இந்த கட்டுரையின் மூலம் தீங்கிழைக்கும் மென்பொருளின் பகுப்பாய்விற்கு அர்ப்பணிக்கப்பட்ட வெளியீடுகளின் தொடரை முடிக்கிறோம். IN ஒரு ஐரோப்பிய நிறுவனம் அஞ்சல் மூலம் பெற்ற பாதிக்கப்பட்ட கோப்பின் விரிவான பகுப்பாய்வை நாங்கள் மேற்கொண்டோம் மற்றும் அங்கு ஏஜென்ட் டெஸ்லா ஸ்பைவேரைக் கண்டுபிடித்தோம். இல் பிரதான ஏஜென்ட் டெஸ்லா தொகுதியின் படிப்படியான பகுப்பாய்வின் முடிவுகளை விவரித்தார்.
இன்று CERT குரூப்-IB இல் மால்வேர் பகுப்பாய்வில் நிபுணரான Ilya Pomerantsev, மால்வேர் பகுப்பாய்வின் முதல் கட்டத்தைப் பற்றி பேசுவார் - CERT குரூப்-IB நிபுணர்களின் நடைமுறையில் இருந்து மூன்று மினி-கேஸ்களின் உதாரணத்தைப் பயன்படுத்தி, AgentTesla மாதிரிகளை அரை-தானியங்கித் திறத்தல்.
பொதுவாக, மால்வேர் பகுப்பாய்வின் முதல் கட்டம், பேக்கர், கிரிப்டர், ப்ரொடெக்டர் அல்லது லோடர் வடிவில் பாதுகாப்பை அகற்றுவதாகும். பெரும்பாலான சந்தர்ப்பங்களில், தீம்பொருளை இயக்கி, டம்ப் செய்வதன் மூலம் இந்த சிக்கலை தீர்க்க முடியும், ஆனால் இந்த முறை பொருந்தாத சூழ்நிலைகள் உள்ளன. எடுத்துக்காட்டாக, தீம்பொருள் ஒரு குறியாக்கியாக இருந்தால், அது அதன் நினைவகப் பகுதிகளை டம்மிங் செய்யாமல் பாதுகாத்தால், குறியீட்டில் மெய்நிகர் இயந்திரம் கண்டறிதல் வழிமுறைகள் இருந்தால் அல்லது தீம்பொருள் தொடங்கிய உடனேயே மறுதொடக்கம் செய்யப்பட்டால். இதுபோன்ற சந்தர்ப்பங்களில், "அரை-தானியங்கி" திறத்தல் என்று அழைக்கப்படுபவை பயன்படுத்தப்படுகின்றன, அதாவது, ஆராய்ச்சியாளர் செயல்முறையின் மீது முழுமையான கட்டுப்பாட்டைக் கொண்டுள்ளார் மற்றும் எந்த நேரத்திலும் தலையிடலாம். ஏஜென்ட் டெஸ்லா குடும்பத்தின் மூன்று மாதிரிகளைப் பயன்படுத்தி இந்த நடைமுறையை உதாரணமாகக் கருதுவோம். நெட்வொர்க் அணுகலை முடக்கினால், இது ஒப்பீட்டளவில் பாதிப்பில்லாத தீம்பொருளாகும்.
மாதிரி எண் 1
மூலக் கோப்பு MS Word ஆவணமாகும், இது CVE-2017-11882-XNUMX பாதிப்பைப் பயன்படுத்துகிறது.
இதன் விளைவாக, பேலோட் பதிவிறக்கம் செய்யப்பட்டு தொடங்கப்பட்டது.
செயல்முறை மரம் மற்றும் நடத்தை குறிப்பான்களின் பகுப்பாய்வு செயல்முறைக்கு உட்செலுத்துதலைக் காட்டுகிறது RegAsm.exe.
ஏஜென்ட் டெஸ்லாவின் குணாதிசயமான நடத்தை குறிப்பான்கள் உள்ளன.
பதிவிறக்கம் செய்யப்பட்ட மாதிரி இயங்கக்கூடிய ஒன்றாகும் நெட்- கோப்பு பாதுகாப்பாளரால் பாதுகாக்கப்படுகிறது .NET உலை.
அதை பயன்பாட்டில் திறப்போம் dnSpy x86 மற்றும் நுழைவுப் புள்ளிக்குச் செல்லவும்.
விழாவிற்கு செல்வதன் மூலம் டேட் டைம் ஆஃப்செட், புதியவற்றுக்கான துவக்கக் குறியீட்டைக் கண்டுபிடிப்போம் நெட்- தொகுதி. போடுவோம் முறிவு புள்ளி நாங்கள் ஆர்வமாக உள்ள வரியில் கோப்பை இயக்கவும்.
திரும்பிய இடையகங்களில் ஒன்றில் நீங்கள் MZ கையொப்பத்தைக் காணலாம் (0x4D 0x5A) காப்பாற்றுவோம்.
டம்ப் செய்யப்பட்ட எக்ஸிகியூட்டபிள் கோப்பு என்பது ஒரு ஏற்றி, அதாவது டைனமிக் லைப்ரரி ஆகும். ஆதாரப் பிரிவில் இருந்து பேலோடை பிரித்தெடுத்து அதை துவக்குகிறது.
அதே நேரத்தில், தேவையான ஆதாரங்கள் குப்பையில் இல்லை. அவர்கள் பெற்றோர் மாதிரியில் உள்ளனர்.
பயன்பாடு dnSpy இரண்டு மிகவும் பயனுள்ள செயல்பாடுகளைக் கொண்டுள்ளது, இது இரண்டு தொடர்புடைய கோப்புகளிலிருந்து "ஃபிராங்கண்ஸ்டைனை" விரைவாக உருவாக்க உதவும்.
- முதன்மையானது ஒரு டைனமிக் நூலகத்தை பெற்றோர் மாதிரியில் "ஒட்ட" அனுமதிக்கிறது.
- இரண்டாவது, செருகப்பட்ட டைனமிக் லைப்ரரியின் விரும்பிய முறையை அழைக்க, நுழைவுப் புள்ளியில் செயல்பாட்டுக் குறியீட்டை மீண்டும் எழுத வேண்டும்.
நாங்கள் எங்கள் "ஃபிராங்கண்ஸ்டைன்" தொகுப்பை சேமிக்கிறோம் முறிவு புள்ளி மறைகுறியாக்கப்பட்ட ஆதாரங்களைக் கொண்ட ஒரு இடையகத்தைத் திருப்பி அனுப்பும் வரியில், முந்தைய நிலையுடன் ஒப்புமை மூலம் ஒரு டம்பை உருவாக்கவும்.
இரண்டாவது டம்ப் எழுதப்பட்டுள்ளது VB.NET எங்களுக்கு நன்கு தெரிந்த ஒரு பாதுகாப்பாளரால் பாதுகாக்கப்படும் இயங்கக்கூடிய கோப்பு கன்ஃப்யூசர்எக்ஸ்.
பாதுகாப்பாளரை அகற்றிய பிறகு, முன்னர் எழுதப்பட்ட YARA விதிகளைப் பயன்படுத்துகிறோம், மேலும் தொகுக்கப்படாத தீம்பொருள் உண்மையில் AgentTeslaதானா என்பதை உறுதிசெய்கிறோம்.
மாதிரி எண் 2
மூலக் கோப்பு MS Excel ஆவணமாகும். உள்ளமைக்கப்பட்ட மேக்ரோ தீங்கிழைக்கும் குறியீட்டை செயல்படுத்துகிறது.
இதன் விளைவாக, PowerShell ஸ்கிரிப்ட் தொடங்கப்பட்டது.
ஸ்கிரிப்ட் C# குறியீட்டை டிக்ரிப்ட் செய்து அதற்கு கட்டுப்பாட்டை மாற்றுகிறது. குறியீடு ஒரு துவக்க ஏற்றி, சாண்ட்பாக்ஸ் அறிக்கையிலிருந்தும் பார்க்க முடியும்.
பேலோட் ஒரு இயங்கக்கூடியது நெட்-கோப்பு.
கோப்பை திறக்கிறது dnSpy x86, அது மழுப்பலாக இருப்பதைக் காணலாம். பயன்பாட்டைப் பயன்படுத்தி தெளிவின்மையை நீக்குதல் de4dot மற்றும் பகுப்பாய்வுக்குத் திரும்பு.
குறியீட்டை ஆராயும்போது, பின்வரும் செயல்பாட்டை நீங்கள் கண்டறியலாம்:
குறியிடப்பட்ட கோடுகள் வேலைநிறுத்தம் செய்கின்றன என்ட்ரிபாயிண்ட் и செயலாக்க. நாங்கள் வைத்தோம் முறிவு புள்ளி முதல் வரியில், இடையக மதிப்பை இயக்கி சேமிக்கவும் பைட்_0.
திணிப்பு மீண்டும் ஒரு பயன்பாடு ஆகும் நெட் மற்றும் பாதுகாக்கப்பட்டது கன்ஃப்யூசர்எக்ஸ்.
பயன்படுத்தி தெளிவை அகற்றுவோம் de4dot மற்றும் பதிவேற்றவும் dnSpy. கோப்பு விளக்கத்திலிருந்து நாம் எதிர்கொள்கிறோம் என்பதை புரிந்துகொள்கிறோம் CyaX-ஷார்ப் ஏற்றி.
இந்த ஏற்றி விரிவான பகுப்பாய்வு எதிர்ப்பு செயல்பாட்டைக் கொண்டுள்ளது.
இந்த செயல்பாட்டில் உள்ளமைக்கப்பட்ட விண்டோஸ் பாதுகாப்பு அமைப்புகளைத் தவிர்ப்பது, விண்டோஸ் டிஃபென்டரை முடக்குவது, சாண்ட்பாக்ஸ் மற்றும் மெய்நிகர் இயந்திரத்தைக் கண்டறியும் வழிமுறைகள் ஆகியவை அடங்கும். பிணையத்திலிருந்து பேலோடை ஏற்றுவது அல்லது ஆதாரப் பிரிவில் சேமிப்பது சாத்தியமாகும். துவக்கமானது அதன் சொந்த செயல்பாட்டில் ஊசி மூலம், அதன் சொந்த செயல்முறையின் நகல் அல்லது செயல்முறைகளில் செய்யப்படுகிறது. MSBuild.exe, vbc.exe и RegSvcs.exe தாக்குபவர் தேர்ந்தெடுத்த அளவுருவைப் பொறுத்து.
இருப்பினும், எங்களைப் பொறுத்தவரை அவை குறைவான முக்கியத்துவம் வாய்ந்தவை ஆன்டிடம்ப்- செயல்பாடு சேர்க்கிறது கன்ஃப்யூசர்எக்ஸ். அதன் மூலக் குறியீட்டை இங்கே காணலாம் .
பாதுகாப்பை முடக்க, வாய்ப்பைப் பயன்படுத்துவோம் dnSpy, நீங்கள் திருத்த அனுமதிக்கிறது IL-குறியீடு
சேமித்து நிறுவவும் முறிவு புள்ளி பேலோட் டிக்ரிப்ஷன் செயல்பாட்டை அழைக்கும் வரிக்கு. இது பிரதான வகுப்பின் கட்டமைப்பாளரில் அமைந்துள்ளது.
நாங்கள் பேலோடை ஏவுகிறோம் மற்றும் டம்ப் செய்கிறோம். முன்னர் எழுதப்பட்ட YARA விதிகளைப் பயன்படுத்தி, இது AgentTesla என்பதை உறுதிசெய்கிறோம்.
மாதிரி எண் 3
மூல கோப்பு இயங்கக்கூடியது VB நேட்டிவ் PE32-கோப்பு.
என்ட்ரோபி பகுப்பாய்வு ஒரு பெரிய அளவு மறைகுறியாக்கப்பட்ட தரவு இருப்பதைக் காட்டுகிறது.
விண்ணப்ப படிவத்தை பகுப்பாய்வு செய்யும் போது விபி டிகம்பைலர் ஒரு விசித்திரமான பிக்சலேட்டட் பின்னணியை நீங்கள் கவனிக்கலாம்.
என்ட்ரோபி வரைபடம் BMP-image அசல் கோப்பின் என்ட்ரோபி வரைபடத்திற்கு ஒத்ததாக இருக்கும், மேலும் அளவு கோப்பின் அளவின் 85% ஆகும்.
படத்தின் பொதுவான தோற்றம் ஸ்டிகனோகிராஃபியின் பயன்பாட்டைக் குறிக்கிறது.
செயல்முறை மரத்தின் தோற்றம், அதே போல் ஒரு ஊசி மார்க்கரின் முன்னிலையில் கவனம் செலுத்துவோம்.
பேக்கிங் செயலில் உள்ளது என்பதை இது குறிக்கிறது. விஷுவல் பேசிக் ஏற்றிகளுக்கு (aka VBKrypt அல்லது விபிஇன்ஜெக்டர்) வழக்கமான பயன்பாடு ஷெல்கோட் பேலோடை துவக்க, அதே போல் ஊசியை தானே செய்யவும்.
உள்ள பகுப்பாய்வு விபி டிகம்பைலர் ஒரு நிகழ்வின் இருப்பைக் காட்டியது சுமை படிவத்தில் Fegatassocஏர்பலூன்2.
நாம் செல்வோம் ஐடிஏ சார்பு குறிப்பிட்ட முகவரிக்கு சென்று செயல்பாட்டைப் படிக்கவும். குறியீடு பெரிதும் தெளிவற்றது. எங்களுக்கு விருப்பமான துண்டு கீழே கொடுக்கப்பட்டுள்ளது.
இங்கே செயல்முறையின் முகவரி இடம் கையொப்பத்திற்காக ஸ்கேன் செய்யப்படுகிறது. இந்த அணுகுமுறை மிகவும் சந்தேகத்திற்குரியது.
முதலில், ஸ்கேனிங் தொடக்க முகவரி 0x400100. இந்த மதிப்பு நிலையானது மற்றும் அடிப்படை மாற்றப்படும் போது சரிசெய்யப்படாது. சிறந்த கிரீன்ஹவுஸ் நிலைகளில் அது முடிவைக் குறிக்கும் PE- இயங்கக்கூடிய கோப்பின் தலைப்பு. இருப்பினும், தரவுத்தளம் நிலையானது அல்ல, அதன் மதிப்பு மாறலாம், மேலும் தேவையான கையொப்பத்தின் உண்மையான முகவரியைத் தேடுவது, இது மாறி வழிதல் ஏற்படாது என்றாலும், மிக நீண்ட நேரம் எடுக்கும்.
இரண்டாவதாக, கையொப்பத்தின் பொருள் iWGK. தனித்தன்மைக்கு உத்தரவாதம் அளிக்க 4 பைட்டுகள் மிகவும் சிறியது என்பது தெளிவாகத் தெரிகிறது. நீங்கள் முதல் புள்ளியை கணக்கில் எடுத்துக் கொண்டால், தவறு செய்வதற்கான நிகழ்தகவு மிகவும் அதிகமாக உள்ளது.
உண்மையில், தேவையான துண்டு முன்பு கண்டுபிடிக்கப்பட்ட முடிவில் இணைக்கப்பட்டுள்ளது BMPஆஃப்செட் மூலம் படங்கள் 0xA1D0D.
மரணதண்டனை ஷெல்கோட் இரண்டு நிலைகளில் மேற்கொள்ளப்பட்டது. முதன்மையானது முக்கிய உடலைப் புரிந்துகொள்கிறது. இந்த வழக்கில், விசை முரட்டு சக்தியால் தீர்மானிக்கப்படுகிறது.
மறைகுறியாக்கப்பட்டதை டம்ப் செய்யவும் ஷெல்கோட் மற்றும் வரிகளைப் பாருங்கள்.
முதலில், குழந்தை செயல்முறையை உருவாக்குவதற்கான செயல்பாட்டை நாம் இப்போது அறிவோம்: CreateProcessInternalW.
இரண்டாவதாக, கணினியில் சரிசெய்தல் பொறிமுறையைப் பற்றி நாங்கள் அறிந்தோம்.
அசல் செயல்முறைக்கு திரும்புவோம். போடுவோம் முறிவு புள்ளி மீது CreateProcessInternalW மற்றும் செயல்படுத்தல் தொடரவும். அடுத்து நாம் இணைப்பைப் பார்க்கிறோம் NtGetContextThread/NtSetContextThread, இது செயல்படுத்தல் தொடக்க முகவரியை முகவரிக்கு மாற்றுகிறது ஷெல்கோட்.
பிழைத்திருத்தி மூலம் உருவாக்கப்பட்ட செயல்முறையை நாங்கள் இணைத்து நிகழ்வை செயல்படுத்துகிறோம் நூலகத்தின் சுமை/இறக்கத்தில் இடைநிறுத்தம், செயல்முறையை மீண்டும் தொடங்கி ஏற்றுவதற்கு காத்திருக்கவும் நெட்- நூலகங்கள்.
மேலும் பயன்படுத்துதல் ProcessHacker டம்ப் பகுதிகள் பேக் செய்யப்படாதவை நெட்-விண்ணப்பம்.
அனைத்து செயல்முறைகளையும் நிறுத்திவிட்டு, கணினியில் உட்பொதிக்கப்பட்ட தீம்பொருளின் நகலை நீக்குவோம்.
டம்ப் செய்யப்பட்ட கோப்பு ஒரு பாதுகாப்பாளரால் பாதுகாக்கப்படுகிறது .NET உலை, இது ஒரு பயன்பாட்டைப் பயன்படுத்தி எளிதாக அகற்றப்படும் de4dot.
முன்பு எழுதப்பட்ட YARA விதிகளைப் பயன்படுத்தி, இது ஏஜென்ட் டெஸ்லா என்பதை உறுதிசெய்கிறோம்.
சுருக்கமாக சொல்கிறேன்
எனவே, மூன்று மினி-கேஸ்களைப் பயன்படுத்தி அரை-தானியங்கி மாதிரியைத் திறக்கும் செயல்முறையை நாங்கள் விரிவாகக் காண்பித்தோம், மேலும் முழு அளவிலான கேஸின் அடிப்படையில் தீம்பொருளைப் பகுப்பாய்வு செய்தோம், ஆய்வின் கீழ் உள்ள மாதிரியானது AgentTesla என்பதைக் கண்டறிந்து, அதன் செயல்பாட்டை நிறுவுகிறது மற்றும் ஒரு சமரசத்தின் குறிகாட்டிகளின் முழுமையான பட்டியல்.
நாங்கள் மேற்கொண்ட தீங்கிழைக்கும் பொருளின் பகுப்பாய்விற்கு நிறைய நேரமும் முயற்சியும் தேவைப்படுகிறது, மேலும் இந்த வேலையை நிறுவனத்தில் ஒரு சிறப்பு ஊழியரால் செய்யப்பட வேண்டும், ஆனால் அனைத்து நிறுவனங்களும் ஒரு ஆய்வாளரை நியமிக்கத் தயாராக இல்லை.
கணினி தடயவியல் மற்றும் தீங்கிழைக்கும் குறியீடு பகுப்பாய்வின் குரூப்-ஐபி ஆய்வகத்தால் வழங்கப்படும் சேவைகளில் ஒன்று இணைய சம்பவங்களுக்கு பதிலளிப்பதாகும். வாடிக்கையாளர்கள் ஆவணங்களை அங்கீகரிப்பதிலும், இணைய தாக்குதலுக்கு மத்தியில் அவற்றை விவாதிப்பதிலும் நேரத்தை வீணடிக்காமல் இருக்க, குரூப்-ஐபி தொடங்கப்பட்டது. சம்பவம் பதிலளிப்பவர், மால்வேர் பகுப்பாய்வு படியையும் உள்ளடக்கிய முன்-சந்தா நிகழ்வு மறுமொழி சேவை. இதைப் பற்றிய கூடுதல் தகவல்களைக் காணலாம் .
AgentTesla மாதிரிகள் எவ்வாறு திறக்கப்படுகின்றன என்பதை மீண்டும் ஒருமுறை ஆய்வு செய்து, CERT குரூப்-IB நிபுணர் அதை எப்படிச் செய்கிறார் என்பதைப் பார்க்க விரும்பினால், இந்தத் தலைப்பில் வெபினார் பதிவை நீங்கள் பதிவிறக்கலாம். .
ஆதாரம்: www.habr.com