RATKing: olole cusub oo wata Trojans-ka gelitaanka fog
Dhammaadkii Maajo, waxaanu ogaanay olole lagu qaybinayo Helitaanka Fog ee Trojan (RAT) malware-barnaamijyo u oggolaanaya weeraryahannada inay meel fog ka xakameeyaan nidaamka cudurka qaba.
Kooxda aan baarnay waxaa lagu kala saaray xaqiiqda ah inaysan u dooran qoys RAT gaar ah oo cudurka ah. Dhowr Trojans ayaa lagu arkay weerarrada ololaha dhexdiisa (dhammaantood si ballaaran ayaa loo heli karaa). Iyada oo qaabkan, kooxdu waxay na xasuusisay boqorka jiirka - xayawaan khayaali ah oo ka kooban jiirka oo leh dabo isku xiran.
Asal ahaan waxaa laga soo qaatay hal-abuurka KN Rossikov "Jiirka iyo jiirka-u eg-jiirka, dhaqaalaha ugu muhiimsan" (1908)
Anagoo sharaf u ah makhluuqan, waxaan u magacownay kooxda aan tixgelineyno RATKing. Maqaalkan, waxaan si faahfaahsan ugu faah faahin doonaa sida ay weeraryahanadu u fuliyeen weerarka, agabkii ay adeegsadeen, sidoo kale waxaan wadaagi doonaa fikradahayaga ku saabsan sababta loo yeelay ololahan.
Horumarka weerarka
Dhammaan weerarrada ololahan waxay u dhaceen si waafaqsan algorithm-ka soo socda:
Isticmaalka isku xirka, dhibbanuhu wuxuu soo dejiyey qoraal VBS xaasidnimo leh kaasoo qeexaya maktabada DLL si uu ugu shubo culeyska ugu dambeeya ee diiwaanka Windows wuxuuna bilaabay PowerShell si uu u fuliyo.
Maktabada DLL waxay durtay culayska ugu dambeeya - dhab ahaantii, mid ka mid ah RAT-yada ay isticmaalaan weeraryahanadu - nidaamka nidaamka waxayna ka diwaangaliyeen qoraalka VBS ee autorun si ay u helaan meel mashiinnada cudurka qaba.
Culayska ugu dambeeya waxa lagu fuliyay hab nidaam oo waxa uu siiyay weerarka awood uu ku xakameeyo kombuyuutarka cudurka qaba.
Nidaam ahaan waxa loo matali karaa sidan:
Marka xigta, waxaan diiradda saari doonaa saddexda marxaladood ee ugu horreeya, maadaama aan xiisayneyno habka gaarsiinta malware. Si faahfaahsan uma sharaxi doono habka uu u shaqeeyo malware laftiisa. Si weyn ayaa loo heli karaa - ama waxaa lagu iibiyaa golayaasha gaarka ah, ama xitaa waxaa loo qaybiyaa mashruucyo il furan - oo sidaas darteed maaha kuwo u gaar ah kooxda RATKing.
Falanqaynta marxaladaha weerarka
Marxaladda 1. iimaylka phishingka
Weerarku wuxuu ku billowday dhibbanaha oo helay warqad xaasidnimo ah (Weerarayaashu waxay adeegsadeen habab kala duwan oo qoraal ah; sawirka hoose wuxuu muujinayaa hal tusaale). Fariinta ayaa ka koobneyd xiriirinta kaydka sharciga ah drive.google.com, kaas oo loo malaynayo inuu horseeday bogga soo dejinta dukumeenti PDF.
Tusaalaha iimaylka phishing
Si kastaba ha ahaatee, dhab ahaantii, ma ahayn dukumeenti PDF ah oo gebi ahaanba la raray, laakiin qoraal VBS ah.
Markaad gujiso isku xirka emaylka ee shaashadda kore, faylka la magacaabay Cargo Flight Details.vbs. Xaaladdan oo kale, weeraryahanadu xitaa iskuma dayin in ay qariyaan faylka sidii dukumeenti sharci ah.
