಲ ವಿಭಾಗದಿಂದ ಪೇಲೋಡ್ ಅನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
ಅದೇ ಸಮಯದಲ್ಲಿ, ಅಗತ್ಯ ಸಂಪನ್ಮೂಲಗಳು ಸ್ವತಃ ಡಂಪ್ನಲ್ಲಿ ಇರುವುದಿಲ್ಲ. ಅವರು ಪೋಷಕರ ಮಾದರಿಯಲ್ಲಿದ್ದಾರೆ.
ಉಪಯುಕ್ತತೆ dnSpy ಎರಡು ಅತ್ಯಂತ ಉಪಯುಕ್ತವಾದ ಕಾರ್ಯವನ್ನು ಹೊಂದಿದ್ದು ಅದು ಎರಡು ಸಂಬಂಧಿತ ಫೈಲ್ಗಳಿಂದ "ಫ್ರಾಂಕೆನ್ಸ್ಟೈನ್" ಅನ್ನು ತ್ವರಿತವಾಗಿ ರಚಿಸಲು ನಮಗೆ ಸಹಾಯ ಮಾಡುತ್ತದೆ.
- ಮೊದಲನೆಯದು ಪೋಷಕ ಮಾದರಿಯಲ್ಲಿ ಡೈನಾಮಿಕ್ ಲೈಬ್ರರಿಯನ್ನು "ಅಂಟಿಸಲು" ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ.
- ಸೇರಿಸಲಾದ ಡೈನಾಮಿಕ್ ಲೈಬ್ರರಿಯ ಅಪೇಕ್ಷಿತ ವಿಧಾನವನ್ನು ಕರೆಯಲು ಪ್ರವೇಶ ಹಂತದಲ್ಲಿ ಫಂಕ್ಷನ್ ಕೋಡ್ ಅನ್ನು ಪುನಃ ಬರೆಯುವುದು ಎರಡನೆಯದು.
ನಾವು ನಮ್ಮ "ಫ್ರಾಂಕೆನ್ಸ್ಟೈನ್", ಸೆಟ್ ಅನ್ನು ಉಳಿಸುತ್ತೇವೆ ಬ್ರೇಕ್ಪಾಯಿಂಟ್ ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾದ ಸಂಪನ್ಮೂಲಗಳೊಂದಿಗೆ ಬಫರ್ ಅನ್ನು ಹಿಂದಿರುಗಿಸುವ ಸಾಲಿನಲ್ಲಿ, ಮತ್ತು ಹಿಂದಿನ ಹಂತದೊಂದಿಗೆ ಸಾದೃಶ್ಯದ ಮೂಲಕ ಡಂಪ್ ಅನ್ನು ಉತ್ಪಾದಿಸುತ್ತದೆ.
ಎರಡನೇ ಡಂಪ್ ಅನ್ನು ಬರೆಯಲಾಗಿದೆ ವಿಬಿ.ನೆಟ್ ನಮಗೆ ಪರಿಚಿತವಾಗಿರುವ ರಕ್ಷಕರಿಂದ ರಕ್ಷಿಸಲ್ಪಟ್ಟ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಕನ್ಫ್ಯೂಸರ್ಎಕ್ಸ್.
ರಕ್ಷಕವನ್ನು ತೆಗೆದುಹಾಕಿದ ನಂತರ, ನಾವು ಹಿಂದೆ ಬರೆದ YARA ನಿಯಮಗಳನ್ನು ಬಳಸುತ್ತೇವೆ ಮತ್ತು ಅನ್ಪ್ಯಾಕ್ ಮಾಡಲಾದ ಮಾಲ್ವೇರ್ ನಿಜವಾಗಿಯೂ AgentTesla ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.
ಮಾದರಿ ಸಂಖ್ಯೆ 2
ಮೂಲ ಫೈಲ್ ಎಂಎಸ್ ಎಕ್ಸೆಲ್ ಡಾಕ್ಯುಮೆಂಟ್ ಆಗಿದೆ. ಅಂತರ್ನಿರ್ಮಿತ ಮ್ಯಾಕ್ರೋ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಕಾರಣವಾಗುತ್ತದೆ.
