මෙම ලිපිය සමඟ අපි අනිෂ්ට මෘදුකාංග විශ්ලේෂණය සඳහා කැප වූ ප්රකාශන මාලාව සම්පූර්ණ කරමු. තුල
අද CERT Group-IB හි අනිෂ්ට මෘදුකාංග විශ්ලේෂණය පිළිබඳ විශේෂ ist යෙකු වන Ilya Pomerantsev, අනිෂ්ට මෘදුකාංග විශ්ලේෂණයේ පළමු අදියර ගැන කතා කරනු ඇත - CERT Group-IB විශේෂඥයින්ගේ පුහුණුවීම් වලින් කුඩා අවස්ථා තුනක උදාහරණ භාවිතා කරමින් AgentTesla සාම්පල අර්ධ ස්වයංක්රීයව අසුරනු ලැබේ.
සාමාන්යයෙන්, අනිෂ්ට මෘදුකාංග විශ්ලේෂණයේ පළමු අදියර වන්නේ පැකර්, ක්රිප්ටර්, ප්රොටෙක්ටර් හෝ ලෝඩරයක ආකාරයෙන් ආරක්ෂාව ඉවත් කිරීමයි. බොහෝ අවස්ථාවන්හීදී, මෙම ගැටළුව අනිෂ්ට මෘදුකාංග ධාවනය කර ඩම්ප් එකක් සිදු කිරීමෙන් විසඳා ගත හැකි නමුත් මෙම ක්රමය සුදුසු නොවන අවස්ථා තිබේ. උදාහරණයක් ලෙස, අනිෂ්ට මෘදුකාංගය සංකේතාකකයක් නම්, එය එහි මතක කලාප ඉවත දැමීමෙන් ආරක්ෂා කරන්නේ නම්, කේතයේ අතථ්ය යන්ත්ර හඳුනාගැනීමේ යාන්ත්රණ තිබේ නම්, හෝ අනිෂ්ට මෘදුකාංගය ආරම්භ වූ වහාම නැවත පණ ගැන්වේ නම්. එවැනි අවස්ථාවන්හිදී, ඊනියා "අර්ධ ස්වයංක්රීය" ඉවත් කිරීම භාවිතා කරනු ලැබේ, එනම්, පර්යේෂකයාට ක්රියාවලිය පිළිබඳ සම්පූර්ණ පාලනය ඇති අතර ඕනෑම අවස්ථාවක මැදිහත් විය හැකිය. උදාහරණයක් ලෙස AgentTesla පවුලේ සාම්පල තුනක් භාවිතා කරමින් මෙම ක්රියා පටිපාටිය සලකා බලමු. ඔබ එහි ජාල ප්රවේශය අක්රිය කළහොත් මෙය සාපේක්ෂව හානිකර නොවන අනිෂ්ට මෘදුකාංගයකි.
සාම්පල අංක 1
මූලාශ්ර ගොනුව CVE-2017-11882 අවදානම් ප්රයෝජනයට ගන්නා MS Word ලේඛනයකි.
එහි ප්රතිඵලයක් වශයෙන්, ගෙවීම බාගත කර දියත් කරනු ලැබේ.
ක්රියාවලි වෘක්ෂය සහ චර්යා සලකුණු විශ්ලේෂණය මඟින් ක්රියාවලියට එන්නත් කිරීම පෙන්නුම් කරයි RegAsm.exe.
AgentTesla හි චර්යාත්මක සලකුණු ඇත.
බාගත කළ නියැදිය ක්රියාත්මක කළ හැකි එකයි .ශුද්ධ- ගොනුව ආරක්ෂකයෙකු විසින් ආරක්ෂා කර ඇත .NET ප්රතික්රියාකාරකය.
අපි එය උපයෝගීතාවයෙන් විවෘත කරමු dnSpy x86 සහ ඇතුල් වීමේ ස්ථානයට යන්න.
