👨🏽‍🏭 🎴 ⛺️ नई Buhtrap डाउनलोडर 🐣 🙅🏻 💥

आज हम आपको Buhtrap ग्रुप में मैलवेयर भेजने के एक नए दृष्टिकोण के बारे में बताएंगे।

बूटलोडर मॉड्यूल

19 दिसंबर को, हमें एक दुर्भावनापूर्ण मेलिंग के बारे में पता चला, जिसमें एक निष्पादन योग्य फ़ाइल ( md5: faf833a1456e1bb85117d95c23892368 ) थी। फ़ाइल ने विभिन्न नाम लिए: "दिसंबर के लिए सुलह", "डॉक्स wednesday.exe", "दस्तावेज़ 19.12.exe", "दस्तावेज़ wednesday.exe बंद करना"।

दिलचस्प से - फ़ाइल को .Net में लिखा गया है, जो इस आपराधिक समूह के लिए विशिष्ट नहीं है। डिकम्पाइल करने के लिए .Net, आप कोई भी सॉफ्टवेयर ले सकते हैं: रिफ्लेक्टर , डॉटपेक , डीएनएसपी , आईएलएसपी । लेख में हम इस फाइल के कार्यान्वयन की विशेषताओं के बारे में बात करेंगे और हमने इसका विश्लेषण कैसे किया।

बूटलोडर प्रारंभिक निरीक्षण

विश्लेषण के लिए, हमने dnSpy का उपयोग किया, और इसके आगे के सभी स्क्रीनशॉट इससे प्राप्त होंगे।
आदत से बाहर, आईडीए प्रो में निष्पादन योग्य खोलें और आयात अनुभाग देखें। उदाहरण:

कुछ कार्यों की उपस्थिति एक पैक्ड पेलोड ( LoadCursorW , LoadIconW - संसाधनों से वस्तु मिली, VirtualProtect - पृष्ठ की विशेषताओं को बदल दिया, फिर आप कोड निष्पादित कर सकते हैं) और एक साधारण विरोधी डिबगिंग ( IsDebuggerPresent ) की उपस्थिति का सुझाव देते हैं । लेकिन सब कुछ सरल हो गया। निष्पादन भी IsDebuggerPresent, और LoadCursorW और LoadIconW तक नहीं पहुंचा क्योंकि वे गैर-मौजूद संसाधनों (" फिज़ा " से LoadCursorW और " saxikulatebutohutejijobodugore " से LoadIconW ) तक पहुँचने की कोशिश कर रहे थे :)

लेकिन वापस dnSpy decompiler के लिए। निष्पादन योग्य फ़ाइल में, हम अप्रबंधित कोड की एक महत्वपूर्ण राशि देखते हैं:

जांच के तहत फ़ाइल में मानवरहित कोड क्या है, यह समझने के लिए, हम आईडीए प्रो का उपयोग करेंगे। सबसे आसान तरीका हेक्स रूप में मानव रहित कोड के शरीर को देखना है। ऐसा करने के लिए, ऑफसेट फ़ाइल ऑफसेट पर जाएं। उदाहरण के रूप में _main () फ़ंक्शन का उपयोग करना:

अगला, आईडीए प्रो में, हम हेक्स-अनुक्रम द्वारा खोज करेंगे:

आउटपुट पर, हमें अनवांटेड फ़ंक्शन _main () मिलता है, जिसके साथ आप आसानी से idovompompiler की मदद से काम कर सकते हैं:

पेलोड हो रहा है

वापस dnSpy के लिए। ध्यान चर पेलोडडैट के लिए तैयार है।

हम आईडीए प्रो में इस क्रम को देखते हैं, इसके लिंक प्राप्त करते हैं और पता लगाते हैं कि कॉल केवल _main () फ़ंक्शन में होती है:

इस बफर का उपयोग कर विघटित कोड इस तरह दिखता है:

इस बफ़र को परिवर्तित करने के लिए निम्न कार्य जिम्मेदार हैं:

यहां, होल्ड्रैंड वेरिएबल को 0xEA48CB16 के लिए इनिशियलाइज़ किया जाता है और फ़ू () फंक्शन को पेलोडडैटा ( sbyte c पैरामीटर ) से प्रत्येक बाइट के लिए लूप में बुलाया जाता है। यह ध्यान दिया जाना चाहिए कि टी () फ़ंक्शन एक असुरक्षित कोड से है: यदि आप इसके कोड को देखते हैं, तो आप यह सुनिश्चित कर सकते हैं कि यह हमेशा 0x343FD देता है।