ಪರಿಣಾಮವಾಗಿ, PowerShell ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ.
ಸ್ಕ್ರಿಪ್ಟ್ C# ಕೋಡ್ ಅನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದಕ್ಕೆ ನಿಯಂತ್ರಣವನ್ನು ವರ್ಗಾಯಿಸುತ್ತದೆ. ಕೋಡ್ ಸ್ವತಃ ಬೂಟ್ಲೋಡರ್ ಆಗಿದೆ, ಇದನ್ನು ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ವರದಿಯಿಂದಲೂ ನೋಡಬಹುದಾಗಿದೆ.
ಪೇಲೋಡ್ ಕಾರ್ಯಗತಗೊಳಿಸಬಲ್ಲದು ನೆಟ್- ಫೈಲ್.
ಫೈಲ್ ಅನ್ನು ತೆರೆಯಲಾಗುತ್ತಿದೆ dnSpy x86, ಇದು ಅಸ್ಪಷ್ಟವಾಗಿದೆ ಎಂದು ನೀವು ನೋಡಬಹುದು. ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಅಸ್ಪಷ್ಟತೆಯನ್ನು ತೆಗೆದುಹಾಕುವುದು de4dot ಮತ್ತು ವಿಶ್ಲೇಷಣೆಗೆ ಹಿಂತಿರುಗಿ.
ಕೋಡ್ ಅನ್ನು ಪರಿಶೀಲಿಸುವಾಗ, ನೀವು ಈ ಕೆಳಗಿನ ಕಾರ್ಯವನ್ನು ಕಂಡುಹಿಡಿಯಬಹುದು:
ಎನ್ಕೋಡ್ ಮಾಡಿದ ಸಾಲುಗಳು ಆಕರ್ಷಕವಾಗಿವೆ ಎಂಟ್ರಿಪಾಯಿಂಟ್ и ಆಹ್ವಾನಿಸಿ. ನಾವು ಹಾಕಿದ್ದೇವೆ ಬ್ರೇಕ್ಪಾಯಿಂಟ್ ಮೊದಲ ಸಾಲಿಗೆ, ರನ್ ಮಾಡಿ ಮತ್ತು ಬಫರ್ ಮೌಲ್ಯವನ್ನು ಉಳಿಸಿ ಬೈಟ್_0.
ಡಂಪ್ ಮತ್ತೆ ಆನ್ ಆಗಿದೆ ನೆಟ್ ಮತ್ತು ರಕ್ಷಿಸಲಾಗಿದೆ ಕನ್ಫ್ಯೂಸರ್ಎಕ್ಸ್.
ನಾವು ಬಳಸಿ ಅಸ್ಪಷ್ಟತೆಯನ್ನು ತೆಗೆದುಹಾಕುತ್ತೇವೆ de4dot ಮತ್ತು ಅಪ್ಲೋಡ್ dnSpy. ಫೈಲ್ ವಿವರಣೆಯಿಂದ ನಾವು ಎದುರಿಸುತ್ತಿದ್ದೇವೆ ಎಂದು ನಾವು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುತ್ತೇವೆ CyaX-ಶಾರ್ಪ್ ಲೋಡರ್.
ಈ ಲೋಡರ್ ವ್ಯಾಪಕವಾದ ವಿರೋಧಿ ವಿಶ್ಲೇಷಣೆ ಕಾರ್ಯವನ್ನು ಹೊಂದಿದೆ.
