Red October. Detailed Malware Description 1. First Stage of Attack | Securelist

Cuộc tấn công ở giai đoạn đầu

  1. khai thác
  2. ống nhỏ giọt
  3. Mô-đun tải
  4. Các thành phần chính

Tấn công giai đoạn hai

Bạn đang xem: Dropper là gì

  1. Mô-đun, Tổng quan
  2. Nhóm Recon
  3. Nhóm Mật khẩu
  4. Nhóm Email
  5. Nhóm trình điều khiển usb
  6. Nhóm bàn phím
  7. Nhóm bền bỉ
  8. Nhóm tuyên truyền
  9. Nhóm phong trào
  10. Nhóm xâm nhập

Sử dụng

Dựa trên phân tích của chúng tôi về các trường hợp đã biết, chúng tôi đã xác định được hai cách chính mà backdoor.win32.sputnik lây nhiễm cho nạn nhân. Cả hai phương pháp đều dựa vào các email lừa đảo trực tuyến được gửi đến các nạn nhân tiềm năng. Email chứa một tệp đính kèm, có thể là tài liệu excel hoặc word, với một cái tên hấp dẫn. Ngoài các tài liệu văn phòng (cve-2009-3129, cve-2010-3333, cve-2012-0158), những kẻ tấn công dường như đã khai thác một khai thác java (md5: 35f1572eb7759cb7a66ca459c093e8a1 – ‘newsfinder.jar’), được gọi là Khai thác lỗ hổng “tê giác” (cve-2011-3544).

Khai thác dựa trên Excel – cve-2009-3129

Đây là cách lâu đời nhất được biết đến là Red October lây nhiễm vào máy tính.

Bạn có thể tìm thấy danh sách một số tên tệp excel bên dưới:

Lỗ hổng dựa trên excel đã được các sản phẩm của Kaspersky phát hiện là trojan-dropper.msword.agent.ga. Nó dường như chủ yếu được sử dụng vào năm 2011, với một số mẫu được các nạn nhân tải lên virustotal. Để biết các liên kết phát hiện của các sản phẩm khác nhau, hãy xem:

Một số thử nghiệm bao gồm:

Các thuộc tính tệp excel của tất cả các lần khai thác chỉ ra rằng nó đã được chỉnh sửa trên hệ thống với excel Trung Quốc giản thể. Khai thác dường như đã được biên soạn vào ngày 26 tháng 11 năm 2009:

Loại khai thác chính xác được sử dụng vào tháng 10 màu đỏ trong tệp xls là cve-2009-3129.

Thông tin khai thác (cve-2009-3129):

“microsoft office excel 2002 sp3, 2003 sp3 và 2007 sp1 và sp2; office 2004 và 2008 dành cho mac; mở trình chuyển đổi định dạng tệp xml cho mac; office excel viewer 2003 sp3; office excel viewer sp1 và sp2; Khả năng tương thích của Office Gói cho định dạng tệp word, excel và powerpoint 2007 sp1 và sp2 cho phép kẻ tấn công từ xa thực thi các lỗ hổng mã tùy ý thông qua bảng tính có các phần tử có kích thước chứa cbhdrdata không hợp lệ. “

Microsoft đã vá lỗ hổng được khai thác bởi ống nhỏ giọt xls màu đỏ vào tháng 11 năm 2009.

cve-2009-3129 khai thác và shellcode

Vụ khai thác xls cve-2009-3129 tháng 10 màu đỏ có vẻ như ban đầu được phát triển bởi các tin tặc Trung Quốc. Nó cũng đã được sử dụng trong các cuộc tấn công không liên quan khác chống lại các nhà hoạt động Tây Tạng và các thực thể khác. Mục đích chính của nó là thả và thực thi Trojan, và Red October nằm trong khoảng 500-600kb.

Sau khi khai thác thành công, shellcode giành được quyền kiểm soát và tiến hành giải mã nó. Sau khi giải mã, mã shellcode lần lượt giải mã phần thân phần mềm độc hại (phần bù 0x6600 trong tệp xls).

