Geekly articles weekly

ESET: Eine Analyse neuer Zebrocy-Komponenten

Die Cybergroup Sednit ist seit mindestens 2004 in Betrieb und erscheint regelmäßig in den Nachrichten. Es wird angenommen, dass Sednit (besser bekannt als Fancy Bear) hinter dem Riss des Demokratischen Nationalkomitees der USA vor den Wahlen 2016, der Welt-Anti-Doping-Agentur (WADA), dem Fernsehsender TV5Monde und anderen Angriffen steckt. Das Arsenal der Gruppe enthält eine Reihe bösartiger Tools, von denen wir einige in einem früheren Bericht dokumentiert haben.

Wir haben kürzlich einen Bericht über LoJax veröffentlicht , ein UEFI-Rootkit, das ebenfalls mit Sednit zusammenhängt und bei Angriffen auf dem Balkan, in Mittel- und Osteuropa eingesetzt wurde.

Im August 2018 stellten die Sednit-Betreiber zwei neue Zebrocy-Komponenten bereit, und von nun an hat die Verwendung dieses Tools stark zugenommen. Zebrocy ist eine Sammlung von Bootloadern, Droppern und Hintertüren. Downloader und Dropper dienen der Intelligenz, während Backdoors für Persistenz und Spyware sorgen. Diese neuen Komponenten haben eine ungewöhnliche Möglichkeit, gesammelte Daten über die Mail-Service-Protokolle SMTP und POP3 zu filtern.


Die Opfer der neuen Tools ähneln den Opfern, die in unserem vorherigen Beitrag über Zebrocy sowie im Kaspersky Lab erwähnt wurden . Die Ziele der Angriffe sind in Zentralasien, Mittel- und Osteuropa, hauptsächlich Botschaften, Außenministerien und Diplomaten.

Rückblick



Abbildung 1. Schema alter und neuer Zebrocy-Komponenten

Zwei Jahre lang verwendete die Cybergruppe Sednit Phishing-E-Mails als Infektionsvektor für Zebrocy (Optionen 1 und 2 in der obigen Tabelle). Nach dem Kompromiss verwendeten die Angreifer verschiedene Bootloader der ersten Stufe, um Informationen über das Opfer zu sammeln, und setzten bei Interesse nach einigen Stunden oder Tagen eine der Hintertüren der zweiten Stufe ein.

Das klassische Kampagnenschema von Zebrocy besteht darin, das Opfer als Archiv in den Anhang zum Brief aufzunehmen. Das Archiv enthält zwei Dateien, von denen eine ein harmloses Dokument und die zweite eine ausführbare Datei ist. Angreifer versuchen, das Opfer auszutricksen, indem sie der zweiten Datei einen für das Dokument oder Bild typischen Namen geben und die „doppelte Erweiterung“ verwenden.

In der neuen Kampagne (Option 3 in der Tabelle) wird ein komplizierteres Schema verwendet - wir werden es unten analysieren.

Delphi Dropper


Die erste Binärdatei ist eine Delphi-Pipette, was für die Zebrocy-Kampagne recht ungewöhnlich ist. In den meisten Fällen handelt es sich eher um einen Bootloader, der in der ersten Phase des Angriffs auf dem System des Opfers installiert ist.

Mit Hilfe verschiedener Methoden erschwert Dropper das Reverse Engineering. In den untersuchten Beispielen verwendet er das Schlüsselwort Leber , um den Anfang und das Ende von Schlüsselelementen anzugeben, wie unten gezeigt.

$ yara -s tag_yara.yar SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe find_tag SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe 0x4c260:$tag: l\x00i\x00v\x00e\x00r\x00 0x6f000:$tag: liver 0x6f020:$tag: liver 0x13ab0c:$tag: liver

Die obige YARA-Regel sucht nach der Stringleber . Die erste Leberzeile wird im Code verwendet, trennt jedoch nichts, während die anderen den Schlüsseldeskriptor, das Bild (der Hexdump ist unten dargestellt) und die verschlüsselte Komponente in der Pipette gemeinsam nutzen.