ಈ ಕಾರ್ಯವು ಅಂತರ್ನಿರ್ಮಿತ ವಿಂಡೋಸ್ ಸಂರಕ್ಷಣಾ ವ್ಯವಸ್ಥೆಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡುವುದು, ವಿಂಡೋಸ್ ಡಿಫೆಂಡರ್ ಅನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸುವುದು, ಹಾಗೆಯೇ ಸ್ಯಾಂಡ್ಬಾಕ್ಸ್ ಮತ್ತು ವರ್ಚುವಲ್ ಯಂತ್ರ ಪತ್ತೆ ಕಾರ್ಯವಿಧಾನಗಳನ್ನು ಒಳಗೊಂಡಿದೆ. ನೆಟ್ವರ್ಕ್ನಿಂದ ಪೇಲೋಡ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲು ಅಥವಾ ಸಂಪನ್ಮೂಲ ವಿಭಾಗದಲ್ಲಿ ಅದನ್ನು ಸಂಗ್ರಹಿಸಲು ಸಾಧ್ಯವಿದೆ. ಉಡಾವಣೆಯು ಇಂಜೆಕ್ಷನ್ ಮೂಲಕ ತನ್ನದೇ ಆದ ಪ್ರಕ್ರಿಯೆಗೆ, ತನ್ನದೇ ಆದ ಪ್ರಕ್ರಿಯೆಯ ನಕಲು ಅಥವಾ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ನಡೆಸಲಾಗುತ್ತದೆ MSBuild.exe, vbc.exe и RegSvcs.exe ಆಕ್ರಮಣಕಾರರು ಆಯ್ಕೆ ಮಾಡಿದ ನಿಯತಾಂಕವನ್ನು ಅವಲಂಬಿಸಿ.
ಆದಾಗ್ಯೂ, ನಮಗೆ ಅವರು ಕಡಿಮೆ ಮಹತ್ವದ್ದಾಗಿದೆ ಆಂಟಿಡಂಪ್- ಸೇರಿಸುವ ಕಾರ್ಯ ಕನ್ಫ್ಯೂಸರ್ಎಕ್ಸ್. ಇದರ ಮೂಲ ಕೋಡ್ ಅನ್ನು ಇಲ್ಲಿ ಕಾಣಬಹುದು .
ರಕ್ಷಣೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಲು, ನಾವು ಅವಕಾಶವನ್ನು ಬಳಸುತ್ತೇವೆ dnSpy, ಇದು ನಿಮಗೆ ಸಂಪಾದಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ IL-ಕೋಡ್.
ಉಳಿಸಿ ಮತ್ತು ಸ್ಥಾಪಿಸಿ ಬ್ರೇಕ್ಪಾಯಿಂಟ್ ಪೇಲೋಡ್ ಡೀಕ್ರಿಪ್ಶನ್ ಕಾರ್ಯವನ್ನು ಕರೆಯುವ ಸಾಲಿಗೆ. ಇದು ಮುಖ್ಯ ವರ್ಗದ ಕನ್ಸ್ಟ್ರಕ್ಟರ್ನಲ್ಲಿದೆ.
ನಾವು ಪೇಲೋಡ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತೇವೆ ಮತ್ತು ಡಂಪ್ ಮಾಡುತ್ತೇವೆ. ಹಿಂದೆ ಬರೆದ YARA ನಿಯಮಗಳನ್ನು ಬಳಸಿಕೊಂಡು, ಇದು AgentTesla ಎಂದು ನಾವು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುತ್ತೇವೆ.
ಮಾದರಿ ಸಂಖ್ಯೆ 3
ಮೂಲ ಫೈಲ್ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಆಗಿದೆ VB ಸ್ಥಳೀಯ PE32- ಫೈಲ್.
ಎಂಟ್ರೊಪಿ ವಿಶ್ಲೇಷಣೆಯು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಡೇಟಾದ ದೊಡ್ಡ ಭಾಗದ ಉಪಸ್ಥಿತಿಯನ್ನು ತೋರಿಸುತ್ತದೆ.
ರಲ್ಲಿ ಅರ್ಜಿ ನಮೂನೆಯನ್ನು ವಿಶ್ಲೇಷಿಸುವಾಗ ವಿಬಿ ಡಿಕಂಪೈಲರ್ ನೀವು ವಿಚಿತ್ರವಾದ ಪಿಕ್ಸಲೇಟೆಡ್ ಹಿನ್ನೆಲೆಯನ್ನು ಗಮನಿಸಬಹುದು.
