Категория > Новости > Опасный талисман. Изучаем вредонос Talisman на практике - «Новости»
Опасный талисман. Изучаем вредонос Talisman на практике - «Новости»6-11-2023, 08:35. Автор: Lamberts |
возможности компания Trellix, схожий модуль также описывает компания Dr.Web под названием BackDoor.PlugX.38. Конкретно этот образец представляет собой многокомпонентную вредоносную программу, которая попадает на компьютер жертвы благодаря другому трояну‑загрузчику и работает в оперативной памяти машины. Вредонос состоит из трех компонентов: исполняемого файла SNAC.EXE, имеющего действительную цифровую подпись, который загружает модифицированную злоумышленниками динамическую библиотеку WGXMAN.DLL с помощью техники DLL Sideloading. В свою очередь, библиотека содержит зашифрованный файл SNAC.LOG, в котором спрятана полезная нагрузка. Библиотека запускает шелл‑код в функции Читайте также - Вебкам студия ДеЛюкс начала свою деятельность в 2006 году. В настоящее время мы являемся одной из самых крупных webcam студий в Новосибирске - webcam studio в Новосибирске. ![]() В этой статье мы изучим образец вредоносной программы, научимся проводить ее анализ, найдем интересные участки в коде модуля, расшифруем файл infoО том, как из подручных материалов с помощью смекалки и умелых рук построить ИнструментарийДля дальнейшего исследования вредоносного файла воспользуемся следующим софтом:
Первичный анализПрежде чем приступать к реверсу файлов, получим первичную информацию об исследуемых образцах. Загрузим файл Перейдем во вкладку Version. ![]() Оригинальное имя файла — ![]() Файл отладки расположен по следующему пути: Перейдем во вкладку Libraries. ![]() PeStudio определяет список библиотек, которые злоумышленники используют при написании вредоноса. Перейдем во вкладку Сertificate. ![]() Файл ![]() В файле присутствует строка о файле отладки: Перейдем во вкладку Strings, в которой можно обнаружить строку Теперь выполним поведенческий анализ, получим информацию о процессе и запишем сетевой трафик. Запустим исполняемый файл warningНе рекомендуется исследовать вредоносные программы на рабочей операционной системе, поскольку это может привести к заражению машины и утере ценных данных. После запуска исполняемого файла вредонос создал дочерний процесс ![]() Нажмем два раза на имя этого процесса, откроем вкладку Modules. ![]() Как видно из рисунка, вредонос загрузил динамическую библиотеку Взаимодействие с управляющим сервером Модуль PlugX Talisman начинает устанавливать сетевое взаимодействие с управляющим сервером ![]() Также исследуемый образец обращается к управляющему серверу по протоколу HTTP. ![]() В результате первичного анализа мы получили информацию о вредоносном процессе, узнали адрес управляющего сервера, установили протокол взаимодействия, а также обнаружили интересные строки и описание файлов. Разбор малвариПриступим к подробному исследованию кода. Процесс динамического анализа будем проводить с использованием утилиты x64dbg. Анализ псевдокода выполним в IDA Pro с установленным плагином HexRays. В процессе анализа вредоносных программ необходимо комбинировать используемые инструменты для получения наиболее полного результата. Программа Приступим к анализу, для этого загрузим исполняемый файл Для проведения динамического анализа необходимо найти точку останова, с которой начинается выполнение основных функций программы. Для этого проанализируем код загружаемой библиотеки и найдем функцию, подходящую для этой цели. В IDA открываем вкладку File → Open и выбираем файл Участок кода функции DllMain Переходим в функцию Код функции sub_6FE443C Функция ![]() Начнем отладку в x64dbg. Для этого перейдем к функции ![]() Перейти обратно к новости |