 $ hexdump -Cn 48 -s 0x6f000 SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe 0006f000 6c 69 76 65 72 4f 70 65 6e 41 69 72 33 39 30 34 |liverOpenAir3904| 0006f010 35 5f 42 61 79 72 65 6e 5f 4d 75 6e 63 68 65 6e |5_Bayren_Munchen| 0006f020 6c 69 76 65 72 ff d8 ff e0 00 10 4a 46 49 46 00 |liver……JFIF.|

Zunächst werden die Daten in einem Bild mit dem Dateinamen C: \ Users \ public \ Pictures \ scanPassport.jpg gespeichert , sofern eine solche Datei noch nicht vorhanden ist.

Interessanterweise heißt die Dropper-Datei SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe , was auch ein Phishing-Schema für Pässe und Reiseinformationen vorschlägt. Dies kann bedeuten, dass der Bediener den Zweck der Phishing-Nachricht kennt. Der Dropper öffnet das Image und stoppt die Ausführung, falls die Datei bereits vorhanden ist. Andernfalls öffnet er es und erhält das Schlüsselhandle OpenAir39045_Bayren_Munchen . Das Bild fehlt, obwohl das Format korrekt ist - siehe Abbildung unten.


Abbildung 2. ScanPassport.jpg

Die Key Descriptor Line enthält Bayren_Munchen - höchstwahrscheinlich ein Hinweis auf die Fußballmannschaft des FC Bayern München. In jedem Fall ist der Inhalt des Deskriptors nicht wichtig, sondern seine Länge, mit der Sie den XOR-Schlüssel zum Entschlüsseln der Komponente erhalten können.

Um den XOR-Schlüssel zu erhalten, sucht der Dropper nach dem letzten Leberschlüsselwort und rückt es um die Länge des Deskriptors ein. Die Länge des XOR-Schlüssels beträgt 27 (0x1b) Bytes (identisch mit der Länge des Schlüsseldeskriptors).

Mit dem XOR-Schlüssel und einer einfachen Schleife entschlüsselt der Dropper den letzten Teil - die verschlüsselte Komponente, die sich unmittelbar nach dem letzten Tag bis zum Ende der Datei befindet. Beachten Sie, dass der MZ-Header der ausführbaren Komponente unmittelbar nach dem Leberschlüsselwort beginnt und der XOR-Schlüssel aus dem Teil des PE-Headers abgerufen wird, bei dem es sich normalerweise um eine Folge von 0x00 Byte handelt, die nach der Entschlüsselung der Komponente wiederhergestellt wurden (siehe Abbildung unten).


Abbildung 3. Verschlüsselte Komponente (links) versus entschlüsselte Komponente (rechts)

Die Komponente wird auf C: \ Users \ Public \ Documents \ AcrobatReader.txt zurückgesetzt und konvertiert die Datei in C: \ Users \ Public \ Documents \ AcrobatReader.exe .

Möglicherweise ist dies ein Versuch, den Schutz des PCs zu umgehen, der eine Warnung generiert, wenn die Binärdatei die Datei mit der Erweiterung .exe auf die Festplatte leert.

Der Bediener versucht erneut, das Opfer auszutricksen. Wenn er auf das Verzeichnis achtet, sieht er das Bild wie in der folgenden Abbildung dargestellt:


Abbildung 4. Die Komponente sieht aus wie eine PDF-Datei

Standardmäßig verbirgt Windows die Erweiterung. Diese wird von einem Angreifer verwendet, der die ausführbare Datei im Ordner "Dokumente" ablegt und als PDF tarnt.

Schließlich führt der Dropper die gehostete Komponente aus und beendet sie.

MSIL Mail Loader


Die mitgelieferte Komponente der vorherigen Pipette ist der mit UPX gepackte MSIL-Lader. Zum besseren Verständnis wird die Logik des Prozesses unten beschrieben, dann wird der Quellcode angegeben und das Steuerschema wird berücksichtigt.