ಎಂಟ್ರೋಪಿ ಗ್ರಾಫ್ bmp-ಚಿತ್ರವು ಮೂಲ ಫೈಲ್ನ ಎಂಟ್ರೊಪಿ ಗ್ರಾಫ್ಗೆ ಹೋಲುತ್ತದೆ ಮತ್ತು ಗಾತ್ರವು ಫೈಲ್ ಗಾತ್ರದ 85% ಆಗಿದೆ.
ಚಿತ್ರದ ಸಾಮಾನ್ಯ ನೋಟವು ಸ್ಟೆಗಾನೋಗ್ರಫಿಯ ಬಳಕೆಯನ್ನು ಸೂಚಿಸುತ್ತದೆ.
ಪ್ರಕ್ರಿಯೆಯ ಮರದ ನೋಟ, ಹಾಗೆಯೇ ಇಂಜೆಕ್ಷನ್ ಮಾರ್ಕರ್ ಇರುವಿಕೆಗೆ ಗಮನ ಕೊಡೋಣ.
ಅನ್ಪ್ಯಾಕ್ ಮಾಡುವಿಕೆ ಪ್ರಗತಿಯಲ್ಲಿದೆ ಎಂದು ಇದು ಸೂಚಿಸುತ್ತದೆ. ವಿಷುಯಲ್ ಬೇಸಿಕ್ ಲೋಡರ್ಗಳಿಗಾಗಿ (ಅಕಾ VBKrypt ಅಥವಾ ವಿಬಿಇಂಜೆಕ್ಟರ್) ವಿಶಿಷ್ಟ ಬಳಕೆ ಶೆಲ್ಕೋಡ್ ಪೇಲೋಡ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲು, ಹಾಗೆಯೇ ಇಂಜೆಕ್ಷನ್ ಅನ್ನು ಸ್ವತಃ ನಿರ್ವಹಿಸಲು.
ರಲ್ಲಿ ವಿಶ್ಲೇಷಣೆ ವಿಬಿ ಡಿಕಂಪೈಲರ್ ಘಟನೆಯ ಉಪಸ್ಥಿತಿಯನ್ನು ತೋರಿಸಿದೆ ಲೋಡ್ ರೂಪದಲ್ಲಿ Fegatassoc ಏರ್ಬಲೂನ್2.
ಗೆ ಹೋಗೋಣ ಐಡಿಎ ಪ್ರೊ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ವಿಳಾಸಕ್ಕೆ ಮತ್ತು ಕಾರ್ಯವನ್ನು ಅಧ್ಯಯನ ಮಾಡಿ. ಕೋಡ್ ಅತೀವವಾಗಿ ಅಸ್ಪಷ್ಟವಾಗಿದೆ. ನಮಗೆ ಆಸಕ್ತಿಯಿರುವ ತುಣುಕನ್ನು ಕೆಳಗೆ ಪ್ರಸ್ತುತಪಡಿಸಲಾಗಿದೆ.
ಇಲ್ಲಿ ಪ್ರಕ್ರಿಯೆಯ ವಿಳಾಸ ಸ್ಥಳವನ್ನು ಸಹಿಗಾಗಿ ಸ್ಕ್ಯಾನ್ ಮಾಡಲಾಗುತ್ತದೆ. ಈ ವಿಧಾನವು ಅತ್ಯಂತ ಸಂಶಯಾಸ್ಪದವಾಗಿದೆ.
