مخفی کردن باج افزار در نصب کننده های پرکاربرد NSIS

مخفی کردن باج افزار در نصب کننده های پرکاربرد NSIS

مهاجمان سایبری برای گسترش انفجاری و جلوگیری از شناسایی، بدافزار خود را در نصب کننده های NSIS مخفی میکنند.

عوامل تهدید از تکنیک‌های جدیدی برای پنهان کردن کدهای خود و اجتناب از شناسایی به هر شکلی استفاده می‌کنند. مهاجمان اکنون از یک روند جدید از طریق NSIS (سیستم نصب اسکریپتی Nullsoft) استفاده می کنند، که یک نصب کننده منبع باز است و می تواند فایل‌های مختلف را با هم مجتمع کند. در گذشته، مهاجمان بدافزار از یک رمز کننده مبتنی بر NSIS برای پنهان کردن خود استفاده کرده بودند. این روال در خانواده‌های بدافزار Lokibot، Ave Marie stealer، AgentTesla، Formbook و غیره مشاهده شده است. در این مطلب سعی شده بینش عمیق‌تری را در مورد روند جدید حملات سایبری توضیح می‌دهد.

تجزیه و تحلیل – LOKIBOT

اجازه دهید به هش زیر نگاه کنیم (۲D4739AB2D34EEC849D903E05E8E0EB4).

این یک فایل NSIS است که از طریق ابزار DIE قابل شناسایی است.

تصویر۱: ابزار DIE که NSIS را نشان می دهد

در هنگام استخراج فایل با استفاده از ۷zip، می‌توانیم محتویات داخل پوشه را ببینیم. دارای دو محموله رمزگذاری شده و یک فایل اجرایی در داخل آن است. در هنگام اجرا، تمام فایل ها در پوشه %temp% استخراج می شوند.

تصویر۲: داخل فایل NSIS

 

اجازه دهید فایل اجرایی jyacil.exe (MD5: 81EC4B73F581DD36CBDBB6C695CD038C) را بررسی کنیم. این فایل با استفاده از VirtualAlloc API فضایی از حافظه را تخصیص می دهد و سپس پی‌لود رمزگذاری شده (botredmnra-6kb) را در فضای اختصاص داده شده کپی می کند.

تصویر ۳: حافظه اختصاص داده شده مجازی (Virtually Allocated) حاوی پی لود رمزگذاری شده

 

این پی لود توسط حلقه رمزگشایی زیر به کد Shell رمزگشایی می شود.

 

تصویر۴: حلقه رمزگشایی

 

جریان کد اکنون به کد shell رمزگشایی شده منتقل می شود، که مستقیماً مسئول رمزگشایی پی لود بزرگتر است.

تصویر ۵: کد پوسته رمزگشایی شده

 

اکنون فایل رمزگذاری شده بزرگتر از مسیر %temp% با استفاده از ReadFile API خوانده شده و در حافظه اختصاص داده شده مجازی کپی می شود. سپس فایل توسط یک حلقه رمزگشایی بزرگ رمزگشایی می شود که تکه های آن در زیر موجود است. این یک حلقه عظیم است، بنابراین فقط چند قطعه در تصویر نشان داده شده است.

تصویر ۶: حلقه رمزگشایی

 

 

شکل ۷: حلقه رمزگشایی

 

این رمزگشایی فایل PE دیگری را به همراه می آورد که محموله واقعی است.

تصویر ۸: پی‌لود

 

سپس تخلیه فرآیند انجام شده و پی لود واقعی بدافزار فعالیت خود را آغاز می کند. اجازه دهید روی بدافزار واقعی (md5: C6085AED2E2C782F81CCCA6B5FACA13E[کامپایلر Visual C++]) تمرکز کنیم.

بدافزار یک mutex ایجاد می کند تا مطمئن شود فقط یک نمونه در حال اجرا است. سپس یک فایل <randomname>.tmp ایجاد می کند تا تمام اطلاعات سرقت شده را ذخیره کند. این نام تصادفی توسط دو رشته منحصر به فرد موجود در فایل تشکیل شده است.