Die Hauptmethode ruft Run auf, um die Anwendung zu starten, die dann Form1 erstellt.

 {   Application.EnableVisualStyles();   Application.SetCompatibleTextRenderingDefault(false);   Application.Run((Form) new Form1()); }

Form1 weist viele Variablen zu, einschließlich eines neuen Timers für sieben davon.

    this.start = new Timer(this.components);  this.inf = new Timer(this.components);   this.txt = new Timer(this.components);   this.subject = new Timer(this.components);   this.run = new Timer(this.components);   this.load = new Timer(this.components);   this.screen = new Timer(this.components);

Das Timer-Objekt hat drei wichtige Felder:

  • Aktiviert: Zeigt den Status des aktivierten Timers an.
  • Intervall: Zeit zwischen Ereignissen in Millisekunden
  • Häkchen: Der Rückruf wird ausgeführt, nachdem der Timer abgelaufen ist und wenn der Timer eingeschaltet ist

Felder werden wie folgt angezeigt:

   this.start.Enabled = true;   this.start.Interval = 120000;   this.start.Tick += new EventHandler(this.start_Tick);   this.inf.Interval = 10000;   this.inf.Tick += new EventHandler(this.inf_Tick);   this.txt.Interval = 120000;   this.txt.Tick += new EventHandler(this.txt_Tick);   this.subject.Interval = 120000;   this.subject.Tick += new EventHandler(this.subject_Tick);   this.run.Interval = 60000;   this.run.Tick += new EventHandler(this.run_Tick);   this.load.Interval = 120000;   this.load.Tick += new EventHandler(this.load_Tick);   this.screen.Interval = 8000;   this.screen.Tick += new EventHandler(this.screen_Tick);

Für jedes Objekt wird das Intervallintervall von 8 Sekunden bis 2 Minuten eingestellt. Dem Ereignishandler wird ein Rückruf hinzugefügt. Beachten Sie, dass nur start den Wert für Enabled auf true setzt. Dies bedeutet, dass start_Tick nach 2 Minuten (12.000 Millisekunden = 120 Sekunden) vom Ereignishandler aufgerufen wird.

    private void start_Tick(object sender, EventArgs e)   {       try       {           this.start.Enabled = false;           Lenor lenor = new Lenor();           this.dir = !Directory.Exists(this.label15.Text.ToString()) ? this.label16.Text.ToString() + "\" : this.label15.Text.ToString() + "\";           this.att = this.dir + "audev.txt";           this._id = lenor.id(this.dir);           this.inf.Enabled = true;       }

Außerdem zeigt jede Methode ein identisches Verhalten - ändert den Wert " Aktiviert" zu Beginn in " Falsch" . Die Methode wird ausgeführt und ändert dann den Aktivierungswert des nächsten Objekts in true , wodurch der nächste Timer aktiviert wird. Die Variable Enabled wird vom Operator verwendet, um so etwas wie eine Zustandsmaschine zu erstellen. Wenn die Funktion nicht funktioniert, wiederholt der Mechanismus ihre Ausführung, bis er ein positives Ergebnis erhält. Die Zeit zwischen der Ausführung von zwei Funktionen kann als Versuch verwendet werden, den Virenschutz durch Hinzufügen einer Verzögerung zu umgehen.

Nachdem wir nun die Struktur jeder Methode beschrieben haben, fahren wir mit dem Steueralgorithmus fort. Im Folgenden finden Sie eine Übersicht über die Schritte zum Austausch von E-Mails zwischen Postfächern.


Abbildung 5. E-Mail-Austausch

Malvar prüft, ob ein bestimmter Pfad vorhanden ist, mit dem die einzelnen Dateien während der Ausführung gesichert werden. Verwenden Sie nach Möglichkeit C: \ Benutzer \ Öffentlich \ Videos \ , andernfalls C: \ Dokumente und Einstellungen \ Alle Benutzer \ Dokumente \ als Standardverzeichnis. Bitte beachten Sie, dass der zweite Pfad spezifisch für Windows XP ist, während der erste Pfad spezifisch für Vista und höher ist.

