Бо ин мақола мо силсилаи нашрияҳоро, ки ба таҳлили нармафзори зараровар бахшида шудаанд, анҷом медиҳем. ДАР Мо таҳлили муфассали файли сироятшударо анҷом додем, ки як ширкати аврупоӣ тавассути почта гирифта буд ва дар он ҷо нармафзори ҷосусии AgentTesla-ро кашф кардем. Дар натичахои тадлили кадам ба кадами модули асосии AgentTesla-ро тавсиф намуд.
Имрӯз Иля Померанцев, мутахассиси таҳлили нармафзори зараровар дар CERT Group-IB, дар бораи марҳилаи аввали таҳлили нармафзори зараровар - кушодани нимаавтоматии намунаҳои AgentTesla бо истифода аз мисоли се ҳолати хурд аз таҷрибаи мутахассисони CERT Group-IB сӯҳбат мекунад.
Одатан, марҳилаи аввал дар таҳлили нармафзори зараровар бартараф кардани муҳофизат дар шакли бастабандӣ, криптор, муҳофизаткунанда ё боркунанда мебошад. Дар аксари мавридҳо, ин мушкилотро тавассути иҷро кардани нармафзори зараровар ва анҷом додани партов ҳал кардан мумкин аст, аммо ҳолатҳое ҳастанд, ки ин усул мувофиқ нест. Масалан, агар нармафзори зараровар рамзгузор бошад, агар он минтақаҳои хотираи худро аз партофтан муҳофизат кунад, агар код дорои механизмҳои муайянкунии мошини маҷозӣ бошад ё агар нармафзори зараровар фавран пас аз оғоз аз нав оғоз шавад. Дар ин гуна мавридхо ба истилох "нимавтоматики" кушодан истифода мешавад, яъне мухаккик аз болои раванд назорати пурра дорад ва метавонад дар хар вакт дахолат кунад. Биёед ин тартибро бо истифода аз се намунаи оилаи AgentTesla ҳамчун намуна баррасӣ кунем. Ин як нармафзори нисбатан безарар аст, агар шумо дастрасии онро ба шабака хомӯш кунед.
Намунаи № 1
Файли сарчашма ҳуҷҷати MS Word мебошад, ки осебпазирии CVE-2017-11882-ро истифода мебарад.
Дар натиҷа, борбардорӣ зеркашӣ ва ба кор андохта мешавад.
Таҳлили дарахти раванд ва аломатҳои рафтор тазриқро ба раванд нишон медиҳад RegAsm.exe.
Нишондиҳандаҳои рафторие ҳастанд, ки ба AgentTesla хосанд.
Намунаи зеркашидашуда намунаи иҷрошаванда аст .NET-файл аз ҷониби муҳофизаткунанда ҳифз карда мешавад Реактори .NET.
Биёед онро дар утилита кушоем dnSpy x86 ва ба нуқтаи воридшавӣ гузаред.
Бо рафтан ба функсия DateTimeOffset, мо рамзи оғозёбиро барои нав пайдо хоҳем кард .NET- модул. гузорем нуқтаи қатъ дар сатри мо манфиатдор ҳастем ва файлро иҷро мекунем.
Дар яке аз буферҳои баргардонидашуда шумо метавонед имзои MZ (0x4D 0x5A). Биёед онро захира кунем.
Файли иҷрошавандаи партофташуда китобхонаи динамикӣ мебошад, ки боркунак аст, яъне. аз бахши ресурс сарбории фоидаоварро бароварда, ба кор медарорад.
Дар баробари ин дар партовгох худи захирахои зарурй мавчуд нестанд. Онҳо дар намунаи волидайн ҳастанд.
Коммуналӣ dnSpy дорои ду функсияи бениҳоят муфид аст, ки ба мо кӯмак мекунад, ки аз ду файли ба ҳам алоқаманд зуд эҷод кардани "Франкенштейн".
- Аввалин ба шумо имкон медиҳад, ки китобхонаи динамикиро ба намунаи волидайн "часбонед".
- Дуюм ин аст, ки рамзи функсионалӣ дар нуқтаи вуруд аз нав сабт карда шавад, то усули дилхоҳи китобхонаи динамикии воридшударо даъват кунад.
Мо маҷмӯи «Франкенштейн»-и худро захира мекунем нуқтаи қатъ дар хати баргардонидани буфер бо захираҳои рамзкушошуда, ва истеҳсоли партов аз рӯи шабеҳ бо марҳилаи қаблӣ.
Дар партовгоҳи дуюм навишта шудааст VB.NET як файли иҷрошаванда, ки аз ҷониби як муҳофизи ба мо шинос муҳофизат карда мешавад ConfuserEx.