تصویر ۹: رشته های منحصر به فرد برای تشکیل نام تصادفی

 

آدرس اینترنتی C2 به صورت مستقیم در کد منبع به صورت رمز وارد شده است که بعدا رمزگشایی می شود.

تصویر ۱۰: آدرس URL هاردکد شده

 

تصویر ۱۱: آدرس C2 تشکیل شده پس از رمزگشایی

 

این پی لود Lokibot stealer است که اعتبارنامه ها را از نرم افزارهای زیر به سرقت برده و آنها را به آدرس اینترنتی C2 ارسال می کند:

Comodo، Maplestudio، Google Chrome، Nichrome، RockMelt، Spark، Chromium، Titanium Browser، Yandex، Torch، Mustang Browser، NetSarang، FossaMail، Postbox، MoonChild، NetGate، Total Commander، EasyFTP، FileZilla، KiTTy و غیره.

Hxxp[:]//85.202[.]169.172/goodlife/five/fre[.]php

تصویر ۱۲: رشته های مربوط به Lokibot

 

تجزیه و تحلیل بد افزار Ave Marie Stealer

اکنون به فایل دیگری متعلق به Ave Marie Stealer (MD5: CE488BABC73497C16CE8D2DE5ED218A7) نگاهی می اندازیم. این نیز یک فایل مبتنی بر NSIS است.

با استفاده از ۷zip، می‌توانیم محتویات موجود در فایل را ببینیم:

تصویر ۱۳: داخل فایل های NSIS

 

در این مورد، dyhqo.exe مسئول رمزگشایی jvqnj (فایل ۸ کیلوبایتی) است و یک کد پوسته (shellcode) را تشکیل می دهد که بعداً پی لود بزرگتر gdrat8hotr11us6qz را رمزگشایی می کند که بخش اصلی بد افزار است.

 

در مرحله اول یک تغییر جزئی در حلقه رمزگشایی وجود دارد (باقی مانده فایل تقریباً یکسان است):

تصویر ۱۴: حلقه رمزگشایی

 

پس از رمزگشایی مرحله دوم، Ave Marie سارق (فایل دلفی) (MD5: E77D247BB34818C0C3352762C7DE0213) را دریافت می کند. رشته های مرتبط را می توان در شکل مشاهده کرد. این سارق از مرورگرهای مختلف مانند UCBrowser، CentBrowser، Comodo، Chromium، Blisk، Microsoft Edge و غیره، کلیدهای فشرده شده را می گیرد و داده ها را به سرقت می برد.

تصویر ۱۵: رشته های مربوط به Ave Marie مشاهده شده در پی لود داخلی

 

تصویر ۱۶: آدرس C2: danseeeee.duckdns.org:2022

 

 تجزیه و تحلیل: AGENTTESLA

اکنون اجازه دهید فایل دیگری متعلق به Formbook (MD5: 66BE80324D7937C5E17F5D4B08574145) را بررسی کنیم. این نیز یک فایل مبتنی بر NSIS است.

با استفاده از ۷zip می توانیم محتویات داخل فایل را ببینیم:

تصویر ۱۷: داخل فایل NSIS

 

در این مورد نیز، فایل اجرایی omrtoehch.exe مسئول رمزگشایی wygeuhclea (فایل ۶ کیلوبایتی) است و یک کد پوسته را تشکیل می دهد که بعداً پی لود بزرگتر y27ub6kcvxv73holza44 را رمزگشایی می کند که پی لود واقعی را تشکیل می دهد.

در مرحله اول یک تغییر در حلقه رمزگشایی وجود دارد (باقی مانده فایل تقریباً یکسان است). حلقه بزرگ است، بنابراین تکه هایی از کد در زیر نشان داده شده است:

تصویر ۱۸: حلقه رمزگشایی

 

پس از رمزگشایی مرحله دوم، یک پی لود دیگر دریافت می کنیم (Visual C MD5: D0FF8F95A6AA286D781528197255B805). در این فایل به وضوح می توان مشاهده کرد که یک فایل PE دیگر در داخل منابع (RCDATA) وجود دارد. استخراج آن نشان می دهد که چه کاری انجام می دهد (F2E113BE23813F22EAA3B82CCBE535EA).