ಮೊದಲಿಗೆ, ಸ್ಕ್ಯಾನಿಂಗ್ ಪ್ರಾರಂಭದ ವಿಳಾಸ 0x400100. ಈ ಮೌಲ್ಯವು ಸ್ಥಿರವಾಗಿರುತ್ತದೆ ಮತ್ತು ಬೇಸ್ ಅನ್ನು ಬದಲಾಯಿಸಿದಾಗ ಸರಿಹೊಂದಿಸಲಾಗುವುದಿಲ್ಲ. ಆದರ್ಶ ಹಸಿರುಮನೆ ಪರಿಸ್ಥಿತಿಗಳಲ್ಲಿ ಇದು ಅಂತ್ಯವನ್ನು ಸೂಚಿಸುತ್ತದೆ PE- ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ನ ಹೆಡರ್. ಆದಾಗ್ಯೂ, ಡೇಟಾಬೇಸ್ ಸ್ಥಿರವಾಗಿಲ್ಲ, ಅದರ ಮೌಲ್ಯವು ಬದಲಾಗಬಹುದು ಮತ್ತು ಅಗತ್ಯವಿರುವ ಸಹಿಯ ನೈಜ ವಿಳಾಸವನ್ನು ಹುಡುಕುವುದು, ಇದು ವೇರಿಯಬಲ್ ಓವರ್ಫ್ಲೋಗೆ ಕಾರಣವಾಗದಿದ್ದರೂ, ಬಹಳ ಸಮಯ ತೆಗೆದುಕೊಳ್ಳಬಹುದು.
ಎರಡನೆಯದಾಗಿ, ಸಹಿಯ ಅರ್ಥ iWGK. ಅನನ್ಯತೆಯನ್ನು ಖಾತರಿಪಡಿಸಲು 4 ಬೈಟ್ಗಳು ತುಂಬಾ ಚಿಕ್ಕದಾಗಿದೆ ಎಂಬುದು ಸ್ಪಷ್ಟವಾಗಿದೆ ಎಂದು ನಾನು ಭಾವಿಸುತ್ತೇನೆ. ಮತ್ತು ನೀವು ಮೊದಲ ಬಿಂದುವನ್ನು ಗಣನೆಗೆ ತೆಗೆದುಕೊಂಡರೆ, ತಪ್ಪು ಮಾಡುವ ಸಂಭವನೀಯತೆ ಸಾಕಷ್ಟು ಹೆಚ್ಚು.
ವಾಸ್ತವವಾಗಿ, ಅಗತ್ಯವಿರುವ ತುಣುಕನ್ನು ಹಿಂದೆ ಕಂಡುಕೊಂಡ ಅಂತ್ಯಕ್ಕೆ ಲಗತ್ತಿಸಲಾಗಿದೆ bmpಆಫ್ಸೆಟ್ ಮೂಲಕ ಚಿತ್ರಗಳು 0xA1D0D.
ಪ್ರದರ್ಶನ ಶೆಲ್ಕೋಡ್ ಎರಡು ಹಂತಗಳಲ್ಲಿ ನಡೆಸಲಾಗುತ್ತದೆ. ಮೊದಲನೆಯದು ಮುಖ್ಯ ದೇಹವನ್ನು ಅರ್ಥೈಸುತ್ತದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಕೀಲಿಯನ್ನು ವಿವೇಚನಾರಹಿತ ಶಕ್ತಿಯಿಂದ ನಿರ್ಧರಿಸಲಾಗುತ್ತದೆ.
ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಒಂದನ್ನು ಡಂಪ್ ಮಾಡಿ ಶೆಲ್ಕೋಡ್ ಮತ್ತು ಸಾಲುಗಳನ್ನು ನೋಡಿ.
ಮೊದಲಿಗೆ, ಮಗುವಿನ ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸುವ ಕಾರ್ಯವನ್ನು ನಾವು ಈಗ ತಿಳಿದಿದ್ದೇವೆ: CreateProcessInternalW.
ಎರಡನೆಯದಾಗಿ, ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಸ್ಥಿರೀಕರಣದ ಕಾರ್ಯವಿಧಾನದ ಬಗ್ಗೆ ನಮಗೆ ಅರಿವಾಯಿತು.
