پهريون قدم اسڪرپٽ جي ڪنٽرول وهڪري کي بحال ڪرڻ آهي. ڪنٽرول فلو فليٽنگ ايپليڪيشن بائنري ڪوڊ کي تجزيي کان بچائڻ لاء سڀ کان وڌيڪ عام طريقن مان هڪ آهي. الجھن واري تبديليون ڊرامائي طور تي الگورتھم ۽ ڊيٽا جي جوڙجڪ کي ڪڍڻ ۽ سڃاڻڻ جي پيچيدگي کي وڌائي ٿي.
قطار جي بحالي
تارن کي انڪرپٽ ڪرڻ لاءِ ٻه فنڪشن استعمال ٿيندا آهن:
gdorizabegkvfca - بيس 64-جهڙو ڊيڪوڊنگ انجام ڏئي ٿو
xgacyukcyzxz - پهرين اسٽرنگ جي سادي بائيٽ-بائيٽ XOR سيڪنڊ جي ڊيگهه سان
اوچتو دور ڪرڻ BinaryToString и روڪيو
مکيه لوڊ ڊاريڪٽري ۾ ورهايل فارم ۾ ذخيرو ٿيل آهي فانٽ فائل جي وسيلن جا حصا.
WinAPI فنڪشن استعمال ڪيو ويندو آهي ڪڍيل ڊيٽا کي ڊڪرائڻ لاء CryptDecrypt، ۽ قيمت جي بنياد تي ٺاهيل سيشن ڪيچ کي استعمال ڪيو ويندو آهي fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
decrypted executable فائل موڪلي وئي آهي فنڪشن ان پٽ ڏانهن هلائڻ، جيڪو عمل ڪري ٿو پروسيس انجيڪشن в RegAsm.exe تعمير ٿيل استعمال ڪندي شيل ڪوڊ (پڻ سڃاتو وڃي ٿو RunPE شيل ڪوڊ). ليکڪ جو تعلق اسپينش فورم جي استعمال ڪندڙ سان آهي اڻ ڄاتل [.] نيٽ وارڊو جي نالي سان.
اهو پڻ قابل ذڪر آهي ته هن فورم جي سلسلي مان هڪ ۾، هڪ obfuscator لاء ڇت تي نموني جي تجزيي دوران سڃاڻپ ڪيل ساڳي ملڪيت سان.
اڳيون، اسان مختصر طور تي مالويئر جي مکيه ماڊل کي بيان ڪنداسين، ۽ ان کي ٻئي مضمون ۾ وڌيڪ تفصيل سان غور ڪنداسين. هن معاملي ۾، ان تي هڪ درخواست آهي .NET.
تجزيي جي دوران، اسان دريافت ڪيو ته هڪ obfuscator استعمال ڪيو ويو ConfuserEX.
IElibrary.dll
لائبريري هڪ مکيه ماڊل وسيلن جي طور تي ذخيرو ٿيل آهي ۽ هڪ مشهور پلگ ان آهي ايجنٽ ٽيسلا، جيڪو انٽرنيٽ ايڪسپلورر ۽ ايج برائوزرن مان مختلف معلومات ڪڍڻ لاءِ ڪارڪردگي مهيا ڪري ٿو.
ايجنٽ ٽسلا هڪ ماڊيولر جاسوسي سافٽ ويئر آهي جيڪو مالويئر-جي-هڪ-سروس ماڊل استعمال ڪندي ورهايو ويو آهي هڪ جائز Keylogger پراڊڪٽ جي آڙ ۾. ايجنٽ ٽسلا برائوزرن، اي ميل ڪلائنٽ ۽ ايف ٽي پي ڪلائنٽ کان صارف جي سندن کي ڪڍڻ ۽ منتقل ڪرڻ جي قابل آھي سرور ڏانھن حملي ڪندڙن تائين، ڪلپ بورڊ ڊيٽا کي رڪارڊ ڪرڻ، ۽ ڊوائيس اسڪرين کي پڪڙڻ. تجزيي جي وقت، ڊولپرز جي سرڪاري ويب سائيٽ دستياب نه هئي.
عام طور تي، ڪوڊ جي عملدرآمد لڪير آهي ۽ تجزيو جي خلاف ڪو به تحفظ شامل ناهي. صرف غير حقيقي فنڪشن ڌيان جي لائق آهي GetSaved Cookies. ظاهري طور تي، پلگ ان جي ڪارڪردگي کي وڌايو وڃي ها، پر اهو ڪڏهن به نه ڪيو ويو.
سسٽم سان بوٽ لوڊر کي ڳنڍڻ
اچو ته پڙهون ته ڪيئن بوٽ لوڊر سسٽم سان ڳنڍيل آهي. مطالعي هيٺ ڏنل نموني لنگر نه ڪندو آهي، پر ساڳئي واقعن ۾ اهو هيٺين اسڪيم جي مطابق ٿئي ٿو:
فولڊر ۾ ج: استعمال ڪندڙ عوامي اسڪرپٽ ٺاهي وئي آهي ڏسڻ جي بنيادي
اسڪرپٽ مثال:
بوٽ لوڊر فائل جو مواد هڪ نال ڪردار سان ڀريل آهي ۽ فولڊر ۾ محفوظ ڪيو ويو آهي %Temp%
تنهن ڪري، تجزيو جي پهرين حصي جي نتيجن جي بنياد تي، اسان مطالعي هيٺ مالويئر جي سڀني حصن جي خاندانن جا نالا قائم ڪرڻ، انفيڪشن جي نموني جو تجزيو ڪرڻ، ۽ دستخط لکڻ لاء شيون پڻ حاصل ڪرڻ جي قابل هئا. اسان ايندڙ مضمون ۾ هن اعتراض جو تجزيو جاري رکون ٿا، جتي اسان وڌيڪ تفصيل سان مکيه ماڊل کي ڏسنداسين. ايجنٽ ٽيسلا. نه وڃايو!
رستي ۾، 5 ڊسمبر تي، اسان سڀني پڙهندڙن کي "مالويئر جو تجزيو: حقيقي ڪيسن جو تجزيو" جي موضوع تي هڪ مفت انٽرويو ويبينار ڏانهن دعوت ڏيو ٿا، جتي هن مضمون جو ليکڪ، هڪ CERT-GIB ماهر، آن لائن ڏيکاريندو پهريون مرحلو. مالويئر تجزيو - نمونن جي نيم پاڻمرادو پيڪنگنگ استعمال ڪندي ٽن حقيقي مني ڪيسن جو مثال استعمال ڪندي، ۽ توھان تجزيو ۾ حصو وٺي سگھو ٿا. ويبينار ماهرن لاءِ موزون آهي جن کي اڳ ۾ ئي خراب فائلن جو تجزيو ڪرڻ جو تجربو آهي. رجسٽريشن سختي سان ڪارپوريٽ اي ميل کان آهي: رجسٽر. توهان جو انتظار آهي!