تصویر ۱۹

 

این فایل یک فایل DOTNET است که توسط “Obfuscar” که یک برنامه منبع باز رمز کننده سورس .net است مبهم شده است.

 

تصویر ۲۰

 

سطح مبهم سازی کد بسیار بالاست و هر رشته در زمان اجرا رمزگشایی می شود. رشته های کدگذاری شده برجسته می‌شوند. همه کاراکترها در یک آرایه واحد از بایت ها ذخیره می‌شوند که توسط <<EMPTY_NAME>> قابل دسترسی است.

تصویر ۲۱

 

رمزگشایی توسط لیست فوق توسط عملیات XOR با بایت رمزگذاری شده، موقعیت آن در لیست و عدد اعشاری ۱۷۰ انجام می شود.

تصویر ۲۲

 

این پی لود برای دسترسی به یک رشته، تابعی را فراخوانی می کند که با دسترسی به موقعیت آن در لیست و طول آن، رشته را برمی گرداند.

پس از رمزگشایی پی لود، رشته های زیر نمایان شدند که مربوط به AgentTeslaV3 است:

\ \Account.CFN

\Account.stg

\accountrc

\accounts.xml

\Accounts\Account.rec0

\Accounts_New

\Apple Computer\Preferences\keychain.plist

\browsedata.db

\cftp\Ftplist.txt

\Claws-mail

\clawsrc

\Common Files\Apple\Apple Application Support\plutil.exe

\Comodo\IceDragon\

\CoreFTP\sites.idx

\Data\Tor\torrc

\Default\

\Default\EncryptedStorage

\Default\Login Data

\drivers\etc\hosts

\EncryptedStorage

\falkon\profiles\

\Mailbox.ini

\Microsoft\Credentials\

\Microsoft\Edge\User Data

\Microsoft\Protect\

\Moonchild Productions\Pale Moon\

\Mozilla\Firefox\

\Mozilla\icecat\

\Mozilla\SeaMonkey\

\NETGATE Technologies\BlackHawk\

\OpenVPN\config\

\Opera Mail\Opera Mail\wand.dat

\passwordstorerc

 

ناقل آلودگی

همه این فایل ها دارای زنجیره آلودگی زیر هستند:

EMAIL >> DOCUMENT/XLS/CAB/RAR >> NSIS Installers

تصویر ۲۲: ایمیل حاوی پیوست XLSX

 

کوییک هیل چگونه از خود محافظت می کند؟

  • Quick Heal از طریق تشخیص های زیر از مشتریان خود محافظت می کند:
  • IgenericPMF.S28122388
  • NSISFrmbk.S26708217
  • NSISLokibt.S26708218
  • MsilFC.S17872954
  • GenericRI.S28136194

نتیجه:

مشاهده شده مهاجمان در نحوه استقرار کدهای مخرب از طریق نصب‌کننده‌های NSIS تغییراتی ایجاد کرده اند. آنالیزهای فوق نشان که چگونه سارقان سایبری از بارگذارنده های مبتنی بر NSIS استفاده می‌کنند. همه این بارگذارنده ها دارای یک اسکریپت هستند که کد مخرب در آن جاسازی شده می باشند که فایل exe با نام تصادفی رمزگذاری شده (اندازه کوچک) اجرا می شود. فایل اجرایی exe پی لود رمزگذاری شده کوچکتر را خوانده و رمزگشایی می‌کند. سپس کد پوسته رمزگشایی شده، فایل بزرگ‌تر دارای نام تصادفی را رمزگشایی کرده و بدافزار واقعی را تشکیل می‌دهد.

بنابراین، کاربران باید از نصب‌کننده‌های NSIS که ممکن است این روزها حاوی باج افزار و سارقان سایبری باشند، آگاه باشند.

مشروح خبر در:https://blogs.quickheal.com/are-malware-operators-using-nsis-installers-to-bombard-stealers-and-avoid-detection/

تهیه شده در شرکت فناوری ارتباطات و اطلاعات فانوس

این نوشته در تهديدات جديد ارسال و , , , , , , , , , , برچسب شده است. افزودن پیوند یکتا به علاقه‌مندی‌ها.

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *