د دې مقالې سره موږ د خپرونو لړۍ بشپړوو چې د ناوړه سافټویر تحلیل ته وقف شوي. IN موږ د اخته شوي فایل مفصل تحلیل ترسره کړ چې یو اروپایي شرکت د بریښنالیک له لارې ترلاسه کړ او هلته یې د اجنټ ټیسلا جاسوسۍ کشف کړه. په د اصلي AgentTesla ماډل د ګام په ګام تحلیل پایلې بیان کړې.
نن Ilya Pomerantsev، په CERT ګروپ-IB کې د مالویر تحلیل متخصص، به د مالویر تحلیل د لومړي مرحلې په اړه وغږیږي - د CERT ګروپ-IB متخصصینو تمرین څخه د دریو کوچنیو قضیو مثال په کارولو سره د اجنټ ټیسلا نمونو نیمه اتوماتیک پیک کول.
عموما، د مالویر تحلیل کې لومړی مرحله د پیکر، کریپټر، محافظت یا لوډر په بڼه د محافظت لرې کول دي. په ډیری قضیو کې ، دا ستونزه د مالویر چلولو او ډمپ ترسره کولو سره حل کیدی شي ، مګر داسې شرایط شتون لري چیرې چې دا میتود مناسب ندي. د مثال په توګه، که مالویر یو کوډونکی وي، که دا د هغې د حافظې سیمې له ډمپ کولو څخه ساتي، که کوډ د مجازی ماشین کشف میکانیزمونه ولري، یا که مالویر د پیل کولو وروسته سمدلاسه ریبوټ شي. په داسې حاالتو کې، د تش په نامه "نیم اتوماتیک" پیکنگ کارول کیږي، دا دی، څیړونکی د پروسې بشپړ کنټرول لري او په هر وخت کې مداخله کولی شي. راځئ چې دا طرزالعمل د مثال په توګه د AgentTesla کورنۍ درې نمونې وکاروو. دا یو نسبتا بې ضرر مالویر دی که تاسو د دې شبکې لاسرسی غیر فعال کړئ.
نمونه نمبر 1
د سرچینې فایل د MS Word سند دی چې زیانمنونکي CVE-2017-11882 ګټه پورته کوي.
د پایلې په توګه، تادیه ډاونلوډ او پیل کیږي.
د پروسې ونې تحلیل او د چلند نښه کونکي په پروسه کې انجیکشن ښیې RegAsm.exe.
د AgentTesla د چلند نښه کونکي ځانګړتیاوې شتون لري.
ډاونلوډ شوی نمونه د اجرا وړ ده شارپ- فایل د محافظ لخوا خوندي شوی .NET ریکټر.
راځئ چې دا په یوټیلیټ کې خلاص کړو dnSpy x86 او د ننوتلو نقطې ته لاړ شئ.
فنکشن ته په تګ سره د نیټې وخت آفیسټ، موږ به د نوي لپاره د پیل کولو کوډ ومومئ شارپ- ماډل. راځئ چې واچوو وقفه په هغه کرښه کې چې موږ لیوالتیا لرو او فایل چلوو.
په یو بیرته راستانه شوي بفر کې تاسو د MZ لاسلیک لیدلی شئ (0x4D 0x5A). راځئ چې دا خوندي کړو.
یو ډمپ شوي اجرایوي فایل یو متحرک کتابتون دی چې یو لوډر دی، i.e. د سرچینې برخې څخه تادیه راوباسي او په لاره اچوي.
په ورته وخت کې، اړین سرچینې پخپله په ډمپ کې شتون نلري. دوی په مورنۍ نمونه کې دي.
افادیت dnSpy دوه خورا ګټور فعالیت لري چې موږ سره به په چټکۍ سره د دوه اړوندو فایلونو څخه "فرانکینسټین" رامینځته کولو کې مرسته وکړي.
- لومړی تاسو ته اجازه درکوي په اصلي نمونه کې متحرک کتابتون "پیسټ" کړئ.
- دوهم د ننوتلو په نقطه کې د فعالیت کوډ بیا لیکل دي ترڅو د داخل شوي متحرک کتابتون مطلوب میتود ته زنګ ووهي.
موږ خپل "فرانکینشټین" خوندي کوو، سیټ وقفه په لیکه کې د کوډ شوي سرچینو سره بفر بیرته راګرځوي، او د تیرې مرحلې سره ورته والي سره ډمپ تولیدوي.
دوهم ډنډ کې لیکل شوی VB.NET د اجرا وړ فایل چې موږ ته پیژندل شوي محافظ لخوا خوندي شوی ConfuserEx.
د محافظت لرې کولو وروسته، موږ د YARA قواعدو څخه کار اخلو چې مخکې لیکل شوي او ډاډ ترلاسه کړئ چې ناپاک شوي مالویر واقعیا AgentTesla دی.
نمونه نمبر 2
د سرچینې فایل د MS Excel سند دی. یو جوړ شوی میکرو د ناوړه کوډ اجرا کولو لامل کیږي.
د پایلې په توګه، د PowerShell سکریپټ پیل شو.
سکریپټ د C# کوډ کوډ کوي او کنټرول یې لیږدوي. کوډ پخپله یو بوټلوډر دی، لکه څنګه چې د سینڈ باکس راپور څخه هم لیدل کیدی شي.
تادیه د اجرا وړ ده شارپ- دوتنه.
د فایل خلاصول dnSpy x86، تاسو لیدلی شئ چې دا مبهم دی. د افادیت په کارولو سره د خنډونو لرې کول de4dot او بیا تحلیل ته راګرځئ.
کله چې کوډ معاینه کوئ، تاسو ممکن لاندې فعالیت ومومئ:
کوډ شوي کرښې په زړه پوري دي د ننوتلو ځای и غوښتنه وکړئ. موږ واچوو وقفه لومړۍ کرښې ته، د بفر ارزښت چلول او خوندي کړئ بایټ_0.
ډمپ بیا یو غوښتنلیک دی شارپ او خوندي شوی ConfuserEx.
موږ په کارولو سره خنډونه لرې کوو de4dot او ته اپلوډ کړئ dnSpy. د فایل توضیحاتو څخه موږ پوهیږو چې موږ ورسره مخ یو CyaX-Sharp لوډر.
دا لوډر د تحلیل ضد پراخه فعالیت لري.
پدې فعالیت کې د جوړ شوي وینډوز محافظت سیسټمونو بای پاس کول ، د وینډوز مدافع غیر فعال کول ، او همدارنګه د سینڈ باکس او مجازی ماشین کشف میکانیزمونه شامل دي. دا ممکنه ده چې تادیه له شبکې څخه پورته کړئ یا یې د سرچینې برخه کې ذخیره کړئ. لانچ په خپله پروسه کې د انجیکشن له لارې ترسره کیږي ، د خپل پروسې په نقل کې ، یا پروسو کې MSBuild.exe, vbc.exe и RegSvcs.exe د برید کونکي لخوا غوره شوي پیرامیټر پورې اړه لري.
په هرصورت، زموږ لپاره دوی په پرتله لږ مهم دي انټي ډمپ- فنکشن چې اضافه کوي ConfuserEx. د دې سرچینې کوډ په کې موندل کیدی شي .
د محافظت غیر فعالولو لپاره، موږ به فرصت وکاروو dnSpy، کوم چې تاسو ته د ترمیم کولو اجازه درکوي IL-کوډ.
خوندي او نصب کړئ وقفه د پیلولوډ ډیکریپشن فنکشن زنګ وهلو کرښې ته. دا د اصلي ټولګي جوړونکي کې موقعیت لري.
موږ پېلوډ لانچ او ډمپ کوو. د مخکې لیکل شوي YARA قواعدو په کارولو سره، موږ ډاډ ترلاسه کوو چې دا اجنټ ټیسلا دی.
نمونه نمبر 3
د سرچینې فایل د اجرا وړ دی د VB اصلي PE32- دوتنه.
د انټروپي تحلیل د کوډ شوي ډیټا لوی برخې شتون ښیې.
کله چې د غوښتنلیک فورمه تحلیل کړئ د VB ډیکمپیلر تاسو ممکن یو عجیب پکسل شوی شالید وګورئ.
د انټروپي ګراف bmp- انځور د اصلي فایل د انټروپي ګراف سره ورته دی، او اندازه یې د فایل اندازه 85٪ ده.
د عکس عمومي بڼه د سټیګنګرافي کارول په ګوته کوي.
راځئ چې د پروسې د ونې بڼه، او همدارنګه د انجیکشن مارکر شتون ته پام وکړو.
دا په ګوته کوي چې د بسته بندۍ په حال کې ده. د بصری اساسی لوډرانو لپاره (aka VBKrypt او یا VBIinjector) عادي استعمال شیل کوډ د پایلوډ پیل کولو لپاره، او همدارنګه د انجیکشن پخپله ترسره کول.
تحلیل په کې د VB ډیکمپیلر د پیښې شتون ښودلی بار په فورمه کې FegatassocAirballoon2.
ځه چې ځو IDA پرو ټاکل شوي پته ته لاړ شئ او فعالیت مطالعه کړئ. کوډ خورا ډیر ګډوډ دی. هغه ټوټه چې زموږ سره علاقه لري لاندې وړاندې کیږي.
دلته د پروسې پته ځای د لاسلیک لپاره سکین شوی. دا طریقه خورا شکمنه ده.
لومړی، د سکینګ پیل پته 0x400100. دا ارزښت جامد دی او نه تنظیمیږي کله چې بیس لیږدول کیږي. د شنو خونو مثالی شرایطو کې دا به پای ته اشاره وکړي PE- د اجرا وړ فایل سرلیک. په هرصورت، ډیټابیس جامد نه دی، د هغې ارزښت بدلیدلی شي، او د اړین لاسلیک اصلي پته لټون کول، که څه هم دا به د متغیر ډیریدو لامل نشي، کیدای شي ډیر وخت ونیسي.
دوهم، د لاسلیک معنی iWGK. زه فکر کوم چې دا څرګنده ده چې د انفرادیت تضمین کولو لپاره 4 بایټ خورا کوچنی دی. او که تاسو لومړی ټکی په پام کې ونیسئ، د غلطۍ احتمال خورا لوړ دی.
په حقیقت کې، اړین ټوټه د مخکینۍ موندل شوي پای سره تړلې ده bmp- د آفسټ لخوا عکسونه 0xA1D0D.
بشپړول شیل کوډ په دوو پړاوونو کې ترسره کیږي. لومړی د اصلي بدن تشریح کوي. په دې حالت کې، کلیدي د وحشي ځواک لخوا ټاکل کیږي.
بې کوره شوی یو ډوب کړئ شیل کوډ او کرښو ته وګورئ.
لومړی، موږ اوس د ماشوم پروسې رامینځته کولو فنکشن پوهیږو: CreateProcessInternalW.
دوهم، موږ په سیسټم کې د تنظیم کولو میکانیزم څخه خبر شو.
راځئ چې بیرته اصلي پروسې ته لاړ شو. راځئ چې واچوو وقفه په CreateProcessInternalW او اجرا ته دوام ورکړي. بیا موږ اړیکه وګورو NtGetContextThread/NtSetContextThread، کوم چې د اعدام پیل پته پته ته بدلوي شیل کوډ.
موږ د ډیبګر سره رامینځته شوي پروسې سره وصل کوو او پیښه فعاله کوو په کتابتون کې د بارولو / پورته کولو ځنډول، پروسه بیا پیل کړئ او د بارولو لپاره انتظار وکړئ شارپ- کتابتونونه
نور کارول ProcessHacker ډمپ هغه سیمې چې بې بسته لري شارپ- غوښتنلیک.
موږ ټولې پروسې بندوو او د مالویر کاپي حذف کوو چې په سیسټم کې ځای پرځای شوي.
ډمپ شوی فایل د محافظ لخوا خوندي شوی .NET ریکټر، کوم چې په اسانۍ سره د یوټیلیټ په کارولو سره لرې کیدی شي de4dot.
د یارا قواعدو په کارولو سره چې مخکې لیکل شوي، موږ ډاډ ترلاسه کوو چې دا اجنټ ټیسلا دی.
راځئ چې لنډیز وکړو
نو، موږ د مثال په توګه د دریو کوچنیو قضیو په کارولو سره د نیمه اتوماتیک نمونې خلاصولو پروسه په تفصیل سره وښودله، او د بشپړې قضیې پراساس مالویر هم تحلیل کړ، دا معلومه شوه چې د مطالعې لاندې نمونه اجنټ ټیسلا ده، د دې فعالیت رامینځته کول او یو. د جوړجاړي د شاخصونو بشپړ لیست.
د ناوړه شیانو تحلیل چې موږ یې ترسره کړی ډیر وخت او هڅې ته اړتیا لري، او دا کار باید په شرکت کې د یو ځانګړي کارمند لخوا ترسره شي، مګر ټول شرکتونه چمتو ندي چې شنونکي استخدام کړي.
یو له هغو خدماتو څخه چې د کمپیوټر فارنزیک او ناوړه کوډ تحلیل ګروپ-IB لابراتوار لخوا چمتو شوي د سایبر پیښو ځواب دی. او د دې لپاره چې پیرودونکي د سایبر برید په جریان کې د اسنادو تصویب کولو او د دوی په اړه بحث کولو وخت ضایع نکړي، ګروپ-IB پیل کړ. د پیښې غبرګون ساتونکی، د ګډون څخه دمخه د پیښې غبرګون خدمت چې د مالویر تحلیل مرحله هم پکې شامله ده. په دې اړه نور معلومات موندلی شئ .
که تاسو غواړئ یو ځل بیا مطالعه کړئ چې څنګه د اجنټ ټیسلا نمونې خلاصې شوي او وګورئ چې د CERT ګروپ-IB متخصص دا څنګه کوي ، تاسو کولی شئ پدې موضوع د ویبینار ریکارډ ډاونلوډ کړئ .
سرچینه: www.habr.com