சமீபத்தில், மின் நிறுவல் உபகரணங்களின் ஐரோப்பிய உற்பத்தியாளர் குழு-IB ஐத் தொடர்பு கொண்டார் - அதன் ஊழியர் அஞ்சலில் தீங்கிழைக்கும் இணைப்புடன் சந்தேகத்திற்குரிய கடிதத்தைப் பெற்றார். இலியா பொமரண்ட்சேவ், CERT Group-IB இன் மால்வேர் பகுப்பாய்வு நிபுணர், இந்தக் கோப்பின் விரிவான பகுப்பாய்வை மேற்கொண்டார், அங்கு AgentTesla ஸ்பைவேரைக் கண்டுபிடித்து, அத்தகைய தீம்பொருளிலிருந்து என்ன எதிர்பார்க்கலாம் மற்றும் அது எப்படி ஆபத்தானது என்பதைக் கூறினார்.
இந்த இடுகையின் மூலம், இதுபோன்ற ஆபத்தான கோப்புகளை எவ்வாறு பகுப்பாய்வு செய்வது என்பது குறித்த தொடர் கட்டுரைகளைத் திறக்கிறோம், மேலும் டிசம்பர் 5 ஆம் தேதி தலைப்பில் இலவச ஊடாடும் வெபினாருக்காக நாங்கள் காத்திருக்கிறோம். "மால்வேர் பகுப்பாய்வு: உண்மையான வழக்குகளின் பகுப்பாய்வு". அனைத்து விவரங்களும் வெட்டு கீழ் உள்ளன.
விநியோக பொறிமுறை
ஃபிஷிங் மின்னஞ்சல்கள் மூலம் மால்வேர் பாதிக்கப்பட்டவரின் இயந்திரத்தை அடைந்தது எங்களுக்குத் தெரியும். கடிதத்தைப் பெற்றவர் ஒருவேளை பி.சி.சி.
தலைப்புகளின் பகுப்பாய்வு கடிதத்தை அனுப்பியவர் ஏமாற்றப்பட்டதைக் காட்டுகிறது. உண்மையில், கடிதம் விட்டுச் சென்றது vps56[.]oneworldhosting[.]com.
மின்னஞ்சல் இணைப்பில் WinRar காப்பகம் உள்ளது quote_jpeg56a.r15 தீங்கிழைக்கும் இயங்கக்கூடிய கோப்புடன் QOUTE_JPEG56A.exe உள்ளே.
மால்வேர் சுற்றுச்சூழல் அமைப்பு
இப்போது ஆய்வில் உள்ள தீம்பொருளின் சுற்றுச்சூழல் அமைப்பு எப்படி இருக்கிறது என்று பார்ப்போம். கீழே உள்ள வரைபடம் அதன் அமைப்பு மற்றும் கூறுகளின் தொடர்புகளின் திசைகளைக் காட்டுகிறது.
இப்போது தீம்பொருள் கூறுகள் ஒவ்வொன்றையும் இன்னும் விரிவாகப் பார்ப்போம்.
ஏற்றி
அசல் கோப்பு QOUTE_JPEG56A.exe தொகுக்கப்பட்டதாகும் ஆட்டோஇட் v3 கையால் எழுதப்பட்ட தாள்.
ஒரிஜினல் ஸ்கிரிப்டை மழுங்கடிக்க, ஒத்த ஒரு மழுப்பல் PELock AutoIT-Obfuscator பண்புகள்.
Deobfuscation மூன்று நிலைகளில் மேற்கொள்ளப்படுகிறது:
- தெளிவின்மையை நீக்குகிறது என்றால் -
ஸ்கிரிப்ட்டின் கட்டுப்பாட்டு ஓட்டத்தை மீட்டெடுப்பது முதல் படி. கட்டுப்பாட்டு ஓட்டம் தட்டையானது என்பது பகுப்பாய்விலிருந்து பயன்பாட்டு பைனரி குறியீட்டைப் பாதுகாப்பதற்கான பொதுவான வழிகளில் ஒன்றாகும். குழப்பமான மாற்றங்கள் வியத்தகு முறையில் அல்காரிதம்கள் மற்றும் தரவு கட்டமைப்புகளை பிரித்தெடுத்தல் மற்றும் அங்கீகரிப்பதில் சிக்கலை அதிகரிக்கின்றன.
- வரிசை மீட்பு
சரங்களை குறியாக்க இரண்டு செயல்பாடுகள் பயன்படுத்தப்படுகின்றன:
- gdorizabegkvfca - Base64 போன்ற டிகோடிங்கைச் செய்கிறது
- xgacyukcyzxz - எளிய பைட்-பைட் XOR முதல் சரத்தின் இரண்டாவது நீளம்
- gdorizabegkvfca - Base64 போன்ற டிகோடிங்கைச் செய்கிறது
- தெளிவின்மையை நீக்குகிறது பைனரி டோஸ்ட்ரிங் и செயல்படுத்த
முக்கிய சுமை கோப்பகத்தில் பிரிக்கப்பட்ட வடிவத்தில் சேமிக்கப்படுகிறது எழுத்துருக்கள் கோப்பின் ஆதாரப் பிரிவுகள்.
ஒட்டுதல் வரிசை பின்வருமாறு: TIEQHCXWFG, EMI, SPDGUHIMPV, KQJMWQQAQTKTFXTUOSW, AOCHKRWWSKWO, JSHMSJPS, NHHWXJBMTTSPXVN, BFUTIFWWXVE, HWJHO, AVZOUMVFRDWFLWU.
பிரித்தெடுக்கப்பட்ட தரவை மறைகுறியாக்க WinAPI செயல்பாடு பயன்படுத்தப்படுகிறது CryptDecrypt, மற்றும் மதிப்பின் அடிப்படையில் உருவாக்கப்பட்ட அமர்வு விசை விசையாகப் பயன்படுத்தப்படுகிறது fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
மறைகுறியாக்கப்பட்ட இயங்கக்கூடிய கோப்பு செயல்பாட்டு உள்ளீட்டிற்கு அனுப்பப்படுகிறது RunPE, இது செயல்படுத்துகிறது செயல்முறை ஊசி в RegAsm.exe உள்ளமைவைப் பயன்படுத்தி ஷெல்கோட் (எனவும் அறியப்படுகிறது RunPE ShellCode) ஆசிரியர் உரிமை ஸ்பானிஷ் மன்றத்தின் பயனருக்கு சொந்தமானது கண்டறிய முடியாதவை[.]நெட் வார்டோ என்ற புனைப்பெயரில்.
இந்த மன்றத்தின் இழைகளில் ஒன்றில், ஒரு மழுப்பல் என்பதும் குறிப்பிடத்தக்கது ஆட்டோஇட் மாதிரி பகுப்பாய்வின் போது அடையாளம் காணப்பட்ட ஒத்த பண்புகளுடன்.
தன்னை ஷெல்கோட் மிகவும் எளிமையானது மற்றும் கவனத்தை ஈர்க்கும் ஹேக்கர் குழுவான அனுனாக் கார்பனாக்கிடமிருந்து மட்டுமே கடன் வாங்கப்பட்டது. API அழைப்பு ஹாஷிங் செயல்பாடு.
பயன்பாட்டு நிகழ்வுகளையும் நாங்கள் அறிவோம் பிரெஞ்சு ஷெல்கோடு வெவ்வேறு பதிப்புகள்.
விவரிக்கப்பட்ட செயல்பாட்டிற்கு கூடுதலாக, செயலற்ற செயல்பாடுகளையும் நாங்கள் அடையாளம் கண்டுள்ளோம்:
- பணி நிர்வாகியில் கைமுறையாக செயல்முறை முடிவதைத் தடுக்கிறது
- குழந்தை செயல்முறை முடிவடையும் போது அதை மீண்டும் தொடங்குதல்
- UAC பைபாஸ்
- பேலோடை ஒரு கோப்பில் சேமிக்கிறது
- மாதிரி சாளரங்களின் ஆர்ப்பாட்டம்
- மவுஸ் கர்சர் நிலை மாறக் காத்திருக்கிறது
- ஆன்டிவிஎம் மற்றும் ஆன்டிசாண்ட்பாக்ஸ்
- சுய அழிவு
- நெட்வொர்க்கிலிருந்து பேலோடை பம்ப் செய்கிறது
அத்தகைய செயல்பாடு பாதுகாப்பாளருக்கான பொதுவானது என்பதை நாங்கள் அறிவோம் சைபர்ஐடி, இது, வெளிப்படையாக, கேள்விக்குரிய துவக்க ஏற்றி.
மென்பொருளின் முக்கிய தொகுதி
அடுத்து, தீம்பொருளின் முக்கிய தொகுதியை சுருக்கமாக விவரிப்போம், மேலும் அதை இரண்டாவது கட்டுரையில் இன்னும் விரிவாகக் கருதுவோம். இந்த வழக்கில், இது ஒரு பயன்பாடு ஆகும் நெட்.
பகுப்பாய்வின் போது, ஒரு மழுப்பல் பயன்படுத்தப்பட்டதைக் கண்டுபிடித்தோம் கன்ஃப்யூசர்எக்ஸ்.
IELibrary.dll
நூலகம் ஒரு முக்கிய தொகுதி வளமாக சேமிக்கப்படுகிறது மற்றும் இது ஒரு நன்கு அறியப்பட்ட செருகுநிரலாகும் ஏஜென்ட் டெஸ்லா, இது இன்டர்நெட் எக்ஸ்புளோரர் மற்றும் எட்ஜ் உலாவிகளில் இருந்து பல்வேறு தகவல்களைப் பிரித்தெடுப்பதற்கான செயல்பாட்டை வழங்குகிறது.
ஏஜென்ட் டெஸ்லா என்பது மால்வேர்-ஒரு-சேவை மாதிரியைப் பயன்படுத்தி முறையான கீலாக்கர் தயாரிப்பு என்ற போர்வையில் விநியோகிக்கப்படும் ஒரு மட்டு உளவு மென்பொருள் ஆகும். முகவர் டெஸ்லா, உலாவிகள், மின்னஞ்சல் கிளையண்டுகள் மற்றும் FTP கிளையண்டுகளிலிருந்து பயனர் நற்சான்றிதழ்களைப் பிரித்தெடுத்து, தாக்குபவர்களுக்கு சேவையகத்திற்கு அனுப்பவும், கிளிப்போர்டு தரவைப் பதிவு செய்யவும் மற்றும் சாதனத் திரையைப் பிடிக்கவும் முடியும். பகுப்பாய்வு நேரத்தில், டெவலப்பர்களின் அதிகாரப்பூர்வ இணையதளம் கிடைக்கவில்லை.
நுழைவு புள்ளி செயல்பாடு ஆகும் GetSavedPasswords இன்டர்நெட் எக்ஸ்ப்ளோரர் வகுப்பு.
பொதுவாக, குறியீடு செயல்படுத்தல் நேரியல் மற்றும் பகுப்பாய்விற்கு எதிராக எந்த பாதுகாப்பையும் கொண்டிருக்கவில்லை. உணரப்படாத செயல்பாடு மட்டுமே கவனத்திற்கு தகுதியானது GetSavedCookies. வெளிப்படையாக, சொருகி செயல்பாடு விரிவாக்கப்பட வேண்டும், ஆனால் இது ஒருபோதும் செய்யப்படவில்லை.
கணினியில் பூட்லோடரை இணைக்கிறது
கணினியில் பூட்லோடர் எவ்வாறு இணைக்கப்பட்டுள்ளது என்பதைப் படிப்போம். ஆய்வின் கீழ் உள்ள மாதிரி நங்கூரமிடவில்லை, ஆனால் இதே போன்ற நிகழ்வுகளில் இது பின்வரும் திட்டத்தின் படி நிகழ்கிறது:
- கோப்புறையில் சி:பயனர்கள் பொது ஸ்கிரிப்ட் உருவாக்கப்பட்டது விஷுவல் பேசிக்
எடுத்துக்காட்டு ஸ்கிரிப்ட்:
- ஏற்றி கோப்பின் உள்ளடக்கங்கள் பூஜ்ய எழுத்துடன் பேட் செய்யப்பட்டு கோப்புறையில் சேமிக்கப்படும் %Temp%கோப்பு பெயர்>
- ஸ்கிரிப்ட் கோப்பிற்கான பதிவேட்டில் ஒரு ஆட்டோரன் விசை உருவாக்கப்படுகிறது HKCUSoftwareMicrosoftWindowsCurrentVersionRun
எனவே, பகுப்பாய்வின் முதல் பகுதியின் முடிவுகளின் அடிப்படையில், ஆய்வின் கீழ் உள்ள தீம்பொருளின் அனைத்து கூறுகளின் குடும்பங்களின் பெயர்களை நிறுவவும், தொற்று முறையை பகுப்பாய்வு செய்யவும், கையொப்பங்களை எழுதுவதற்கான பொருட்களைப் பெறவும் முடிந்தது. இந்த பொருளின் பகுப்பாய்வை அடுத்த கட்டுரையில் தொடர்வோம், அங்கு முக்கிய தொகுதியை இன்னும் விரிவாகப் பார்ப்போம் ஏஜென்ட் டெஸ்லா. தவறவிடாதே!
டிசம்பர் 5 ஆம் தேதி, "தீம்பொருளின் பகுப்பாய்வு: உண்மையான நிகழ்வுகளின் பகுப்பாய்வு" என்ற தலைப்பில் இலவச ஊடாடும் வெபினாருக்கு அனைத்து வாசகர்களையும் அழைக்கிறோம், இந்த கட்டுரையின் ஆசிரியர், CERT-GIB நிபுணர், ஆன்லைனில் முதல் கட்டத்தைக் காண்பிப்பார். தீம்பொருள் பகுப்பாய்வு - நடைமுறையில் இருந்து மூன்று உண்மையான மினி-கேஸ்களின் உதாரணத்தைப் பயன்படுத்தி மாதிரிகளின் அரை-தானியங்கித் திறத்தல், நீங்கள் பகுப்பாய்வில் பங்கேற்கலாம். தீங்கிழைக்கும் கோப்புகளை பகுப்பாய்வு செய்வதில் ஏற்கனவே அனுபவம் உள்ள நிபுணர்களுக்கு வெபினார் பொருத்தமானது. கார்ப்பரேட் மின்னஞ்சலில் இருந்து கண்டிப்பாக பதிவு செய்யப்படுகிறது: . உனக்காக காத்திருக்கிறேன்!
யாரா
rule AgentTesla_clean{
meta:
author = "Group-IB"
file = "78566E3FC49C291CB117C3D955FA34B9A9F3EEFEFAE3DE3D0212432EB18D2EAD"
scoring = 5
family = "AgentTesla"
strings:
$string_format_AT = {74 00 79 00 70 00 65 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 68 00 77 00 69 00 64 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 74 00 69 00 6D 00 65 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 63 00 6E 00 61 00 6D 00 65 00 3D 00 7B 00 33 00 7D 00 0D 00 0A 00 6C 00 6F 00 67 00 64 00 61 00 74 00 61 00 3D 00 7B 00 34 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 3D 00 7B 00 35 00 7D 00 0D 00 0A 00 69 00 70 00 61 00 64 00 64 00 3D 00 7B 00 36 00 7D 00 0D 00 0A 00 77 00 65 00 62 00 63 00 61 00 6D 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 37 00 7D 00 0D 00 0A 00 73 00 63 00 72 00 65 00 65 00 6E 00 5F 00 6C 00 69 00 6E 00 6B 00 3D 00 7B 00 38 00 7D 00 0D 00 0A 00 5B 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 73 00 5D 00}
$web_panel_format_string = {63 00 6C 00 69 00 65 00 6E 00 74 00 5B 00 5D 00 3D 00 7B 00 30 00 7D 00 0D 00 0A 00 6C 00 69 00 6E 00 6B 00 5B 00 5D 00 3D 00 7B 00 31 00 7D 00 0D 00 0A 00 75 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 5B 00 5D 00 3D 00 7B 00 32 00 7D 00 0D 00 0A 00 70 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 5B 00 5D 00 3D 00 7B 00 33 00 7D 00 00 15 55 00 52 00 4C 00 3A 00 20 00 20 00 20 00 20 00 20 00 20 00 00 15 55 00 73 00 65 00 72 00 6E 00 61 00 6D 00 65 00 3A 00 20 00 00 15 50 00 61 00 73 00 73 00 77 00 6F 00 72 00 64 00 3A 00}
condition:
all of them
}
rule AgentTesla_obfuscated {
meta:
author = "Group-IB"
file = "41DC0D5459F25E2FDCF8797948A7B315D3CB075398D808D1772CACCC726AF6E9"
scoring = 5
family = "AgentTesla"
strings:
$first_names = {61 66 6B 00 61 66 6D 00 61 66 6F 00 61 66 76 00 61 66 79 00 61 66 78 00 61 66 77 00 61 67 6A 00 61 67 6B 00 61 67 6C 00 61 67 70 00 61 67 72 00 61 67 73 00 61 67 75 00}
$second_names = "IELibrary.resources"
condition:
all of them
}
rule AgentTesla_module_for_IE{
meta:
author = "Group-IB"
file = "D55800A825792F55999ABDAD199DFA54F3184417215A298910F2C12CD9CC31EE"
scoring = 5