ಮೂಲ ಪ್ರಕ್ರಿಯೆಗೆ ಹಿಂತಿರುಗಿ ನೋಡೋಣ. ಹಾಕೋಣ ಬ್ರೇಕ್ಪಾಯಿಂಟ್ ಮೇಲೆ CreateProcessInternalW ಮತ್ತು ಮರಣದಂಡನೆಯನ್ನು ಮುಂದುವರಿಸಿ. ಮುಂದೆ ನಾವು ಸಂಪರ್ಕವನ್ನು ನೋಡುತ್ತೇವೆ NtGetContextThread/NtSetContextThread, ಇದು ಎಕ್ಸಿಕ್ಯೂಶನ್ ಪ್ರಾರಂಭದ ವಿಳಾಸವನ್ನು ವಿಳಾಸಕ್ಕೆ ಬದಲಾಯಿಸುತ್ತದೆ ಶೆಲ್ಕೋಡ್.
ನಾವು ಡೀಬಗರ್ನೊಂದಿಗೆ ರಚಿಸಿದ ಪ್ರಕ್ರಿಯೆಗೆ ಸಂಪರ್ಕಪಡಿಸುತ್ತೇವೆ ಮತ್ತು ಈವೆಂಟ್ ಅನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುತ್ತೇವೆ ಲೈಬ್ರರಿಯು ಲೋಡ್/ಇನ್ಲೋಡ್ ಅನ್ನು ಅಮಾನತುಗೊಳಿಸಿ, ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪುನರಾರಂಭಿಸಿ ಮತ್ತು ಲೋಡ್ ಮಾಡಲು ನಿರೀಕ್ಷಿಸಿ ನೆಟ್- ಗ್ರಂಥಾಲಯಗಳು.
ಮತ್ತಷ್ಟು ಬಳಸುವುದು ProcessHacker ಅನ್ಪ್ಯಾಕ್ ಮಾಡಲಾದ ಪ್ರದೇಶಗಳನ್ನು ಹೊಂದಿರುವ ಡಂಪ್ ಪ್ರದೇಶಗಳು ನೆಟ್- ಅಪ್ಲಿಕೇಶನ್.
ನಾವು ಎಲ್ಲಾ ಪ್ರಕ್ರಿಯೆಗಳನ್ನು ನಿಲ್ಲಿಸುತ್ತೇವೆ ಮತ್ತು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಎಂಬೆಡ್ ಆಗಿರುವ ಮಾಲ್ವೇರ್ನ ನಕಲನ್ನು ಅಳಿಸುತ್ತೇವೆ.
ಡಂಪ್ ಮಾಡಿದ ಫೈಲ್ ಅನ್ನು ರಕ್ಷಕದಿಂದ ರಕ್ಷಿಸಲಾಗಿದೆ .NET ರಿಯಾಕ್ಟರ್, ಇದು ಉಪಯುಕ್ತತೆಯನ್ನು ಬಳಸಿಕೊಂಡು ಸುಲಭವಾಗಿ ತೆಗೆಯಬಹುದು de4dot.
ಹಿಂದೆ ಬರೆದ YARA ನಿಯಮಗಳನ್ನು ಬಳಸಿಕೊಂಡು, ಇದು ಏಜೆಂಟ್ ಟೆಸ್ಲಾ ಎಂದು ನಾವು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳುತ್ತೇವೆ.
ನಾವು ಸಂಕ್ಷಿಪ್ತಗೊಳಿಸೋಣ
ಆದ್ದರಿಂದ, ನಾವು ಮೂರು ಮಿನಿ-ಕೇಸ್ಗಳನ್ನು ಉದಾಹರಣೆಯಾಗಿ ಬಳಸಿಕೊಂಡು ಅರೆ-ಸ್ವಯಂಚಾಲಿತ ಮಾದರಿ ಅನ್ಪ್ಯಾಕ್ ಮಾಡುವ ಪ್ರಕ್ರಿಯೆಯನ್ನು ವಿವರವಾಗಿ ಪ್ರದರ್ಶಿಸಿದ್ದೇವೆ ಮತ್ತು ಪೂರ್ಣ ಪ್ರಮಾಣದ ಪ್ರಕರಣವನ್ನು ಆಧರಿಸಿ ಮಾಲ್ವೇರ್ ಅನ್ನು ವಿಶ್ಲೇಷಿಸಿದ್ದೇವೆ, ಅಧ್ಯಯನದ ಅಡಿಯಲ್ಲಿ ಮಾದರಿಯು ಏಜೆಂಟ್ಟೆಸ್ಲಾ ಎಂದು ಕಂಡುಹಿಡಿದಿದೆ, ಅದರ ಕಾರ್ಯವನ್ನು ಸ್ಥಾಪಿಸುತ್ತದೆ ಮತ್ತು ರಾಜಿ ಸೂಚಕಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿ.
ನಾವು ನಡೆಸಿದ ದುರುದ್ದೇಶಪೂರಿತ ವಸ್ತುವಿನ ವಿಶ್ಲೇಷಣೆಗೆ ಸಾಕಷ್ಟು ಸಮಯ ಮತ್ತು ಶ್ರಮ ಬೇಕಾಗುತ್ತದೆ, ಮತ್ತು ಈ ಕೆಲಸವನ್ನು ಕಂಪನಿಯಲ್ಲಿ ವಿಶೇಷ ಉದ್ಯೋಗಿ ನಿರ್ವಹಿಸಬೇಕು, ಆದರೆ ಎಲ್ಲಾ ಕಂಪನಿಗಳು ವಿಶ್ಲೇಷಕರನ್ನು ನೇಮಿಸಿಕೊಳ್ಳಲು ಸಿದ್ಧವಾಗಿಲ್ಲ.
ಗ್ರೂಪ್-ಐಬಿ ಲ್ಯಾಬೊರೇಟರಿ ಆಫ್ ಕಂಪ್ಯೂಟರ್ ಫೋರೆನ್ಸಿಕ್ಸ್ ಮತ್ತು ಮಾಲಿಶಿಯಸ್ ಕೋಡ್ ಅನಾಲಿಸಿಸ್ ಒದಗಿಸುವ ಸೇವೆಗಳಲ್ಲಿ ಒಂದು ಸೈಬರ್ ಘಟನೆಗಳಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿದೆ. ಮತ್ತು ಗ್ರಾಹಕರು ಡಾಕ್ಯುಮೆಂಟ್ಗಳನ್ನು ಅನುಮೋದಿಸಲು ಮತ್ತು ಸೈಬರ್ ದಾಳಿಯ ಮಧ್ಯೆ ಅವುಗಳನ್ನು ಚರ್ಚಿಸಲು ಸಮಯವನ್ನು ವ್ಯರ್ಥ ಮಾಡದಿರಲು, ಗುಂಪು-IB ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ ಘಟನೆಯ ಪ್ರತಿಕ್ರಿಯೆ ಧಾರಕ, ಮಾಲ್ವೇರ್ ವಿಶ್ಲೇಷಣೆ ಹಂತವನ್ನು ಒಳಗೊಂಡಿರುವ ಪೂರ್ವ ಚಂದಾದಾರಿಕೆಯ ಘಟನೆ ಪ್ರತಿಕ್ರಿಯೆ ಸೇವೆ. ಇದರ ಬಗ್ಗೆ ಹೆಚ್ಚಿನ ಮಾಹಿತಿಯನ್ನು ಕಾಣಬಹುದು .
AgentTesla ಮಾದರಿಗಳನ್ನು ಹೇಗೆ ಅನ್ಪ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು CERT ಗ್ರೂಪ್-IB ತಜ್ಞರು ಅದನ್ನು ಹೇಗೆ ಮಾಡುತ್ತಾರೆ ಎಂಬುದನ್ನು ನೀವು ಮತ್ತೊಮ್ಮೆ ಅಧ್ಯಯನ ಮಾಡಲು ಬಯಸಿದರೆ, ನೀವು ಈ ವಿಷಯದ ಕುರಿತು ವೆಬ್ನಾರ್ ರೆಕಾರ್ಡಿಂಗ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದು .
ಮೂಲ: www.habr.com