Eine 16-Byte- ID wird durch Verketten der Seriennummer von Volume C: und des Benutzernamens generiert. Es wird in der Datei audev.txt gespeichert.

Der Bootloader sammelt die folgenden Informationen:
- aktueller Anwendungspfad
- Betriebssystemversion
- Systemverzeichnis
- Benutzerdomäne
- Autoname
- Benutzername
- aktuelle Zeitzone
- aktuelles Datum
- eine Liste der logischen Laufwerke und Informationen zu jedem von ihnen (Modell, Seriennummer usw.)
- Auflisten der Verzeichnisse C: \ Programme \ und C: \ Programme (x86) \
- Liste der Prozesse

Diese Daten werden in der Datei C: \ Users \ Public \ Videos \ si.ini gespeichert und per Brief im Anhang über SMTPS unter Verwendung des Standardports 465 gesendet. Der Nachrichtentext enthält die SI- Zeile (was Systeminformationen bedeuten kann), der Nachrichtenempfänger ist sym777. g@post.cz . Für den gesamten Informationsaustausch wird der Betreff der Briefe als ID angegeben .

Der Betreiber hat beschlossen, mehrere Ersatzadressen zu erstellen und denselben Brief an zwei andere Empfänger zu senden, höchstwahrscheinlich für den Fall, dass die primäre Adresse nicht funktioniert. Nach dem Senden des Briefes löscht der Bootloader die Datei si.ini .

Während der ersten Ausführung der Malware wird eine set.txt- Datei mit dem Text {System_Parametrs = 10} und einem Eintrag im Windows-Registrierungsschlüssel erstellt.


Abbildung 6. Persistenz in der Registrierung

Ein Screenshot wird unter dem Namen scx.bin vom Computer des Opfers aufgenommen und per E-Mail-Anhang mit dem Text SC (was Screenshot bedeuten kann) im Nachrichtentext gesendet.

Nach dem Senden kontaktiert die Malware die Mailbox kae.mezhnosh@post.cz über das POP3-Protokoll über SSL (Port 995) und sucht nach Nachrichten mit einem Betreff, der mit der ID übereinstimmt. Wenn eine solche Nachricht vorhanden ist und der Text nicht leer ist, entschlüsselt die Malware sie und sendet eine Nachricht mit okey im Text an sym777.g@post.cz . Der Inhalt einer zuvor empfangenen Nachricht wird wie folgt gelöscht und analysiert:

 string[] strArray = this._adr.Replace("B&", "").Replace("Db", "").Split('%');       string str1 = strArray[0];       string str2 = strArray[1];

Es werden zwei Zeilen erhalten: Die erste ist das Passwort und die zweite ist der Benutzername für die E-Mail-Adresse.

Neue Anmeldeinformationen werden verwendet, um eine Verbindung zum empfangenen Postfach herzustellen, darin nach einer Nachricht mit einem Thema zu suchen, das mit der ID der Malvari übereinstimmt, und nach einer Anwendung mit der Zeichenfolge audev im Dateinamen. Wenn beide Bedingungen erfüllt sind, speichert die Malware die Anwendung und löscht die Nachricht vom Server.

Ein Nachrichtenprotokoll wird an sym777.g@post.cz gesendet, und über POP3 empfangene Nachrichten stammen vom Empfänger mit kürzlich empfangenen Benutzerdaten.

Das Angriffsschema erschwert die Untersuchung. Erstens, wenn Sie einen Bootloader mit Buchstaben haben, können Sie keine Verbindung zum Postfach herstellen, das den nächsten Schritt enthält.

Zweitens, wenn Sie Anmeldeinformationen für E-Mails erhalten, können Sie die nächste Nutzlast immer noch nicht erhalten, da sie nach dem Empfang gelöscht wird.