हम खुद को आईडीए प्रो के साथ बांटते हैं और, परिणामस्वरूप अनपैक्ड बफर को देखते हुए, हम देखते हैं कि इसमें शुरुआत में कुछ कोड शामिल हैं:

बफर की शुरुआत से ऑफसेट 0x15A0 पर, एक निष्पादन योग्य फ़ाइल स्थित है:

बाद के विश्लेषण के लिए इसे सहेजें।

खैर, निष्पादन योग्य कोड में ही, बल्कि एक तुच्छ चीज को लागू किया जाता है। सबसे पहले, निम्न संरचना बनती है ( यहां mz_base अनपैक्ड पीई के साथ बफर में ऑफसेट पता है, और शेष फ़ील्ड आवश्यक फ़ंक्शन और लाइब्रेरी हैंडल के पते हैं ):

और फिर, प्राप्त कार्यों का उपयोग करके, एक ही निष्पादन योग्य फ़ाइल की प्रक्रिया बनाई जाती है ( md5: faf833a1456e1bb85117d95c23892368 ), और अनपेक्षित निष्पादन योग्य नई प्रक्रिया के वर्चुअल पतों पर मैप किया जाता है। निष्पादन योग्य निर्देश ( GetThreadContext और SetThreadContext का एक गुच्छा) का पता बदलने के बाद, नई प्रक्रिया का सूत्र शुरू होता है, और मूल प्रक्रिया स्वयं ही मार दी जाती है।

खैर, अब हम परिणामी निष्पादन योग्य फ़ाइल (पेलोड) के विश्लेषण की ओर मुड़ते हैं।

पेलोड अनपैकिंग

पेलोड ( md5 डंप: d8f40c7060c44fab57df87ab709f058f ) .Net फ्रेमवर्क पर भी लिखा गया है।

स्थिर और गतिशील विश्लेषण से बचाने के लिए, मैलवेयर डेवलपर्स ने नवीनतम लोकप्रिय कन्फ्यूसरएक्स रक्षक का उपयोग किया:

ConfuserEx एक अच्छी तरह से स्थापित खुला स्रोत रक्षक है।

प्राथमिक अनपैकिंग

इस रक्षक द्वारा संरक्षित फाइलों का प्रवेश बिंदु निम्नानुसार है:

डिक्रिप्शन के बाद, बाइट सरणी को कोई नामक एक मॉड्यूल के रूप में मेमोरी में लोड किया जाता है। फिर इस मॉड्यूल की मुख्य विधि निर्धारित की जाती है और कहा जाता है। .Net प्लेटफ़ॉर्म पर, मॉड्यूल में एक विधि या कंस्ट्रक्टर को मेटाडेटा टोकन से फ़ंक्शन मॉड्यूल।सेल्डमैथोड () कहा जाता है । प्राप्त विधि पर नियंत्रण स्थानांतरित करने के लिए, MethodBase.Invoke () फ़ंक्शन का उपयोग किया जाता है।

Koi मॉड्यूल में निष्पादन योग्य कोड निम्नानुसार है:

चलने को दूर करने के लिए, हमने निम्नलिखित उपयोगिताओं का उपयोग किया:

ConfuserEx-Unpacker ने विधियों के अंदर लाइनों और कोड को डिक्रिप्ट किया, और de4dot ने विधियों के नामों को पठनीय बनाया।

परिणाम स्थिर विश्लेषण के लिए उपयुक्त एक कोड है:

बेशक, हम पढ़ने योग्य कोड पाने के लिए भाग्यशाली थे। वायरस लेखक विश्लेषण को और जटिल करने के लिए कन्फ्यूसर एक्स के लिए स्रोत कोड को संशोधित कर सकते हैं।
अभी भी दो समस्याएं हैं जिन्हें फ़ाइल के आरामदायक विश्लेषण के लिए हल किया जाना था।

पहली समस्या

ट्रेडर को हटाने के बाद, डिकंपाइलर कुछ तरीकों को पार्स नहीं कर सका। उदाहरण के लिए:

यदि आप IL-code पर जाते हैं, तो आप अशक्त बिंदुओं पर कॉल देखेंगे:

विघटन त्रुटियों को ठीक करने के लिए, गलत निर्देशों को एनओपी निर्देशों के साथ बदलें। ( DnSpy उपयोगिता आपको विघटित कोड और IL कोड दोनों को संशोधित करने की अनुमति देती है।)
प्रतिस्थापन के बाद, विघटित कोड सही दिखता है:

सभी समस्याग्रस्त तरीकों में आईएल-कोड को बदलने से हमें पूरी तरह से विघटित फाइल मिल गई।

दूसरी समस्या

परिणामस्वरूप फ़ाइल शुरू होने की संभावना नहीं है, और यह गतिशील विश्लेषण की संभावना को बाहर करता है। इस समस्या को हल करने के लिए, आपको निष्पादन योग्य फ़ाइल की संरचना में इनपुट विधि का टोकन निर्दिष्ट करना होगा।

आप इसे दो तरीकों में से एक में पा सकते हैं:

डिबगिंग के तहत देखो कि किस पैरामीटर के साथ फ़ंक्शन को बुलाया गया था

फ़ाइल को अनपैक करने से पहले Module.ResolveMethod () :

अनपैक्ड फ़ाइल में लेबल के साथ विधि ढूंढें [STAThread] :

इस स्थिति में, इनपुट विधि के लिए मेटाडेटा टोकन 0x6000106 है । हम सीएफएफ एक्सप्लोरर उपयोगिता का उपयोग करके इसे बदलते हैं:

परिवर्तनों को सहेजने के बाद, अनपैक की गई फ़ाइल शुरू होती है और सही ढंग से डिबग होती है।

बूटलोडर विश्लेषण

काम की शुरुआत के तुरंत बाद, बूटलोडर यह जांचता है कि क्या यह आभासी वातावरण में चल रहा है।
VMWare या QEMU के तहत रनिंग निम्न रजिस्ट्री मान में "vmware" और "qemu" के आधार पर खोज करके निर्धारित की जाती है:

[HKLM \ System \ CurrentControlSet \ Services \ Disk \ Enum \ 0]।

यदि वर्चुअल मशीन का पता लगाया जाता है, तो बूटलोडर संबंधित विंडो संदेश प्रदर्शित करता है:

दिलचस्प है, इस संदेश का आउटपुट प्रक्रिया के संचालन को प्रभावित नहीं करता है।

उसके बाद, मैलवेयर निम्न सूची से पुस्तकालयों को मेमोरी में लोड करने का प्रयास करता है: SbieDll.dll, dbghelp.dll, api_log.dll, dir_watch.dll, pstorec.dll, vmcheck.dll, wpespy.dll, snxhk.dll, guard32.dll ।

इसके अलावा, डीबगर को कॉल का उपयोग करते हुए। Sogogging।
यदि पुस्तकालयों में से कम से कम एक लोडर सफलतापूर्वक लोड होता है या लोडर यह पता लगाता है कि यह डीबगर के नीचे चल रहा है, तो यह " cmd / C पिंग 8.8.8.8 -n 1 -w 3000> Nul & Del " कमांड का उपयोग करके स्व- हटा देगा। दिलचस्प बात यह है कि बूटलोडर dbghelp.dl l लाइब्रेरी को लोड करके एक वास्तविक सिस्टम पर भी सेल्फ-डिलीट कर सकता है।

इसके बाद, मैलवेयर यह जांचता है कि क्या यह निर्देशिका से लॉन्च किया गया है जिसमें प्रतिस्थापन "मोज़िला" है।

यदि इस प्रक्रिया को "मोज़िला" के विकल्प वाली निर्देशिका से शुरू नहीं किया गया है

मैलवेयर उन निर्देशिकाओं की एक सूची बनाता है जो डेस्कटॉप पर स्थित होती हैं और इनमें निम्नलिखित सबस्ट्रिंग्स होते हैं (बूटलोडर के अंदर की सभी लाइनें AES-256-ECB एल्गोरिथ्म का उपयोग करके एन्क्रिप्ट की जाती हैं, एन्क्रिप्शन कुंजी हार्ड-कोडेड पासवर्ड का उपयोग करके उत्पन्न होती हैं):

ब्राउज़र इतिहास से URL की एक सूची बनाता है जिसमें निम्नलिखित सबस्ट्रिंग होते हैं:

उन फ़ाइलों की सूची बनाता है जो निर्देशिकाओं में स्थित हैं "% UserProfile% \\ Desktop", "% AppData%", "C: \\ Program Files (x86)", "C: \\ Program Files (x86) (x86)" और निम्नलिखित नाम हैं:

बैंकिंग कार्यों से संबंधित संकेतकों से गैर-खाली सूचियों की संख्या की गणना करता है (बूटलोडर के वर्तमान संस्करण में, यह कार्यक्षमता प्रभावित नहीं करती है)।
इस फ़ाइल को चलाने के लिए हर बार जब कोई उपयोगकर्ता "schtasks / create / f / sc ONLOGON / RL Highest / tn LimeRAT-Admin / tr" कमांड का उपयोग करके कार्य करता है।
यदि कार्य नहीं बनाया जा सका, तो शॉर्टकट "% AppData% \\ Microsoft \\ Windows \\ प्रारंभ मेनू \\ प्रोग्राम \\ Startup \\ MozillaUpdate.lnk" बनाता है, जो "% Appdata% \\ मोज़िला \\ xaudiodg.exe" दर्शाता है। , जो सुनिश्चित करता है कि xaudiodg.exe फ़ाइल को सिस्टम के पुनरारंभ होने के बाद हर बार लॉन्च किया जाए।
यह खुद को "% AppData% \\ मोज़िला \\ xaudiodg.exe" पथ के साथ कॉपी करता है।
फ़ाइल को हटाता है <self_path>: Zone.Identifier, xaudiodg.exe और self-delete चलाता है।

यदि इस प्रक्रिया को "मोज़िला" के प्रतिस्थापन वाली निर्देशिका से शुरू किया जाता है

मैलवेयर संक्रमित प्रणाली के भीतर बैंकिंग संचालन के उपरोक्त संकेतकों की भी तलाश करता है।
प्रबंधन सर्वर को भेजने के लिए अन्य सिस्टम जानकारी एकत्र करता है।
एक अलग थ्रेड में C & C को सूचना भेजता है और सर्वर से प्रतिक्रिया की प्रतीक्षा करता है।
किसी अन्य थ्रेड में, यह एक एन्क्रिप्टेड स्ट्रिंग "पिंग?" को एक अंतहीन लूप में सर्वर को भेजता है।

प्रबंधन सर्वर इंटरेक्शन

परीक्षण किए गए मैलवेयर नमूने में सर्वर आईपी पता 213.252.244 [] 200 है। कनेक्शन को सूची से यादृच्छिक रूप से चयनित पोर्ट द्वारा आरंभ किया गया है:

• 8989,
• 5656,
• 2323।

कनेक्शन आरंभ होने के ठीक बाद, बूटलोडर संक्रमित सिस्टम के बारे में C & C को जानकारी भेजता है:

• उपयोगकर्ता आईडी,
• उपयोगकर्ता नाम
• OS संस्करण,
• इसका अपना संस्करण (लोडर v0.2.1),
• संक्रमित प्रणाली पर पाए जाने वाले बैंकिंग कार्यों के संकेतकों की सूची।

प्रबंधन सर्वर को लोडर द्वारा भेजी गई लाइन का एक उदाहरण:

«INFO<NYANxCAT>9D3A4B22D21C<NYANxCAT>IEUser<NYANxCAT> Windows 7 Enterprise SP 1 <NYANxCAT>loader v0.2.1<NYANxCAT><NYANxCAT><NYANxCAT>1c, »

यदि संक्रमित उपयोगकर्ता के डेस्कटॉप पर "1c" फ़ोल्डर है, और कोई अन्य संकेतक नहीं हैं, तो यह रेखा भेजी जाएगी।
सर्वर से प्रतिक्रिया को संसाधित करने का कार्य निम्नानुसार है:

सर्वर से डिक्रिप्ट की गई प्रतिक्रिया निम्नानुसार है:

 COMMAND<NYANxCAT>DATA1<NYANxCAT>DATA2<NYANxCAT>…

जैसा कि स्क्रीनशॉट से देखा जा सकता है, COMMAND निम्नलिखित में से एक मान ले सकता है:

बंद - कनेक्शन समाप्त करता है और वर्तमान प्रक्रिया को बंद कर देता है;
DW - DATA2 से base64 सामग्री को डीकोड करता है, इसे <temp_file_name> फ़ाइल को DATA1 से एक्सटेंशन के साथ लिखता है, और निष्पादन के लिए फ़ाइल लॉन्च करता है;
UPDATE - DATA1 से base64 सामग्री को डीकोड करता है, इसे <temp_file_name> और एक्सटेंशन .exe के साथ एक फ़ाइल में लिखता है, एक नई निष्पादन योग्य फ़ाइल लॉन्च करता है और खुद को साफ़ करता है;
आरडी- - प्रतिक्रिया में स्ट्रिंग "आरडी-" भेजता है;
RD + - प्रबंधन सर्वर के लिए एक स्क्रीनशॉट भेजता है;
DEL - स्व-विलोपन।

बूटलोडर जांच के दौरान, हम हमलावर सर्वर से डीडब्ल्यू कमांड प्राप्त करने में कामयाब रहे। इसके परिणामस्वरूप, Punto Switcher सॉफ़्टवेयर को दुर्भावनापूर्ण winmm.dll DLL (md5: 9d25553bb09e2785262b2f7ba7923605) के साथ स्थापित किया गया था, जो कि एक Buraprap स्पाइवेयर मॉड्यूल है।

टीसीपी स्ट्रीम इस प्रकार है:

क्लाइंट और प्रबंधन सर्वर के बीच संचारित डेटा को एन्क्रिप्ट करने के लिए, एईएस -128-ईसीबी एल्गोरिथ्म का उपयोग किया जाता है। एन्क्रिप्शन कुंजी को एक हार्ड-कोडित पासवर्ड के साथ आरंभीकृत किया गया है।

डिक्रिप्शन के बाद, यातायात निम्नानुसार है:

Base64 से, NSIS इंस्टॉलर निम्नलिखित सामग्रियों से डिकोड किया गया है:

दिलचस्प है, सर्वर ने जवाब दिया, हालांकि बैंकिंग संकेतकों की सूची खाली थी।

दुर्भावनापूर्ण डीएलएल

Winmm.dll लाइब्रेरी को dll अपहरण तकनीक का उपयोग करके निष्पादित किया जाता है । दुर्भावनापूर्ण मॉड्यूल संक्रमित सिस्टम और सक्रिय स्मार्ट कार्ड पाठकों की सूची के बारे में C & C को जानकारी भेजता है। इसके अलावा, इसमें एक कीगलर घटक है और प्रबंध सर्वर से अन्य दुर्भावनापूर्ण मॉड्यूल प्राप्त करने में सक्षम है, उन्हें डिस्क से या वर्तमान प्रक्रिया की स्मृति में निष्पादित करें। अध्ययन के तहत नमूने के सी और सी-सर्वर निम्नलिखित पते पर स्थित हैं:

hxxp: // my1cprovider [।] xyz: 6060 / klog [।] php
hxxp: // tinderminderorli1999 [।] xyz: 7764 / klog []।]

निष्कर्ष

संक्रमण प्रक्रिया को निम्नलिखित योजना के रूप में दर्शाया जा सकता है:

विश्लेषण के खिलाफ अच्छी सुरक्षा के बावजूद, यह स्पष्ट है कि फिलहाल बूटलोडर सही ढंग से काम नहीं करता है और विकास की प्रक्रिया में सबसे अधिक संभावना है:

एक वास्तविक प्रणाली पर भी स्वयं को हटा सकते हैं;
"% AppData% \\ मोज़िला \\ xaudiodg.exe" की प्रतिलिपि बनाने से पहले और सी एंड सी के साथ बातचीत करने से पहले, बैंकिंग कार्यों के साथ संक्रमित प्रणाली के कनेक्शन की जाँच करता है, लेकिन किसी भी तरह से इस जानकारी का उपयोग नहीं करता है।

अंत में, अजीब विंडो संदेश को याद करें। दिलचस्प है, क्या यह डेवलपर्स में एक दोष है - या क्या यह विशेष रूप से उपयोगकर्ताओं को आभासी वातावरण छोड़ने और वास्तविक मशीन पर शुरू करने के लिए प्रोत्साहित करने के लिए किया जाता है? टिप्पणी में आपका स्वागत है।

IOCs

MD5:

faf833a1456e1bb85117d95c23892368
9d25553bb09e2785262b2f7ba7923605

यूआरएल:

hxxp: // my1cprovider [।] xyz: 6060 / klog [।] php
hxxp: // tinderminderorli1999 [।] xyz: 7764 / klog []।]
आईपी:
213.252.244 [।] 200

नई Buhtrap डाउनलोडर