Пас аз хориҷ кардани муҳофиз, мо қоидаҳои YARA-и қаблан навишташударо истифода мебарем ва боварӣ ҳосил мекунем, ки нармафзори зараровар дар ҳақиқат AgentTesla аст.
Намунаи № 2
Файли сарчашма ҳуҷҷати MS Excel мебошад. Макроси дарунсохт боиси иҷрои рамзи зараровар мегардад.
Дар натиҷа, скрипти PowerShell оғоз мешавад.
Скрипт рамзи C#-ро шифр мекунад ва назоратро ба он интиқол медиҳад. Худи код як боркунак аст, чунон ки аз гузориши қуттии қум низ дида мешавад.
Сарбории иҷрошаванда аст .NETфайл.
Кушодани файл дар dnSpy x86, шумо мебинед, ки он печида аст. Бартараф кардани нофаҳмиҳо бо истифода аз утилита де4дот ва ба таҳлил бармегардад.
Ҳангоми тафтиш кардани код, шумо метавонед функсияи зеринро пайдо кунед:
Сатрҳои рамзгузорӣ ҳайратангезанд EntryPoint и Даъват кунед. гузоштем нуқтаи қатъ ба сатри аввал иҷро кунед ва арзиши буферро захира кунед байт_0.
Дар партов аст, боз як ариза оид ба .NET ва ҳифз шудаанд ConfuserEx.
Мо бо истифода аз нофаҳмиҳо хориҷ мекунем де4дот ва бор кунед dnSpy. Аз тавсифи файл мо мефаҳмем, ки мо бо он дучор мешавем Боркунаки CyaX-Sharp.
Ин боркунак дорои функсияҳои васеи зидди таҳлил аст.
Ин функсия канорагирии системаҳои дарунсохташудаи муҳофизати Windows, ғайрифаъол кардани Windows Defender, инчунин қуттии қум ва механизмҳои муайянкунии мошини виртуалиро дар бар мегирад. Ин мумкин аст, ки бори пурборро аз шабака бор кунед ё онро дар бахши захираҳо нигоҳ доред. Оғоз тавассути ворид кардан ба раванди худ, ба нусхаи раванди худ ё равандҳо анҷом дода мешавад. MSBuild.exe, vbc.exe и RegSvcs.exe вобаста ба параметре, ки ҳамлагар интихоб кардааст.
Бо вуҷуди ин, барои мо онҳо камтар аҳамият доранд AntiDump-функсияе, ки илова мекунад ConfuserEx. Рамзи сарчашмаи онро дар сайт пайдо кардан мумкин аст .
Барои хомӯш кардани муҳофизат, мо имкониятро истифода хоҳем бурд dnSpy, ки ба шумо имкон медиҳад таҳрир кунед IL- код.
Захира ва насб кунед нуқтаи қатъ ба хати даъват функсияи рамзкушоии бор. Он дар конструктори синфи асосӣ ҷойгир аст.
Мо борро ба кор меандозем ва мепартоем. Бо истифода аз қоидаҳои қаблан навишташудаи YARA, мо боварӣ ҳосил мекунем, ки ин AgentTesla аст.
Намунаи № 3
Файли сарчашма иҷрошаванда аст VB Native PE32файл.
Таҳлили энтропия мавҷудияти як пораи калони маълумоти рамзшударо нишон медиҳад.
Ҳангоми таҳлили шакли ариза дар VB Decompiler шумо метавонед заминаи пикселии аҷиберо мушоҳида кунед.
Графикаи энтропия бмп-тасвир бо графики энтропии файли аслӣ якхела аст ва андозаи он 85% андозаи файлро ташкил медиҳад.
Намуди зоҳирии умумии тасвир истифодаи стеганографияро нишон медиҳад.
Биёед ба намуди дарахти раванд, инчунин мавҷудияти маркери тазриқӣ диққат диҳем.
Ин нишон медиҳад, ки кушодани бастаҳо идома дорад. Барои боркунакҳои Visual Basic (ака VBKrypt ё VBInjector) истифодаи маъмулӣ shellcode барои инициализациям борбардорй, инчунин худи инъекция ичро карда шавад.
Таҳлил дар VB Decompiler мавчуд будани вокеаро нишон дод сарборӣ дар шакл FegatassocAirballoon2.
Биёед ба IDA pro ба суроғаи муайяншуда ва омӯзиши функсия. Рамз хеле печида аст. Порчае, ки ба мо таваҷҷӯҳ дорад, дар зер оварда шудааст.
Дар ин ҷо фазои суроғаи раванд барои имзо скан карда мешавад. Ин равиш ниҳоят шубҳанок аст.
Аввалан, суроғаи оғози сканкунӣ 0x400100. Ин арзиш статикӣ аст ва ҳангоми кӯчонидани пойгоҳ танзим карда намешавад. Дар шароити гармхонаи идеалӣ он ба охир мерасад PE-сарлавҳаи файли иҷрошаванда. Бо вуҷуди ин, базаи маълумот статикӣ нест, арзиши он метавонад тағир ёбад ва ҷустуҷӯи суроғаи воқеии имзои зарурӣ, гарчанде ки он боиси фаромадани тағирёбанда нахоҳад шуд, метавонад вақти хеле дарозро талаб кунад.
Дуюм, маънои имзо iWGK. Ман фикр мекунам, ки маълум аст, ки 4 байт барои кафолати беназирӣ хеле хурд аст. Ва агар шумо нуқтаи аввалро ба назар гиред, эҳтимолияти хато кардан хеле баланд аст.
Дар асл, порчаи зарурӣ ба охири пештар пайдо замима карда мешавад бмп-тасвирҳо аз рӯи офсет 0xA1D0D.
Иҷрои Рамзи Shell дар ду марҳила гузаронида мешавад. Якум корпуси асосиро шифр мекунад. Дар ин ҳолат, калид бо қувваи бераҳмона муайян карда мешавад.
Рамзи рамзкушошударо партоед Рамзи Shell ва ба сатрҳо нигаред.
Аввалан, мо ҳоло функсияи эҷоди раванди кӯдакро медонем: CreateProcessInternalW.
Сониян, мо аз механизми фиксация дар система огох шудем.
Биёед ба раванди аслӣ баргардем. гузорем нуқтаи қатъ ба CreateProcessInternalW ва иҷрои онро идома диҳед. Минбаъд мо пайвастро мебинем NtGetContextThread/NtSetContextThread, ки суроғаи оғози иҷроро ба суроға иваз мекунад ShellCode.
Мо ба раванди сохташуда бо debugger пайваст мешавем ва ҳодисаро фаъол мекунем Боздоштани боркунӣ/борфарорӣ дар китобхона, равандро дубора оғоз кунед ва боркуниро интизор шавед .NET- китобхонаҳо.
Истифодаи минбаъда ProcessHacker минтақаҳои партовгоҳ, ки дорои баста нашудаанд .NET-ариза.
Мо ҳама равандҳоро қатъ мекунем ва нусхаи нармафзори зарароварро, ки дар система ҷойгир шудааст, нест мекунем.
Файли партофташуда аз ҷониби муҳофизаткунанда муҳофизат карда мешавад Реактори .NET, ки онро бо ёрии утилита ба осонӣ хориҷ кардан мумкин аст де4дот.
Бо истифода аз қоидаҳои YARA, ки қаблан навишта шуда буд, мо боварӣ ҳосил мекунем, ки ин AgentTesla аст.
Биёед бубинем
Ҳамин тариқ, мо раванди кушодани нимавтоматии намунаро бо истифода аз се ҳолати хурд ҳамчун мисол ба таври муфассал нишон додем ва инчунин нармафзори зарароварро дар асоси парвандаи мукаммал таҳлил карда, фаҳмидем, ки намунаи таҳқиқшаванда AgentTesla буда, функсияҳои он ва рӯйхати пурраи нишондодҳои созиш.
Таҳлили объекти зарароваре, ки мо анҷом додем, вақт ва кӯшиши зиёдро талаб мекунад ва ин корро бояд корманди махсуси ширкат анҷом диҳад, аммо на ҳама ширкатҳо омодаанд, ки таҳлилгарро ҷалб кунанд.
Яке аз хидматҳое, ки аз ҷониби Group-IB лабораторияи криминалистии компютерӣ ва таҳлили кодҳои зараровар пешниҳод мешавад, вокуниш ба ҳодисаҳои киберӣ мебошад. Ва барои он ки муштариён барои тасдиқи ҳуҷҷатҳо ва муҳокимаи онҳо дар байни ҳамлаи киберӣ вақтро зоеъ накунанд, Group-IB оғоз кард. Нигоҳдории вокуниш ба ҳодиса, хидмати вокуниш ба ҳодисаҳои пеш аз обуна, ки қадами таҳлили нармафзори зарароварро низ дар бар мегирад. Маълумоти бештарро дар ин бора пайдо кардан мумкин аст .
Агар шумо хоҳед, ки бори дигар омӯзед, ки чӣ гуна намунаҳои AgentTesla кушода мешаванд ва бубинед, ки чӣ гуна мутахассиси CERT Group-IB ин корро мекунад, шумо метавонед сабти вебинарро дар ин мавзӯъ зеркашӣ кунед .
Манбаъ: will.com