family = "AgentTesla_module_for_IE"
strings:
$s0 = "ByteArrayToStructure"
$s1 = "CryptAcquireContext"
$s2 = "CryptCreateHash"
$s3 = "CryptDestroyHash"
$s4 = "CryptGetHashParam"
$s5 = "CryptHashData"
$s6 = "CryptReleaseContext"
$s7 = "DecryptIePassword"
$s8 = "DoesURLMatchWithHash"
$s9 = "GetSavedCookies"
$s10 = "GetSavedPasswords"
$s11 = "GetURLHashString"
condition:
all of them
}
rule RunPE_shellcode {
meta:
author = "Group-IB"
file = "37A1961361073BEA6C6EACE6A8601F646C5B6ECD9D625E049AD02075BA996918"
scoring = 5
family = "RunPE_shellcode"
strings:
$malcode = {
C7 [2-5] EE 38 83 0C // mov dword ptr [ebp-0A0h], 0C8338EEh
C7 [2-5] 57 64 E1 01 // mov dword ptr [ebp-9Ch], 1E16457h
C7 [2-5] 18 E4 CA 08 // mov dword ptr [ebp-98h], 8CAE418h
C7 [2-5] E3 CA D8 03 // mov dword ptr [ebp-94h], 3D8CAE3h
C7 [2-5] 99 B0 48 06 // mov dword ptr [ebp-90h], 648B099h
C7 [2-5] 93 BA 94 03 // mov dword ptr [ebp-8Ch], 394BA93h
C7 [2-5] E4 C7 B9 04 // mov dword ptr [ebp-88h], 4B9C7E4h
C7 [2-5] E4 87 B8 04 // mov dword ptr [ebp-84h], 4B887E4h
C7 [2-5] A9 2D D7 01 // mov dword ptr [ebp-80h], 1D72DA9h
C7 [2-5] 05 D1 3D 0B // mov dword ptr [ebp-7Ch], 0B3DD105h
C7 [2-5] 44 27 23 0F // mov dword ptr [ebp-78h], 0F232744h
C7 [2-5] E8 6F 18 0D // mov dword ptr [ebp-74h], 0D186FE8h
}
condition:
$malcode
}
rule AgentTesla_AutoIT_module{
meta:
author = "Group-IB"
file = "49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08C05B5E3BD36FD52668D196AF"
scoring = 5
family = "AgentTesla"
strings:
$packedexeau = {55 ED F5 9F 92 03 04 44 7E 16 6D 1F 8C D7 38 E6 29 E4 C8 CF DA 2C C4 E1 F3 65 48 25 B8 93 9D 66 A4 AD 3C 39 50 00 B9 60 66 19 8D FC 20 0A A0 56 52 8B 9F 15 D7 62 30 0D 5C C3 24 FE F8 FC 39 08 DF 87 2A B2 1C E9 F7 06 A8 53 B2 69 C3 3C D4 5E D4 74 91 6E 9D 9A A0 96 FD DB 1F 5E 09 D7 0F 25 FB 46 4E 74 15 BB AB DB 17 EE E7 64 33 D6 79 02 E4 85 79 14 6B 59 F9 43 3C 81 68 A8 B5 32 BC E6}
condition:
all of them
}
ஹாஷ்கள்
| பெயர் | quote_jpeg56a.r15 |
| MD5 | 53BE8F9B978062D4411F71010F49209E |
| SHA1 | A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
| SHA256 | 2641DAFB452562A0A92631C2849B8B9CE880F0F8F
890E643316E9276156EDC8A |
| வகை | WinRAR காப்பகப்படுத்தவும் |
| அளவு | 823014 |
| பெயர் | QOUTE_JPEG56A.exe |
| MD5 | 329F6769CF21B660D5C3F5048CE30F17 |
| SHA1 | 8010CC2AF398F9F951555F7D481CE13DF60BBECF |
| SHA256 | 49F94293F2EBD8CEFF180EDDD58FA50B30DC0F08
C05B5E3BD36FD52668D196AF |
| வகை | PE (தொகுக்கப்பட்ட ஆட்டோஇட் ஸ்கிரிப்ட்) |
| அளவு | 1327616 |
| அசல் பெயர் | தெரியாத |
| நாள் முத்திரை | 15.07.2019 |
| லிங்கரைக் | Microsoft Linker(12.0)[EXE32] |
| MD5 | C2743AEDDADACC012EF4A632598C00C0 |
| SHA1 | 79B445DE923C92BF378B19D12A309C0E9C5851BF |
| SHA256 | 37A1961361073BEA6C6EACE6A8601F646C5B6ECD
9D625E049AD02075BA996918 |
| வகை | ஷெல்கோட் |
| அளவு | 1474 |
ஆதாரம்: www.habr.com