Wenn der Bootloader den Anhang erfolgreich auf die Festplatte schreibt, sendet er eine Nachricht in der Mail mit okey2 im Text und dem l.txt- Anhang mit 090 . Dieselbe Datei wird mit Nullen überschrieben, und die Malware versucht, eine weitere Nachricht zu erhalten. Wenn dies funktioniert, wird die Datei l.txt mit okey3 im Body gesendet . Der Inhalt des Anhangs ist das Verzeichnis und der Dateiname. Malvar verschiebt die Audev-Datei an diese Adresse. Schließlich sendet die Malware eine E-Mail mit okey4 im Text und l.txt im Anhang. Dadurch wird die ausführbare Datei audev.exe gestartet und das Vorhandensein der Zeile audev in der Prozessliste überprüft.

   Process.Start(this.rn);   foreach (Process process in Process.GetProcesses())   {       if (process.ProcessName.Contains("audev")) }

Wenn ein solcher Name gefunden wird, wird der letzte Brief gesendet, der im Text okey5 und l.txt im Anhang enthält. Schließlich werden l.txt und set.txt gelöscht, der erstellte Windows-Registrierungsschlüssel wird gelöscht und das Programm wird beendet.

Delphi Mail Downloader


Die Hauptaufgabe des Bootloaders besteht darin, die Bedeutung eines kompromittierten Systems zu bewerten und, wenn es interessant erscheint, den neuesten Zebrocy-Bootloader zu laden und auszuführen.

Die Binärdatei wird in Delphi geschrieben und mit UPX gepackt. Eine vollständige Definition des TForm1- Objekts finden Sie im Abschnitt mit seinen Ressourcen. Es zeigt einige verwendete Konfigurationsparameter. In den folgenden Abschnitten werden die Initialisierung, die Funktionen und das Netzwerkprotokoll des Bootloaders beschrieben.

Initialisierung


Entschlüsselt zunächst die Zeichenfolgen, bei denen es sich um E-Mail-Adressen und Kennwörter handelt. Der Betreiber wendet den AES-EZB- Verschlüsselungsalgorithmus an. Jede Zeile wird hexadezimal entschlüsselt, wobei die ersten vier Bytes der endgültigen Größe der entschlüsselten Zeile entsprechen (entschlüsselte Zeilen am Ende können Einrückungen enthalten). Das TForm1- Objekt enthält zwei AES-Schlüssel: Der erste dient zum Verschlüsseln von Daten und der zweite zum Entschlüsseln.

E-Mail-Adressen und Passwörter werden vom Bediener verwendet, um Befehle an die Malvari zu senden und um Informationen zu erhalten, die vom Computer des Opfers gesammelt wurden. Die Kommunikationsprotokolle SMTP und POP3 werden angewendet - beide über SSL. Um OpenSSL zu verwenden, löscht die Malware zwei dynamische OpenSSL-Bibliotheken und verwendet sie: libeay32.dll (98c348cab0f835d6cf17c3a31cd5811f86c0388b) und ssleay32.dll (6d981d71895581dfb103170486b8614f7f203b) .


Abbildung 7. OpenSSL-DLL-Eigenschaften

Bitte beachten Sie, dass alle Dateien im Arbeitsverzeichnis der Malware abgelegt werden : C: \ Users \ Public \ .

Die Persistenz wird während der ersten Ausführung der Malvari durch die bekannte Skripttechnik des Eingabeskripts bereitgestellt. Eine Datei mit dem Skript register.bat wird erstellt und mehrere Zeilen werden aus dem TForm1- Objekt geschrieben. Das endgültige Skript lautet wie folgt:

 reg add HKCU\Environment /v "UserInitMprLogonScript" /t REG_EXPAND_SZ /d "C:\Users\Public\Videos\audev.exe" /f del C:\Users\Public\Videos\registr.bat exit

Last but not least erstellt die Malware eine ID , genau wie in den zuvor beschriebenen Zebrocy-Binärdateien. Es erhält den Benutzernamen über die Windows-API GetUserNameW und fügt am Anfang die Seriennummer des Laufwerks C: \ hinzu.

