המלצה | קצת ידע על וירוס טרויאני

יוסףטכנאי

פוסט זה מיועד לבעלי ידע בתחום אבל כל אחד רשאי לקרא

זה היה אמצע השנה שעברה שגילינו את תחילת ההתקפות ההמוניות של ה- xHelper Trojan בטלפונים חכמים של Android, אך גם כעת התוכנה הזדונית נותרה פעילה כתמיד. המאפיין העיקרי של xHelper הוא התבצרות - ברגע שהוא נכנס לטלפון, הוא איכשהו נשאר שם גם לאחר שהמשתמש מוחק אותו ומשחזר את הגדרות המפעל. ערכו מחקר מעמיק כדי לקבוע כיצד יוצרי xHelper העניקו לו יכולת שרידות כזו.
חלקם של משתמשי קספרסקי שהותקפו על ידי הטרויאני של xHelper במספר התקיפות הכולל, 2019-2020
כיצד עובד xHelper?
בואו ננתח את ההיגיון של המשפחה בהתבסס על המדגם הפעיל כיום Trojan-Dropper.AndroidOS.Helper.h. התוכנה הזדונית מתחפשת לאפליקציית מנקה ומהירה פופולארית לטלפונים חכמים, אך במציאות אין בה שום דבר שימושי: לאחר ההתקנה, ה"מנקה "פשוט נעלם ואיננו נראה בשום מקום לא על המסך הראשי ולא בתוכנית. תַפרִיט. אתה יכול לראות את זה רק על ידי בדיקת רשימת האפליקציות המותקנות בהגדרות המערכת.
המטען של הסוס הטרויאני מוצפן בקובץ /assets/firehelper.jar (מכיוון שההצפנה שלו כמעט ללא שינוי מגרסאות קודמות, לא היה קשה לפענח). המשימה העיקרית שלה היא לשלוח מידע על הטלפון של הקורבן (אנדרואיד_יד, יצרן, דגם, גרסת קושחה וכו ') אל
https: //lp.cooktracking [.] Com / v1 / ls / get ...