Isla mar ahaantaana, iyada oo qayb ka ah ololahan, waxaan helnay qoraal la magac baxay Cargo Trip Detail.pdf.vbs. Waxay mar hore u gudbi kartaa PDF sharci ah sababtoo ah Windows waxay qarinaysaa kordhinta faylka si caadi ah. Run, kiiskan, shaki ayaa weli laga yaabaa inay kiciso astaanta, taas oo u dhiganta qoraalka VBS.
Marxaladdan, dhibbanuhu wuxuu aqoonsan karaa khiyaanada: kaliya u fiirso faylalka la soo dejiyay hal ilbiriqsi. Si kastaba ha ahaatee, ololayaasha phishing-ka ee noocaas ah, weerarradu waxay inta badan ku tiirsan yihiin isticmaale aan fiiro lahayn ama degdeg ah.
Marxaladda 2. Hawlgalka qoraalka VBS
Qoraalka VBS, oo isticmaaluhu si badheedh ah u furi karo, wuxuu ka diiwaan gashaday maktabada DLL gudaha diiwaanka Windows. Qoraalku waa la qariyey: xariiqyada ku dhex jira waxa loo qoray sidii bytes oo ay kala sooceen dabeecad aan caadi ahayn.
Tusaalaha qoraalka qarsoon
Algorithm-ka furfurista waa wax fudud: xaraf kasta oo saddexaad ayaa laga saaray xargaha daahsoon, ka dib natiijadii waxaa laga soo saaray base16 oo la geliyay xarriiqii asalka ahaa. Tusaale ahaan, laga bilaabo qiimaha 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (oo lagu iftiimiyay sawirka kore) khadka natiijadu wuxuu ahaa WScript.Shell.
Si aan u kala saarno xargaha, waxaan isticmaalnay shaqada Python:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
Hoosta, sadarrada 9-10, waxaynu ku muujinaynaa qiimaha faqriddiisu ay keentay faylka DLL. Wuxuu ahaa kii lagu bilaabay marxaladda xigta isagoo isticmaalaya PowerShell.
Xarig leh DLL daboolan
Hawl kasta oo ku jirta qoraalka VBS waa la fuliyay iyadoo xargaha la furfuray.
Kadib socodsiinta qoraalka, shaqada ayaa la wacay wscript.sleep - waxa loo adeegsaday fulinta fulinta dib loo dhigay.
Marka xigta, qoraalku wuxuu la shaqeeyay diiwaanka Windows. Waxa uu tan u isticmaalay farsamada WMI. Caawinteeda, fure gaar ah ayaa la sameeyay, iyo jirka faylka la fulin karo ayaa lagu qoray cabbirkiisa. Diiwaanka waxaa laga galay WMI iyadoo la adeegsanayo amarka soo socda:
Gelitaanka lagu sameeyay diiwaanka ee qoraalka VBS
Marxaladda 3. Hawlgalka maktabadda DLL
Marxaladda saddexaad, DLL-ga xaasidka ah ayaa soo shubay culayskii ugu dambeeyay, waxa uu ku duray habka nidaamka, oo uu hubiyay in qoraalka VBS uu si toos ah u bilaabmay markii isticmaaluhu soo galo.
Ku socodsii PowerShell
DLL waxaa lagu fuliyay iyadoo la adeegsanayo amarka soo socda ee PowerShell:
helay xogta qiimaha diiwaanka oo leh magac rnd_value_name - xogtani waxay ahayd fayl DLL ah oo ku qoran madal Net;
ku shubtay moduleka Net-ka soo baxay ee xusuusta habka powershell.exe iyadoo la isticmaalayo shaqada [System.Threading.Thread]::GetDomain().Load()(Sharaxaad faahfaahsan oo ku saabsan shaqada Load() laga heli karo degelka Microsoft);
qabtay shaqada GUyyvmzVhebFCw]::EhwwK() - fulinta maktabadda DLL waxay ku bilaabatay iyada - oo leh cabbirro vbsScriptPath, xorKey, vbsScriptName. Halbeegga xorKey lagu kaydiyay furaha si loo furfuro culayska ugu dambeeya, iyo cabirrada vbsScriptPath ΠΈ vbsScriptName waxaa loo wareejiyay si loo diiwaan geliyo qoraalka VBS ee autorun.