Die Möglichkeiten


Da es verschiedene Bedingungen und Verfahren zum Sammeln von Informationen über das Opfer gibt, werden im Folgenden die verschiedenen Funktionen des Opfers beschrieben. Die Scan-Konfiguration wird im TForm1- Objekt gespeichert, in dem sieben verschiedene Möglichkeiten zum Sammeln von Informationen vom Computer des Opfers zusammengefasst sind.

Beginnend mit einem einfachen Scan beziehen sich die ersten Informationen, die die Malware erhalten kann, auf Dateien mit den folgenden Erweiterungen: .docx, .xlsx, .pdf, .pptx, .rar, .zip, .jpg, .bmp, .tiff . Für jede der auf der Festplatte gefundenen Dateien erhält die Malware den vollständigen Pfad und das Datum der letzten Änderung. Diese Informationen werden mit dem zuvor erwähnten AES-Schlüssel verschlüsselt und in der Datei 0.txt gespeichert. Ein weiterer Scan zielt auf die Erweiterungen .dat, .json, .db ab und ruft wie im vorherigen Fall den vollständigen Pfad und das letzte Datum ab, an dem die Datei geändert wurde. Anschließend werden sie verschlüsselt und in der Datei 57.txt gespeichert.

Das Auflisten laufender Prozesse ist eine weitere Funktion von malvari, mit der Sie Informationen in einer 08.txt- Datei speichern können. Es sieht so aus:

 ======Listing_of_processes======= [System Process] System smss.exe csrss.exe wininit.exe csrss.exe winlogon.exe services.exe lsass.exe […]

Die i.txt- Datei enthält allgemeine Informationen zum Computer des Opfers sowie einige Informationen zur Malvari (Versionsnummer und Pfad, auf dem sie ausgeführt wird). Siehe das folgende Beispiel:

 v7.00 C:\Users\Public\Videos\audev.txt ============================================ Log_Drivers: C: fixed; size= 102297 Mb, free=83927 Mb S/N: [redacted] ================================================== OSV: Windows 7 WinType: 32 WinDir: C:\Windows Lang: English (United States) TZ: UTC1:0 Romance Standard Time HostN: [redacted]-PC User: [redacted] ===============S_LIST===================== C:\Program Files\Common Files C:\Program Files\desktop.ini C:\Program Files\DVD Maker C:\Program Files\Internet Explorer C:\Program Files\Microsoft.NET C:\Program Files\MSBuild C:\Program Files\Reference Assemblies C:\Program Files\Uninstall Information C:\Program Files\Windows Defender […]

Malware kann Screenshots erstellen , die im Format 2 \ [JJJJ-mm-TT HH-MM-SS] -Image_001.jpg gespeichert sind , und eine weitere Datei 2 \ sa.bin generieren , die eine Liste der Pfade zu den Dateien aller erfassten Screenshots enthält. Die letzte Option besteht darin, Netzwerkkomponenten und Systemdaten aufzulisten . Das Ergebnis wird in 4.txt geschrieben .

Netzwerkprotokoll


Der Delphi Mail Loader ist eine relativ neue Erweiterung des Zebrocy-Toolkits. Er bietet eine neue Möglichkeit, Daten zu filtern und Befehle vom Bediener zu empfangen. Die Exfiltration ist recht einfach, macht jedoch im Netzwerk viel Lärm, da zuvor gesammelte verschlüsselte Dateien über SMTPS gesendet werden. Jede Version der Datei ist dreimal.



Der Betreff der Nachricht ist die Opfer- ID , und die Datei wird als Anhang mit einem Schlüsselwort gesendet, das dem Inhalt der Datei entspricht. Bitte beachten Sie, dass für jede Datei eine verschlüsselte Version gesendet wird.



Screenshots und Dateien für beide Scans werden ebenfalls gesendet, jedoch mit unterschiedlichen Schlüsselwörtern.




Abbildung 8. Beispiel einer Nachricht mit übertragenen Daten

Während SMTP für die Datenexfiltration verwendet wird, wird die Binärdatei über POP3 und Nachrichtenanalyse mit der E- Mail- Adresse tomasso25@ambcomission.com verbunden. Der Textkörper des Briefes enthält verschiedene Schlüsselwörter, die von der Malware als Befehle interpretiert werden.