פענוח כתובת האתר לשליחת מידע על המכשיר
... והורדת המודול הזדוני הבא - Trojan-Dropper.AndroidOS.Agent.of.
תוכנה זדונית זו בתורה מפענחת ומשיקה את מטען המטען שלה באמצעות ספרייה מקומית מקובצת; גישה זו מקשה על ניתוח המודול. בשלב זה, הטפטוף הבא, Trojan-Dropper.AndroidOS.Helper.b, מפוענח ומושק. זה בתורו מפעיל את תוכנת התוכנה הזדונית Trojan-Downloader.AndroidOS.Leech.p, שמדביקה עוד יותר את המכשיר.
על Leech.p מוטלת הורדת ידידנו הוותיק HEUR: Trojan.AndroidOS.Triada.dd עם מערכת ניצולים להשגת הרשאות שורש במכשיר הקורבן.
פענוח כתובת ה- URL של ה- Leech.p C&C
מוריד את הטרויאני של טריאדה
קבצים זדוניים מאוחסנים ברצף בתיקיית הנתונים של האפליקציה, שלתוכניות אחרות אין גישה אליה. תוכנית זו בסגנון מטריושקה מאפשרת למחברי התוכנות הזדוניות לטשטש את השביל ולהשתמש במודולים זדוניים הידועים בפתרונות אבטחה. התוכנה הזדונית יכולה להשיג גישה לשורש בעיקר במכשירים שמריצים גרסאות אנדרואיד 6 ו -7 מיצרנים סינים (כולל ODM). לאחר קבלת הרשאות, xHelper יכול להתקין קבצים זדוניים ישירות במחיצת המערכת.
שים לב כאן כי מחיצת המערכת מותקנת בעת הפעלת המערכת במצב קריאה בלבד. חמוש בזכויות שורש, הטרויאני מחזיר אותו למצב כתיבה וממשיך לתפקיד הראשי של הפעלת התסריט ששמו נאמר forever.sh . טריאדה משתמשת בטריקים הידועים ביותר שלה, כולל הרכבה מחדש של מחיצת המערכת כדי להתקין את התוכניות שלה שם. במקרה שלנו, מותקנת החבילה com.diag.patches.vm8u, שאותה אנו מזהים כ- Trojan-Dropper.AndroidOS.Tiny.d.
וכמה קבצי הפעלה מועתקים לתיקיית / system / bin:
patches_mu8v_oemlogo - Trojan.AndroidOS.Triada.dd
debuggerd_hulu —AndroidOS.Triada.dy
kcol_ysy - HEUR: Trojan.AndroidOS.Triada.dx
/.luser/bkdiag_vm8u_date - HEUR: Trojan.AndroidOS.Agent.rt
כמה קבצים נוספים מועתקים לתיקיה / system / xbin:
diag_vm8u_date
patches_mu8v_oemlogo
קריאה לקבצים מתיקיית xbin מתווספת לקובץ install-recovery.sh , מה שמאפשר להפעלת טריאדה בעת אתחול המערכת. לכל הקבצים בתיקיות היעד מוקצה התכונה הבלתי ניתנת לשינוי , מה שמקשה על מחיקת התוכנה הזדונית מכיוון שהמערכת אינה מאפשרת אפילו למשתמשים העל למחוק קבצים עם תכונה זו. עם זאת, ניתן להתמודד עם מנגנון הגנה עצמית זו המופעלת על ידי הטרויאני על ידי מחיקת תכונה זו באמצעות הפקודה chattr .
נשאלת השאלה: אם התוכנה הזדונית מסוגלת להעלות מחדש את מחיצת המערכת במצב כתיבה על מנת להעתיק אותה לשם, האם המשתמש יכול לנקוט באותה אסטרטגיה כדי למחוק אותה? יוצרי טריאדה שקלו גם הם את השאלה הזו, והשתמשו כראוי בטכניקת הגנה אחרת שכללה שינוי של ספריית המערכת /system/lib/libc.so. ספריה זו מכילה קוד נפוץ המשמש כמעט את כל קבצי ההפעלה במכשיר. Triada מחליפה קוד משלה לפונקציית ההר (המשמשת להרכבת מערכות קבצים) ב- libc, ובכך מונעת מהמשתמש להתקין את מחיצת / מערכת במצב כתיבה.
נוסף על כך, הטרויאני מוריד ומתקין עוד כמה תוכניות זדוניות (למשל, HEUR: Trojan-Dropper.AndroidOS.Necro.z), ומוחק יישומי בקרת גישה לשורש, כגון Superuser.
כיצד להיפטר מ- xHelper?
כמפורט מהאמור לעיל, פשוט הסרת xHelper אינה מחטא את המערכת לחלוטין. התוכנית com.diag.patches.vm8u , המותקנת במחיצת המערכת, מתקנת מחדש את xHelper ותוכנות זדוניות אחרות בהזדמנות הראשונה.
התקנת תוכניות ללא השתתפות משתמשים
אך אם מוגדר מצב שחזור בסמארטפון אנדרואיד שלך, אתה יכול לנסות לחלץ את הקובץ libc.so מהקושחה המקורית ולהחליף בו את זה הנגוע לפני שתסיר את כל התוכנות הזדוניות ממחיצת המערכת. עם זאת, פשוט ואמין יותר להחליף מחדש את הטלפון לחלוטין.
זכור גם שקושחת הטלפונים החכמים המותקפים על ידי xHelper מכילה לעיתים תוכנות זדוניות מותקנות מראש שמורידות ומתקינות תוכניות באופן עצמאי (כולל xHelper). במקרה זה, ריפלוקס הוא חסר טעם, לכן כדאי לשקול תוכנות חלופיות למכשיר שלך. אם אתה משתמש בקושחה אחרת, זכור שחלק מרכיבי המכשיר עשויים שלא לפעול כראוי.
בכל מקרה, שימוש בסמארטפון הנגוע ב- xHelper מסוכן ביותר. התוכנה הזדונית מתקנת דלת אחורית עם יכולת לבצע פקודות כמשתמש-על. זה מספק לתוקפים גישה מלאה לכל נתוני האפליקציה ויכול לשמש גם תוכנות זדוניות אחרות, למשל, CookieThief.
C&C
lp.cooktracking [.] com / v1 / ls / get
www.koapkmobi [.] com: 8081
45.79.110.191
45.33.9.178
23.239.4.169
172.104.215.170
172. 104. 208. 241
172. 104. 212. 184
45. 33. 117. 188
172. 104. 216. 43
172. 104. 218. 166
104. 200. 16. 77
198. 58. 123. 253
172. 104. 211. 160
172. 104. 210. 184
162. 216. 18. 240
172. 104. 212. 4
172. 104. 214. 199
172. 104. 212. 202
172. 104. 209. 55
172. 104. 219. 210
172. 104. 218. 146
45. 79. 177. 230
45. 33. 0. 123
45. 79. 77. 161
45. 33. 120. 75
45. 79. 171. 160
172. 104. 210. 193
45. 33. 0. 176
45. 79. 146. 48
ddl. Okyesmobi [.] Com
45. 79. 151. 241
172. 104. 213. 65
172 104. 211. 117
ddl. Okgoodmobi [.] Com
MD5
Trojan-Dropper.AndroidOS.Helper.h - 59acb21b05a16c08ade1ec50571ba5d4
טרויאני-Dropper.AndroidOS.Agent.of - 57cb18969dfccfd3e22e33ed5c8c66ce
טרויאני-Dropper.AndroidOS.Helper.b - b5ccbfd13078a341ee3d5f6e35a54b0a
טרויאני-Downloader.AndroidOS.Leech.p - 5fdfb02b94055d035e38a994e1f420ae
Trojan.AndroidOS.Triada. dd - 617f5508dd3066de7ec647bdd1497118
טרויאני-Dropper.AndroidOS.Tiny.d - 21ae93aa54156d0c6913243cb45700ec
Trojan.AndroidOS.Triada.dd - 105265b01bac8e224e34a700662ffc4c8
Trojan.AndroidOS.Agent.rt - 95e2817a37c317b17de42e565475f40f
Trojan.AndroidOS.Triada.dy - cfe7d8c9c1e43ca02a4b1852cb34d5a5
Trojan.AndroidOS.Triada.dx - e778d4cc1a7901689b59e9abebc925e1
Trojan-Dropper.AndroidOS.Necro.z - 2887ab410356ea06d99286327e2bc36b

מקווה שהבנתם אותי זה מיועד לבעלי ידע בנושא

itapi

@יוסףטכנאי אמר בהמלצה | קצת ידע על וירוס טרויאני:

פוסט זה מיועד לבעלי ידע בתחום אבל כל אחד רשאי לקרא

תנו לייק אם אהבתם

זה היה אמצע השנה שעברה שגילינו את תחילת ההתקפות ההמוניות של ה- xHelper Trojan בטלפונים חכמים של Android, אך גם כעת התוכנה הזדונית נותרה פעילה כתמיד. המאפיין העיקרי של xHelper הוא התבצרות - ברגע שהוא נכנס לטלפון, הוא איכשהו נשאר שם גם לאחר שהמשתמש מוחק אותו ומשחזר את הגדרות המפעל. ערכו מחקר מעמיק כדי לקבוע כיצד יוצרי xHelper העניקו לו יכולת שרידות כזו.
חלקם של משתמשי קספרסקי שהותקפו על ידי הטרויאני של xHelper במספר התקיפות הכולל, 2019-2020
כיצד עובד xHelper?
בואו ננתח את ההיגיון של המשפחה בהתבסס על המדגם הפעיל כיום Trojan-Dropper.AndroidOS.Helper.h. התוכנה הזדונית מתחפשת לאפליקציית מנקה ומהירה פופולארית לטלפונים חכמים, אך במציאות אין בה שום דבר שימושי: לאחר ההתקנה, ה"מנקה "פשוט נעלם ואיננו נראה בשום מקום לא על המסך הראשי ולא בתוכנית. תַפרִיט. אתה יכול לראות את זה רק על ידי בדיקת רשימת האפליקציות המותקנות בהגדרות המערכת.
המטען של הסוס הטרויאני מוצפן בקובץ /assets/firehelper.jar (מכיוון שההצפנה שלו כמעט ללא שינוי מגרסאות קודמות, לא היה קשה לפענח). המשימה העיקרית שלה היא לשלוח מידע על הטלפון של הקורבן (אנדרואיד_יד, יצרן, דגם, גרסת קושחה וכו ') אל
https: //lp.cooktracking [.] Com / v1 / ls / get ...

פענוח כתובת האתר לשליחת מידע על המכשיר
... והורדת המודול הזדוני הבא - Trojan-Dropper.AndroidOS.Agent.of.
תוכנה זדונית זו בתורה מפענחת ומשיקה את מטען המטען שלה באמצעות ספרייה מקומית מקובצת; גישה זו מקשה על ניתוח המודול. בשלב זה, הטפטוף הבא, Trojan-Dropper.AndroidOS.Helper.b, מפוענח ומושק. זה בתורו מפעיל את תוכנת התוכנה הזדונית Trojan-Downloader.AndroidOS.Leech.p, שמדביקה עוד יותר את המכשיר.
על Leech.p מוטלת הורדת ידידנו הוותיק HEUR: Trojan.AndroidOS.Triada.dd עם מערכת ניצולים להשגת הרשאות שורש במכשיר הקורבן.
פענוח כתובת ה- URL של ה- Leech.p C&C
מוריד את הטרויאני של טריאדה
קבצים זדוניים מאוחסנים ברצף בתיקיית הנתונים של האפליקציה, שלתוכניות אחרות אין גישה אליה. תוכנית זו בסגנון מטריושקה מאפשרת למחברי התוכנות הזדוניות לטשטש את השביל ולהשתמש במודולים זדוניים הידועים בפתרונות אבטחה. התוכנה הזדונית יכולה להשיג גישה לשורש בעיקר במכשירים שמריצים גרסאות אנדרואיד 6 ו -7 מיצרנים סינים (כולל ODM). לאחר קבלת הרשאות, xHelper יכול להתקין קבצים זדוניים ישירות במחיצת המערכת.
שים לב כאן כי מחיצת המערכת מותקנת בעת הפעלת המערכת במצב קריאה בלבד. חמוש בזכויות שורש, הטרויאני מחזיר אותו למצב כתיבה וממשיך לתפקיד הראשי של הפעלת התסריט ששמו נאמר forever.sh . טריאדה משתמשת בטריקים הידועים ביותר שלה, כולל הרכבה מחדש של מחיצת המערכת כדי להתקין את התוכניות שלה שם. במקרה שלנו, מותקנת החבילה com.diag.patches.vm8u, שאותה אנו מזהים כ- Trojan-Dropper.AndroidOS.Tiny.d.
וכמה קבצי הפעלה מועתקים לתיקיית / system / bin:
patches_mu8v_oemlogo - Trojan.AndroidOS.Triada.dd
debuggerd_hulu —AndroidOS.Triada.dy
kcol_ysy - HEUR: Trojan.AndroidOS.Triada.dx
/.luser/bkdiag_vm8u_date - HEUR: Trojan.AndroidOS.Agent.rt
כמה קבצים נוספים מועתקים לתיקיה / system / xbin:
diag_vm8u_date
patches_mu8v_oemlogo
קריאה לקבצים מתיקיית xbin מתווספת לקובץ install-recovery.sh , מה שמאפשר להפעלת טריאדה בעת אתחול המערכת. לכל הקבצים בתיקיות היעד מוקצה התכונה הבלתי ניתנת לשינוי , מה שמקשה על מחיקת התוכנה הזדונית מכיוון שהמערכת אינה מאפשרת אפילו למשתמשים העל למחוק קבצים עם תכונה זו. עם זאת, ניתן להתמודד עם מנגנון הגנה עצמית זו המופעלת על ידי הטרויאני על ידי מחיקת תכונה זו באמצעות הפקודה chattr .
נשאלת השאלה: אם התוכנה הזדונית מסוגלת להעלות מחדש את מחיצת המערכת במצב כתיבה על מנת להעתיק אותה לשם, האם המשתמש יכול לנקוט באותה אסטרטגיה כדי למחוק אותה? יוצרי טריאדה שקלו גם הם את השאלה הזו, והשתמשו כראוי בטכניקת הגנה אחרת שכללה שינוי של ספריית המערכת /system/lib/libc.so. ספריה זו מכילה קוד נפוץ המשמש כמעט את כל קבצי ההפעלה במכשיר. Triada מחליפה קוד משלה לפונקציית ההר (המשמשת להרכבת מערכות קבצים) ב- libc, ובכך מונעת מהמשתמש להתקין את מחיצת / מערכת במצב כתיבה.
נוסף על כך, הטרויאני מוריד ומתקין עוד כמה תוכניות זדוניות (למשל, HEUR: Trojan-Dropper.AndroidOS.Necro.z), ומוחק יישומי בקרת גישה לשורש, כגון Superuser.
כיצד להיפטר מ- xHelper?
כמפורט מהאמור לעיל, פשוט הסרת xHelper אינה מחטא את המערכת לחלוטין. התוכנית com.diag.patches.vm8u , המותקנת במחיצת המערכת, מתקנת מחדש את xHelper ותוכנות זדוניות אחרות בהזדמנות הראשונה.
