- Сообщения
- 8,030
- Решения
- 14
- Реакции
- 6,805
Поверхностный анализ вредоноса из темы: Решена - Поймал майнер, помогите решить
Полного исследования нет, так как 1. время, 2. нет нужных инструментов.
Назначение: пока только могу сказать, что это некое ПО с функциями связи с C2 либо майнинг пулом (надо зачекать ip), внедрения в другие процессы, самовосстановления и user-mode руткита.
Пейлоад расположен по пути:
VirusTotal: VirusTotal
После запуска updater.exe, он:
Модифицирует hosts:
Извлекает в папку Temp текущего пользователя файлы:
bzqlyietdwsj.tmp - это легитимный WinRing0 драйвер, подписанный crystalmark.
qdsaknsehgak.xml - xml-файл задания автозапуска для закрепления в системе.
Имена файлов не рандомные. Но при повторном запуске вредоноса генерируются другие имена.
Переименовывает ключи служб в реестре:
добавляя к их именам постфикс _bkp
После переименования, службы не смогут стартовать (не знаю почему... - но это не из-за доп. действий вредоноса, и не из-за отстутсвующих ACL).
Внедряет поток в explorer.exe
Explorer.exe добавляет пути профиля юзера и Program Files в исключения Windows Defender:
Останавливает ранее переименованные службы, запуская через cmd.exe утилиту sc.exe
Предотвращает вход в спящий режим и режим ожидания:
Создаёт задание с помощью:
Внедряет поток в процесс explorer.exe
Далее explorer запускает легитимный процесс dialer.exe, который удобен тем, что имеет в импорте функции работы с сетью.
Внедряет в dialer.exe удалённый поток из модуля C:\Users\admin\AppData\Local\Temp\bzqlyietdwsj.tmp
Сама библиотека bzqlyietdwsj.tmp затем самоуничтожается. Инструментов, чтобы заблокировать удаление у меня нет, так что дизассемблирование не выполнял. Впрочем можно попробовать извлечь с дампом памяти. Напишите, если у кого есть готовые инструменты.
Процесс dialer.exe прячется путём установки IAT хука функций энумерации процессов, внедряя вредоносные потоки в другие процессы.
Поэтому инструменты исследования такие, как Tasklist, Диспетчер задач, FRST этого процесса не видят.
HiJackThis, Process Monitor (через WMI уровня драйвера) - видят.
Далее dialer.exe внедряется во множество других процессов, до которых может дотянутся. Удалённый поток в этот раз создаётся иным способом, не через dll.
Подменой функций ломается функционал некоторых инструментов. Из того, что замечено:
- не работает вкладка "Безопасность" regedit-а
- перехват API NetLocalGroupEnum, из-за чего текущая версия HiJackThis вешается в бесконечном цикле, т.к. функция всегда сообщает, что ещё остались данные для извлечения. В обновлении будет пофиксено. Соответственно, в оснастке lusrmgr.msc список локальных групп отображается пустым.
dialer.exe связывается с адресами:
dialer.exe создаёт ещё 2 процесса dialer.exe.
Самовосстановление реализовано проверкой файла updater.exe из-под "угнанных" процессов.
Проверка выполняется через таймер, а не через хук, что было бы сделать логично, ведь в последнем случае файл восстанавливался бы сразу.
Первыми пропажу обнаруживают и восстанавливают процессы dialer.exe и svchost.exe.
Вредонос можно снести либо в безопасном режиме, т.к. задание там не выполняется, либо при хорошей удаче с форсированной перезагрузкой, либо через виртуализацию реестра в UVs. Иные способы не подходят, т.к. срабатывает механизм самовосстановления из внедрённых потоков.
EDIT.
Дополнение от 28.02.2024:
Похоже, тот же модуль руткита (внедрение в dialer.exe) используется и другим вредоносным ПО.
Twitter распространителя (скорее всего один из авторов, не рекламщик): twitter.com/RoninXXX_eth
Сайт с полезной нагрузкой: cosmicwayrb.org
Семпл: VirusTotal (на данный момент не определяется ни одним из вендоров)
Действие: подменяет адрес крипто-кошелька в буфере обмена. Вредоносное действие проявляется при нажатии на крестик ("закрыть") в окне установщика. Любопытно, что при этом не пытается как-либо закрепиться в системе.
Кошелек атакующего: Blockchain Explorer - Search the Blockchain | BTC | ETH | BCH
HiJackThis+ был обновлён для отображения адреса кошелька атакующего со ссылкой на blockchain explorer, где можно посмотреть историю транзакций.
Полного исследования нет, так как 1. время, 2. нет нужных инструментов.
Назначение: пока только могу сказать, что это некое ПО с функциями связи с C2 либо майнинг пулом (надо зачекать ip), внедрения в другие процессы, самовосстановления и user-mode руткита.
Пейлоад расположен по пути:
Код:
C:\Program Files\Google\Chrome\updater.exeVirusTotal: VirusTotal
После запуска updater.exe, он:
Модифицирует hosts:
Код:
O1 - Hosts: 0.0.0.0 www.virustotal.comИзвлекает в папку Temp текущего пользователя файлы:
Код:
C:\Users\admin\AppData\Local\Temp\bzqlyietdwsj.tmp
C:\Users\admin\AppData\Local\Temp\qdsaknsehgak.xmlqdsaknsehgak.xml - xml-файл задания автозапуска для закрепления в системе.
