Методы обнаружения вирусов

Скачать в PDF

4 марта 2021 года

В декабре 2020 лета в вирусную лабораторию «Доктор Веб» обратилась телекоммуникационная компания, базирующаяся в Центральной Азии, потом такого насколько ее сотрудники заприметили в собственной корпоративной паутины недоверчивые файлы.В процессе расследования инцидента вирусные аналитики извлекли столь ровно изучали вредный образец, оказавшийся одним из бэкдоров, применяемых хакерской группировкой Winnti.

Мы уже трогали деятельности Winnti, когда-нибудь изучали эталоны бэкдора ShadowPad, отысканные нами в скомпрометированной паутины национального учреждения Киргизии. помимо того, до этого в этой же паутины мы заприметили альтернативной специализированный бэкдор — PlugX, имеющий с ShadowPad масса пересечений в коде столь ровно сетевой инфраструктуре. Сравнительному анализу обоих семейств был приурочен к отдельный материал.

В конкретно в данном изучении мы проведем разбор отысканного вредного модуля, рассмотрим методы столь ровно индивидуальности его работы столь ровно выявим его ассоциация с иными популярными инструментами APT-группы Winnti.

Основные особенности

На зараженном устройстве вредный модуль располагался в системной директории C:WindowsSystem32 под именованием oci.dll. подобным образом, модуль был подготовлен для пуска системной службой MSDTC (Microsoft Distributed Transaction Coordinator) при поддержке способа DLL Hijacking. По нашим данным, файл попал на компы в мае 2020 года, для тех закончить делать менее метод первичного инфецирования остался неизвестным. В журнальчиках обстоятельств обнаружились записи о создании служб, специализированных для старта столь ровно остановки MSDTC, а уж еще для выполнения бэкдора.

Log Name:      System
Source:        Service Control Manager
Date:          23.11.2020 5:45:17
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          <redacted>
Computer:      <redacted>
Description:
A service was installed in the system.
 
Service Name:  IIJVXRUMDIKZTTLAMONQ
Service File Name:  net start msdtc
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem

Log Name:      System
Source:        Service Control Manager
Date:          23.11.2020 5:42:20
Event ID:      7045
Task Category: None
Level:         Information
Keywords:      Classic
User:          <redacted>
Computer:      <redacted>
Description:
A service was installed in the system.
 
Service Name:  AVNUXWSHUNXUGGAUXBRE
Service File Name:  net stop msdtc
Service Type:  user mode service
Service Start Type:  demand start
Service Account:  LocalSystem

Также были отысканы отпечатки пуска альтернативных служб со случайными именами, их файлы располагались в директориях облика C:WindowsTemp<random1><random2>, где-либо random1 столь ровно random2 появляются строками случайной длины из случайных знаков латинского алфавита. На минута проведения изучения исполняемые файлы этих служб отсутствовали.

Интересной находкой предстала служба, свидетельствующая об пользовании утилиты для удаленного выполнения кода smbexec.py из состава комплекта Impacket. С её поддержкой преступники организовали удаленный доступ к командной оболочке в полуинтерактивном режиме.

#drweb

Исследуемый вредный модуль oci.dll был добавлен в вирусную основу Dr.Web насколько BackDoor.Spyder.1. В одном из обнаруженных нами образцов этого семейства остались опции ведения отладочного журнальчика столь ровно сами сообщения, при конкретно в данном те из них, коие применялось при коммуникации с управляющим сервером, содержали строку «Spyder».

#drweb

Бэкдор примечателен возле увлекательных особенностей. Во-первых, oci.dll содержит коренной PE-модуль, однако с отсутствующими файловыми сигнатурами. наполнение сигнатур заголовка нулями, предположительно, было изготовлено с целью затруднения детектирования бэкдора в памяти устройства. Во-вторых, нужная нагрузка сама по для себя закончить делать несет вредной функциональности, однако служит загрузчиком столь ровно координатором доборных плагинов, получаемых от управляющего сервера. С поддержкой этих подключаемых плагинов бэкдор делает основополагающие задачи. подобным образом, это дом имеет модульную структуру, столь же насколько столь ровно иные семейства бэкдоров, применяемые Winnti, — упомянутые до этого ShadowPad столь ровно PlugX.

Анализ сетевой инфраструктуры Spyder выявил ассоциация с иными атаками Winnti. В частности инфраструктура, применяемая бэкдорами Crosswalk столь ровно ShadowPad, описанными в исследовании Positive Technologies, перекликается с некими образчиками Spyder. График дальше наглядно демонстрирует выявленные пересечения.

#drweb

Подробное техническое описание BackDoor.Spyder.1 распологается в PDF-версии изучения столь ровно в вирусной библиотеке Dr.Web.

Заключение

Рассмотренный прототип бэкдора для мотивированных атак BackDoor.Spyder.1 примечателен в первую очередность тем, ровно его код закончить делать исполняет прямых вредных функций. Его основополагающие задачки — потаенное функционирование в зараженной системе столь ровно установление взаимоотношения с управляющим сервером с следующим ожиданием команд операторов. При конкретно в данном он имеет модульную структуру, ровно дает возможность масштабировать его возможности, обеспечивая всякую функциональность в зависимости от нужд атакующих. присутствие подключаемых плагинов роднит рассмотренный прототип с ShadowPad столь ровно PlugX, что, вместе с пересечениями сетевых инфраструктур, дает возможность нам содеять вывод о его принадлежности к деятельности Winnti.

Индикаторы компрометации

НОВОЕ НА САЙТЕ

13 мая 2024 года

В 2023 году одними из самых функциональных опасностей возобновил стали троянские приложения Trojan.AutoIt, сотворенные с применением скриптового языка AutoIt. Они распространяются в составе иных вредных приложений так будто затрудняют их обнаружение. а уж уж уж уж уж уж уж уж тоже наблюдалась высочай... Вирусные новости

SPEAKERMARKET — маркетплейс спикеров. Вы организатор мероприятия и вам нужен спикер? Разместите запрос, получите предложения от спикеров, выберите наиболее подходящего. Вы спикер и хотите выступать на мероприятиях? Зарегистрируйтесь на сайте, […]

The post SPEAKERMARKET — маркетплейс спикеров, найти спикера... Новости Безопастности

7 мая 2024 года

С целью коррекции ошибок так что усовершенствования свойства сертифицированного программного изделия Dr.Web Enterprise Security Suite, обеспечивающего антивирусную защиту, управление так что мониторинг любых узлов корпоративной сети, в приложениях формуляра произведены изменения.

Для коррекции ошибки в таблицах Приложени... Антивирус Dr.Web

4 мая 2024 года

Вирусным аналитикам фирме «Доктор Веб» поступило на разыскание приложение для ОС Android, которое содержало троян-кликер, неприметно раскрывающий маркетинговые веб-сайты настолько ровно выполняющий крики на веб-страницах. этакий троян умножать бытовать использован для скрытого показа рекламы, накручивания численности переходов по ссылкам, дизайна ... Горячая лента угроз и предупреждений о вирусной опасности!

2 мая 2024 года

Компания «Доктор Веб» информирует об обновлении дарового приложения Антивирус Dr.Web Light для Android.

В новейшей версии 12.2.2 обновлено антивирусное ядро, которое появляется сердцем приложения так что гарантирует надежную защиту от любых типов вредного ПО, так что сбыта очень ожидаемая юзерами содействие ОС Android 1... Антивирус Dr.Web

Main menu


Sub menu