تازو، برقي تنصيب جي سامان جي هڪ يورپي ٺاهيندڙ گروپ-آئي بي سان رابطو ڪيو - ان جي ملازم کي هڪ مشڪوڪ خط موصول ٿيو جنهن ۾ هڪ بدسلوڪي منسلڪ ميل ۾. اليا PomerantsevCERT Group-IB ۾ هڪ مالويئر تجزيي جي ماهر، هن فائل جو تفصيلي تجزيو ڪيو، اتي AgentTesla اسپائي ويئر کي دريافت ڪيو ۽ ٻڌايو ته اهڙي مالويئر کان ڪهڙي اميد رکڻ گهرجي ۽ اهو ڪيئن خطرناڪ آهي.
هن پوسٽ سان اسان مضمونن جو هڪ سلسلو شروع ڪري رهيا آهيون ته ڪيئن ممڪن طور تي خطرناڪ فائلن جو تجزيو ڪيو وڃي، ۽ اسان انتظار ڪري رهيا آهيون سڀ کان وڌيڪ دلچسپ 5 ڊسمبر تي موضوع تي هڪ مفت انٽرايڪٽو ويبينار لاءِ. "مالويئر تجزيو: حقيقي ڪيسن جو تجزيو". سڀ تفصيل کٽ هيٺ آهن.
تقسيم جي ميڪانيزم
اسان ڄاڻون ٿا ته مالويئر فشنگ اي ميلن ذريعي مقتول جي مشين تائين پهتو. خط جو وصول ڪندڙ شايد بي سي سي ڪيو ويو.
سرن جي تجزيي مان معلوم ٿئي ٿو ته خط موڪليندڙ کي ڪوڙو ڪيو ويو هو. حقيقت ۾، خط ڇڏي ويو vps56[.]oneworldhosting[.]com.
اي ميل منسلڪ هڪ WinRar آرڪائيو تي مشتمل آهي qoute_jpeg56a.r15 بدسلوڪي قابل عمل فائل سان QOUTE_JPEG56A.exe اندر.
مالويئر ماحولياتي نظام
هاڻي اچو ته ڏسو ته مطالعي هيٺ مالويئر جو ايڪو سسٽم ڪهڙو نظر اچي ٿو. هيٺ ڏنل شڪل ڏيکاري ٿو ان جي جوڙجڪ ۽ اجزاء جي رابطي جي هدايتن کي.
هاڻي اچو ته هر هڪ مالويئر اجزاء تي وڌيڪ تفصيل سان ڏسو.
لوڊ ڪندڙ
اصل فائل QOUTE_JPEG56A.exe هڪ مرتب ٿيل آهي AutoIt v3 اسڪرپٽ
اصل اسڪرپٽ کي اونڌو ڪرڻ لاءِ ، هڪجهڙائي رکندڙ PELock AutoIT-Obfuscator خاصيتون.
Deobfuscation ٽن مرحلن ۾ ڪيو ويندو آهي:
- اوچتو دور ڪرڻ لاءِ- جيڪڏهن
پهريون قدم اسڪرپٽ جي ڪنٽرول وهڪري کي بحال ڪرڻ آهي. ڪنٽرول فلو فليٽنگ ايپليڪيشن بائنري ڪوڊ کي تجزيي کان بچائڻ لاء سڀ کان وڌيڪ عام طريقن مان هڪ آهي. الجھن واري تبديليون ڊرامائي طور تي الگورتھم ۽ ڊيٽا جي جوڙجڪ کي ڪڍڻ ۽ سڃاڻڻ جي پيچيدگي کي وڌائي ٿي.
- قطار جي بحالي
تارن کي انڪرپٽ ڪرڻ لاءِ ٻه فنڪشن استعمال ٿيندا آهن:
- gdorizabegkvfca - بيس 64-جهڙو ڊيڪوڊنگ انجام ڏئي ٿو
- xgacyukcyzxz - پهرين اسٽرنگ جي سادي بائيٽ-بائيٽ XOR سيڪنڊ جي ڊيگهه سان
- gdorizabegkvfca - بيس 64-جهڙو ڊيڪوڊنگ انجام ڏئي ٿو
- اوچتو دور ڪرڻ BinaryToString и روڪيو
مکيه لوڊ ڊاريڪٽري ۾ ورهايل فارم ۾ ذخيرو ٿيل آهي فانٽ فائل جي وسيلن جا حصا.
گلن جي ترتيب هن ريت آهي: TIEQHCXWFG, آئي ايم اي, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, ايڇ ڊبليو ايڇ او, AVZOUMVFRDWFLWU.
WinAPI فنڪشن استعمال ڪيو ويندو آهي ڪڍيل ڊيٽا کي ڊڪرائڻ لاء CryptDecrypt، ۽ قيمت جي بنياد تي ٺاهيل سيشن ڪيچ کي استعمال ڪيو ويندو آهي fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
decrypted executable فائل موڪلي وئي آهي فنڪشن ان پٽ ڏانهن هلائڻ، جيڪو عمل ڪري ٿو پروسيس انجيڪشن в RegAsm.exe تعمير ٿيل استعمال ڪندي شيل ڪوڊ (پڻ سڃاتو وڃي ٿو RunPE شيل ڪوڊ). ليکڪ جو تعلق اسپينش فورم جي استعمال ڪندڙ سان آهي اڻ ڄاتل [.] نيٽ وارڊو جي نالي سان.
اهو پڻ قابل ذڪر آهي ته هن فورم جي سلسلي مان هڪ ۾، هڪ obfuscator لاء ڇت تي نموني جي تجزيي دوران سڃاڻپ ڪيل ساڳي ملڪيت سان.
پاڻ ۾ شيل ڪوڊ بلڪل سادو ۽ ڌيان ڇڪائي ٿو صرف هيڪر گروپ AnunakCarbanak کان قرض ورتو ويو آهي. API ڪال هشنگ فنڪشن.
اسان پڻ استعمال جي ڪيسن کان واقف آهيون فرانسيسي شيل ڪوڊ مختلف نسخو.
بيان ڪيل ڪارڪردگي کان علاوه، اسان پڻ غير فعال افعال جي نشاندهي ڪئي:
- ٽاسڪ مئنيجر ۾ دستي عمل جي خاتمي کي بلاڪ ڪرڻ
- ٻار جي عمل کي ٻيهر شروع ڪندي جڏهن اهو ختم ٿئي ٿو
- UAC بائي پاس
- پئلوڊ کي فائل ۾ محفوظ ڪرڻ
- ماڊل ونڊوز جو مظاهرو
- مائوس جي ڪرسر جي پوزيشن کي تبديل ڪرڻ جو انتظار
- AntiVM ۽ AntiSandbox
- خود تباهي
- نيٽ ورڪ مان پمپنگ پيل لوڊ
اسان ڄاڻون ٿا ته اهڙي ڪارڪردگي محافظ لاء عام آهي CypherIT، جيڪو، ظاهري طور تي، سوال ۾ بوٽ لوڊ ڪندڙ آهي.
سافٽ ويئر جو مکيه ماڊل
اڳيون، اسان مختصر طور تي مالويئر جي مکيه ماڊل کي بيان ڪنداسين، ۽ ان کي ٻئي مضمون ۾ وڌيڪ تفصيل سان غور ڪنداسين. هن معاملي ۾، ان تي هڪ درخواست آهي .NET.
تجزيي جي دوران، اسان دريافت ڪيو ته هڪ obfuscator استعمال ڪيو ويو ConfuserEX.
IElibrary.dll
لائبريري هڪ مکيه ماڊل وسيلن جي طور تي ذخيرو ٿيل آهي ۽ هڪ مشهور پلگ ان آهي ايجنٽ ٽيسلا، جيڪو انٽرنيٽ ايڪسپلورر ۽ ايج برائوزرن مان مختلف معلومات ڪڍڻ لاءِ ڪارڪردگي مهيا ڪري ٿو.
ايجنٽ ٽسلا هڪ ماڊيولر جاسوسي سافٽ ويئر آهي جيڪو مالويئر-جي-هڪ-سروس ماڊل استعمال ڪندي ورهايو ويو آهي هڪ جائز Keylogger پراڊڪٽ جي آڙ ۾. ايجنٽ ٽسلا برائوزرن، اي ميل ڪلائنٽ ۽ ايف ٽي پي ڪلائنٽ کان صارف جي سندن کي ڪڍڻ ۽ منتقل ڪرڻ جي قابل آھي سرور ڏانھن حملي ڪندڙن تائين، ڪلپ بورڊ ڊيٽا کي رڪارڊ ڪرڻ، ۽ ڊوائيس اسڪرين کي پڪڙڻ. تجزيي جي وقت، ڊولپرز جي سرڪاري ويب سائيٽ دستياب نه هئي.
داخلا پوائنٽ فنڪشن آهي GetSavedPasswords ڪلاس انٽرنيٽ ايڪسپلورر.
عام طور تي، ڪوڊ جي عملدرآمد لڪير آهي ۽ تجزيو جي خلاف ڪو به تحفظ شامل ناهي. صرف غير حقيقي فنڪشن ڌيان جي لائق آهي GetSaved Cookies. ظاهري طور تي، پلگ ان جي ڪارڪردگي کي وڌايو وڃي ها، پر اهو ڪڏهن به نه ڪيو ويو.
سسٽم سان بوٽ لوڊر کي ڳنڍڻ
اچو ته پڙهون ته ڪيئن بوٽ لوڊر سسٽم سان ڳنڍيل آهي. مطالعي هيٺ ڏنل نموني لنگر نه ڪندو آهي، پر ساڳئي واقعن ۾ اهو هيٺين اسڪيم جي مطابق ٿئي ٿو:
- فولڊر ۾ ج: استعمال ڪندڙ عوامي اسڪرپٽ ٺاهي وئي آهي ڏسڻ جي بنيادي
اسڪرپٽ مثال:
- بوٽ لوڊر فائل جو مواد هڪ نال ڪردار سان ڀريل آهي ۽ فولڊر ۾ محفوظ ڪيو ويو آهي %Temp%
- اسڪرپٽ فائل لاءِ رجسٽري ۾ هڪ autorun ڪيچ ٺاهي وئي آهي HKCUSoftwareMicrosoftWindowsCurrentVersionRun
تنهن ڪري، تجزيو جي پهرين حصي جي نتيجن جي بنياد تي، اسان مطالعي هيٺ مالويئر جي سڀني حصن جي خاندانن جا نالا قائم ڪرڻ، انفيڪشن جي نموني جو تجزيو ڪرڻ، ۽ دستخط لکڻ لاء شيون پڻ حاصل ڪرڻ جي قابل هئا. اسان ايندڙ مضمون ۾ هن اعتراض جو تجزيو جاري رکون ٿا، جتي اسان وڌيڪ تفصيل سان مکيه ماڊل کي ڏسنداسين. ايجنٽ ٽيسلا. نه وڃايو!
رستي ۾، 5 ڊسمبر تي، اسان سڀني پڙهندڙن کي "مالويئر جو تجزيو: حقيقي ڪيسن جو تجزيو" جي موضوع تي هڪ مفت انٽرويو ويبينار ڏانهن دعوت ڏيو ٿا، جتي هن مضمون جو ليکڪ، هڪ CERT-GIB ماهر، آن لائن ڏيکاريندو پهريون مرحلو. مالويئر تجزيو - نمونن جي نيم پاڻمرادو پيڪنگنگ استعمال ڪندي ٽن حقيقي مني ڪيسن جو مثال استعمال ڪندي، ۽ توھان تجزيو ۾ حصو وٺي سگھو ٿا. ويبينار ماهرن لاءِ موزون آهي جن کي اڳ ۾ ئي خراب فائلن جو تجزيو ڪرڻ جو تجربو آهي. رجسٽريشن سختي سان ڪارپوريٽ اي ميل کان آهي: . توهان جو انتظار آهي!
يارا
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
هشس
| نالو | qoute_jpeg56a.r15 |
| ايم ڊي اينيمڪس | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| قسم | آرڪائيو WinRAR |
| ڪرائون سائيز واري | 823014 |
| نالو | QOUTE_JPEG56A.exe |
| ايم ڊي اينيمڪس | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| قسم | PE (مرتب ٿيل آٽو آئيٽ اسڪرپٽ) |
| ڪرائون سائيز واري | 1327616 |
| اصل نالو | اڻڄاتل |
| تاريخ اسٽيمپ | 15.07.2019 |
| لنڪ | Microsoft Linker(12.0)[EXE32] |
| ايم ڊي اينيمڪس | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| قسم | شيل ڪوڊ |
| ڪرائون سائيز واري | 1474 |
جو ذريعو: www.habr.com