Имена файлов не рандомные. Но при повторном запуске вредоноса генерируются другие имена.
Переименовывает ключи служб в реестре:
Код:
HKLM\System\CurrentControlSet\Services\UsoSvc
HKLM\System\CurrentControlSet\Services\WaaSMedicSvc
HKLM\System\CurrentControlSet\Services\wuauserv
HKLM\System\CurrentControlSet\Services\BITS
HKLM\System\CurrentControlSet\Services\DoSvcПосле переименования, службы не смогут стартовать (не знаю почему... - но это не из-за доп. действий вредоноса, и не из-за отстутсвующих ACL).
Внедряет поток в explorer.exe
Explorer.exe добавляет пути профиля юзера и Program Files в исключения Windows Defender:
Код:
powershell.exe Add-MpPreference -ExclusionPath @($env:UserProfile, $env:ProgramFiles) -ForceОстанавливает ранее переименованные службы, запуская через cmd.exe утилиту sc.exe
Код:
sc stop UsoSvc
sc stop WaaSMedicSvc
sc stop wuauserv
sc stop bits
sc stop dosvcПредотвращает вход в спящий режим и режим ожидания:
Код:
powercfg /x -hibernate-timeout-ac 0
powercfg /x -hibernate-timeout-dc 0
powercfg /x -standby-timeout-ac 0
powercfg /x -standby-timeout-dc 0Создаёт задание с помощью:
Код:
schtasks.exe /create /f /ru "System" /tn "GoogleUpdateTaskMachineQC" /xml "C:\Users\admin\AppData\Local\Temp\qdsaknsehgak.xml"Внедряет поток в процесс explorer.exe
Далее explorer запускает легитимный процесс dialer.exe, который удобен тем, что имеет в импорте функции работы с сетью.
Внедряет в dialer.exe удалённый поток из модуля C:\Users\admin\AppData\Local\Temp\bzqlyietdwsj.tmp
Сама библиотека bzqlyietdwsj.tmp затем самоуничтожается. Инструментов, чтобы заблокировать удаление у меня нет, так что дизассемблирование не выполнял. Впрочем можно попробовать извлечь с дампом памяти. Напишите, если у кого есть готовые инструменты.
Процесс dialer.exe прячется путём установки IAT хука функций энумерации процессов, внедряя вредоносные потоки в другие процессы.
Поэтому инструменты исследования такие, как Tasklist, Диспетчер задач, FRST этого процесса не видят.
HiJackThis, Process Monitor (через WMI уровня драйвера) - видят.
Далее dialer.exe внедряется во множество других процессов, до которых может дотянутся. Удалённый поток в этот раз создаётся иным способом, не через dll.
Подменой функций ломается функционал некоторых инструментов. Из того, что замечено:
- не работает вкладка "Безопасность" regedit-а
- перехват API NetLocalGroupEnum, из-за чего текущая версия HiJackThis вешается в бесконечном цикле, т.к. функция всегда сообщает, что ещё остались данные для извлечения. В обновлении будет пофиксено. Соответственно, в оснастке lusrmgr.msc список локальных групп отображается пустым.
dialer.exe связывается с адресами:
Код:
118.ip-51-255-34.eu:10343
172.67.34.170:https
124-253-47-212.instances.scw.cloud:10343dialer.exe создаёт ещё 2 процесса dialer.exe.
Самовосстановление реализовано проверкой файла updater.exe из-под "угнанных" процессов.
Проверка выполняется через таймер, а не через хук, что было бы сделать логично, ведь в последнем случае файл восстанавливался бы сразу.
Первыми пропажу обнаруживают и восстанавливают процессы dialer.exe и svchost.exe.
Вредонос можно снести либо в безопасном режиме, т.к. задание там не выполняется, либо при хорошей удаче с форсированной перезагрузкой, либо через виртуализацию реестра в UVs. Иные способы не подходят, т.к. срабатывает механизм самовосстановления из внедрённых потоков.
EDIT.
Дополнение от 28.02.2024:
Похоже, тот же модуль руткита (внедрение в dialer.exe) используется и другим вредоносным ПО.
Twitter распространителя (скорее всего один из авторов, не рекламщик): twitter.com/RoninXXX_eth
Сайт с полезной нагрузкой: cosmicwayrb.org
Семпл: VirusTotal (на данный момент не определяется ни одним из вендоров)
Действие: подменяет адрес крипто-кошелька в буфере обмена. Вредоносное действие проявляется при нажатии на крестик ("закрыть") в окне установщика. Любопытно, что при этом не пытается как-либо закрепиться в системе.
Кошелек атакующего: Blockchain Explorer - Search the Blockchain | BTC | ETH | BCH
HiJackThis+ был обновлён для отображения адреса кошелька атакующего со ссылкой на blockchain explorer, где можно посмотреть историю транзакций.
Последнее редактирование:
