పోలింగ్ విఫలమైంది: ఏజెంట్ టెస్లాను శుభ్రమైన నీటికి పరిచయం చేద్దాం. పార్ట్ 2

మేము మాల్వేర్ విశ్లేషణకు అంకితమైన మా కథనాల శ్రేణిని కొనసాగిస్తాము. IN మొదటిది పాక్షికంగా, CERT గ్రూప్-IBలో మాల్వేర్ విశ్లేషణ నిపుణుడు ఇలియా పోమెరంట్సేవ్, యూరోపియన్ కంపెనీలలో ఒకదాని నుండి మెయిల్ ద్వారా స్వీకరించబడిన ఫైల్‌ను ఎలా వివరంగా విశ్లేషించి, అక్కడ స్పైవేర్‌ను కనుగొన్నారో మేము చెప్పాము. ఏజెంట్ టెస్లా. ఈ వ్యాసంలో, ఇలియా ప్రధాన మాడ్యూల్ యొక్క దశల వారీ విశ్లేషణ ఫలితాలను అందిస్తుంది ఏజెంట్ టెస్లా.

ఏజెంట్ టెస్లా అనేది చట్టబద్ధమైన కీలాగర్ ఉత్పత్తి ముసుగులో మాల్వేర్-యాజ్-ఎ-సర్వీస్ మోడల్‌ని ఉపయోగించి పంపిణీ చేయబడిన మాడ్యులర్ గూఢచర్యం సాఫ్ట్‌వేర్. ఏజెంట్ టెస్లా బ్రౌజర్‌లు, ఇమెయిల్ క్లయింట్లు మరియు FTP క్లయింట్‌ల నుండి సర్వర్‌కు దాడి చేసేవారికి వినియోగదారు ఆధారాలను సంగ్రహించడం మరియు ప్రసారం చేయడం, క్లిప్‌బోర్డ్ డేటాను రికార్డ్ చేయడం మరియు పరికర స్క్రీన్‌ను క్యాప్చర్ చేయగలదు. విశ్లేషణ సమయంలో, డెవలపర్‌ల అధికారిక వెబ్‌సైట్ అందుబాటులో లేదు.

కాన్ఫిగరేషన్ ఫైల్

మీరు ఉపయోగిస్తున్న నమూనాకు ఏ కార్యాచరణ వర్తిస్తుందో దిగువ పట్టిక జాబితా చేస్తుంది:

వివరణ	విలువ
కీలాగర్ వినియోగ ఫ్లాగ్	నిజమైన
స్క్రీన్‌లాగర్ వినియోగ ఫ్లాగ్	తప్పుడు
కీలాగర్ లాగ్ నిమిషాల్లో విరామం పంపుతుంది	20
ScreenLogger లాగ్ నిమిషాల్లో విరామం పంపుతుంది	20
బ్యాక్‌స్పేస్ కీ హ్యాండ్లింగ్ ఫ్లాగ్. తప్పు - లాగింగ్ మాత్రమే. నిజం - మునుపటి కీని చెరిపివేస్తుంది	తప్పుడు
CNC రకం. ఎంపికలు: smtp, webpanel, ftp	SMTP
“%filter_list%” జాబితా నుండి ప్రక్రియలను ముగించడానికి థ్రెడ్ యాక్టివేషన్ ఫ్లాగ్	తప్పుడు
UAC డిజేబుల్ ఫ్లాగ్	తప్పుడు
టాస్క్ మేనేజర్ ఫ్లాగ్‌ని నిలిపివేయండి	తప్పుడు
CMD డిజేబుల్ ఫ్లాగ్	తప్పుడు
విండో డిసేబుల్ ఫ్లాగ్‌ని అమలు చేయండి	తప్పుడు
రిజిస్ట్రీ వ్యూయర్ ఫ్లాగ్‌ని నిలిపివేయండి	తప్పుడు
సిస్టమ్ పునరుద్ధరణ పాయింట్ల ఫ్లాగ్‌ను నిలిపివేయండి	నిజమైన
నియంత్రణ ప్యానెల్ ఫ్లాగ్‌ని నిలిపివేయండి	తప్పుడు
MSCONFIG డిజేబుల్ ఫ్లాగ్	తప్పుడు
ఎక్స్‌ప్లోరర్‌లో సందర్భ మెనుని నిలిపివేయడానికి ఫ్లాగ్ చేయండి	తప్పుడు
పిన్ ఫ్లాగ్	తప్పుడు
సిస్టమ్‌కు పిన్ చేస్తున్నప్పుడు ప్రధాన మాడ్యూల్‌ను కాపీ చేయడానికి మార్గం	%startupfolder% %insfolder%%insname%
సిస్టమ్‌కు కేటాయించిన ప్రధాన మాడ్యూల్ కోసం “సిస్టమ్” మరియు “దాచిన” లక్షణాలను సెట్ చేయడానికి ఫ్లాగ్ చేయండి	తప్పుడు
సిస్టమ్‌కు పిన్ చేసినప్పుడు పునఃప్రారంభం చేయడానికి ఫ్లాగ్ చేయండి	తప్పుడు
ప్రధాన మాడ్యూల్‌ను తాత్కాలిక ఫోల్డర్‌కి తరలించడానికి ఫ్లాగ్ చేయండి	తప్పుడు
UAC బైపాస్ ఫ్లాగ్	తప్పుడు
లాగింగ్ కోసం తేదీ మరియు సమయ ఆకృతి	yyyy-MM-dd HH:mm:ss
కీలాగర్ కోసం ప్రోగ్రామ్ ఫిల్టర్‌ని ఉపయోగించడం కోసం ఫ్లాగ్ చేయండి	నిజమైన
ప్రోగ్రామ్ ఫిల్టరింగ్ రకం. 1 - ప్రోగ్రామ్ పేరు విండో శీర్షికలలో శోధించబడింది 2 - విండో ప్రాసెస్ పేరులో ప్రోగ్రామ్ పేరు వెతుకుతుంది	1
ప్రోగ్రామ్ ఫిల్టర్	"ఫేస్బుక్" "ట్విట్టర్" "gmail" "ఇన్స్టాగ్రామ్" "సినిమా" "స్కైప్" "పోర్న్" "హాక్" "వాట్సాప్" "అసమ్మతి"

సిస్టమ్‌కు ప్రధాన మాడ్యూల్‌ను జోడించడం

సంబంధిత ఫ్లాగ్ సెట్ చేయబడితే, సిస్టమ్‌కు కేటాయించాల్సిన మార్గంగా కాన్ఫిగరేషన్‌లో పేర్కొన్న మార్గానికి ప్రధాన మాడ్యూల్ కాపీ చేయబడుతుంది.

కాన్ఫిగరేషన్ నుండి విలువను బట్టి, ఫైల్‌కు "దాచిన" మరియు "సిస్టమ్" లక్షణాలు ఇవ్వబడ్డాయి.
ఆటోరన్ రెండు రిజిస్ట్రీ శాఖల ద్వారా అందించబడుతుంది:

• HKCU సాఫ్ట్‌వేర్ మైక్రోసాఫ్ట్ విండోస్ కరెంట్ వెర్షన్‌రన్%ఇన్‌రెగ్నేమ్%
• HKCUSOFTWAREmicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %inregname%

బూట్‌లోడర్ ప్రక్రియలోకి ఇంజెక్ట్ చేస్తుంది కాబట్టి RegAsm, ప్రధాన మాడ్యూల్ కోసం నిరంతర జెండాను సెట్ చేయడం చాలా ఆసక్తికరమైన పరిణామాలకు దారి తీస్తుంది. మాల్వేర్ స్వయంగా కాపీ చేయడానికి బదులుగా, అసలు ఫైల్‌ను సిస్టమ్‌కు జోడించింది RegAsm.exe, ఈ సమయంలో ఇంజెక్షన్ జరిగింది.

C&Cతో పరస్పర చర్య

ఉపయోగించిన పద్ధతితో సంబంధం లేకుండా, వనరును ఉపయోగించి బాధితుడి బాహ్య IPని పొందడం ద్వారా నెట్‌వర్క్ కమ్యూనికేషన్ ప్రారంభమవుతుంది తనిఖీ[.]అమెజోనాస్[.]com/.
సాఫ్ట్‌వేర్‌లో అందించబడిన నెట్‌వర్క్ ఇంటరాక్షన్ పద్ధతులను క్రింది వివరిస్తుంది.

వెబ్ ప్యానెల్

పరస్పర చర్య HTTP ప్రోటోకాల్ ద్వారా జరుగుతుంది. మాల్వేర్ కింది హెడర్‌లతో POST అభ్యర్థనను అమలు చేస్తుంది:

• వినియోగదారు-ఏజెంట్: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
• కనెక్షన్: Keep-Alive
• కంటెంట్-రకం: అప్లికేషన్/x-www-form-urlencoded

సర్వర్ చిరునామా విలువ ద్వారా పేర్కొనబడింది %PostURL%. గుప్తీకరించిన సందేశం పారామీటర్‌లో పంపబడుతుంది «పి». ఎన్‌క్రిప్షన్ మెకానిజం విభాగంలో వివరించబడింది "ఎన్‌క్రిప్షన్ అల్గారిథమ్స్" (పద్ధతి 2).

ప్రసారం చేయబడిన సందేశం ఇలా కనిపిస్తుంది:

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}

పరామితి రకం సందేశ రకాన్ని సూచిస్తుంది:

hwid - మదర్‌బోర్డ్ సీరియల్ నంబర్ మరియు ప్రాసెసర్ ID విలువల నుండి MD5 హాష్ రికార్డ్ చేయబడింది. చాలా మటుకు వినియోగదారు IDగా ఉపయోగించబడుతుంది.
సమయం - ప్రస్తుత సమయం మరియు తేదీని ప్రసారం చేయడానికి ఉపయోగపడుతుంది.
pc పేరు -గా నిర్వచించబడింది /.
లాగ్డేటా - లాగ్ డేటా.

పాస్‌వర్డ్‌లను ప్రసారం చేస్తున్నప్పుడు, సందేశం ఇలా కనిపిస్తుంది:

type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]

కిందివి ఫార్మాట్‌లో దొంగిలించబడిన డేటా యొక్క వివరణలు nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.

SMTP

పరస్పర చర్య SMTP ప్రోటోకాల్ ద్వారా జరుగుతుంది. ప్రసారం చేయబడిన అక్షరం HTML ఆకృతిలో ఉంది. పరామితి BODY రూపం ఉంది:

లేఖ యొక్క శీర్షిక సాధారణ రూపాన్ని కలిగి ఉంటుంది: / . లేఖలోని విషయాలు, అలాగే దాని జోడింపులు గుప్తీకరించబడలేదు.

పరస్పర చర్య FTP ప్రోటోకాల్ ద్వారా జరుగుతుంది. పేరు ఉన్న ఫైల్ పేర్కొన్న సర్వర్‌కు బదిలీ చేయబడుతుంది _-_.html. ఫైల్ యొక్క కంటెంట్‌లు గుప్తీకరించబడలేదు.

ఎన్క్రిప్షన్ అల్గోరిథంలు

ఈ సందర్భంలో క్రింది ఎన్క్రిప్షన్ పద్ధతులను ఉపయోగిస్తుంది:

X పద్ధతి పద్ధతి

ప్రధాన మాడ్యూల్‌లో స్ట్రింగ్‌లను గుప్తీకరించడానికి ఈ పద్ధతి ఉపయోగించబడుతుంది. ఎన్క్రిప్షన్ కోసం ఉపయోగించే అల్గారిథమ్ AES.

ఇన్‌పుట్ ఆరు అంకెల దశాంశ సంఖ్య. కింది పరివర్తన దానిపై నిర్వహించబడుతుంది:

f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3

ఫలిత విలువ పొందుపరిచిన డేటా శ్రేణికి సూచిక.

ప్రతి శ్రేణి మూలకం ఒక క్రమం DWORD. విలీనం చేసినప్పుడు DWORD బైట్‌ల శ్రేణిని పొందవచ్చు: మొదటి 32 బైట్‌లు ఎన్‌క్రిప్షన్ కీ, తర్వాత 16 బైట్‌లు ఇనిషియలైజేషన్ వెక్టర్, మరియు మిగిలిన బైట్‌లు ఎన్‌క్రిప్టెడ్ డేటా.

X పద్ధతి పద్ధతి

అల్గోరిథం ఉపయోగించబడింది 3DES మోడ్‌లో ECB మొత్తం బైట్‌లలో ప్యాడింగ్‌తో (PKCS7).

కీ పారామీటర్ ద్వారా పేర్కొనబడింది %urlkey%అయితే, ఎన్‌క్రిప్షన్ దాని MD5 హాష్‌ని ఉపయోగిస్తుంది.

హానికరమైన కార్యాచరణ

అధ్యయనంలో ఉన్న నమూనా దాని హానికరమైన ఫంక్షన్‌ను అమలు చేయడానికి క్రింది ప్రోగ్రామ్‌లను ఉపయోగిస్తుంది:

కీ లాగర్

WinAPI ఫంక్షన్‌ని ఉపయోగించి సంబంధిత మాల్వేర్ ఫ్లాగ్ ఉంటే SetWindowsHookEx కీబోర్డ్‌లోని కీ ప్రెస్ ఈవెంట్‌ల కోసం దాని స్వంత హ్యాండ్లర్‌ను కేటాయిస్తుంది. సక్రియ విండో యొక్క శీర్షికను పొందడం ద్వారా హ్యాండ్లర్ ఫంక్షన్ ప్రారంభమవుతుంది.

అప్లికేషన్ ఫిల్టరింగ్ ఫ్లాగ్ సెట్ చేయబడితే, పేర్కొన్న రకాన్ని బట్టి ఫిల్టరింగ్ చేయబడుతుంది:

1. ప్రోగ్రామ్ పేరు విండో టైటిల్స్‌లో కనిపిస్తుంది
2. విండో ప్రాసెస్ పేరులో ప్రోగ్రామ్ పేరు కనిపిస్తుంది

తరువాత, ఫార్మాట్‌లోని సక్రియ విండో గురించిన సమాచారంతో లాగ్‌కు రికార్డ్ జోడించబడుతుంది:

అప్పుడు నొక్కిన కీ గురించి సమాచారం నమోదు చేయబడుతుంది:

కీ	రికార్డు
Backspace	Backspace కీ ప్రాసెసింగ్ ఫ్లాగ్‌పై ఆధారపడి: తప్పు – {BACK} నిజం - మునుపటి కీని చెరిపివేస్తుంది
క్యాప్‌లాక్	{CAPLOCK}
ESC	{ESC}
పేజీఅప్	{PageUp}
డౌన్	↓
తొలగించు	{DEL}
"	"
F5	{F5}
&	&
F10	{F10}
TAB	{TAB}
<	<
>	>
స్థలం
F8	{F8}
F12	{F12}
F9	{F9}
ALT + TAB	{ALT+TAB}
END	{END}
F4	{F4}
F2	{F2}
CTRL	{CTRL}
F6	{F6}
కుడి	&rarr;
Up	&uarr;
F1	{F1}
ఎడమ	&larr;
పేజి క్రింద	{పేజి క్రింద}
చొప్పించు	{ఇన్సర్ట్}
విన్	{గెలుపు}
నమ్‌లాక్	{NumLock}
F11	{F11}
F3	{F3}
హోం	{హోమ్}
ENTER	{ENTER}
ALT + F4	{ALT+F4}
F7	{F7}
ఇతర కీ	క్యాప్స్‌లాక్ మరియు షిఫ్ట్ కీల స్థానాలపై ఆధారపడి అక్షరం పెద్ద లేదా లోయర్ కేస్‌లో ఉంటుంది

పేర్కొన్న ఫ్రీక్వెన్సీ వద్ద, సేకరించిన లాగ్ సర్వర్‌కు పంపబడుతుంది. బదిలీ విఫలమైతే, లాగ్ ఫైల్‌లో సేవ్ చేయబడుతుంది %TEMP%log.tmp ఆకృతిలో:

టైమర్ ఫైర్ అయినప్పుడు, ఫైల్ సర్వర్‌కు బదిలీ చేయబడుతుంది.

స్క్రీన్‌లాగర్

పేర్కొన్న ఫ్రీక్వెన్సీలో, మాల్వేర్ ఫార్మాట్‌లో స్క్రీన్‌షాట్‌ను సృష్టిస్తుంది jpeg అర్థంతో నాణ్యత 50కి సమానం మరియు దానిని ఫైల్‌లో సేవ్ చేస్తుంది %APPDATA %.jpg. బదిలీ తర్వాత, ఫైల్ తొలగించబడుతుంది.

క్లిప్‌బోర్డ్‌లాగర్

తగిన ఫ్లాగ్ సెట్ చేయబడితే, దిగువ పట్టిక ప్రకారం అడ్డగించిన వచనంలో భర్తీ చేయబడుతుంది.

దీని తరువాత, వచనం లాగ్‌లో చేర్చబడుతుంది:

పాస్వర్డ్ స్టీలర్

మాల్వేర్ క్రింది అప్లికేషన్‌ల నుండి పాస్‌వర్డ్‌లను డౌన్‌లోడ్ చేయగలదు:

బ్రౌజర్లు	మెయిల్ క్లయింట్లు	FTP క్లయింట్లు
క్రోమ్	ఔట్లుక్	FileZilla
ఫైర్ఫాక్స్	థండర్బర్డ్	WS_FTP
IE/Edge	ఫాక్స్ మెయిల్	WinSCP
సఫారీ	ఒపెరా మెయిల్	కోర్ఎఫ్‌టిపి
ఒపెరా బ్రౌజర్	IncrediMail	FTP నావిగేటర్
Yandex	పోకోమెయిల్	FlashFXP
Comodo	యుడోరా	SmartFTP
ChromePlus	గబ్బిలం	FTP కమాండర్
క్రోమియం	తపాలా పెట్టె
టార్చ్	క్లాస్ మెయిల్
7Star
స్నేహితుడు
బ్రేవ్ సాఫ్ట్‌వేర్	జబ్బర్ క్లయింట్లు	VPN క్లయింట్లు
CentBrowser	Psi/Psi+	VPN ని తెరవండి
చెడోట్
కోకోక్
ఎలిమెంట్స్ బ్రౌజర్	డౌన్‌లోడ్ మేనేజర్‌లు
ఎపిక్ ప్రైవసీ బ్రౌజర్	ఇంటర్నెట్ డౌన్ లోడ్ మేనేజర్
కోమెట	JDownloader
కక్ష్య
స్పుత్నిక్
uCozMedia
వివాల్డి
చెయ్యి
ఫ్లోక్ బ్రౌజర్
UC బ్రౌజర్
నల్లని రాబందు
సైబర్‌ఫాక్స్
కె-మెలియన్
icecat
ఐస్‌డ్రాగన్
పాలెమూన్
వాటర్‌ఫాక్స్
ఫాల్కాన్ బ్రౌజర్

డైనమిక్ విశ్లేషణకు ప్రతిఘటన

• ఫంక్షన్ ఉపయోగించి స్లీప్. గడువు ముగిసే సమయానికి కొన్ని శాండ్‌బాక్స్‌లను దాటవేయడానికి మిమ్మల్ని అనుమతిస్తుంది
• థ్రెడ్‌ను నాశనం చేస్తోంది ప్రాంతం.గుర్తించండి. ఇంటర్నెట్ నుండి ఫైల్‌ను డౌన్‌లోడ్ చేసే వాస్తవాన్ని దాచడానికి మిమ్మల్ని అనుమతిస్తుంది
• పరామితిలో %filter_list% మాల్వేర్ ఒక సెకను వ్యవధిలో ముగిసే ప్రక్రియల జాబితాను నిర్దేశిస్తుంది
• పొందిక UAC
• టాస్క్ మేనేజర్‌ని డిజేబుల్ చేస్తోంది
• పొందిక సిఎండి
• విండోను నిలిపివేస్తోంది "పరుగు"
• నియంత్రణ ప్యానెల్‌ను నిలిపివేస్తోంది
• సాధనాన్ని నిలిపివేస్తోంది REGEDIT
• సిస్టమ్ పునరుద్ధరణ పాయింట్లను నిలిపివేస్తోంది
• ఎక్స్‌ప్లోరర్‌లో సందర్భ మెనుని నిలిపివేయండి
• పొందిక MSCONFIG
• బైపాస్ UAC:

ప్రధాన మాడ్యూల్ యొక్క నిష్క్రియ లక్షణాలు

ప్రధాన మాడ్యూల్ యొక్క విశ్లేషణ సమయంలో, నెట్‌వర్క్ అంతటా వ్యాప్తి చెందడానికి మరియు మౌస్ స్థానాన్ని ట్రాక్ చేయడానికి బాధ్యత వహించే విధులు గుర్తించబడ్డాయి.

వార్మ్

తొలగించగల మీడియాను కనెక్ట్ చేయడానికి ఈవెంట్‌లు ప్రత్యేక థ్రెడ్‌లో పర్యవేక్షించబడతాయి. కనెక్ట్ చేసినప్పుడు, పేరుతో ఉన్న మాల్వేర్ ఫైల్ సిస్టమ్ యొక్క మూలానికి కాపీ చేయబడుతుంది scr.exe, దాని తర్వాత ఇది పొడిగింపుతో ఫైల్‌ల కోసం శోధిస్తుంది lnk. అందరి బృందం lnk కు మారుతుంది cmd.exe /c స్టార్ట్ scr.exe&స్టార్ట్ & నిష్క్రమించండి.

మీడియా యొక్క మూలంలో ఉన్న ప్రతి డైరెక్టరీకి ఒక లక్షణం ఇవ్వబడింది "దాచిన" మరియు పొడిగింపుతో ఫైల్ సృష్టించబడుతుంది lnk దాచిన డైరెక్టరీ పేరు మరియు ఆదేశంతో cmd.exe /c ప్రారంభం scr.exe&explorer /root,"%CD%" & నిష్క్రమించండి.

మౌస్‌ట్రాకర్

అంతరాయాన్ని ప్రదర్శించే పద్ధతి కీబోర్డ్ కోసం ఉపయోగించే పద్ధతిని పోలి ఉంటుంది. ఈ కార్యాచరణ ఇంకా అభివృద్ధిలో ఉంది.

ఫైల్ కార్యాచరణ

మార్గం	వివరణ
%టెంప్%temp.tmp	UAC బైపాస్ ప్రయత్నాల కోసం కౌంటర్‌ను కలిగి ఉంది
%స్టార్టప్ ఫోల్డర్%%ఇన్‌ఫోల్డర్%%ఇన్‌నేమ్%	HPE సిస్టమ్‌కు కేటాయించాల్సిన మార్గం
%Temp%tmpG{ప్రస్తుత సమయం మిల్లీసెకన్లలో}.tmp	ప్రధాన మాడ్యూల్ యొక్క బ్యాకప్ కోసం మార్గం
%Temp%log.tmp	లాగ్ ఫైల్
%AppData%{10 అక్షరాల యొక్క ఏకపక్ష క్రమం}.jpeg	స్క్రీన్‌షాట్‌లు
C:UsersPublic{10 అక్షరాల యొక్క ఏకపక్ష క్రమం}.vbs	సిస్టమ్‌కు జోడించడానికి బూట్‌లోడర్ ఉపయోగించగల vbs ఫైల్‌కి మార్గం
%Temp%{అనుకూల ఫోల్డర్ పేరు}{ఫైల్ పేరు}	సిస్టమ్‌కు అటాచ్ చేసుకోవడానికి బూట్‌లోడర్ ఉపయోగించే మార్గం

దాడి చేసే వ్యక్తి ప్రొఫైల్

హార్డ్‌కోడ్ చేసిన ప్రామాణీకరణ డేటాకు ధన్యవాదాలు, మేము కమాండ్ సెంటర్‌కు ప్రాప్యతను పొందగలిగాము.

దాడి చేసేవారి చివరి ఇమెయిల్‌ను గుర్తించడానికి ఇది మాకు అనుమతినిచ్చింది:

junaid[.]in***@gmail[.]com.

కమాండ్ సెంటర్ డొమైన్ పేరు మెయిల్‌కు నమోదు చేయబడింది sg***@gmail[.]com.

తీర్మానం

దాడిలో ఉపయోగించిన మాల్వేర్ యొక్క వివరణాత్మక విశ్లేషణ సమయంలో, మేము దాని కార్యాచరణను స్థాపించగలిగాము మరియు ఈ కేసుకు సంబంధించిన రాజీ సూచికల యొక్క పూర్తి జాబితాను పొందగలిగాము. మాల్వేర్ మధ్య నెట్‌వర్క్ ఇంటరాక్షన్ యొక్క మెకానిజమ్‌లను అర్థం చేసుకోవడం వల్ల సమాచార భద్రతా సాధనాల ఆపరేషన్‌ను సర్దుబాటు చేయడానికి సిఫార్సులను అందించడం, అలాగే స్థిరమైన IDS నియమాలను వ్రాయడం సాధ్యమైంది.

ప్రధాన ప్రమాదం ఏజెంట్ టెస్లా DataStealer లాగా ఇది సిస్టమ్‌కు కట్టుబడి ఉండాల్సిన అవసరం లేదు లేదా దాని విధులను నిర్వహించడానికి నియంత్రణ కమాండ్ కోసం వేచి ఉండదు. మెషీన్‌లో ఒకసారి, అది వెంటనే ప్రైవేట్ సమాచారాన్ని సేకరించడం ప్రారంభించి, దానిని CnCకి బదిలీ చేస్తుంది. ఈ దూకుడు ప్రవర్తన కొన్ని విధాలుగా ransomware యొక్క ప్రవర్తనకు సమానంగా ఉంటుంది, ఒకే తేడా ఏమిటంటే రెండో దానికి నెట్‌వర్క్ కనెక్షన్ కూడా అవసరం లేదు. మీరు ఈ కుటుంబాన్ని ఎదుర్కొంటే, మాల్వేర్ నుండి సోకిన సిస్టమ్‌ను క్లీన్ చేసిన తర్వాత, మీరు ఖచ్చితంగా అన్ని పాస్‌వర్డ్‌లను మార్చాలి, కనీసం సిద్ధాంతపరంగా పైన జాబితా చేయబడిన అప్లికేషన్‌లలో ఒకదానిలో సేవ్ చేయవచ్చు.

ముందుకు చూస్తే, దాడి చేసేవారు పంపుతున్నారని అనుకుందాం ఏజెంట్ టెస్లా, ప్రారంభ బూట్ లోడర్ చాలా తరచుగా మార్చబడుతుంది. దాడి సమయంలో స్టాటిక్ స్కానర్‌లు మరియు హ్యూరిస్టిక్ ఎనలైజర్‌ల ద్వారా గుర్తించబడకుండా ఉండటానికి ఇది మిమ్మల్ని అనుమతిస్తుంది. మరియు ఈ కుటుంబం వారి కార్యకలాపాలను వెంటనే ప్రారంభించాలనే ధోరణి సిస్టమ్ మానిటర్లను పనికిరానిదిగా చేస్తుంది. ఏజెంట్‌టెస్లాను ఎదుర్కోవడానికి ఉత్తమ మార్గం శాండ్‌బాక్స్‌లో ప్రాథమిక విశ్లేషణ.

ఈ శ్రేణి యొక్క మూడవ కథనంలో మేము ఉపయోగించిన ఇతర బూట్‌లోడర్‌లను పరిశీలిస్తాము ఏజెంట్ టెస్లా, మరియు వారి సెమీ ఆటోమేటిక్ అన్‌ప్యాకింగ్ ప్రక్రియను కూడా అధ్యయనం చేయండి. వదులుకోకు!

హాష్

SHA1

A8C2765B3D655BA23886D663D22BDD8EF6E8E894

8010CC2AF398F9F951555F7D481CE13DF60BBECF

79B445DE923C92BF378B19D12A309C0E9C5851BF

15839B7AB0417FA35F2858722F0BD47BDF840D62

1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD

సి అండ్ సి

URL

sina-c0m[.]icu

smtp[.]sina-c0m[.]icu

RegKey

రిజిస్ట్రీ

HKCUSoftwareMicrosoftWindowsCurrentVersionRun{స్క్రిప్ట్ పేరు}

HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname%

HKCUSOFTWAREmicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%inregname%

mutex

సూచికలు లేవు.

ఫైళ్లు

ఫైల్ కార్యాచరణ

%టెంప్%temp.tmp

%స్టార్టప్ ఫోల్డర్%%ఇన్‌ఫోల్డర్%%ఇన్‌నేమ్%

%Temp%tmpG{ప్రస్తుత సమయం మిల్లీసెకన్లలో}.tmp

%Temp%log.tmp

%AppData%{10 అక్షరాల యొక్క ఏకపక్ష క్రమం}.jpeg

C:UsersPublic{10 అక్షరాల యొక్క ఏకపక్ష క్రమం}.vbs

%Temp%{అనుకూల ఫోల్డర్ పేరు}{ఫైల్ పేరు}

నమూనాల సమాచారం

పేరు	తెలియని
MD5	F7722DD8660B261EA13B710062B59C43
SHA1	15839B7AB0417FA35F2858722F0BD47BDF840D62
SHA256	41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9
రకం	PE (.NET)
పరిమాణం	327680
అసలు పేరు	AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe
తేదీ స్టాంప్	01.07.2019
కంపైలర్	VB.NET

పేరు	IELibrary.dll
MD5	BFB160A89F4A607A60464631ED3ED9FD
SHA1	1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD
SHA256	D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE
రకం	PE (.NET DLL)
పరిమాణం	16896
అసలు పేరు	IELibrary.dll
తేదీ స్టాంప్	11.10.2016
కంపైలర్	మైక్రోసాఫ్ట్ లింకర్ (48.0*)

మూలం: www.habr.com