మేము మాల్వేర్ విశ్లేషణకు అంకితమైన మా కథనాల శ్రేణిని కొనసాగిస్తాము. IN
ఏజెంట్ టెస్లా అనేది చట్టబద్ధమైన కీలాగర్ ఉత్పత్తి ముసుగులో మాల్వేర్-యాజ్-ఎ-సర్వీస్ మోడల్ని ఉపయోగించి పంపిణీ చేయబడిన మాడ్యులర్ గూఢచర్యం సాఫ్ట్వేర్. ఏజెంట్ టెస్లా బ్రౌజర్లు, ఇమెయిల్ క్లయింట్లు మరియు FTP క్లయింట్ల నుండి సర్వర్కు దాడి చేసేవారికి వినియోగదారు ఆధారాలను సంగ్రహించడం మరియు ప్రసారం చేయడం, క్లిప్బోర్డ్ డేటాను రికార్డ్ చేయడం మరియు పరికర స్క్రీన్ను క్యాప్చర్ చేయగలదు. విశ్లేషణ సమయంలో, డెవలపర్ల అధికారిక వెబ్సైట్ అందుబాటులో లేదు.
కాన్ఫిగరేషన్ ఫైల్
మీరు ఉపయోగిస్తున్న నమూనాకు ఏ కార్యాచరణ వర్తిస్తుందో దిగువ పట్టిక జాబితా చేస్తుంది:
వివరణ | విలువ |
కీలాగర్ వినియోగ ఫ్లాగ్ | నిజమైన |
స్క్రీన్లాగర్ వినియోగ ఫ్లాగ్ | తప్పుడు |
కీలాగర్ లాగ్ నిమిషాల్లో విరామం పంపుతుంది | 20 |
ScreenLogger లాగ్ నిమిషాల్లో విరామం పంపుతుంది | 20 |
బ్యాక్స్పేస్ కీ హ్యాండ్లింగ్ ఫ్లాగ్. తప్పు - లాగింగ్ మాత్రమే. నిజం - మునుపటి కీని చెరిపివేస్తుంది | తప్పుడు |
CNC రకం. ఎంపికలు: smtp, webpanel, ftp | SMTP |
“%filter_list%” జాబితా నుండి ప్రక్రియలను ముగించడానికి థ్రెడ్ యాక్టివేషన్ ఫ్లాగ్ | తప్పుడు |
UAC డిజేబుల్ ఫ్లాగ్ | తప్పుడు |
టాస్క్ మేనేజర్ ఫ్లాగ్ని నిలిపివేయండి | తప్పుడు |
CMD డిజేబుల్ ఫ్లాగ్ | తప్పుడు |
విండో డిసేబుల్ ఫ్లాగ్ని అమలు చేయండి | తప్పుడు |
రిజిస్ట్రీ వ్యూయర్ ఫ్లాగ్ని నిలిపివేయండి | తప్పుడు |
సిస్టమ్ పునరుద్ధరణ పాయింట్ల ఫ్లాగ్ను నిలిపివేయండి | నిజమైన |
నియంత్రణ ప్యానెల్ ఫ్లాగ్ని నిలిపివేయండి | తప్పుడు |
MSCONFIG డిజేబుల్ ఫ్లాగ్ | తప్పుడు |
ఎక్స్ప్లోరర్లో సందర్భ మెనుని నిలిపివేయడానికి ఫ్లాగ్ చేయండి | తప్పుడు |
పిన్ ఫ్లాగ్ | తప్పుడు |
సిస్టమ్కు పిన్ చేస్తున్నప్పుడు ప్రధాన మాడ్యూల్ను కాపీ చేయడానికి మార్గం | %startupfolder% %insfolder%%insname% |
సిస్టమ్కు కేటాయించిన ప్రధాన మాడ్యూల్ కోసం “సిస్టమ్” మరియు “దాచిన” లక్షణాలను సెట్ చేయడానికి ఫ్లాగ్ చేయండి | తప్పుడు |
సిస్టమ్కు పిన్ చేసినప్పుడు పునఃప్రారంభం చేయడానికి ఫ్లాగ్ చేయండి | తప్పుడు |
ప్రధాన మాడ్యూల్ను తాత్కాలిక ఫోల్డర్కి తరలించడానికి ఫ్లాగ్ చేయండి | తప్పుడు |
UAC బైపాస్ ఫ్లాగ్ | తప్పుడు |
లాగింగ్ కోసం తేదీ మరియు సమయ ఆకృతి | yyyy-MM-dd HH:mm:ss |
కీలాగర్ కోసం ప్రోగ్రామ్ ఫిల్టర్ని ఉపయోగించడం కోసం ఫ్లాగ్ చేయండి | నిజమైన |
ప్రోగ్రామ్ ఫిల్టరింగ్ రకం. 1 - ప్రోగ్రామ్ పేరు విండో శీర్షికలలో శోధించబడింది 2 - విండో ప్రాసెస్ పేరులో ప్రోగ్రామ్ పేరు వెతుకుతుంది |
1 |
ప్రోగ్రామ్ ఫిల్టర్ | "ఫేస్బుక్" "ట్విట్టర్" "gmail" "ఇన్స్టాగ్రామ్" "సినిమా" "స్కైప్" "పోర్న్" "హాక్" "వాట్సాప్" "అసమ్మతి" |
సిస్టమ్కు ప్రధాన మాడ్యూల్ను జోడించడం
సంబంధిత ఫ్లాగ్ సెట్ చేయబడితే, సిస్టమ్కు కేటాయించాల్సిన మార్గంగా కాన్ఫిగరేషన్లో పేర్కొన్న మార్గానికి ప్రధాన మాడ్యూల్ కాపీ చేయబడుతుంది.
కాన్ఫిగరేషన్ నుండి విలువను బట్టి, ఫైల్కు "దాచిన" మరియు "సిస్టమ్" లక్షణాలు ఇవ్వబడ్డాయి.
ఆటోరన్ రెండు రిజిస్ట్రీ శాఖల ద్వారా అందించబడుతుంది:
- HKCU సాఫ్ట్వేర్ మైక్రోసాఫ్ట్ విండోస్ కరెంట్ వెర్షన్రన్%ఇన్రెగ్నేమ్%
- HKCUSOFTWAREmicrosoftWindowsCurrentVersionExplorerStartupApprovedRun %inregname%
బూట్లోడర్ ప్రక్రియలోకి ఇంజెక్ట్ చేస్తుంది కాబట్టి RegAsm, ప్రధాన మాడ్యూల్ కోసం నిరంతర జెండాను సెట్ చేయడం చాలా ఆసక్తికరమైన పరిణామాలకు దారి తీస్తుంది. మాల్వేర్ స్వయంగా కాపీ చేయడానికి బదులుగా, అసలు ఫైల్ను సిస్టమ్కు జోడించింది RegAsm.exe, ఈ సమయంలో ఇంజెక్షన్ జరిగింది.
C&Cతో పరస్పర చర్య
ఉపయోగించిన పద్ధతితో సంబంధం లేకుండా, వనరును ఉపయోగించి బాధితుడి బాహ్య IPని పొందడం ద్వారా నెట్వర్క్ కమ్యూనికేషన్ ప్రారంభమవుతుంది
సాఫ్ట్వేర్లో అందించబడిన నెట్వర్క్ ఇంటరాక్షన్ పద్ధతులను క్రింది వివరిస్తుంది.
వెబ్ ప్యానెల్
పరస్పర చర్య HTTP ప్రోటోకాల్ ద్వారా జరుగుతుంది. మాల్వేర్ కింది హెడర్లతో POST అభ్యర్థనను అమలు చేస్తుంది:
- వినియోగదారు-ఏజెంట్: Mozilla/5.0 (Windows U Windows NT 6.1 ru rv:1.9.2.3) Gecko/20100401 Firefox/4.0 (.NET CLR 3.5.30729)
- కనెక్షన్: Keep-Alive
- కంటెంట్-రకం: అప్లికేషన్/x-www-form-urlencoded
సర్వర్ చిరునామా విలువ ద్వారా పేర్కొనబడింది %PostURL%. గుప్తీకరించిన సందేశం పారామీటర్లో పంపబడుతుంది «పి». ఎన్క్రిప్షన్ మెకానిజం విభాగంలో వివరించబడింది "ఎన్క్రిప్షన్ అల్గారిథమ్స్" (పద్ధతి 2).
ప్రసారం చేయబడిన సందేశం ఇలా కనిపిస్తుంది:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nclient={8}nlink={9}nusername={10}npassword={11}nscreen_link={12}
పరామితి రకం సందేశ రకాన్ని సూచిస్తుంది:
hwid - మదర్బోర్డ్ సీరియల్ నంబర్ మరియు ప్రాసెసర్ ID విలువల నుండి MD5 హాష్ రికార్డ్ చేయబడింది. చాలా మటుకు వినియోగదారు IDగా ఉపయోగించబడుతుంది.
సమయం - ప్రస్తుత సమయం మరియు తేదీని ప్రసారం చేయడానికి ఉపయోగపడుతుంది.
pc పేరు -గా నిర్వచించబడింది /.
లాగ్డేటా - లాగ్ డేటా.
పాస్వర్డ్లను ప్రసారం చేస్తున్నప్పుడు, సందేశం ఇలా కనిపిస్తుంది:
type={0}nhwid={1}ntime={2}npcname={3}nlogdata={4}nscreen={5}nipadd={6}nwebcam_link={7}nscreen_link={8}n[passwords]
కిందివి ఫార్మాట్లో దొంగిలించబడిన డేటా యొక్క వివరణలు nclient[]={0}nlink[]={1}nusername[]={2}npassword[]={3}.
SMTP
పరస్పర చర్య SMTP ప్రోటోకాల్ ద్వారా జరుగుతుంది. ప్రసారం చేయబడిన అక్షరం HTML ఆకృతిలో ఉంది. పరామితి BODY రూపం ఉంది:
లేఖ యొక్క శీర్షిక సాధారణ రూపాన్ని కలిగి ఉంటుంది: / . లేఖలోని విషయాలు, అలాగే దాని జోడింపులు గుప్తీకరించబడలేదు.
పరస్పర చర్య FTP ప్రోటోకాల్ ద్వారా జరుగుతుంది. పేరు ఉన్న ఫైల్ పేర్కొన్న సర్వర్కు బదిలీ చేయబడుతుంది _-_.html. ఫైల్ యొక్క కంటెంట్లు గుప్తీకరించబడలేదు.
ఎన్క్రిప్షన్ అల్గోరిథంలు
ఈ సందర్భంలో క్రింది ఎన్క్రిప్షన్ పద్ధతులను ఉపయోగిస్తుంది:
X పద్ధతి పద్ధతి
ప్రధాన మాడ్యూల్లో స్ట్రింగ్లను గుప్తీకరించడానికి ఈ పద్ధతి ఉపయోగించబడుతుంది. ఎన్క్రిప్షన్ కోసం ఉపయోగించే అల్గారిథమ్ AES.
ఇన్పుట్ ఆరు అంకెల దశాంశ సంఖ్య. కింది పరివర్తన దానిపై నిర్వహించబడుతుంది:
f(x) = (((x >> 2 - 31059) ^ 6380) - 1363) >> 3
ఫలిత విలువ పొందుపరిచిన డేటా శ్రేణికి సూచిక.
ప్రతి శ్రేణి మూలకం ఒక క్రమం DWORD. విలీనం చేసినప్పుడు DWORD బైట్ల శ్రేణిని పొందవచ్చు: మొదటి 32 బైట్లు ఎన్క్రిప్షన్ కీ, తర్వాత 16 బైట్లు ఇనిషియలైజేషన్ వెక్టర్, మరియు మిగిలిన బైట్లు ఎన్క్రిప్టెడ్ డేటా.
X పద్ధతి పద్ధతి
అల్గోరిథం ఉపయోగించబడింది 3DES మోడ్లో ECB మొత్తం బైట్లలో ప్యాడింగ్తో (PKCS7).
కీ పారామీటర్ ద్వారా పేర్కొనబడింది %urlkey%అయితే, ఎన్క్రిప్షన్ దాని MD5 హాష్ని ఉపయోగిస్తుంది.
హానికరమైన కార్యాచరణ
అధ్యయనంలో ఉన్న నమూనా దాని హానికరమైన ఫంక్షన్ను అమలు చేయడానికి క్రింది ప్రోగ్రామ్లను ఉపయోగిస్తుంది:
కీ లాగర్
WinAPI ఫంక్షన్ని ఉపయోగించి సంబంధిత మాల్వేర్ ఫ్లాగ్ ఉంటే SetWindowsHookEx కీబోర్డ్లోని కీ ప్రెస్ ఈవెంట్ల కోసం దాని స్వంత హ్యాండ్లర్ను కేటాయిస్తుంది. సక్రియ విండో యొక్క శీర్షికను పొందడం ద్వారా హ్యాండ్లర్ ఫంక్షన్ ప్రారంభమవుతుంది.
అప్లికేషన్ ఫిల్టరింగ్ ఫ్లాగ్ సెట్ చేయబడితే, పేర్కొన్న రకాన్ని బట్టి ఫిల్టరింగ్ చేయబడుతుంది:
- ప్రోగ్రామ్ పేరు విండో టైటిల్స్లో కనిపిస్తుంది
- విండో ప్రాసెస్ పేరులో ప్రోగ్రామ్ పేరు కనిపిస్తుంది
తరువాత, ఫార్మాట్లోని సక్రియ విండో గురించిన సమాచారంతో లాగ్కు రికార్డ్ జోడించబడుతుంది:
అప్పుడు నొక్కిన కీ గురించి సమాచారం నమోదు చేయబడుతుంది:
కీ | రికార్డు |
Backspace | Backspace కీ ప్రాసెసింగ్ ఫ్లాగ్పై ఆధారపడి: తప్పు – {BACK} నిజం - మునుపటి కీని చెరిపివేస్తుంది |
క్యాప్లాక్ | {CAPLOCK} |
ESC | {ESC} |
పేజీఅప్ | {PageUp} |
డౌన్ | ↓ |
తొలగించు | {DEL} |
" | " |
F5 | {F5} |
& | & |
F10 | {F10} |
TAB | {TAB} |
< | < |
> | > |
స్థలం | |
F8 | {F8} |
F12 | {F12} |
F9 | {F9} |
ALT + TAB | {ALT+TAB} |
END | {END} |
F4 | {F4} |
F2 | {F2} |
CTRL | {CTRL} |
F6 | {F6} |
కుడి | → |
Up | ↑ |
F1 | {F1} |
ఎడమ | ← |
పేజి క్రింద | {పేజి క్రింద} |
చొప్పించు | {ఇన్సర్ట్} |
విన్ | {గెలుపు} |
నమ్లాక్ | {NumLock} |
F11 | {F11} |
F3 | {F3} |
హోం | {హోమ్} |
ENTER | {ENTER} |
ALT + F4 | {ALT+F4} |
F7 | {F7} |
ఇతర కీ | క్యాప్స్లాక్ మరియు షిఫ్ట్ కీల స్థానాలపై ఆధారపడి అక్షరం పెద్ద లేదా లోయర్ కేస్లో ఉంటుంది |
పేర్కొన్న ఫ్రీక్వెన్సీ వద్ద, సేకరించిన లాగ్ సర్వర్కు పంపబడుతుంది. బదిలీ విఫలమైతే, లాగ్ ఫైల్లో సేవ్ చేయబడుతుంది %TEMP%log.tmp ఆకృతిలో:
టైమర్ ఫైర్ అయినప్పుడు, ఫైల్ సర్వర్కు బదిలీ చేయబడుతుంది.
స్క్రీన్లాగర్
పేర్కొన్న ఫ్రీక్వెన్సీలో, మాల్వేర్ ఫార్మాట్లో స్క్రీన్షాట్ను సృష్టిస్తుంది jpeg అర్థంతో నాణ్యత 50కి సమానం మరియు దానిని ఫైల్లో సేవ్ చేస్తుంది %APPDATA %.jpg. బదిలీ తర్వాత, ఫైల్ తొలగించబడుతుంది.
క్లిప్బోర్డ్లాగర్
తగిన ఫ్లాగ్ సెట్ చేయబడితే, దిగువ పట్టిక ప్రకారం అడ్డగించిన వచనంలో భర్తీ చేయబడుతుంది.
దీని తరువాత, వచనం లాగ్లో చేర్చబడుతుంది:
పాస్వర్డ్ స్టీలర్
మాల్వేర్ క్రింది అప్లికేషన్ల నుండి పాస్వర్డ్లను డౌన్లోడ్ చేయగలదు:
బ్రౌజర్లు | మెయిల్ క్లయింట్లు | FTP క్లయింట్లు |
క్రోమ్ | ఔట్లుక్ | FileZilla |
ఫైర్ఫాక్స్ | థండర్బర్డ్ | WS_FTP |
IE/Edge | ఫాక్స్ మెయిల్ | WinSCP |
సఫారీ | ఒపెరా మెయిల్ | కోర్ఎఫ్టిపి |
ఒపెరా బ్రౌజర్ | IncrediMail | FTP నావిగేటర్ |
Yandex | పోకోమెయిల్ | FlashFXP |
Comodo | యుడోరా | SmartFTP |
ChromePlus | గబ్బిలం | FTP కమాండర్ |
క్రోమియం | తపాలా పెట్టె | |
టార్చ్ | క్లాస్ మెయిల్ | |
7Star | ||
స్నేహితుడు | ||
బ్రేవ్ సాఫ్ట్వేర్ | జబ్బర్ క్లయింట్లు | VPN క్లయింట్లు |
CentBrowser | Psi/Psi+ | VPN ని తెరవండి |
చెడోట్ | ||
కోకోక్ | ||
ఎలిమెంట్స్ బ్రౌజర్ | డౌన్లోడ్ మేనేజర్లు | |
ఎపిక్ ప్రైవసీ బ్రౌజర్ | ఇంటర్నెట్ డౌన్ లోడ్ మేనేజర్ | |
కోమెట | JDownloader | |
కక్ష్య | ||
స్పుత్నిక్ | ||
uCozMedia | ||
వివాల్డి | ||
చెయ్యి | ||
ఫ్లోక్ బ్రౌజర్ | ||
UC బ్రౌజర్ | ||
నల్లని రాబందు | ||
సైబర్ఫాక్స్ | ||
కె-మెలియన్ | ||
icecat | ||
ఐస్డ్రాగన్ | ||
పాలెమూన్ | ||
వాటర్ఫాక్స్ | ||
ఫాల్కాన్ బ్రౌజర్ |
డైనమిక్ విశ్లేషణకు ప్రతిఘటన
- ఫంక్షన్ ఉపయోగించి స్లీప్. గడువు ముగిసే సమయానికి కొన్ని శాండ్బాక్స్లను దాటవేయడానికి మిమ్మల్ని అనుమతిస్తుంది
- థ్రెడ్ను నాశనం చేస్తోంది ప్రాంతం.గుర్తించండి. ఇంటర్నెట్ నుండి ఫైల్ను డౌన్లోడ్ చేసే వాస్తవాన్ని దాచడానికి మిమ్మల్ని అనుమతిస్తుంది
- పరామితిలో %filter_list% మాల్వేర్ ఒక సెకను వ్యవధిలో ముగిసే ప్రక్రియల జాబితాను నిర్దేశిస్తుంది
- పొందిక UAC
- టాస్క్ మేనేజర్ని డిజేబుల్ చేస్తోంది
- పొందిక సిఎండి
- విండోను నిలిపివేస్తోంది "పరుగు"
- నియంత్రణ ప్యానెల్ను నిలిపివేస్తోంది
- సాధనాన్ని నిలిపివేస్తోంది REGEDIT
- సిస్టమ్ పునరుద్ధరణ పాయింట్లను నిలిపివేస్తోంది
- ఎక్స్ప్లోరర్లో సందర్భ మెనుని నిలిపివేయండి
- పొందిక MSCONFIG
- బైపాస్ UAC:
ప్రధాన మాడ్యూల్ యొక్క నిష్క్రియ లక్షణాలు
ప్రధాన మాడ్యూల్ యొక్క విశ్లేషణ సమయంలో, నెట్వర్క్ అంతటా వ్యాప్తి చెందడానికి మరియు మౌస్ స్థానాన్ని ట్రాక్ చేయడానికి బాధ్యత వహించే విధులు గుర్తించబడ్డాయి.
వార్మ్
తొలగించగల మీడియాను కనెక్ట్ చేయడానికి ఈవెంట్లు ప్రత్యేక థ్రెడ్లో పర్యవేక్షించబడతాయి. కనెక్ట్ చేసినప్పుడు, పేరుతో ఉన్న మాల్వేర్ ఫైల్ సిస్టమ్ యొక్క మూలానికి కాపీ చేయబడుతుంది scr.exe, దాని తర్వాత ఇది పొడిగింపుతో ఫైల్ల కోసం శోధిస్తుంది lnk. అందరి బృందం lnk కు మారుతుంది cmd.exe /c స్టార్ట్ scr.exe&స్టార్ట్ & నిష్క్రమించండి.
మీడియా యొక్క మూలంలో ఉన్న ప్రతి డైరెక్టరీకి ఒక లక్షణం ఇవ్వబడింది "దాచిన" మరియు పొడిగింపుతో ఫైల్ సృష్టించబడుతుంది lnk దాచిన డైరెక్టరీ పేరు మరియు ఆదేశంతో cmd.exe /c ప్రారంభం scr.exe&explorer /root,"%CD%" & నిష్క్రమించండి.
మౌస్ట్రాకర్
అంతరాయాన్ని ప్రదర్శించే పద్ధతి కీబోర్డ్ కోసం ఉపయోగించే పద్ధతిని పోలి ఉంటుంది. ఈ కార్యాచరణ ఇంకా అభివృద్ధిలో ఉంది.
ఫైల్ కార్యాచరణ
మార్గం | వివరణ |
%టెంప్%temp.tmp | UAC బైపాస్ ప్రయత్నాల కోసం కౌంటర్ను కలిగి ఉంది |
%స్టార్టప్ ఫోల్డర్%%ఇన్ఫోల్డర్%%ఇన్నేమ్% | HPE సిస్టమ్కు కేటాయించాల్సిన మార్గం |
%Temp%tmpG{ప్రస్తుత సమయం మిల్లీసెకన్లలో}.tmp | ప్రధాన మాడ్యూల్ యొక్క బ్యాకప్ కోసం మార్గం |
%Temp%log.tmp | లాగ్ ఫైల్ |
%AppData%{10 అక్షరాల యొక్క ఏకపక్ష క్రమం}.jpeg | స్క్రీన్షాట్లు |
C:UsersPublic{10 అక్షరాల యొక్క ఏకపక్ష క్రమం}.vbs | సిస్టమ్కు జోడించడానికి బూట్లోడర్ ఉపయోగించగల vbs ఫైల్కి మార్గం |
%Temp%{అనుకూల ఫోల్డర్ పేరు}{ఫైల్ పేరు} | సిస్టమ్కు అటాచ్ చేసుకోవడానికి బూట్లోడర్ ఉపయోగించే మార్గం |
దాడి చేసే వ్యక్తి ప్రొఫైల్
హార్డ్కోడ్ చేసిన ప్రామాణీకరణ డేటాకు ధన్యవాదాలు, మేము కమాండ్ సెంటర్కు ప్రాప్యతను పొందగలిగాము.
దాడి చేసేవారి చివరి ఇమెయిల్ను గుర్తించడానికి ఇది మాకు అనుమతినిచ్చింది:
junaid[.]in***@gmail[.]com.
కమాండ్ సెంటర్ డొమైన్ పేరు మెయిల్కు నమోదు చేయబడింది sg***@gmail[.]com.
తీర్మానం
దాడిలో ఉపయోగించిన మాల్వేర్ యొక్క వివరణాత్మక విశ్లేషణ సమయంలో, మేము దాని కార్యాచరణను స్థాపించగలిగాము మరియు ఈ కేసుకు సంబంధించిన రాజీ సూచికల యొక్క పూర్తి జాబితాను పొందగలిగాము. మాల్వేర్ మధ్య నెట్వర్క్ ఇంటరాక్షన్ యొక్క మెకానిజమ్లను అర్థం చేసుకోవడం వల్ల సమాచార భద్రతా సాధనాల ఆపరేషన్ను సర్దుబాటు చేయడానికి సిఫార్సులను అందించడం, అలాగే స్థిరమైన IDS నియమాలను వ్రాయడం సాధ్యమైంది.
ప్రధాన ప్రమాదం ఏజెంట్ టెస్లా DataStealer లాగా ఇది సిస్టమ్కు కట్టుబడి ఉండాల్సిన అవసరం లేదు లేదా దాని విధులను నిర్వహించడానికి నియంత్రణ కమాండ్ కోసం వేచి ఉండదు. మెషీన్లో ఒకసారి, అది వెంటనే ప్రైవేట్ సమాచారాన్ని సేకరించడం ప్రారంభించి, దానిని CnCకి బదిలీ చేస్తుంది. ఈ దూకుడు ప్రవర్తన కొన్ని విధాలుగా ransomware యొక్క ప్రవర్తనకు సమానంగా ఉంటుంది, ఒకే తేడా ఏమిటంటే రెండో దానికి నెట్వర్క్ కనెక్షన్ కూడా అవసరం లేదు. మీరు ఈ కుటుంబాన్ని ఎదుర్కొంటే, మాల్వేర్ నుండి సోకిన సిస్టమ్ను క్లీన్ చేసిన తర్వాత, మీరు ఖచ్చితంగా అన్ని పాస్వర్డ్లను మార్చాలి, కనీసం సిద్ధాంతపరంగా పైన జాబితా చేయబడిన అప్లికేషన్లలో ఒకదానిలో సేవ్ చేయవచ్చు.
ముందుకు చూస్తే, దాడి చేసేవారు పంపుతున్నారని అనుకుందాం ఏజెంట్ టెస్లా, ప్రారంభ బూట్ లోడర్ చాలా తరచుగా మార్చబడుతుంది. దాడి సమయంలో స్టాటిక్ స్కానర్లు మరియు హ్యూరిస్టిక్ ఎనలైజర్ల ద్వారా గుర్తించబడకుండా ఉండటానికి ఇది మిమ్మల్ని అనుమతిస్తుంది. మరియు ఈ కుటుంబం వారి కార్యకలాపాలను వెంటనే ప్రారంభించాలనే ధోరణి సిస్టమ్ మానిటర్లను పనికిరానిదిగా చేస్తుంది. ఏజెంట్టెస్లాను ఎదుర్కోవడానికి ఉత్తమ మార్గం శాండ్బాక్స్లో ప్రాథమిక విశ్లేషణ.
ఈ శ్రేణి యొక్క మూడవ కథనంలో మేము ఉపయోగించిన ఇతర బూట్లోడర్లను పరిశీలిస్తాము ఏజెంట్ టెస్లా, మరియు వారి సెమీ ఆటోమేటిక్ అన్ప్యాకింగ్ ప్రక్రియను కూడా అధ్యయనం చేయండి. వదులుకోకు!
హాష్
SHA1 |
A8C2765B3D655BA23886D663D22BDD8EF6E8E894 |
8010CC2AF398F9F951555F7D481CE13DF60BBECF |
79B445DE923C92BF378B19D12A309C0E9C5851BF |
15839B7AB0417FA35F2858722F0BD47BDF840D62 |
1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
సి అండ్ సి
URL |
sina-c0m[.]icu |
smtp[.]sina-c0m[.]icu |
RegKey
రిజిస్ట్రీ |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun{స్క్రిప్ట్ పేరు} |
HKCUSoftwareMicrosoftWindowsCurrentVersionRun%insregname% |
HKCUSOFTWAREmicrosoftWindowsCurrentVersionExplorerStartupApprovedRun%inregname% |
mutex
సూచికలు లేవు.
ఫైళ్లు
ఫైల్ కార్యాచరణ |
%టెంప్%temp.tmp |
%స్టార్టప్ ఫోల్డర్%%ఇన్ఫోల్డర్%%ఇన్నేమ్% |
%Temp%tmpG{ప్రస్తుత సమయం మిల్లీసెకన్లలో}.tmp |
%Temp%log.tmp |
%AppData%{10 అక్షరాల యొక్క ఏకపక్ష క్రమం}.jpeg |
C:UsersPublic{10 అక్షరాల యొక్క ఏకపక్ష క్రమం}.vbs |
%Temp%{అనుకూల ఫోల్డర్ పేరు}{ఫైల్ పేరు} |
నమూనాల సమాచారం
పేరు | తెలియని |
MD5 | F7722DD8660B261EA13B710062B59C43 |
SHA1 | 15839B7AB0417FA35F2858722F0BD47BDF840D62 |
SHA256 | 41DC0D5459F25E2FDCF8797948A7B315D3CB0753 98D808D1772CACCC726AF6E9 |
రకం | PE (.NET) |
పరిమాణం | 327680 |
అసలు పేరు | AZZRIDKGGSLTYFUUBCCRRCUMRKTOXFVPDKGAGPUZI_20190701133545943.exe |
తేదీ స్టాంప్ | 01.07.2019 |
కంపైలర్ | VB.NET |
పేరు | IELibrary.dll |
MD5 | BFB160A89F4A607A60464631ED3ED9FD |
SHA1 | 1C981EF3EEA8548A30E8D7BF8D0D61F9224288DD |
SHA256 | D55800A825792F55999ABDAD199DFA54F3184417 215A298910F2C12CD9CC31EE |
రకం | PE (.NET DLL) |
పరిమాణం | 16896 |
అసలు పేరు | IELibrary.dll |
తేదీ స్టాంప్ | 11.10.2016 |
కంపైలర్ | మైక్రోసాఫ్ట్ లింకర్ (48.0*) |
మూలం: www.habr.com