Phần mềm độc hại được lưu trữ mã hóa trong tệp excel ở độ lệch 0x6600:

Phần mềm độc hại được mã hóa bằng thuật toán xor + ror đơn giản:

shellcode ghi ống nhỏ giọt trojan “hàng đầu” chính vào một tệp có tên “dcs.tmp” và chạy nó. Nó cũng sẽ trích xuất một tệp excel sơ khai sẽ được hiển thị cho người dùng nếu khai thác thành công. Excel sơ khai được đặt tên là “~ .xls”.

Khai thác dựa trên Word – cve-2010-3333

Khai thác dựa trên từ cve-2010-3333 (tệp rtf) được phát hiện vào tháng 9 và tháng 10 năm 2012. Danh sách các tên tệp / md5 mẫu liên quan đến cuộc tấn công:

Các sản phẩm của Kaspersky phát hiện các hành vi khai thác dựa trên từ ngữ dưới dạng mining.msword.cve-2010-3333.bw. Nó dường như chủ yếu được sử dụng vào năm 2012 (ví dụ: tháng 10 năm 2012) khi một mẫu được tải lên virustotal, có thể là một trong những nạn nhân. Để biết các liên kết phát hiện của các sản phẩm khác nhau, hãy xem:

Một số thử nghiệm bao gồm:

dropper thực sự là một tệp rtf với “tác giả john doe” được cho là được tạo bởi “mocrosoft office word msfedit 5.1.1.21.2500”.

Thủ tục khai thác / giải phóng tương tự đã được quan sát thấy trong nhiều cuộc tấn công có chủ đích khác nhằm vào các chiến binh Tây Tạng. Nó dường như đến từ Trung Quốc giống như khai thác xls.

Loại khai thác chính xác được sử dụng bởi tháng 10 màu đỏ trong các tệp rtf này là cve-2010-3333.

Thông tin khai thác (cve-2010-3333):

“Tràn bộ đệm dựa trên ngăn xếp trong microsoft office xp sp3, office 2003 sp3, office 2007 sp2, office 2010, office 2004 and 2008 cho mac, office cho mac 2011 và mở trình chuyển đổi định dạng tệp xml cho mac cho phép từ xa. Kẻ tấn công có thể thực thi mã tùy ý thông qua dữ liệu rtf được tạo thủ công, được gọi là “lỗ hổng bảo mật tràn bộ đệm ngăn xếp rtf”.

Microsoft đã vá một lỗ hổng được khai thác bởi các tài liệu rtf của tháng 10 đỏ vào tháng 11 năm 2010.

cve-2010-3333 khai thác và shellcode

các tệp rtf hoạt động như các ống nhỏ giọt cho phần thân chính của Trojan. Nó cũng chứa một tài liệu giả sẽ được hiển thị cho người dùng nếu khai thác thành công.

Phần thân của trojan được mã hóa “xor 0xfb” và được lưu trữ trong tệp rtf dưới dạng văn bản thập lục phân. Shellcode giải mã phần thân và thực thi nó.

Khai thác dựa trên từ – cve-2012-0158

Vào tháng 11 năm 2012, chúng tôi nhận thấy một cuộc tấn công mới bằng cách sử dụng tệp tài liệu đã khai thác cve-2012-0158. Cách khai thác này rất phổ biến trong các cuộc tấn công apt vào năm 2012, vì vậy không có gì ngạc nhiên khi nó cũng được sử dụng bởi băng đảng Tháng Mười Đỏ.

Danh sách các tên tệp / md5 mẫu liên quan đến cuộc tấn công:

Tại thời điểm viết báo cáo này, lỗ hổng cve-2012-0158 được sử dụng trong các cuộc tấn công này phần lớn không bị phát hiện bởi các sản phẩm chống vi-rút. Các sản phẩm của Kaspersky Lab sử dụng công nghệ “Ngăn chặn lỗ hổng bảo mật tự động” hiện đại để nắm bắt và chặn các lỗ hổng bảo mật.

XEM THÊM:  Bí Mật Của &039 Bà Chủ Thúy Nga Paris Bao Nhiêu Tuổi, Bí Mật Của ɻà Trùm&039 Thúy Nga

Thủ tục khai thác / giải phóng tương tự đã được quan sát thấy trong nhiều cuộc tấn công có chủ đích khác nhằm vào các chiến binh Tây Tạng. Nó dường như bắt nguồn từ Trung Quốc giống như các cuộc tấn công khác.

