Maqaalkani waxa aanu ku buuxinaynaa taxanaha daabacaadda u go'ay falanqaynta software xaasidnimo ah. IN
Maanta Ilya Pomerantsev, oo ku takhasusay falanqaynta malware-ka ee CERT Group-IB, ayaa ka hadli doona marxaladda koowaad ee falanqaynta malware-ka-baakad-si-otomaatig ah oo ah muunado AgentTesla iyadoo la adeegsanayo tusaalaha saddex kiis oo yar-yar oo ka yimid dhaqanka CERT Group-IB ee ku takhasusay.
Caadi ahaan, marxaladda ugu horreysa ee falanqaynta malware waa ka-saarista ilaalinta qaabka baakadaha, cryptor, ilaaliyaha ama rarka. Inta badan, dhibaatadan waxaa lagu xallin karaa iyada oo la wado malware-ka iyo samaynta qashinka, laakiin waxaa jira xaalado habkani aanu ku habboonayn. Tusaale ahaan, haddii malware-ku yahay encryptor, haddii uu ka ilaaliyo goboladiisa xusuusta in la daadiyo, haddii koodka uu ka kooban yahay hababka lagu ogaanayo mishiinka, ama haddii malware-ku dib u bilowdo isla markiiba ka dib marka uu bilaabo. Xaaladahan oo kale, waxa loo yaqaan "semi-automatic" unpacking ayaa la isticmaalaa, taas oo ah, cilmi-baaruhu wuxuu si buuxda u xakameynayaa habka wuxuuna soo dhexgeli karaa wakhti kasta. Aynu tixgalino nidaamkan anagoo adeegsanayna saddex muunado oo qoyska AgentTesla tusaale ahaan. Kani waa malware-ka aan dhibka lahayn haddii aad joojiso gelitaanka shabakadeeda.
Tusaalaha No. 1
Faylka isha waa dukumeenti MS Word ah kaas oo ka faa'iidaysanaya nuglaanta CVE-2017-11882.
Natiijo ahaan, culeyska lacagta la soo dejiyo oo la bilaabo.
Falanqaynta geeddi-socodka iyo calaamadaha hab-dhaqanku waxay muujinayaan duritaanka habka RegAsm.exe.
Waxaa jira calaamado dabeecadeed oo lagu garto AgentTesla.
Muunada la soo dejiyey waa kan la fulin karo .net-faylka uu ilaalinayo ilaaliye NET Reactor.
Aan ku furno utility-ga dnSpy x86 una gudub meesha laga soo galo.
Adigoo aadaya shaqada DateTimeOffset, waxaan heli doonaa code bilowga ee cusub .net-module. Aan dhigno barta jabin khadka aan xiisayno oo aan ku wadno faylka.
Mid ka mid ah kaydiyeyaasha la soo celiyay waxaad ku arki kartaa saxiixa MZ (0x4D 0x5A). Aan badbaadino.
Faylka la daadin karo ee la fulin karo waa maktabad firfircoon oo rarayste ah, i.e. ka soo saara culayska qaybta kheyraadka oo bilaabaya.
Isla mar ahaantaana, kheyraadka lagama maarmaanka ah laftooda kuma jiraan qashinka. Waxay ku jiraan muunada waalidka.
Faa'iidada dnSpy waxay leedahay laba hawlood oo aad waxtar u leh oo naga caawin doona inaan si dhakhso ah u abuurno "Frankenstein" oo ka yimid laba faylal oo la xidhiidha.
- Midda kowaad waxay kuu oggolaanaysaa inaad "ku dhejiso" maktabad firfircoon muunadda waalidka.
- Midda labaad waa in dib loo qoro koodka shaqada barta laga soo galo si loogu waco habka la rabo ee maktabadda firfircoon ee la geliyo.
Waxaan badbaadinaa "Frankenstein", set barta jabin xariiqda soo celinta kaydka agabka la furay, oo soo saar qashin qub ah iyadoo la barbardhigayo marxaladii hore.
Qashinka labaad ayaa lagu qoray VB.NET fayl la fulin karo oo uu ilaalinayo ilaaliye anaga naqaanno ConfuserEx.
Ka dib markii aan ka saarno ilaaliyaha, waxaan isticmaalnaa sharciyada YARA ee horay loo qoray waxaanan hubineynaa in malware-ka aan xirneyn uu yahay AgentTesla.
Tusaalaha No. 2
Faylka isha waa dukumeenti MS Excel ah. Macro-ku-dhisan ayaa sababa fulinta kood xaasidnimo ah.