התקנת תוכניות ללא השתתפות משתמשים
אך אם מוגדר מצב שחזור בסמארטפון אנדרואיד שלך, אתה יכול לנסות לחלץ את הקובץ libc.so מהקושחה המקורית ולהחליף בו את זה הנגוע לפני שתסיר את כל התוכנות הזדוניות ממחיצת המערכת. עם זאת, פשוט ואמין יותר להחליף מחדש את הטלפון לחלוטין.
זכור גם שקושחת הטלפונים החכמים המותקפים על ידי xHelper מכילה לעיתים תוכנות זדוניות מותקנות מראש שמורידות ומתקינות תוכניות באופן עצמאי (כולל xHelper). במקרה זה, ריפלוקס הוא חסר טעם, לכן כדאי לשקול תוכנות חלופיות למכשיר שלך. אם אתה משתמש בקושחה אחרת, זכור שחלק מרכיבי המכשיר עשויים שלא לפעול כראוי.
בכל מקרה, שימוש בסמארטפון הנגוע ב- xHelper מסוכן ביותר. התוכנה הזדונית מתקנת דלת אחורית עם יכולת לבצע פקודות כמשתמש-על. זה מספק לתוקפים גישה מלאה לכל נתוני האפליקציה ויכול לשמש גם תוכנות זדוניות אחרות, למשל, CookieThief.
C&C
lp.cooktracking [.] com / v1 / ls / get
www.koapkmobi [.] com: 8081
45.79.110.191
45.33.9.178
23.239.4.169
172.104.215.170
172. 104. 208. 241
172. 104. 212. 184
45. 33. 117. 188
172. 104. 216. 43
172. 104. 218. 166
104. 200. 16. 77
198. 58. 123. 253
172. 104. 211. 160
172. 104. 210. 184
162. 216. 18. 240
172. 104. 212. 4
172. 104. 214. 199
172. 104. 212. 202
172. 104. 209. 55
172. 104. 219. 210
172. 104. 218. 146
45. 79. 177. 230
45. 33. 0. 123
45. 79. 77. 161
45. 33. 120. 75
45. 79. 171. 160
172. 104. 210. 193
45. 33. 0. 176
45. 79. 146. 48
ddl. Okyesmobi [.] Com
45. 79. 151. 241
172. 104. 213. 65
172 104. 211. 117
ddl. Okgoodmobi [.] Com
MD5
Trojan-Dropper.AndroidOS.Helper.h - 59acb21b05a16c08ade1ec50571ba5d4
טרויאני-Dropper.AndroidOS.Agent.of - 57cb18969dfccfd3e22e33ed5c8c66ce
טרויאני-Dropper.AndroidOS.Helper.b - b5ccbfd13078a341ee3d5f6e35a54b0a
טרויאני-Downloader.AndroidOS.Leech.p - 5fdfb02b94055d035e38a994e1f420ae
Trojan.AndroidOS.Triada. dd - 617f5508dd3066de7ec647bdd1497118
טרויאני-Dropper.AndroidOS.Tiny.d - 21ae93aa54156d0c6913243cb45700ec
Trojan.AndroidOS.Triada.dd - 105265b01bac8e224e34a700662ffc4c8
Trojan.AndroidOS.Agent.rt - 95e2817a37c317b17de42e565475f40f
Trojan.AndroidOS.Triada.dy - cfe7d8c9c1e43ca02a4b1852cb34d5a5
Trojan.AndroidOS.Triada.dx - e778d4cc1a7901689b59e9abebc925e1
Trojan-Dropper.AndroidOS.Necro.z - 2887ab410356ea06d99286327e2bc36b

מקווה שהבנתם אותי זה מיועד לבעלי ידע בנושא

לא הבנו כי התרגום לצערנו כל כך גרוע...
אבל תודה בכ"מ

יוסףטכנאי

@itapi זה תרגום מכונה מה שראית על רשומות באנגלית זה בעצם זיהוי על איך נראה טרויאני בנתחי מידע כו vitus total

itapi

@יוסףטכנאי אמר בהמלצה | קצת ידע על וירוס טרויאני:

@itapi זה לא תרגום זה עברית אבאלה מה שראית על רשומות באנגלית זה בעצם זיהוי על איך נראה טרויאני בנתחי מידע כו vitus total

אני לא מדבר על המילים באנגלית,זה הגיוני שיהיה לא משנה באיזה שפה אתה כותב,אני מדבר על העברית עצמה...משהו שמה נראה מוזר קצר...מעברים חדים בין גוף ראשון לשני...ועוד כל מיני דברים מוזרים שפשוט לא הסתדר לי לחשוב שזה באמת כתוב אורגינל בעברית....

אבל טוב...מחילה בכ"מ