Loại khai thác chính xác được sử dụng bởi tháng 10 màu đỏ trong các tệp rtf này là cve-2012-0158.

Thông tin

Khai thác (cve-2012-0158):

“microsoft office 2003 sp3, 2007 sp2 và sp3 và 2010 gold và sp1; office 2003 sp3, sql server 2000 sp4, 2005 sp4 and 2008 sp2, sp3 and r2; biztalk server 2002 sp1; Commerce server 2002 sp4, 2007 sp2 và 2009 gold và r2; visual foxpro 8.0 sp1 và 9.0 sp2; thời gian chạy visual basic 6.0 cho phép kẻ tấn công từ xa thông qua (a) trang web, (b) tài liệu văn phòng hoặc (c) kích hoạt tham nhũng “trạng thái hệ thống” Tệp .rtf thực thi mã tùy ý, như được khai thác trong tự nhiên vào tháng 4 năm 2012, còn được gọi là “lỗ hổng mscomctl.ocx rce.”

Microsoft đã vá lỗ hổng bảo mật được khai thác bởi các tài liệu rtf tháng 10 màu đỏ này vào tháng 4 năm 2012.

cve-2012-0158 khai thác và shellcode

các tệp rtf hoạt động như các ống nhỏ giọt cho phần thân chính của Trojan. Nó cũng chứa một tài liệu giả sẽ được hiển thị cho người dùng nếu khai thác thành công.

Phần thân trojan được mã hóa “xor 0xde” và được lưu trữ trong tệp rtf dưới dạng văn bản thập lục phân. Shellcode chỉ ghi ống nhỏ giọt chính vào một tệp có tên “msmx21.exe” trong thư mục% temp% và chạy nó. Nếu khai thác thành công, nó cũng trích xuất một tài liệu giả mạo được hiển thị cho nạn nhân.

khai thác dựa trên java – cve-2011-3544

Xem thêm: Văn Phòng Giao Dịch Tiếng Anh Là Gì Thắc Mắc Phòng Giao Dịch Tiếng Anh Là Gì – Top Công Ty, địa điểm, Shop, Dịch Vụ Tại Bình Dương

Kể từ khi xuất bản báo cáo đầu tiên của chúng tôi, các đồng nghiệp của chúng tôi từ seculert đã phát hiện ra rằng một vectơ phân phối khác đã được sử dụng trong cuộc tấn công Tháng Mười Đỏ.

Ngoài các tài liệu văn phòng (cve-2009-3129, cve-2010-3333, cve-2012-0158), những kẻ tấn công dường như đã khai thác một khai thác java (md5: 35f1572eb7759cb7a66ca459c093e8a1 – ‘newsfinder .jar’), đã biết như khai thác “Rhino” (cve-2011-3544).

Chúng tôi biết khung thời gian mà họ sẽ sử dụng kỹ thuật này vào đầu tháng 2 năm 2012 và việc sử dụng cách khai thác này phù hợp với cách tiếp cận của họ vì nó không phải là 0 ngày. Rất có thể, một liên kết đến trang web đã được gửi qua email cho các nạn nhân tiềm năng và hệ thống của nạn nhân đang chạy phiên bản java lỗi thời.

Tuy nhiên, nhóm dường như không sử dụng quá nhiều vectơ này. Khi chúng tôi tải xuống php chịu trách nhiệm cung cấp kho lưu trữ mã độc “.jar”, dòng mã phân phối khai thác java đã được nhận xét. Ngoài ra, các liên kết có liên quan, java và tải trọng thực thi hiện đang tỏ ra khó theo dõi.

Các miền liên quan đến cuộc tấn công chỉ được hiển thị một lần trong hộp cát công khai của malwr.com (http://malwr.com/analysis/c3b0d1403ba35c3aba8f4529f43fb300/) và chỉ vào ngày 14 tháng 2, khi họ đăng ký miền hotinfonews.com :

Sau khi tiết lộ công khai nhanh chóng, không giống như nhiều thành phần Tháng Mười Đỏ khác, md5 và các liên kết được liên kết sẽ không xuất hiện trong các kho lưu trữ công khai hoặc riêng tư.