උත්සවයට යාමෙනි DateTimeOffset, අපි නව සඳහා ආරම්භක කේතය සොයා ගනිමු .ශුද්ධ- මොඩියුලය. දාමු කඩඉම අපි උනන්දුවක් දක්වන රේඛාව මත ගොනුව ධාවනය කරන්න.
ආපසු ලබා දුන් එක් බෆරයක ඔබට MZ අත්සන දැකිය හැකිය (0x4D 0x5A) අපි එය ඉතිරි කරමු.
ඩම්ප් කරන ලද ක්රියාත්මක කළ හැකි ගොනුවක් යනු ලෝඩරයක් වන ගතික පුස්තකාලයකි, i.e. සම්පත් අංශයෙන් ගෙවීම් පැටවීම සහ එය දියත් කරයි.
ඒ අතරම, අවශ්ය සම්පත් කුණු කන්දෙහි නොමැත. ඒවා මාපිය නියැදියේ ඇත.
උපයෝගීතාව dnSpy සම්බන්ධ ලිපිගොනු දෙකකින් “ෆ්රැන්කන්ස්ටයින්” ඉතා ඉක්මනින් නිර්මාණය කිරීමට අපට උපකාරී වන අතිශය ප්රයෝජනවත් ක්රියාකාරීත්වයක් දෙකක් ඇත.
- පළමුවැන්න ඔබට ගතික පුස්තකාලයක් මාපිය නියැදියට "ඇලවීමට" ඉඩ සලසයි.
- දෙවැන්න නම් ඇතුළත් කළ ගතික පුස්තකාලයේ අපේක්ෂිත ක්රමය ඇමතීමට ප්රවේශ ලක්ෂ්යයේ ක්රියාකාරී කේතය නැවත ලිවීමයි.
අපි අපේ "ෆ්රැන්කන්ස්ටයින්", කට්ටලය සුරකිමු කඩඉම රේඛාව මත විකේතනය කළ සම්පත් සහිත බෆරයක් ආපසු ලබා දෙන අතර, පෙර අදියර සමඟ සාදෘශ්යයෙන් ඩම්ප් එකක් නිපදවන්න.
දෙවන ඩම්ප් එක ලියා ඇත VB.NET අපට හුරුපුරුදු ආරක්ෂකයෙකු විසින් ආරක්ෂා කර ඇති ක්රියාත්මක කළ හැකි ගොනුවක් ConfuserEx.
ආරක්ෂකය ඉවත් කිරීමෙන් පසු, අපි කලින් ලියා ඇති YARA නීති භාවිතා කරන අතර ඇසුරුම් නොකළ අනිෂ්ට මෘදුකාංගය ඇත්ත වශයෙන්ම AgentTesla බව සහතික කර ගනිමු.
සාම්පල අංක 2
මූලාශ්ර ගොනුව MS Excel ලේඛනයකි. බිල්ට් මැක්රෝ එකක් අනිෂ්ට කේතය ක්රියාත්මක කිරීමට හේතු වේ.
එහි ප්රතිඵලයක් වශයෙන්, PowerShell පිටපත දියත් කර ඇත.
ස්ක්රිප්ට් C# කේතය විකේතනය කර පාලනය එයට මාරු කරයි. සෑන්ඩ්බොක්ස් වාර්තාවෙන් ද දැකිය හැකි පරිදි කේතයම ඇරඹුම් කාරකයකි.
ගෙවීම ක්රියාත්මක කළ හැකි එකකි .ශුද්ධ-ගොනුව.
ගොනුව විවෘත කිරීම dnSpy x86, එය අපැහැදිලි බව ඔබට පෙනේ. උපයෝගීතාව භාවිතයෙන් අපැහැදිලි ඉවත් කිරීම de4dot සහ විශ්ලේෂණය වෙත ආපසු යන්න.
කේතය පරීක්ෂා කිරීමේදී, ඔබට පහත කාර්යය සොයාගත හැකිය:
කේතනය කරන ලද රේඛා කැපී පෙනේ EntryPoint и ආයාචනා කරන්න. අපි දැම්මා කඩඉම පළමු පේළියට, ධාවනය කර බෆර් අගය සුරකින්න බයිට්_0.
ඩම්ප් නැවතත් යෙදුමකි .ශුද්ධ සහ ආරක්ෂා කර ඇත ConfuserEx.
අපි භාවිතා කරමින් අපැහැදිලි ඉවත් කරමු de4dot සහ උඩුගත කරන්න dnSpy. ගොනු විස්තරයෙන් අපි මුහුණ දෙන බව අපට වැටහෙනවා CyaX-Sharp loader.
මෙම ලෝඩරයට විස්තීර්ණ ප්රති-විශ්ලේෂණ ක්රියාකාරීත්වයක් ඇත.
මෙම ක්රියාකාරීත්වයට බිල්ට් වින්ඩෝස් ආරක්ෂණ පද්ධති මඟ හැරීම, වින්ඩෝස් ඩිෆෙන්ඩර් අක්රිය කිරීම මෙන්ම වැලිපිල්ල සහ අතථ්ය යන්ත්ර හඳුනාගැනීමේ යාන්ත්රණ ඇතුළත් වේ. ජාලයෙන් ගෙවීම් පැටවීම හෝ සම්පත් අංශයේ ගබඩා කිරීම කළ හැකිය. දියත් කිරීම සිදු කරනු ලබන්නේ තමන්ගේම ක්රියාවලියට, එහිම ක්රියාවලියේ අනුපිටපතකට හෝ ක්රියාවලීන්ට එන්නත් කිරීමෙනි. MSBuild.exe, vbc.exe и RegSvcs.exe ප්රහාරකයා විසින් තෝරාගත් පරාමිතිය මත පදනම්ව.
කෙසේ වෙතත්, අපට ඔවුන් වඩා අඩු සැලකිය යුතු ය AntiDump- කාර්යය එකතු කරයි ConfuserEx. එහි මූල කේතය සොයා ගත හැක
ආරක්ෂාව අබල කිරීමට, අපි අවස්ථාව භාවිතා කරන්නෙමු dnSpy, ඔබට සංස්කරණය කිරීමට ඉඩ සලසයි IL-කේතය.
සුරකින්න සහ ස්ථාපනය කරන්න කඩඉම ගෙවීමේ විකේතන ශ්රිතය ඇමතීමේ රේඛාවට. එය ප්රධාන පන්තියේ ඉදිකිරීම්කරු තුළ පිහිටා ඇත.
අපි පැටවීම දියත් කර ඩම්ප් කරමු. කලින් ලියා ඇති YARA නීති භාවිතා කරමින්, අපි මෙය AgentTesla බව සහතික කර ගනිමු.
සාම්පල අංක 3
මූලාශ්ර ගොනුව ක්රියාත්මක කළ හැකි ය VB Native PE32-ගොනුව.
එන්ට්රොපි විශ්ලේෂණය මඟින් විශාල සංකේතාත්මක දත්ත කැබැල්ලක් පවතින බව පෙන්නුම් කරයි.
අයදුම් පත්රය විශ්ලේෂණය කිරීමේදී VB Decompiler ඔබට අමුතු pixelated පසුබිමක් දැකිය හැක.
එන්ට්රොපි ප්රස්තාරය bmp-image මුල් ගොනුවේ එන්ට්රොපි ප්රස්ථාරයට සමාන වන අතර ප්රමාණය ගොනු ප්රමාණයෙන් 85% කි.
රූපයේ සාමාන්ය පෙනුම ස්ටෙගනොග්රැෆි භාවිතය පෙන්නුම් කරයි.
ක්රියාවලි ගසේ පෙනුම මෙන්ම එන්නත් සලකුණක් තිබීම කෙරෙහි අවධානය යොමු කරමු.
මෙයින් ඇඟවෙන්නේ ඇසුරුම් ඉවත් කිරීම සිදුවෙමින් පවතින බවයි. දෘශ්ය මූලික පැටවුම් සඳහා (aka VBKrypt හෝ VBIinjector) සාමාන්ය භාවිතය shellcode ගෙවීම ආරම්භ කිරීමට මෙන්ම, එන්නත් කිරීම සිදු කිරීමට.
තුළ විශ්ලේෂණය VB Decompiler සිදුවීමක් පවතින බව පෙන්නුම් කළේය පැටවීම පෝරමයේ FegatassocAirballoon2.
අපි යමු IDA pro නිශ්චිත ලිපිනයට සහ කාර්යය අධ්යයනය කරන්න. කේතය දැඩි ලෙස අපැහැදිලි වේ. අපට උනන්දුවක් දක්වන කොටස පහත දැක්වේ.
මෙහිදී ක්රියාවලියේ ලිපින අවකාශය අත්සනක් සඳහා ස්කෑන් කෙරේ. මෙම ප්රවේශය අතිශයින්ම සැක සහිත ය.
පළමුව, ස්කෑන් කිරීමේ ආරම්භක ලිපිනය 0x400100. මෙම අගය ස්ථිතික වන අතර පාදය මාරු කරන විට සකස් නොකෙරේ. කදිම හරිතාගාර තත්වයන් තුළ එය අවසානය පෙන්නුම් කරයි PE- ක්රියාත්මක කළ හැකි ගොනුවේ ශීර්ෂකය. කෙසේ වෙතත්, දත්ත සමුදාය ස්ථිතික නොවේ, එහි අගය වෙනස් විය හැකි අතර, අවශ්ය අත්සනෙහි සැබෑ ලිපිනය සෙවීම, එය විචල්ය පිටාර ගැලීමක් ඇති නොකරනු ඇතත්, ඉතා දිගු කාලයක් ගතවනු ඇත.
දෙවනුව, අත්සනෙහි තේරුම iWGK. මම හිතන්නේ බයිට් 4 ක් සුවිශේෂත්වය සහතික කළ නොහැකි තරම් කුඩා බව පැහැදිලියි. ඔබ පළමු කරුණ සැලකිල්ලට ගන්නේ නම්, වැරැද්දක් කිරීමේ සම්භාවිතාව තරමක් ඉහළ ය.
ඇත්ත වශයෙන්ම, අවශ්ය කොටස කලින් සොයාගත් කෙළවරට අනුයුක්ත කර ඇත bmpඕෆ්සෙට් මගින් පින්තූර 0xA1D0D.
කාර්ය සාධනය Shellcode අදියර දෙකකින් සිදු කෙරේ. පළමුවැන්න ප්රධාන ශරීරය විකේතනය කරයි. මෙම අවස්ථාවේ දී, යතුර තිරිසන් බලයෙන් තීරණය වේ.
decrypt කරපු එක Dump කරන්න Shellcode සහ රේඛා බලන්න.
පළමුව, ළමා ක්රියාවලියක් නිර්මාණය කිරීමේ කාර්යය අපි දැන් දනිමු: CreateProcessInternalW.
දෙවනුව, පද්ධතියේ සවි කිරීමේ යාන්ත්රණය පිළිබඳව අපි දැනුවත් විය.
අපි නැවත මුල් ක්රියාවලියට යමු. දාමු කඩඉම මත CreateProcessInternalW සහ ක්රියාත්මක කිරීම දිගටම කරගෙන යන්න. ඊළඟට අපි සම්බන්ධතාවය දකිනවා NtGetContextThread/NtSetContextThread, එය ක්රියාත්මක කිරීමේ ආරම්භක ලිපිනය ලිපිනයට වෙනස් කරයි ShellCode.
අපි නිදොස්කරණයක් සමඟ නිර්මාණය කළ ක්රියාවලියට සම්බන්ධ කර සිදුවීම සක්රිය කරමු පුස්තකාලය පැටවීම/බෑම අත්හිටුවීම, ක්රියාවලිය නැවත ආරම්භ කර පැටවීම සඳහා රැඳී සිටින්න .ශුද්ධ-පුස්තකාල.
තවදුරටත් භාවිතා කිරීම ProcessHacker ඇසුරුම් නොකළ ඩම්ප් ප්රදේශ .ශුද්ධ-අයදුම්පත.
අපි සියලුම ක්රියාවලීන් නවත්වා පද්ධතියට කාවැදී ඇති අනිෂ්ට මෘදුකාංගයේ පිටපත මකා දමමු.
ඉවතලන ගොනුව ආරක්ෂකයෙකු විසින් ආරක්ෂා කර ඇත .NET ප්රතික්රියාකාරකය, උපයෝගීතාවයක් භාවිතයෙන් පහසුවෙන් ඉවත් කළ හැකිය de4dot.
කලින් ලියා ඇති YARA නීති භාවිතා කරමින්, අපි මෙය AgentTesla බව සහතික කර ගනිමු.
අපි සාරාංශ කරමු
එබැවින්, අපි උදාහරණයක් ලෙස කුඩා අවස්ථා තුනක් භාවිතා කරමින් අර්ධ ස්වයංක්රීය නියැදි අසුරන ක්රියාවලිය විස්තරාත්මකව නිරූපණය කළ අතර, සම්පූර්ණ නඩුවක් මත පදනම්ව අනිෂ්ට මෘදුකාංග විශ්ලේෂණය කර, අධ්යයනයට ලක්ව ඇති නියැදිය AgentTesla බව සොයා, එහි ක්රියාකාරීත්වය සහ a සම්මුතියේ දර්ශක සම්පූර්ණ ලැයිස්තුව.
අප විසින් සිදු කරන ලද ද්වේෂසහගත වස්තුව විශ්ලේෂණය කිරීම සඳහා බොහෝ කාලයක් හා වෑයමක් අවශ්ය වන අතර, මෙම කාර්යය සමාගමේ විශේෂ සේවකයෙකු විසින් සිදු කළ යුතුය, නමුත් සියලුම සමාගම් විශ්ලේෂකයෙකු බඳවා ගැනීමට සූදානම් නැත.
පරිගණක අධිකරණ වෛද්ය විද්යාව සහ අනිෂ්ට කේත විශ්ලේෂණය පිළිබඳ Group-IB රසායනාගාරය විසින් සපයනු ලබන එක් සේවාවක් වන්නේ සයිබර් සිදුවීම් වලට ප්රතිචාර දැක්වීමයි. සයිබර් ප්රහාරයක් මධ්යයේ ගනුදෙනුකරුවන් ලේඛන අනුමත කිරීමට සහ ඒවා සාකච්ඡා කිරීමට කාලය නාස්ති නොකිරීමට, Group-IB දියත් කරන ලදී. සිද්ධි ප්රතිචාර රඳවනය, අනිෂ්ට මෘදුකාංග විශ්ලේෂණ පියවරක් ද ඇතුළත් පූර්ව-දායකත්ව සිදුවීම් ප්රතිචාර සේවාවකි. මේ පිළිබඳ වැඩි විස්තර සොයා ගත හැක
ඔබට නැවත වරක් AgentTesla සාම්පල අසුරා ඇති ආකාරය අධ්යයනය කිරීමට අවශ්ය නම් සහ CERT Group-IB විශේෂඥයෙකු එය කරන්නේ කෙසේදැයි බැලීමට, ඔබට මෙම මාතෘකාව පිළිබඳ webinar පටිගත කිරීම බාගත කළ හැකිය.
මූලාශ්රය: www.habr.com