Невозможно отучить людей изучать самые ненужные предметы.
Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3
Надо знать обо всем понемножку, но все о немногом.
Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы
Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)
Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода
Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5
Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости
Справочник от А до Я
HTML, CSS, JavaScript
Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы
Помогли мы вам |
Вредонос состоит из трех компонентов: исполняемого файла SNAC.EXE, имеющего действительную цифровую подпись, который загружает модифицированную злоумышленниками динамическую библиотеку WGXMAN.DLL с помощью техники DLL Sideloading. В свою очередь, библиотека содержит зашифрованный файл SNAC.LOG, в котором спрятана полезная нагрузка. Библиотека запускает шелл‑код в функции DllMain
и расшифровывает файл SNAC.
. Далее исполняемый код, полученный после расшифровки этого файла, извлекает конфигурацию PlugX Talisman, а также основную полезную нагрузку PlugX, тоже представленную в виде динамической библиотеки. Она содержит основной модуль вредоноса PlugX Talisman, который загружается в память процесса SNAC.
.
В этой статье мы изучим образец вредоносной программы, научимся проводить ее анализ, найдем интересные участки в коде модуля, расшифруем файл SNAG.
, а также получим конфигурацию PlugX Talisman и извлечем основную полезную нагрузку PlugX.
О том, как из подручных материалов с помощью смекалки и умелых рук построить скворечник лабораторию для анализа вредоносов, подробно рассказано в статье «Код под надзором. Создаем виртуальную лабораторию для анализа малвари».
Для дальнейшего исследования вредоносного файла воспользуемся следующим софтом:
Прежде чем приступать к реверсу файлов, получим первичную информацию об исследуемых образцах. Загрузим файл SNAC.
в PeStudio. При анализе необходимо обратить внимание на строки, подключаемые библиотеки, версии файлов, сертификаты, а также на сведения о файле отладки, которые в некоторых случаях помогают атрибутировать разработчика.
Перейдем во вкладку Version.
Оригинальное имя файла — SNAC.
, цифровая подпись указывает на то, что файл разработан компанией Symantec Corporation.
Файл отладки расположен по следующему пути:
Перейдем во вкладку Libraries.
PeStudio определяет список библиотек, которые злоумышленники используют при написании вредоноса. Перейдем во вкладку Сertificate.
Файл SNAC.
является подписанным, безопасным файлом. Теперь откроем файл WGXMAN.
в PeStudio.
В файле присутствует строка о файле отладки:
Перейдем во вкладку Strings, в которой можно обнаружить строку SNAC.
.
Теперь выполним поведенческий анализ, получим информацию о процессе и запишем сетевой трафик. Запустим исполняемый файл SNAC.
, затем откроем Process Hacker и соберем информацию о процессе.
Не рекомендуется исследовать вредоносные программы на рабочей операционной системе, поскольку это может привести к заражению машины и утере ценных данных.
После запуска исполняемого файла вредонос создал дочерний процесс conhost.
.
Нажмем два раза на имя этого процесса, откроем вкладку Modules.
Как видно из рисунка, вредонос загрузил динамическую библиотеку WGXMAN.
. Посмотрим генерируемый приложением трафик.
Модуль PlugX Talisman начинает устанавливать сетевое взаимодействие с управляющим сервером dhsg123[.]
. После получения адреса домена устанавливается TCP-соединение по порту 80.
Также исследуемый образец обращается к управляющему серверу по протоколу HTTP.
В результате первичного анализа мы получили информацию о вредоносном процессе, узнали адрес управляющего сервера, установили протокол взаимодействия, а также обнаружили интересные строки и описание файлов.
Приступим к подробному исследованию кода. Процесс динамического анализа будем проводить с использованием утилиты x64dbg. Анализ псевдокода выполним в IDA Pro с установленным плагином HexRays. В процессе анализа вредоносных программ необходимо комбинировать используемые инструменты для получения наиболее полного результата.
Программа SNAC.
представляет собой безопасный исполняемый файл, который имеет валидную цифровую подпись. Его основная задача — загрузка динамической библиотеки WGXMAN.
методом DLL Side-loading. После загрузки библиотеки выполнение передается на функцию экспорта DllMain
. Далее динамическая библиотека расшифровывает исполняемый код в файле SNAC.
и передает выполнение на него.
Приступим к анализу, для этого загрузим исполняемый файл SNAC.
в утилиту x64dbg, в которой будем проводить отладку. Также загрузим динамическую библиотеку WGXMAN.
в IDA.
Для проведения динамического анализа необходимо найти точку останова, с которой начинается выполнение основных функций программы. Для этого проанализируем код загружаемой библиотеки и найдем функцию, подходящую для этой цели.
В IDA открываем вкладку File → Open и выбираем файл WGXMAN.
. После загрузки файла мы попадаем на функцию DllMain
. Далее декомпилируем код, используя плагин HexRays, для этого нажимаем клавишу F5. И синхронизируем анализ кода во вкладке IDA View A и Pseudocode A, для чего перенесем вкладку Pseudocode A в правую часть вкладки IDA View A. Нажатием правой кнопки мыши выберем Syncronize with → IDA View A, теперь при выборе участка кода он будет подсвечиваться в каждой вкладке.
Переходим в функцию sub_6FE443C
, эта функция и будет точкой входа во время динамической отладки. Проанализируем ее.
Функция sub_6FE420
служит для получения списка функций экспорта динамической библиотеки kernel32.
.
Начнем отладку в x64dbg. Для этого перейдем к функции sub_6FE443C
нажатием сочетания клавиш Ctrl-G, затем наберем адрес функции и разберем алгоритм расшифровки констант.
|
|