Sharaxaada maktabadda DLL
Qaabkii burburay, bootloader-ku wuxuu u ekaa sidan:
Soodejiye qaab jajaban (shaqada ay ku bilaabatay fulinta maktabadda DLL waxay hoosta ka xariiqday casaan)
Bootloaderka waxaa ilaalinaya .Net Reactor ilaaliyaha. Utility de4dot wuxuu qabtaa shaqo aad u fiican oo meesha ka saaraysa ilaaliyahan.
Raadiyahan:
ku duray culayska nidaamka nidaamka (tusaale ahaan it svchost.exe);
decrypted laba qaybood oo xog ah (array ΠΈ array2 ee shaashadda). Markii hore waa la isku cadeeyey iyadoo la adeegsanayo gzip waxaana lagu sireeyay XOR algorithm oo leh furaha xorKey;
la koobiyay xogta meelaha xusuusta ee loo qoondeeyay. Xogta laga helay array - aagga xusuusta lagu tilmaamay intPtr (payload pointer ee shaashadda); xogta laga helay array2 - aagga xusuusta lagu tilmaamay intPtr2 (shellcode pointer ee shaashadda);
loo yaqaan shaqada CallWindowProcA(sharaxaad Shaqadan waxaa laga heli karaa bogga Microsoft) oo leh halbeegyada soo socda (magacyada halbeegyada ayaa hoos ku taxan, sawirka shaashadda waxay u kala horreeyaan, laakiin leh qiyam shaqo):
lpPrevWndFunc - tilmaame xogta ka array2;
hWnd - tilmaame xadhig ka kooban dariiqa loo maro faylka la fulin karo svchost.exe;
Si aan u fahamno sida duritaanku loo fuliyay, waxaanu fur-furnay hab-dhismeedka xogta array ΠΈ array2. Si tan loo sameeyo waxaan isticmaalnay shaqada Python ee soo socota:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
Markaa marka aad socodsiiso shaqada CallWindowProcA oo leh xuduudo hWnd, Msg, wParam, lParam Shellcode ka soo diyaarinta waa la fuliyay array2 doodo leh hWnd ΠΈ Msg. hWnd waa tilmaanta xadhig ka kooban dariiqa loo maro faylka la fulin karo svchost.exeiyo Msg - tilmaanta culayska ugu dambeeya.
Shellcode wuxuu ka helay ciwaannada shaqada kernel32.dll ΠΈ ntdll32.dll oo ku salaysan qiyamka xashiishka ee magacyadooda oo lagu duray culayska ugu dambeeya ee xusuusta habka svchost.exeiyadoo la adeegsanayo farsamada Goynta Geedi socodka (wax badan oo ku saabsan arrintan ayaad ka akhrisan kartaa maqaal). Marka la durayo shellcode:
hannaan abuuray svchost.exe xaalad la hakiyey iyadoo la adeegsanayo shaqada CreateProcessW;
dabadeed ku qari muuqaalka qaybta meesha ciwaanka ee hawsha svchost.exe iyadoo la isticmaalayo shaqada NtUnmapViewOfSection. Sidaa darteed, barnaamijku wuxuu xoreeyay xusuusta habka asalka ah svchost.exesi markaa loo qoondeeyo xusuusta culayska ciwaanka;
xusuusta loo qoondeeyay culeyska culeyska ee goobta cinwaanka habka svchost.exe iyadoo la isticmaalayo shaqada VirtualAllocEx;
Bilawga habka duritaanka
u qoray waxa ku jira culayska culayska saaraya goobta ciwaanka habsocodka svchost.exe iyadoo la isticmaalayo shaqada WriteProcessMemory (sida ku cad sawirka hoose);
dib u bilaabay hawshii svchost.exe iyadoo la isticmaalayo shaqada ResumeThread.
Dhameystirka habka duritaanka
Malware la soo dejisan karo
Natiijadii falalka la sharraxay, mid ka mid ah dhowr malware-class RAT ayaa lagu rakibay nidaamka cudurka. Jadwalka hoose wuxuu taxayaa malware-ka loo adeegsaday weerarka, kaas oo aan si kalsooni leh ugu nisbayn karno hal koox oo weerrarayaal ah, maadaama muunadaha la helay isla amarka iyo kontoroolka server-ka.
Tusaalooyinka malware-ka la qaybiyay ee leh isla server-ka kontoroolka
Laba shay ayaa halkan xusid mudan.
Marka hore, xaqiiqda ah in weeraryahanadu ay hal mar adeegsadeen dhowr qoys oo RAT ah. Dabeecaddani maaha mid lagu yaqaan kooxaha internetka ee caanka ah, kuwaas oo inta badan isticmaala ku dhawaad ββqalab isku mid ah oo ay yaqaaniin.
Marka labaad, RATKing waxay isticmaashay malware kaas oo ama lagu iibiyo golayaasha gaarka ah qiimo jaban, ama xitaa mashruuc il furan.
Liis aad u dhammaystiran oo malware-ka ah oo loo adeegsaday ololaha-oo leh hal digniin oo muhiim ah-ayaa lagu bixiyaa dhammaadka maqaalka.
Ku saabsan kooxda
Uma nisbayn karno ololaha xaasidnimada ah ee lagu tilmaamay weeraryahan kasta oo la yaqaan. Hadda, waxaan aaminsanahay in weeraradan ay fuliyeen koox asal ahaan cusub. Sida aan ku qornay bilowgii, waxaan ugu yeernay RATKing.
Si loo abuuro qoraalka VBS, kooxdu waxay u badan tahay inay adeegsadeen qalab la mid ah utility-ga VBS-Crypter ka horumariyaha NYAN-x-CAT. Tan waxaa lagu tilmaamay isku ekaanshaha qoraalka uu barnaamijkani ku abuurayo qoraalka weeraryahannada. Gaar ahaan, labaduba:
fulinta dib u dhigista iyadoo la isticmaalayo hawsha Sleep;
isticmaal WMI;
u diwaangeli jirka faylka la fulin karo oo ah halbeeg muhiim ah oo diiwaan gelin ah;
ku fuli faylkan adigoo isticmaalaya PowerShell meel ciwaanka u gaar ah.
Si loo caddeeyo, barbar dhig amarka PowerShell si aad faylka uga socodsiiso diiwaanka, kaas oo loo isticmaalo qoraal la sameeyay iyadoo la adeegsanayo VBS-Crypter:
Ogsoonow in weerarradu ay adeegsadeen adeeg kale oo ka yimid NYAN-x-CAT mid ka mid ah xamuulka - LimeRAT.
Cinwaanada adeegayaasha C&C waxay muujinayaan sifo kale oo gaar ah oo RATKing ah: kooxdu waxay door bidaan adeegyada DNS firfircoon (eeg liiska C&C ee miiska IoC).
IoC
Jadwalka hoose wuxuu bixiyaa liis dhammaystiran oo qoraallada VBS ah oo ay u badan tahay in loo aanayn karo ololaha la sharraxay. Dhammaan qoraalladani waa isku mid oo waxay qabtaan ku dhawaad ββisku taxane fal. Dhammaantood waxay ku duraan fasalka RAT malware nidaamka Windows ee la aamini karo. Dhammaantood waxay leeyihiin ciwaannada C&C ee ka diiwaan gashan adeegyada DNS Dynamic.
Si kastaba ha ahaatee, ma sheegan karno in dhammaan qoraalladan ay qaybiyeen isla weeraryahano, marka laga reebo muunado leh ciwaan C&C isku mid ah (tusaale, kimjoy007.dyndns.org).