Chúng tôi có thể suy đoán rằng nhóm đã phân phối thành công phần mềm độc hại đến các mục tiêu thích hợp trong vòng vài ngày và sau đó những nỗ lực đó không còn cần thiết nữa. Nó cũng có thể cho chúng ta biết rằng nhóm đã cẩn thận điều chỉnh và phát triển bộ công cụ xâm nhập và thu thập của họ để phù hợp với môi trường của nạn nhân và họ cần phải chuyển từ trò lừa đảo trực tuyến sang java vào đầu tháng 2 năm 2012. Sau đó, họ quay trở lại mũi nhọn của họ. Lừa đảo.

Cũng cần lưu ý rằng có một nhật ký đằng sau một địa chỉ IP duy nhất ở Hoa Kỳ ghi lại ba hệ thống nạn nhân riêng biệt, mỗi hệ thống được kết nối với một viện kinh tế của chính phủ ở Trung Đông.

Vì vậy, việc khai thác tê giác java này dường như bị hạn chế. Ngoài ra, chức năng được nhúng trong tập lệnh php phía máy chủ phục vụ tệp này rất khác với chức năng phổ biến và có liên quan mà chúng tôi đã thấy trong các cửa hậu được sử dụng trong suốt chiến dịch năm năm.

Quy trình mã hóa được duy trì và phân phối trong chính phần khai thác, được định cấu hình sao cho khóa được sử dụng để giải mã chuỗi url trong phần khai thác được phân phối trong chính ứng dụng java. Đây là quy trình mã hóa php của chúng tôi để mã hóa url của nội dung trình tải xuống:

Đây là hàm để nhúng applet vào html, chuyển chuỗi url được mã hóa thông qua tham số ‘p’:

Đây là mã trong applet lấy chuỗi được mã hóa và sử dụng nó. Hàm được tạo tải xuống tệp từ url và ghi nó vào “javaln.exe”. Lưu ý rằng các biến strb và stra vẫn là các chuỗi giống như các biến $ files và $ charset trong tập lệnh php:

Quy trình giải mã “truyền tải” này trả về một url được nối với các biến khác dẫn đến “hxxp: //www.hotinfonews.com/news/dailynews2.php? id = & amp; t = win”. Nó được ghi vào đĩa và thực thi trên máy của nạn nhân. Trình tải xuống được mô tả bên dưới. Điều thú vị nhất là, quy trình mã hóa cho tổ hợp khai thác / php này khác với quy trình mã hóa thường được sử dụng trong mô-đun Red October. Nó gợi ý thêm rằng gói sử dụng hạn chế này có thể đã được phát triển riêng biệt với các gói khác cho một mục tiêu cụ thể.

XEM THÊM:  tẩy tế bào chết tiếng anh là gì

Giai đoạn thứ hai của khai thác java: exe, trình tải xuống

Giai đoạn thứ hai của cuộc tấn công được tải xuống từ “http://www.hotinfonews.com/news/dailynews2.php” và được thực thi bởi trọng tải của khai thác java. Nó hoạt động như một trình tải xuống cho giai đoạn tiếp theo của cuộc tấn công.

Vị trí tệp đã biết:% temp% javaln.exe md5: c3b0d1403ba35c3aba8f4529f43fb300

Tệp này là một tệp exe pe, được biên dịch bằng microsoft visual studio 2008 trên 2012.02.06. Tệp này được bảo vệ bởi một lớp xáo trộn, cùng một lớp được sử dụng trong nhiều mô-đun Tháng Mười Đỏ.

Mô-đun tạo mutex có tên “mtxjavaupdatesln” và thoát nếu nó đã tồn tại.

Sau đó, nó sẽ ngủ trong 79 giây và sau đó tạo một trong các giá trị đăng ký sau để tải tự động khi khởi động:

Sau đó, sau 49 giây trễ, nó sẽ chuyển sang một vòng lặp vô hạn chờ kết nối internet hoạt động. Nó gửi một yêu cầu đăng http đến trang web sau 67 giây một lần:

  • www.microsoft.com
  • update.microsoft.com
  • www.google .com

Sau khi kết nối hợp lệ được thiết lập, nó sẽ tiếp tục vòng lặp chính của nó.

c & c vòng kết nối máy chủ

Mô-đun gửi một yêu cầu đăng http đến máy chủ c & c của nó cứ sau 180 giây.

Nội dung của yêu cầu đăng theo định dạng:

Yêu cầu đăng http được gửi đến máy chủ c & c

Mô-đun này giải mã các phản hồi c & c bằng thuật toán amprng sử dụng khóa mã cứng. Sau đó, nó kiểm tra chữ ký exe hợp lệ (“mz”) ở độ lệch 37 trong bộ đệm giải mã. Nếu chữ ký tồn tại, nó sẽ ghi tệp exe vào “% temp% nvsvc% p% p.exe” (% p phụ thuộc vào thời gian hệ thống) và thực thi nó.

Giai đoạn thứ ba của khai thác java: exe, không xác định

Hiện tại, máy chủ c & c không khả dụng và chúng tôi không có sẵn tệp thực thi cho trình tải xuống “javaln.exe”. Rất có thể, chúng là những ống nhỏ giọt thực sự, tương tự như những công cụ được sử dụng trong khai thác word và excel.

Ống nhỏ giọt

Mô-đun ống nhỏ giọt là một tệp exe pe được biên dịch bằng microsoft visual studio 2008. Nó được trích xuất và thực thi bởi một trong những cách khai thác được sử dụng để cung cấp phần mềm độc hại cho nạn nhân.

Các biến thể được biết là thả và thực thi thành phần “trình tải” có tên “svchost.exe” hoặc “svclogon.exe” cùng với tệp thành phần chính được mã hóa (xem mô tả về thành phần “trình tải”).

Các tính năng chính

Kiểm tra khóa đăng ký

Mô-đun tạo ra một clsid dựa trên giá trị của tổng kiểm tra sha1 của đường dẫn thư mục hệ thống và số sê-ri của ổ đĩa hệ thống.

Sau đó, nó cố gắng đọc giá trị mặc định của khóa đăng ký:

hklm software class clsid created_clsid (nếu đặc quyền quản trị) hkcu software class clsid create_clsid (nếu không có đặc quyền quản trị)

Nó kiểm tra nội dung của giá trị khóa mặc định. Việc kiểm tra này thành công nếu khóa đăng ký không tồn tại hoặc nếu giá trị của nó bằng từ khóa cuối cùng của tổng kiểm tra sha1 của tệp. Nếu không, kiểm tra không thành công và nó chạy kiểm tra lại 4294967294 lần sau mỗi 3ms.

Sau đó, nó đặt giá trị mặc định của khóa đăng ký thành biểu diễn hex của giá trị dword của sha1 cuối cùng và cố gắng đọc giá trị đăng ký “infotip” từ cùng một khóa đăng ký. Giá trị đăng ký được giả định là bộ đệm nhị phân 48 byte. Nếu sự khác biệt giữa thời gian đã ghi và thời gian hiện tại ít hơn 3 ngày, nó sẽ trích xuất một tham số thời gian từ bộ đệm đó và tự xóa.

Điều này có nghĩa là mô-đun đã cập nhật có thể được gửi đến cùng một nạn nhân trong vòng ba ngày. Nếu ai đó cố gắng tái lây nhiễm hệ thống bằng cùng một ống nhỏ giọt, nó sẽ từ chối làm như vậy trong 3 ngày sau lần lây nhiễm cuối cùng. Điều này cũng có thể được sử dụng như một cơ chế để trốn tránh người dùng hoặc quản trị viên quyền lực, những người có thể chạy lại các ứng dụng đáng ngờ đã mở gần đây và theo dõi hoạt động của họ.

Kiểm tra này giống như kiểm tra được triển khai trong mô-đun “Trình tải”.

Quy trình cài đặt

Mô-đun truy xuất một tài nguyên có kiểu là “aaa” và có tên là “000”. Sau đó, tài nguyên được giải mã bằng cách sử dụng mật mã lớp tùy chỉnh rc4 với khóa được mã hóa cứng.

Tiêu đề tài nguyên được theo sau bởi các mục dữ liệu, mỗi mục chứa một tệp.

Mỗi bản ghi được xử lý khác nhau tùy thuộc vào giá trị Loại bản ghi:

Xem thêm: Cách Viết Ngày Tháng Năm Trong Tiếng Anh – Tiếng Anh Cấp Tốc

Thời gian tạo / sửa đổi tệp cài đặt mô-đun bằng một trong các tệp “% windir% system32 kernel32.dll”.

Đối với các loại bản ghi 0x0b và 0x0c, mô-đun sẽ cố gắng ghi tệp vào thư mục có sẵn đầu tiên trong danh sách:

Xử lý sau

Mô-đun xóa các khóa đăng ký sau:

hkcu software microsoft office 11.0 word resiliency startupitems hkcu software microsoft office 11.0 word resiliency disableitems

Việc này được thực hiện để xóa danh sách các tài liệu microsoft word có thể cần được khôi phục, có thể để tránh hiển thị lại các tài liệu có lỗ hổng nếu quy trình microsoft word gặp sự cố.

Chương trình tự loại bỏ

dropper tạo một tệp “% temp% msc.bat”, thực thi và thoát, một cách hiệu quả: tự xóa phần thân của nó

Nội dung của tệp “msc.bat”

Các biến thể đã biết

Mô-đun tải

Vị trí tệp đã biết:

% programfiles% windows nt svchost.exe% programfiles% windows nt svlogon.exe

Mô-đun là một tệp exe pe được biên dịch bằng microsoft visual studio 2005.

Mô-đun này được tạo bởi công cụ nhỏ giọt giai đoạn đầu của phần mềm độc hại, thường là từ một tệp chứa phần mềm khai thác.

Nó tạo một đối tượng sự kiện hệ thống bằng cách sử dụng mẫu tên:

  • win_% 08x% 08x% 08x% 08x% 08x đâu % 08x “ tham số được thay thế bằng giá trị thập lục phân của tổng kiểm tra nội dung tệp (sha1).
  • sys_% 08x% 08x% 08x% 08x% 08x ”, trong đó % 08x Tham số được thay thế bằng giá trị thập lục phân của tổng kiểm tra tên tệp (sha1).

Sau đó, mô-đun sẽ kiểm tra xem nó có được cấp quyền quản trị hay không và đặt các cờ thích hợp, được sử dụng trong một số chương trình con.

Mô-đun tạo ra một clsid dựa trên giá trị của tổng kiểm tra sha1 của đường dẫn thư mục hệ thống và số sê-ri ổ đĩa hệ thống.

Sau đó, nó cố gắng đọc các giá trị mặc định cho các khóa đăng ký sau:

hklm software class clsid created_clsid (nếu đặc quyền quản trị) hkcu software class clsid create_clsid (nếu không có đặc quyền quản trị)

Nó kiểm tra nội dung của giá trị khóa mặc định. Việc kiểm tra này thành công nếu khóa đăng ký không tồn tại hoặc nếu giá trị của nó bằng từ khóa cuối cùng của tổng kiểm tra sha1 của tệp. Nếu không, kiểm tra không thành công và nó chạy kiểm tra lại 4294967294 lần sau mỗi 3ms.

Sau đó, nó đặt giá trị mặc định của khóa đăng ký thành biểu diễn hex của giá trị dword của sha1 cuối cùng và cố gắng đọc giá trị đăng ký “infotip” từ cùng một khóa đăng ký. Giá trị đăng ký được giả định là bộ đệm nhị phân 48 byte. Nó đọc giá trị thời gian từ bộ đệm này và thoát ra nếu chênh lệch giữa thời gian đã ghi và thời gian hiện tại ít hơn 3 ngày.

Điều này có nghĩa là mô-đun đã cập nhật có thể được gửi đến cùng một nạn nhân trong vòng ba ngày. Nếu ai đó cố gắng tái lây nhiễm hệ thống bằng cùng một ống nhỏ giọt, nó sẽ từ chối làm như vậy trong 3 ngày sau lần lây nhiễm cuối cùng. Điều này cũng có thể được sử dụng như một cơ chế để trốn tránh người dùng hoặc quản trị viên quyền lực, những người có thể chạy lại các ứng dụng đáng ngờ đã mở gần đây và theo dõi hoạt động của họ.

Sau đó, nó bắt đầu một chuỗi cài đặt đăng ký và đi vào vòng lặp chính của nó.