Natiijo ahaan, qoraalka PowerShell waa la bilaabay.
Qoraalku wuxuu furfuraa koodka C # wuxuuna u gudbiyaa xakamaynta. Koodhka laftiisu waa bootloader, sida sidoo kale laga arki karo warbixinta sandbox.
Culaysku waa mid la fulin karo .net-faylka.
Furitaanka faylka dnSpy x86, waxaad arkaysaa in uu qarsoomay. Ka saarida waxyaabaha qarsoon iyadoo la isticmaalayo utility de4dhibic oo u soo noqda falanqaynta.
Markaad baadhayso koodka, waxaad ogaan kartaa shaqada soo socota:
Xariiqyada ku lifaaqan waa kuwo cajiib ah Goobta gelitaanka ΠΈ Baryaa. Waxaan dhignay barta jabin xariiqda kowaad, orod oo badbaadi qiimaha kaydka byte_0.
Qashin-qubka mar kale waa codsi .net lana ilaaliyo ConfuserEx.
Waxaan meesha ka saarnaa waxyaabaha qarsoon anagoo isticmaalna de4dhibic oo ku shub dnSpy. Laga soo bilaabo sharaxaadda faylka waxaan fahamsanahay in nala soo gudboonaaday Xamuulka CyaX-Sharp.
Raadiyahani waxa uu leeyahay hawlqabad ballaadhan oo ka-hortagga falanqaynta.
Shaqadan waxaa ka mid ah ka gudubka nidaamyada ilaalinta Windows-ku-dhisan, curyaaminta Difaaca Windows, iyo sidoo kale sanduuqa-cammuudda iyo hababka ogaanshaha mashiinka farsamada. Waxaa suurtagal ah in lagu shubo culeyska shabakadda ama lagu kaydiyo qaybta kheyraadka. Daahfurka waxa lagu fuliyaa duritaanka hab u gaar ah, oo la qaybiyo hab u gaar ah, ama habka loo sameeyo MSBuild.exe, vbc.exe ΠΈ RegSvcs.exe iyadoo ay ku xiran tahay cabbirka uu doortay qofka weerarka geystay.
Si kastaba ha ahaatee, anaga way ka muhiimsan yihiin AntiDump-shaqo ku dara ConfuserEx. Koodhka isha waxa laga heli karaa
Si aan u baabi'iyo ilaalinta, waxaan isticmaali doonaa fursada dnSpy, kaas oo kuu ogolaanaya inaad wax ka beddesho IL-kood.
Keydi oo rakib barta jabin ilaa xariiqda wacitaanka shaqada lacag-bixinta. Waxay ku taal dhisaha fasalka ugu weyn.
Waxaan bilownay oo tuurnay culeyska. Isticmaalka sharciyadii YAR ee hore loo qoray, waxaanu hubinaynaa in kani yahay AgentTesla.
Tusaalaha No. 3
Faylka isha waa la fulin karaa Dhaladka VB PE32-faylka.
Falanqaynta Entropy waxay muujinaysaa joogitaanka qayb weyn oo xog sir ah.
Marka la falanqeynayo foomka codsiga gudaha Soo koobida VB Waxaa laga yaabaa inaad dareento asalka pixeled la yaab leh.
garaafka Entropy bmp-image waxay la mid tahay garaafka entropy ee faylka asalka ah, cabbirkuna waa 85% cabbirka faylka.
Muuqaalka guud ee sawirka ayaa muujinaya isticmaalka steganography.
Aynu fiiro gaar ah u yeelano muuqaalka geedka geeddi-socodka, iyo sidoo kale joogitaanka calaamadaynta cirbadeynta.
Tani waxay tusinaysaa in baakayntu ay socoto. Raadiyeyaasha Visual Basic (aka VBKrypt ama VBIjector) isticmaalka caadiga ah shellcode si loo bilaabo culeyska, iyo sidoo kale in la sameeyo duritaanka lafteeda.
Falanqaynta gudaha Soo koobida VB waxay muujisay joogitaanka dhacdo load foomka FegatassocAirballoon2.
Aan aadno IDA pro ciwaanka la cayimay oo baro shaqada. Koodhka ayaa si weyn loo qariyey. Goβaanka na xiiseeya ayaa hoos lagu soo bandhigay.
Halkan meesha ciwaanka habsocodka ayaa lagu sawiray saxeex. Habkani waa mid shaki badan leh.
