புரோஹோஸ்டர் > Блог > இணைய செய்தி > வாக்குப்பதிவு தோல்வியடைந்தது: சுத்தமான தண்ணீருக்கு ஏஜென்ட் டெஸ்லாவை வெளிப்படுத்துவோம். பகுதி 1
வாக்குப்பதிவு தோல்வியடைந்தது: சுத்தமான தண்ணீருக்கு ஏஜென்ட் டெஸ்லாவை வெளிப்படுத்துவோம். பகுதி 1
சமீபத்தில், மின் நிறுவல் உபகரணங்களின் ஐரோப்பிய உற்பத்தியாளர் குழு-IB ஐத் தொடர்பு கொண்டார் - அதன் ஊழியர் அஞ்சலில் தீங்கிழைக்கும் இணைப்புடன் சந்தேகத்திற்குரிய கடிதத்தைப் பெற்றார். இலியா பொமரண்ட்சேவ், CERT Group-IB இன் மால்வேர் பகுப்பாய்வு நிபுணர், இந்தக் கோப்பின் விரிவான பகுப்பாய்வை மேற்கொண்டார், அங்கு AgentTesla ஸ்பைவேரைக் கண்டுபிடித்து, அத்தகைய தீம்பொருளிலிருந்து என்ன எதிர்பார்க்கலாம் மற்றும் அது எப்படி ஆபத்தானது என்பதைக் கூறினார்.
இந்த இடுகையின் மூலம், இதுபோன்ற ஆபத்தான கோப்புகளை எவ்வாறு பகுப்பாய்வு செய்வது என்பது குறித்த தொடர் கட்டுரைகளைத் திறக்கிறோம், மேலும் டிசம்பர் 5 ஆம் தேதி தலைப்பில் இலவச ஊடாடும் வெபினாருக்காக நாங்கள் காத்திருக்கிறோம். "மால்வேர் பகுப்பாய்வு: உண்மையான வழக்குகளின் பகுப்பாய்வு". அனைத்து விவரங்களும் வெட்டு கீழ் உள்ளன.
விநியோக பொறிமுறை
ஃபிஷிங் மின்னஞ்சல்கள் மூலம் மால்வேர் பாதிக்கப்பட்டவரின் இயந்திரத்தை அடைந்தது எங்களுக்குத் தெரியும். கடிதத்தைப் பெற்றவர் ஒருவேளை பி.சி.சி.
தலைப்புகளின் பகுப்பாய்வு கடிதத்தை அனுப்பியவர் ஏமாற்றப்பட்டதைக் காட்டுகிறது. உண்மையில், கடிதம் விட்டுச் சென்றது vps56[.]oneworldhosting[.]com.
மின்னஞ்சல் இணைப்பில் WinRar காப்பகம் உள்ளது quote_jpeg56a.r15 தீங்கிழைக்கும் இயங்கக்கூடிய கோப்புடன் QOUTE_JPEG56A.exe உள்ளே.
மால்வேர் சுற்றுச்சூழல் அமைப்பு
இப்போது ஆய்வில் உள்ள தீம்பொருளின் சுற்றுச்சூழல் அமைப்பு எப்படி இருக்கிறது என்று பார்ப்போம். கீழே உள்ள வரைபடம் அதன் அமைப்பு மற்றும் கூறுகளின் தொடர்புகளின் திசைகளைக் காட்டுகிறது.
இப்போது தீம்பொருள் கூறுகள் ஒவ்வொன்றையும் இன்னும் விரிவாகப் பார்ப்போம்.
ஏற்றி
அசல் கோப்பு QOUTE_JPEG56A.exe தொகுக்கப்பட்டதாகும் ஆட்டோஇட் v3 கையால் எழுதப்பட்ட தாள்.
ஒரிஜினல் ஸ்கிரிப்டை மழுங்கடிக்க, ஒத்த ஒரு மழுப்பல் PELock AutoIT-Obfuscator பண்புகள்.
Deobfuscation மூன்று நிலைகளில் மேற்கொள்ளப்படுகிறது:
தெளிவின்மையை நீக்குகிறது என்றால் -
ஸ்கிரிப்ட்டின் கட்டுப்பாட்டு ஓட்டத்தை மீட்டெடுப்பது முதல் படி. கட்டுப்பாட்டு ஓட்டம் தட்டையானது என்பது பகுப்பாய்விலிருந்து பயன்பாட்டு பைனரி குறியீட்டைப் பாதுகாப்பதற்கான பொதுவான வழிகளில் ஒன்றாகும். குழப்பமான மாற்றங்கள் வியத்தகு முறையில் அல்காரிதம்கள் மற்றும் தரவு கட்டமைப்புகளை பிரித்தெடுத்தல் மற்றும் அங்கீகரிப்பதில் சிக்கலை அதிகரிக்கின்றன.
வரிசை மீட்பு
சரங்களை குறியாக்க இரண்டு செயல்பாடுகள் பயன்படுத்தப்படுகின்றன:
gdorizabegkvfca - Base64 போன்ற டிகோடிங்கைச் செய்கிறது
xgacyukcyzxz - எளிய பைட்-பைட் XOR முதல் சரத்தின் இரண்டாவது நீளம்
தெளிவின்மையை நீக்குகிறது பைனரி டோஸ்ட்ரிங் и செயல்படுத்த
முக்கிய சுமை கோப்பகத்தில் பிரிக்கப்பட்ட வடிவத்தில் சேமிக்கப்படுகிறது எழுத்துருக்கள் கோப்பின் ஆதாரப் பிரிவுகள்.
பிரித்தெடுக்கப்பட்ட தரவை மறைகுறியாக்க WinAPI செயல்பாடு பயன்படுத்தப்படுகிறது CryptDecrypt, மற்றும் மதிப்பின் அடிப்படையில் உருவாக்கப்பட்ட அமர்வு விசை விசையாகப் பயன்படுத்தப்படுகிறது fZgFiZlJDxvuWatFRgRXZqmNCIyQgMYc.
மறைகுறியாக்கப்பட்ட இயங்கக்கூடிய கோப்பு செயல்பாட்டு உள்ளீட்டிற்கு அனுப்பப்படுகிறது RunPE, இது செயல்படுத்துகிறது செயல்முறை ஊசி в RegAsm.exe உள்ளமைவைப் பயன்படுத்தி ஷெல்கோட் (எனவும் அறியப்படுகிறது RunPE ShellCode) ஆசிரியர் உரிமை ஸ்பானிஷ் மன்றத்தின் பயனருக்கு சொந்தமானது கண்டறிய முடியாதவை[.]நெட் வார்டோ என்ற புனைப்பெயரில்.
இந்த மன்றத்தின் இழைகளில் ஒன்றில், ஒரு மழுப்பல் என்பதும் குறிப்பிடத்தக்கது ஆட்டோஇட் மாதிரி பகுப்பாய்வின் போது அடையாளம் காணப்பட்ட ஒத்த பண்புகளுடன்.
தன்னை ஷெல்கோட் மிகவும் எளிமையானது மற்றும் கவனத்தை ஈர்க்கும் ஹேக்கர் குழுவான அனுனாக் கார்பனாக்கிடமிருந்து மட்டுமே கடன் வாங்கப்பட்டது. API அழைப்பு ஹாஷிங் செயல்பாடு.
பயன்பாட்டு நிகழ்வுகளையும் நாங்கள் அறிவோம் பிரெஞ்சு ஷெல்கோடு வெவ்வேறு பதிப்புகள்.
விவரிக்கப்பட்ட செயல்பாட்டிற்கு கூடுதலாக, செயலற்ற செயல்பாடுகளையும் நாங்கள் அடையாளம் கண்டுள்ளோம்:
பணி நிர்வாகியில் கைமுறையாக செயல்முறை முடிவதைத் தடுக்கிறது
குழந்தை செயல்முறை முடிவடையும் போது அதை மீண்டும் தொடங்குதல்
UAC பைபாஸ்
பேலோடை ஒரு கோப்பில் சேமிக்கிறது
மாதிரி சாளரங்களின் ஆர்ப்பாட்டம்
மவுஸ் கர்சர் நிலை மாறக் காத்திருக்கிறது
ஆன்டிவிஎம் மற்றும் ஆன்டிசாண்ட்பாக்ஸ்
சுய அழிவு
நெட்வொர்க்கிலிருந்து பேலோடை பம்ப் செய்கிறது
அத்தகைய செயல்பாடு பாதுகாப்பாளருக்கான பொதுவானது என்பதை நாங்கள் அறிவோம் சைபர்ஐடி, இது, வெளிப்படையாக, கேள்விக்குரிய துவக்க ஏற்றி.
மென்பொருளின் முக்கிய தொகுதி
அடுத்து, தீம்பொருளின் முக்கிய தொகுதியை சுருக்கமாக விவரிப்போம், மேலும் அதை இரண்டாவது கட்டுரையில் இன்னும் விரிவாகக் கருதுவோம். இந்த வழக்கில், இது ஒரு பயன்பாடு ஆகும் நெட்.
பகுப்பாய்வின் போது, ஒரு மழுப்பல் பயன்படுத்தப்பட்டதைக் கண்டுபிடித்தோம் கன்ஃப்யூசர்எக்ஸ்.
IELibrary.dll
நூலகம் ஒரு முக்கிய தொகுதி வளமாக சேமிக்கப்படுகிறது மற்றும் இது ஒரு நன்கு அறியப்பட்ட செருகுநிரலாகும் ஏஜென்ட் டெஸ்லா, இது இன்டர்நெட் எக்ஸ்புளோரர் மற்றும் எட்ஜ் உலாவிகளில் இருந்து பல்வேறு தகவல்களைப் பிரித்தெடுப்பதற்கான செயல்பாட்டை வழங்குகிறது.
ஏஜென்ட் டெஸ்லா என்பது மால்வேர்-ஒரு-சேவை மாதிரியைப் பயன்படுத்தி முறையான கீலாக்கர் தயாரிப்பு என்ற போர்வையில் விநியோகிக்கப்படும் ஒரு மட்டு உளவு மென்பொருள் ஆகும். முகவர் டெஸ்லா, உலாவிகள், மின்னஞ்சல் கிளையண்டுகள் மற்றும் FTP கிளையண்டுகளிலிருந்து பயனர் நற்சான்றிதழ்களைப் பிரித்தெடுத்து, தாக்குபவர்களுக்கு சேவையகத்திற்கு அனுப்பவும், கிளிப்போர்டு தரவைப் பதிவு செய்யவும் மற்றும் சாதனத் திரையைப் பிடிக்கவும் முடியும். பகுப்பாய்வு நேரத்தில், டெவலப்பர்களின் அதிகாரப்பூர்வ இணையதளம் கிடைக்கவில்லை.
நுழைவு புள்ளி செயல்பாடு ஆகும் GetSavedPasswords இன்டர்நெட் எக்ஸ்ப்ளோரர் வகுப்பு.
பொதுவாக, குறியீடு செயல்படுத்தல் நேரியல் மற்றும் பகுப்பாய்விற்கு எதிராக எந்த பாதுகாப்பையும் கொண்டிருக்கவில்லை. உணரப்படாத செயல்பாடு மட்டுமே கவனத்திற்கு தகுதியானது GetSavedCookies. வெளிப்படையாக, சொருகி செயல்பாடு விரிவாக்கப்பட வேண்டும், ஆனால் இது ஒருபோதும் செய்யப்படவில்லை.
கணினியில் பூட்லோடரை இணைக்கிறது
கணினியில் பூட்லோடர் எவ்வாறு இணைக்கப்பட்டுள்ளது என்பதைப் படிப்போம். ஆய்வின் கீழ் உள்ள மாதிரி நங்கூரமிடவில்லை, ஆனால் இதே போன்ற நிகழ்வுகளில் இது பின்வரும் திட்டத்தின் படி நிகழ்கிறது:
கோப்புறையில் சி:பயனர்கள் பொது ஸ்கிரிப்ட் உருவாக்கப்பட்டது விஷுவல் பேசிக்
ஸ்கிரிப்ட் கோப்பிற்கான பதிவேட்டில் ஒரு ஆட்டோரன் விசை உருவாக்கப்படுகிறது HKCUSoftwareMicrosoftWindowsCurrentVersionRun
எனவே, பகுப்பாய்வின் முதல் பகுதியின் முடிவுகளின் அடிப்படையில், ஆய்வின் கீழ் உள்ள தீம்பொருளின் அனைத்து கூறுகளின் குடும்பங்களின் பெயர்களை நிறுவவும், தொற்று முறையை பகுப்பாய்வு செய்யவும், கையொப்பங்களை எழுதுவதற்கான பொருட்களைப் பெறவும் முடிந்தது. இந்த பொருளின் பகுப்பாய்வை அடுத்த கட்டுரையில் தொடர்வோம், அங்கு முக்கிய தொகுதியை இன்னும் விரிவாகப் பார்ப்போம் ஏஜென்ட் டெஸ்லா. தவறவிடாதே!
டிசம்பர் 5 ஆம் தேதி, "தீம்பொருளின் பகுப்பாய்வு: உண்மையான நிகழ்வுகளின் பகுப்பாய்வு" என்ற தலைப்பில் இலவச ஊடாடும் வெபினாருக்கு அனைத்து வாசகர்களையும் அழைக்கிறோம், இந்த கட்டுரையின் ஆசிரியர், CERT-GIB நிபுணர், ஆன்லைனில் முதல் கட்டத்தைக் காண்பிப்பார். தீம்பொருள் பகுப்பாய்வு - நடைமுறையில் இருந்து மூன்று உண்மையான மினி-கேஸ்களின் உதாரணத்தைப் பயன்படுத்தி மாதிரிகளின் அரை-தானியங்கித் திறத்தல், நீங்கள் பகுப்பாய்வில் பங்கேற்கலாம். தீங்கிழைக்கும் கோப்புகளை பகுப்பாய்வு செய்வதில் ஏற்கனவே அனுபவம் உள்ள நிபுணர்களுக்கு வெபினார் பொருத்தமானது. கார்ப்பரேட் மின்னஞ்சலில் இருந்து கண்டிப்பாக பதிவு செய்யப்படுகிறது: பதிவு. உனக்காக காத்திருக்கிறேன்!