Nach der Ausführung werden das Debugger-Protokoll und das Ergebnis der Befehle (falls vorhanden) an den Bediener zurückgesendet. Beispielsweise empfängt der Bediener nach einem Scanbefehl eine Datei, die eine Liste von Dateien mit übereinstimmenden Erweiterungen zusammen mit jeder solchen Datei enthält.

Während dieser Bootloader Backdoor-Funktionen hat, speichert er einen Bootloader auf Delphi in das System, der bereits dieser Gruppe zugeordnet ist, die wir in einem früheren Artikel über Zebrocy beschrieben haben.

Fazit


In der Vergangenheit haben wir bereits die Schnittstelle zwischen Zebrocy und der traditionellen Sednit-Malware gesehen. Wir haben Zebrocy dabei erwischt, wie er Sednits Flaggschiff-Hintertür in das XAgent-System geworfen hat. Deshalb schreiben wir Zebcyys Urheberschaft dieser Cybergruppe mit hohem Vertrauen zu.

Die Analyse von Binärdateien ergab jedoch Fehler sowohl auf Sprachebene als auch bei der Entwicklung, was auf ein anderes Qualifikationsniveau der Autoren hinweist. Beide Bootloader verwenden Mail-Protokolle, um Daten zu filtern, und verfügen über identische Mechanismen zum Sammeln derselben Informationen. Sie verursachen jedoch viel Rauschen im Netzwerk und im System, erstellen viele Dateien und senden sie. Bei der Analyse des Mailloaders auf Delphi schienen uns einige Funktionen weg zu sein, aber die Zeilen blieben immer noch in der Binärdatei. Dieses Toolkit wird vom Sednit-Team verwendet, aber wir glauben, dass es von einem anderen Team entwickelt wird - weniger erfahren im Vergleich zu den Entwicklern der traditionellen Sednit-Komponenten.

Zebrocy-Komponenten sind eine Ergänzung des Sednit-Toolkits, und die jüngsten Ereignisse erklären möglicherweise die zunehmende aktive Verwendung von Zebrocy-Binärdateien anstelle der herkömmlichen Malvari.

Kompromissindikatoren



Dateinamen, SHA-1 und Erkennung durch ESET-Produkte

1. SCANPASS_QXWEGRFGCVT_323803488900X_jpeg.exe - 7768fd2812ceff05db8f969a7bed1de5615bfc5a - Win32 / Sednit.ORQ
2. C: \ Users \ public \ Pictures \ scanPassport.jpg - da70c54a8b9fd236793bb2ab3f8a50e6cd37e2df
3. C: \ Benutzer \ Öffentlich \ Dokumente \ AcrobatReader. {Exe, txt} - a225d457c3396e647ffc710cd1edd4c74dc57152 - MSIL / Sednit.D
4. C: \ Benutzer \ Öffentlich \ Videos \ audev.txt - a659a765536d2099ecbde988d6763028ff92752e - Win32 / Sednit.CH
5.% TMP% \ Indy0037C632.tmp - 20954fe36388ae8b1174424c8e4996ea2689f747 - Win32 / TrojanDownloader.Sednit.CMR
6.% TMP% \ Indy01863A21.tmp - e0d8829d2e76e9bb02e3b375981181ae02462c43 - Win32 / TrojanDownloader.Sednit.CMQ

E-Mail

carl.dolzhek17@post.cz
shinina.lezh@post.cz
P0tr4h4s7a@post.cz
carl.dolzhek17@post.cz
sym777.g@post.cz
kae.mezhnosh@post.cz
tomasso25@ambcomission.com
kevin30@ambcomission.com
salah444@ambcomission.com
karakos3232@seznam.cz
rishit333@ambcomission.com
antony.miloshevich128@seznam.cz

Source: https://habr.com/ru/post/de437236/

More articles:


All Articles