Marka hore, ciwaanka bilawga iskaanka 0x400100. Qiimahani waa mid taagan oo aan la hagaajin marka saldhiga la wareejinayo. Xaaladaha aqalka dhirta lagu koriyo ee ku habboon waxay muujin doontaa dhammaadka PE- madaxa faylka la fulin karo. Si kastaba ha ahaatee, xog ururintu ma aha mid taagan, qiimihiisu wuu is beddeli karaa, raadinta ciwaanka dhabta ah ee saxeexa loo baahan yahay, inkasta oo aanu sababi doonin qulqulka doorsoomayaasha ah, waxa ay qaadan kartaa wakhti aad u dheer.
Marka labaad, macnaha saxiixa iWGK. Waxaan u maleynayaa inay iska caddahay in 4 bytes ay aad u yar yihiin si loo dammaanad qaado gaarnimada. Haddii aad xisaabta ku dartid qodobka ugu horreeya, suurtogalnimada inaad qalad sameyso waa mid aad u sareysa.
Dhab ahaantii, jajabka loo baahan yahay wuxuu ku xiran yahay dhammaadka hore ee la helay bmp-Sawirro iyadoo la beddelayo 0xA1D0D.
Waxqabadka Shellcode lagu fuliyay laba marxaladood. Midka ugu horreeya ayaa go'aamiya jirka ugu weyn. Xaaladdan oo kale, furaha waxaa lagu go'aamiyaa xoog cad.
Tuur midka la furay Shellcode oo fiiri khadadka.
Marka hore, waxaan hadda ognahay shaqada si loo abuuro habka ilmaha: CreateProcessInternalW.
Marka labaad, waxaan ogaanay habka hagaajinta nidaamka.
Aan ku noqono habraacii asalka ahaa. Aan dhigno barta jabin on CreateProcessInternalW lana sii wado fulinta. Marka xigta waxaan aragnaa isku xirka NtGetContextThread/NtSetContextThread, kaas oo bedelaya ciwaanka bilawga fulinta ee ciwaanka ShellCode.
Waxaan ku xireynaa nidaamka la abuuray iyadoo la adeegsanayo cilladaha oo aan dhaqaajino dhacdada Laal ku rarida maktabaduu, dib u bilaw hawsha oo sug inta aad soo dejinayso .net-maktabado.
Isticmaalka dheeraadka ah ProcessHacker qashin qubka oo ay ku jiraan baakad la'aan .net-codsi.
Waxaan joojinaa dhammaan hababka oo aan tirtirno nuqulka malware-ka ee ku dhex milmay nidaamka.
Faylka la tuuray waxaa ilaalinaya ilaaliye NET Reactor, kaas oo si fudud looga saari karo iyadoo la isticmaalayo utility de4dhibic.
Isticmaalka xeerarka YAR ee hore loo qoray, waxaanu hubinaynaa in kani yahay AgentTesla.
Aynu soo koobno
Markaa, waxaanu si faahfaahsan u soo bandhignay habka muunad otomaatig ah loo kala furfurayo anagoo adeegsanayna saddex kiis oo yar-yar tusaale ahaan, waxaana sidoo kale la falanqeeyay malware oo ku salaysan kiis dhammaystiran, anagoo ogaanay in muunadda daraasadda lagu sameeyay uu yahay AgentTesla, iyada oo la aasaasayo shaqadeeda iyo liiska buuxa ee tilmaamayaasha tanaasulka.
Falanqaynta shayga xaasidnimada ah ee aanu fulinay waxay u baahan tahay waqti iyo dadaal badan, shaqadan waa in uu fuliyo shaqaale gaar ah oo ka tirsan shirkadda, laakiin dhammaan shirkadaha diyaar uma aha inay shaqaaleeyaan falanqeeye.
Mid ka mid ah adeegyada ay bixiso Shaybaadhka Kooxda-IB ee Baadhista Kumbuyuutarka iyo Falanqaynta Xeerka Xaasaska ayaa ah jawaabta shilalka internetka. Iyo si aanay macaamiishu wakhti uga lumin ansixinta dukumentiyada iyo ka hadalka iyaga oo ku dhex jira weerarka internetka, Group-IB ayaa bilaabay Haysta Jawaabta Dhacdada, adeeg ka jawaabida dhacdada isdiiwaangelinta ka hor oo ay ku jirto tallaabada falanqaynta malware. Macluumaad dheeraad ah oo arrintan ku saabsan ayaa la heli karaa
Haddii aad rabto in aad mar kale barato sida muunadaha AgentTesla loo kala furfuray oo aad aragto sida ay CERT Group-IB u sameeyaan, waxaad soo dejisan kartaa duubista webinar ee mawduucan.
Source: www.habr.com