Chuỗi cài đặt sổ đăng ký

Cứ sau 100 giây, mô-đun đảm bảo rằng mô-đun được đăng ký để chạy tự động bằng một trong các khóa đăng ký sau:

Nếu được bắt đầu với tư cách là quản trị viên, nó sẽ nối đường dẫn vào tên tệp của chính nó thành:

hklm software microsoft windows nt currentversion winlogon userinit

Nếu không, nó sẽ ghi giá trị đăng ký:

hkcu software microsoft windows currentversion run % autorun key% = “self path”

Các khóa tự động chạy có thể có mà chúng tôi đã quan sát thấy:

Vòng lặp chính

Mô-đun chạy một vòng lặp với độ trễ sleep () ngẫu nhiên và kiểm tra xem nó có thể nhận được một trong các url trên microsoft.com hay không.

Nếu có bất kỳ url nào, nó sẽ bắt đầu chuỗi trình tải với tên tệp của mô-đun chính làm đối số. Sau đó, nó cập nhật khóa đăng ký “chú giải thông tin” với giá trị thời gian hiện tại và sha1 của tên tệp. Nó cũng lưu trữ id quy trình của riêng nó trong giá trị này.

Mô-đun này đọc cài đặt máy chủ proxy của internet explorer, firefox, opera và cố gắng lấy url thông qua proxy nếu không thể kết nối trực tiếp.

Đang tải chuỗi

Mô-đun đọc tệp chứa mô-đun chính, giải mã nó bằng rc4 với khóa mã cứng và giải nén nó bằng thư viện zlib. Sau đó, nó sẽ kiểm tra xem liệu bộ đệm được giải nén có chứa tệp pe hay không và bắt đầu chuỗi trình tải pe.

chuỗi trình tải pe

Mô-đun triển khai trình tải ngang của riêng nó. Tệp được tải phải là một dll. Sau khi tải và định vị lại pe, mô-đun gọi hàm dllmain của nó hai lần (dll_process_attach, dll_process_detach) và trả về.

Các thành phần chính

Tệp là một tệp pe dll không có ký hiệu được xuất, được biên dịch bằng microsoft visual studio 2005.

hàm dllmain

Mô-đun thiết lập bộ hẹn giờ với chức năng gọi lại thực hiện cứ sau 900 giây và bắt đầu vòng lặp thông báo windows.

Chức năng gọi lại bộ hẹn giờ

Mô-đun kiểm tra xem máy tính có được kết nối với internet hay không (sử dụng api internetgetconnectedstate) và nếu có, sẽ bắt đầu chuỗi chính của nó.

Chủ đề chính

Mô-đun chuẩn bị một bộ đệm 98 byte chứa nhiều mã định danh máy duy nhất bằng cách sử dụng số sê-ri của ổ đĩa hệ thống, địa chỉ mac của bộ điều hợp mạng và id đăng ký trình khám phá internet. Bộ đệm cũng chứa một chuỗi hex mã cứng duy nhất có vẻ là mã nạn nhân hoặc id chiến dịch và một giá trị dword được mã hóa cứng.

Sau đó, nó sẽ gửi vùng đệm này từ danh sách được mã hóa cứng đến máy chủ c & c có sẵn đầu tiên bằng cách sử dụng yêu cầu đăng http. Mô-đun mong đợi nhận được một gói phản hồi được mã hóa từ máy chủ. Nó giải mã gói tin bằng thuật toán XOR đơn giản và thực hiện một trong các lệnh sau tùy thuộc vào dữ liệu có trong gói tin:

  • Tải dll từ gói vào bộ nhớ và thực thi dllmain của nó
  • Ghi gói vào một tệp trong thư mục tạm thời / windows / system và thực thi nó bằng cách sử dụng createprocess ()
  • li>

  • Tải một dll qua đường dẫn cục bộ được chỉ định và gọi dllmain của nó hoặc thực thi một chương trình theo đường dẫn đã cho
  • Ghi gói vào một tệp trong thư mục tạm thời / windows / system
  • li>

  • Ghi nội dung của gói vào% temp% bestcrypt_update.exe và (tùy chọn)% temp% bestcrypt_update.dll và thực thi tệp exe

c & c tiến trình sử dụng máy chủ

Tên tệp thành phần chính

c & c Ví dụ về phiên giao tiếp

(xóa id người dùng hai byte)

Xem thêm: Phân biệt ghép kênh và đa truy nhập – KỸ SƯ ĐIỆN

XEM THÊM:  Tuổi Tuất Năm Nay Bao Nhiêu Tuổi, Tuổi Tuất Là Con Gì

Viết một bình luận