- Монгол улс, Улаанбаатар хот 15160, ЧД, 4-р хороо, Анкарагийн гудамж 23, Тод тауэр, 801 тоот
- contact@pubcert.mn
- Mongolian
- English
Асуулт хариулт
Andromeda төрлийн хортой программ
Хорт кодын ерөнхий мэдээлэл Andromeda эсвэл Andromeda botnet (мөн цөөн тохиолдолд Gamarue гэгдэх) гэж нэрлэгдэх энэхүү хортой программ нь анх 2011 онд цахим орчинд халдлага учруулж байсан ба түүний учруулдаг хамгийн гол хор уршигтай үйл ажиллагаа нь botnet service1 -ийг ажиллуулах, backdoor2 буюу системд байнгын оршин байх холболт тогтоох юм. Уг хорт программын үндсэн ажиллагаа нь виртуал машин болон физик сервер эсвэл компьютероос хамааран тохирох замаар хорт кодыг идэвхжүүлж ажиллуулах чадвартай юм. Мөн түүнчлэн, энэ төрлийн хорт программ нь файл татаж ажиллуулах, зайнаас команд гүйцэтгэх, өөрийн ул мөрөө системээс цэвэрлэх гэх мэт үйлдлүүдийг хийдэг.
Халдвар авсан системээс уг хортой программыг цэвэрлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд:
· Системд ажиллаж байгаа процессуудыг шалгаж backdoor программыг олж устгах
· Регистрийн түлхүүрүүд хэсэг буй регистрүүдийг устгах
· Хорт кодыг системд хуулж байгаа замын байршил хэсэгт хандаж, харгалзах файлуудыг олж устгах,
· Хэрэглэгчийн нууц үгийг шинэчлэх.
· Системийг дахин уг хорт кодын халдварт өртөхөөс сэргийлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд:
· Microsoft Windows defender эсвэл Mawlarebytes зэрэг anti virus программыг байнгын update-тэй мөн асаалттай real-time protection горимд байлгах
· backdoor программыг гаднын хандалтыг таслах зорилгоор системийн firewall программыг байнгын асаалттай байлгах outbound rule-д нэмэлт block хийх хэсэг оруулж болно.
Convagent төрлийн хортой программ
Convagent хортой программ нь trojan-downloader-“Trojan болон adware-уудын хамгийн сүүлийн шинэчлэгдсэн хувилбаруудыг татаж суулгагч хорт программын төрөл” гэх ангиллын хортой код бөгөөд ийм төрлийн хор хөнөөлт программууд нь trojan8 болон adware-Хэрэглэгчийн төхөөрөмжид автоматаар зар сурталчилгаа харуулах төрлийн хортой программ-ийн хамгийн сүүлийн шинэчлэгдсэн хувилбаруудыг татаж суулгадаг. Хортой үйл ажиллагаа бүхий вебсайтууд, болон аль хэдийн эзлэгдсэн вебсайтууд руу хандалт хийж файл татаж байгаа хүмүүс энэ convagent хортой программын анхдагч халдварлагч болох тохиолдол түгээмэл байдаг.
Дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Convagent.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Convagent.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Convagent хортой кодыг хайна.
Жишээ нь:
• C дискээс Convagent хортой программыг хайх команд > yara64.exe -r Convagent.yara C:\ 2>/NUL
• D дискээс Convagent хортой программыг хайх команд > yara64.exe -r Convagent.yara D:\ 2>/NUL
import "hash"
rule Detect_Files_By_SHA256 {
meta:
description = "SHA-256 hash-aar olno"
author = "bilg"
date = "2023-10-30"
condition:
hash.sha256(0,filesize)==
"f60073bf66ee8f8a5ba488ec10477fe5cc99fe9626bf972d16609eb72e8be187"
}
Convagent хортой программын халдвар авсан системээс уг хортой программыг илрүүлж, цэвэрлэх болон системийг дахин уг хорт кодын халдварт өртөхөөс сэргийлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд:
• Convagent төрлийн хортой программыг ихэнх антивирусын программууд илрүүлж байгаа тул хост системд антивирусын программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх, системийн галт хана идэвхэжсэн байгаа эсэхийг шалгах.
• Хорт кодын үүсгэж байгаа файлууд, Регистрийн түлхүүрүүд хэсэгт байгаа файлуудыг цэвэрлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг хийх, цаашдаа хийж байх сонголтыг тогтмол байдлаар идэвхжүүлэх.
• Энэ төрлийн программ нь вэб хүсэлтүүд илгээх болон интернэт хөтөчтэй их харьцдаг тул эхлээд компьютероо сүлжээнээс салгаж, доорх Кодыг Yara дүрмийг ашиглан Convagent төрлийн хортой кодыг илрүүлэх.
Gsign төрлийн хортой программ
УБЕГ-ын захиалгаар Тридум э-секьюрити ХХК хөгжүүлсэн GSign тоон гарын үсгийн программ/ Зураг 2-1-/ыг https://burtgel.gov.mn/g-sign хаягаар хандаж, татах үед ихэнх веб хөтөч уг программыг хортой программ хэмээн таньж хэрэглэгчдэд анхааруулга өгч байгаа тул GSign программд нарийн шинжилгээ хийн хортой үйл ажиллагаа явуулж байгаа эсэхийг магадалсан болно.
Программын бүрэлдэхүүн файлуудаас GSign.exe, GSignStarter.exe нь программын гол бүрэлдэхүүн хэсгүүд бөгөөд ажиллах явцдаа DLL сангуудыг дуудан ажиллуулж байна. Үүнээс гадна ямар зорилгоор ашиглагдаж байгаа нь тодорхой бус ScanPort(…), PingNetwork(…) методуудыг "gSing.dll" файлын "Config" класс дотор зарлаж өгсөн байгааг хөгжүүлэгч байгууллагаас тодруулах шаардлагатай гэж үзэж байна. Методын нэр, түүн рүү дамжуулж буй параметрүүд нь тухайн программ нь дотоод сүлжээний сканнер мэт харагдаж байгаа юм.
jquery.fancybox.js хортой программ
Хортой код нь “зөвшөөрлийн маягт.chm” файлд агуулагдаж байгаа бөгөөд CHM буюу HTML Help файл нь Windows 98 хувилбараас эхлэн CHM viewer-ыг агуулдаг болсон бөгөөд энэхүү төрлийн файл нь скрипт ажиллуулах чадамжтай байдаг учраас хортой кодын зорилгоор ихээхэн ашиглагддаг. Хэрэглэгчийн веб хөтчид хуудас дуудагдах үед ажиллана. Үүнд:
• Уг хортой код нь schtask.exe-г ашиглан хортой кодоо ажиллуулна.
• Уг хортой код нь schtask.exe-ыг ашиглан хортой кодоо хэрэглэгчдийн төхөөрөмж дээр дахин ажилладаг байхаар таск үүсгэдэг.
• Халдагч этгээд хортой кодын мэдээллийг нуух зорилгоор энкодинг ашигласан.
• Цуглуулсан мэдээллээ HTTP POST хүсэлтээр кодод заасан URL руу илгээнэ.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.
• Хост системүүдэд анти-вирусийн программыг суулгаж, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
Matsnu хортой программ
Matsnu нь backdoor төрлийн хортой программ бөгөөд 2011 – 2015 оны үед идэвхтэй тархаж байсан бөгөөд нэмэлтээр хортой код татаж авах, серверээс авсан командын дагуу өөрийгөө update хийх чадвартай бөгөөд хэрэглэгчийн хувийн мэдээллийг хулгайлах зорилготой. Тухайн хортой программ нь 3 давхар пакертай бөгөөд үүний 2 нь UPX ашигласан байдаг бол 1 нь хөгжүүлэгчдийнх нь бүтээсэн тусгай пакер юм. Matsnu хортой программ нь хортой кодыг татаж авах, команд удирдлагын серверээр дамжуулан өөрийгөө шинэчлэх, хувийн мэдээллийг хулгайлах зэрэг үйлдлүүд хийж байна. Энэ нь өгөгдлийн хэсгүүдийг нуух, IsDebuggerPresent зэрэг шинжилгээний хэрэгслүүдийг илрүүлэхийн тулд тусгай packer ашигладаг. Хорт код ажилласны дараа Windows-ийн функцийн суулгацын дүрд хувирч, дараа нь AppData-д "tracerpt.exe" хэлбэрээр хуулбарлагдаж, дараагийн шатны payload-уудыг байрлуулдаг. Matsnu нь C2 серверийн холболтод домэйн үүсгэх алгоритмыг (DGA) ашигладаг бөгөөд domain серверүүд идэвхгүй байсны улмаас шинжилгээний ул мөр авах явц амжилтгүй болсон. Энэ хортой программын аюулгүй байдлын системүүдийг давах, системд урт хугацаанд орших нарийн механизмууд нь өмнө шинжилгээ хийсэн хортой программуудаас илүү аюул занал учруулах боломжтой байна.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
- Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна. https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
- Татсан zip файлыг задлах Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
- Command Prompt программыг administrator эрхтэй нээх
- yara программ байгаа фолдерийг нээх Жишээ нь cd C:\yara-4.3.2-2150-win64 \
- Шинэ file нээн Yara -ын дүрэм хуулж Matsnu.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
- Хортой программыг Yara дүрэм ашиглан хайх Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Matsnu.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Matsnu хортой кодыг хайна.
Жишээ нь:
- C дискээс Matsnu хортой программыг хайх команд > yara64.exe -r Matsnu.yara C:\ 2>/NUL
- D дискээс Matsnu хортой программыг хайх команд > yara64.exe -r Matsnu.yara D:\ 2>/NUL
Халдвар авсан системээс уг хортой программыг илрүүлэх Yara -ын дүрэм:
rule Detect_Specific_File
rule Matsnu
{
meta:
description = "Detects Matsnu malware"
author = "PCERT"
date = "2024-05-27"
version = "1.1" sha256 = "8ac9774484dd7b23f45e0167f8bd000dbc750147ffef602f5b17faffae24c4c5"
strings:
$string1 = "type-commission.exe"
$string2 = "Matsnu"
condition:
all of ($string*) or
sha256(0, filesize) == "8ac9774484dd7b23f45e0167f8bd000dbc750147ffef602f5b17faffae24c4c5"
}
rule Matsnu_DroppedFiles
{
meta:
description = "Dropped files"
author = "PCERT"
date = "2024-05-27"
version = "1.0"
strings:
$file1 = "C:\\Users\\\\AppData\\Local\\Temp\\~c8c8932b.tmp"
$file2 = "C:\\Users\\\\AppData\\Roaming\\Stuff-strip\\stuffbone.exe"
$file3 = "C:\\Users\\\\AppData\\Local\\Temp\\04DA6B4A.bat"
$file4 = "C:\\Windows\\ServiceProfiles\\LocalService\\AppData\\Roaming\\Microsoft\\UPnP Device
Host\\upnphost\\udhisapi.dll"
$file5 = "C:\\Windows\\System32\\Tasks\\Microsoft\\Windows\\DiskDiagnostic\\MicrosoftWindows-
DiskDiagnosticDataCollector"
condition:
any of ($file*)
}
- Дээрх YARA дүрмийг ашиглан Matsnu төрлийн хортой кодыг илрүүлэх
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх
Mirai хортой программ
Mirai хортой программ нь 2016 оны 8-р сард идэвхтэй тархаж байсныг MalwareMustDie хортой код шинжээчдийн бүлгэм анх олж илрүүлсэн ба уг хортой программ нь тус оны 9-р сард krebsonsecurity[.]com сайт руу 620 Гбит/c DDoS халдлага үйлдэж байсан гэдгээрээ алдартай. Гэвч хортой программыг зохиосон этгээд 2016.09.30-ны өдөр hackforums[.]net сайтад тухайн хортой программын эх код болон хэрхэн ажиллуулах зааврыг нийтэлсний улмаас бусад хортой программ хөгжүүлэгчид түүний кодыг сайжруулах замаар mirai төрлийн хортой программын тархалтыг нэмэгдүүлсээр байна.
Mirai хортой программын бусдаас ялгарах шинж нь table буюу User agent, exploit payload, C&C серверийн домэйн хаяг зэрэг мэдээллийг XOR ашиглан шифрлэдэг бөгөөд энэ удаагийн хортой код нь “DEDEFBAF” үгийг доорх алгоритмаар оруулан эцсийн түлхүүрийг гаргаж авч байгаа бөгөөд encrypted table нь 2 түлхүүрээр задарч байна. “0x22” түлхүүрээр гарган авсан string-үүд нь халдлагад ашиглагдах HTTP payloadууд байгаа 0x54 түлхүүр үгээр гаргаж авсан string-үүд нь тухайн төхөөрөмж дээр persistence хийх, C&C сервертэй холбогдоход шаардлагатай командуудын мэдээллийг агуулж байна. Үүнээс гадна Mirai хортой программ нь IoT төхөөрөмжийн telnet протоколоор хандан сул эвсэл үйлдвэрлэгчийн үндсэн нэвтрэх, нууц үгийг таах зарчмаар эзлэн авч халдварладаг бөгөөд энэ удаагийн шинжилгээ хийж буй хортой программ нь нууц үгсийг ашиглаж байна.
Түүнчлэн тухайн хортой программ нь бусад төхөөрөмжийг эзлэхдээ төхөөрөмжийн дараах Remote Code Execution /RCE/ эмзэг байдлыг ашиглаж байгаа нь тогтоогдсон.
▪ CVE-2018-10561: WEB Dasan GPON Routers Command Injection
▪ Linksys E-series router: tmUnblock.cgi command injection
▪ Think PHP 5.X : Remote command execution
▪ CVE-2014-8361: Realtek SDK - OS command injection
▪ CVE-2017-17215: Huawei router – Remote code execution
▪ CVE-2015-2051: D-Link – Remote code execution
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Mirai.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Mirai.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Mirai хортой кодыг хайна.
Жишээ нь:
- C дискээс Mirai хортой программыг хайх команд > yara64.exe -r Mirai.yara C:\ 2>/NUL
- D дискээс Mirai хортой программыг хайх команд > yara64.exe -r Mirai.yara D:\ 2>/NUL
rule Detect_Specific_File
{
meta:
description = "Detects file with specific SHA256 hash"
hash= "5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"
condition:
hash.sha256(0,filesize)==
"5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"
}
• Mirai хортой программын persistence хийх аргачлал нь тийм ч сайн биш учраас ихэнх тохиолдолд төхөөрөмжийг restart хийхэд процессоо дахин эхлүүлж чаддаггүй.
• Төхөөрөмжийг reset хийх telnet нэвтрэлтийн нууц үгийг хүчирхэг болгох.
• firmware-ын хувилбарыг хамгийн сүүлийн хувилбар болгон ахиулах зэрэг арга хэмжээг авна.
Nymaim хортой программ
Nymaim хортой программ нь downloader төрлийнх буюу тухайн системийн эмзэг байдал /exploit kit/ эсвэл фишинг имэйл зэрэг төрөл бүрийн аргаар хэрэглэгчийн компьютерт суусны дараа дахин өөр нэмэлт хортой кодуудыг татах зориулалттай хортой программ юм. Анх 2013 онд Black Hat SEO, Black Hole Exploit Kit-ыг ашиглан тархдаг байсан бол 2015 оноос banking trojan буюу хэрэглэгчийн санхүүгийн мэдээлэл рүү хандах боломжит эрхүүдийг хулгайлдаг болон хөгжсөн.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Nymaim.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Nymaim.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Mirai хортой кодыг хайна.
Жишээ нь:
• C дискээс Nymaim хортой программыг хайх команд > yara64.exe -r Nymaim.yara C:\ 2>/NUL
• D дискээс Nymaim хортой программыг хайх команд > yara64.exe -r Nymaim.yara D:\ 2>/NUL
rule nymaim: trojan
{
meta:
author = "mak"
reference = "https://www.cert.pl/en/news/single/nymaim-revisited/"
strings:
$call_obfu_xor = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 33 ?? 08 E9 }
$call_obfu_add = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 03 ?? 08 E9 }
$call_obfu_sub = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 2b ?? 08 E9 }
$nym_get_cnc = {E8 [4] C7 45 ?? [4] C7 45 ?? [4] 83 ??}//3D[4] 01 74 4E E8}
$nym_get_cnc2 ={E8 [4] C7 45 ?? [4] 89 [5] 89 [5] C7 45 ?? [4] 83 ??}
$nym_check_unp = {C7 45 ?? [4] 83 3D [3] 00 01 74 }
$set_cfg_addr = {FF 75 ?? 8F 05 [4] FF 75 08 8F 05 [4] 68 [4] 5? 68 [4] 68 [4]
E8 }
condition:
(
/* orig */
(2 of ($call_obfu*)) and (
/* old versions */
$nym_check_unp or $nym_get_cnc2 or $nym_get_cnc or
/* new version */ $set_cfg_addr
)
)
}
- Дээрх YARA дүрмийг ашиглан Nymaim төрлийн хортой кодыг илрүүлэх.
- Nymaim төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.
Panda banker хортой программ
Panda banker нь trojan төрлийн хортой программ бөгөөд алдарт Zeus banking trojan нь 2011 онд эх кодоо нийтэд ил болгосны улмаас маш олон энэ төрлийн хортой программууд хөгжүүлэгдсэний нэг нь Panda banker юм. 2016 онд Бразилын олимпын үеэр тархаж эхэлсэн бөгөөд хэрэглэгчийн санхүүгийн нууц мэдээллийг хулгайлах зорилготой хортой программ юм.
- Panda banker хортой программ нь хэрэглэгчийн систем дээр суусны дараа команд болон скрипт ажиллуулж өөрийгөө устгана.
- Хортой программ нь халдварлагдсан системд дахин ачаалахдаа startup фолдерт хуулагдана.
- “svchost” процессыг үүсгэн түүн рүү inject хийн өөрийгөө нууж үйл ажиллагаагаа явуулна.
- Panda baker хортой программ нь халдварлагдсан системийн мэдээлэл, хэрэглэгчийн мэдээллүүд рүү хандалт хийнэ.
- Цуглуулсан мэдээллээ C2 сервер рүүгээ дамжуулдаг.
Хорт кодын файл нэр: 3870112724rsegmnoittet-es.exe
Хорт кодын төрөл: Trojan
Panda banker хортой программ нь хэрэглэгчийн компьютерын веб хөтчийн мэдээлэлд хандаж банк болон кредит картын мэдээллийг хулгайлах зорилготойгоор 2016 оноос эхлэн тархаж эхэлсэн Zeus banking trojan программаас үүдэлтэй хортой программ юм. Уг хортой программ анти-вирус болон хортой программын шинжилгээнээс хамгаалах механизмуудтай бөгөөд өөрийнхөө ажиллагааг нуухдаа process injection хийж ажилладаг. Халдвар авсан системээс хэрэглэгчийн вэб хөтчөөс эмзэг мэдээллүүдийг цуглуулж коммaнд удирдлагын сервер рүүгээ дамжуулах байдлаар хортой ажиллагаагаа явуулдаг ноцтой түвшний хохирол учруулах хортой программ тул зөрчлийг буруулах зөвлөмжийн дагуу хариу арга хэмжээг авахыг зөвлөж байна.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
- Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна. https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
- Татсан zip файлыг задлах Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
- Command Prompt программыг administrator эрхтэй нээх
- yara программ байгаа фолдерийг нээх Жишээ нь cd C:\yara-4.3.2-2150-win64 \
- Шинэ file нээн Yara -ын дүрэм хуулж pandabanker.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
- Хортой программыг Yara дүрэм ашиглан хайх Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан pandabanker.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар pandabanker хортой кодыг хайна.
Жишээ нь:
- C дискээс pandabanker хортой программыг хайх команд > yara64.exe -r pandabanker.yara C:\ 2>/NUL
- D дискээс pandabanker хортой программыг хайх команд > yara64.exe -r pandabanker.yara D:\ 2>/NUL
Халдвар авсан системээс уг хортой программыг илрүүлэх Yara -ын дүрэм:
rule win_pandabanker_auto {
meta:
author = "Felix Bilstein - yara-signator at cocacoding dot com"
date = "2023-12-06"
version = "1"
description = "Detects win.pandabanker."
info = "autogenerated rule brought to you by yara-signator"
tool = "yara-signator v0.6.0"
signator_config = "callsandjumps;datarefs;binvalue"
malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker"
malpedia_rule_date = "20231130"
malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
malpedia_version = "20230808"
malpedia_license = "CC BY-SA 4.0"
malpedia_sharing = "TLP:WHITE"
strings:
$sequence_0 = { 56 8bf2 57 83f8ff 7507 8bce e8???????? }
// n = 7, score = 8600
// 56 | push esi
// 8bf2 | mov esi, edx
// 57 | push edi //
83f8ff | cmp eax, -1
// 7507 | jne 9
// 8bce | mov ecx, esi
// e8???????? |
$sequence_1 = { 57 8b4808 8d7c2418 8b4004 }
// n = 4, score = 8600
// 57 | push edi
// 8b4808 | mov ecx, dword ptr [eax + 8]
// 8d7c2418 | lea edi, [esp + 0x18]
// 8b4004 | mov eax, dword ptr [eax + 4]
$sequence_2 = { c1e202 8bfe 8bca 45 }
// n = 4, score = 8600
// c1e202 | shl edx, 2
// 8bfe | mov edi, esi
// 8bca | mov ecx, edx
// 45 | inc ebp
$sequence_3 = { 7404 c6400109 8b442430 8bd5 014608 8bcf 56 }
// n = 7, score = 8600
// 7404 | je 6
// c6400109 | mov byte ptr [eax + 1], 9
// 8b442430 | mov eax, dword ptr [esp + 0x30]
// 8bd5 | mov edx, ebp
// 014608 | add dword ptr [esi + 8], eax
// 8bcf | mov ecx, edi
// 56 | push esi
$sequence_4 = { eb2c 6a05 5a 8bcf }
// n = 4, score = 8600
// eb2c | jmp 0x2e
// 6a05 | push 5
// 5a | pop edx
// 8bcf | mov ecx, edi
$sequence_5 = { c6007b 40 85db 7404 c6000a 40 c60000 }
// n = 7, score = 8600
// c6007b | mov byte ptr [eax], 0x7b
// 40 | inc eax
// 85db | test ebx, ebx
// 7404 | je 6
// c6000a | mov byte ptr [eax], 0xa
// 40 | inc eax
// c60000 | mov byte ptr [eax], 0
$sequence_6 = { e8???????? 8bf0 85f6 7411 8bcf }
// n = 5, score = 8600
// e8???????? |
// 8bf0 | mov esi, eax
// 85f6 | test esi, esi
// 7411 | je 0x13
// 8bcf | mov ecx, edi
$sequence_7 = { 85ff 7423 8b0e 8bd5 }
// n = 4, score = 8600
// 85ff | test edi, edi
// 7423 | je 0x25
// 8b0e | mov ecx, dword ptr [esi]
// 8bd5 | mov edx, ebp
$sequence_8 = { e8???????? 8b742414 8bce 8b542418 89742424 e8???????? 84c0 }
// n = 7, score = 8600
// e8???????? |
// 8b742414 | mov esi, dword ptr [esp + 0x14]
// 8bce | mov ecx, esi
// 8b542418 | mov edx, dword ptr [esp + 0x18]
// 89742424 | mov dword ptr [esp + 0x24], esi
// e8???????? |
// 84c0 | test al, al
$sequence_9 = { 7508 33c0 85d2 0f95c0 c3 }
// n = 5, score = 8600
// 7508 | jne 0xa
// 33c0 | xor eax, eax
// 85d2 | test edx, edx
// 0f95c0 | setne al
// c3 | ret
condition:
7 of them and filesize < 417792
}
- Дээрх YARA дүрмийг ашиглан Panda banker төрлийн хортой кодыг илрүүлэх
- Panda banker төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх
Phorpiex хортой программ
Phorpiex хортой программ нь 2018 оноос эхлэн тархаж эхэлсэн ба хэрэглэгчийн мэдээллийг хулгайлах, cryptomining хийх, спам и-мэйл илгээх зэрэг үйл ажиллагаа явуулдаг бөгөөд эхэндээ USB санах ойгоор халдварлах, мессенжерүүдээр дамжин тархдаг байсан бол сүүлийн жилүүдэд улам сайжирч хуурамч хэрэглээний программуудаар дамжин тархах, хэрэглэгчийн компьютерт ransomware суулгах зэрэг үйлдлүүд гүйцэтгэдэг болсон.
Файлын нэр: pei[1].exe
SHA256: e172537adcee1fcdc8f16c23e43a5ac82c56a0347fa0197c08be979438a534ab
хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
- Yara программ татах. Yara программыг энэ холбоосоор хандаж татаж авна.
- Татсан zip файлыг задлах. Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
- Command Prompt программыг administrator эрхтэй нээх
- Yara программ байгаа фолдерийг нээх. Жишээ нь: cd C:\new folder\
- Yara-ын дүрэмийг шинэ file нээн хуулж phorpiex.yara нэртэйгээр хадгална
- Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан phorpiex.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар phorpiex хортой кодыг хайна.
Жишээ нь:
▪ C дискээс phorpiex хортой программыг хайх команд > yara64.exe -r phorpiex.yara C:\ 2>/NUL
▪ D дискээс phorpiex хортой программыг хайх команд > yara64.exe -r phorpiex.yara D:\ 2>/NUL
import "hash"
rule Phorpiex_hortoi_code {
meta:
description = "Phorpiex-iin last variant ilruuleh"
author = "pcert"
date = "2024-03-26"
strings:
// by registry
$regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Wpad" nocase
// by file paths
$filePath1 = "%AUTO%\\1582108473.0167336_40d2b83b-f78f-4d18-aba6- caf1cfd0815d\\" nocase
// by file names
$fileName1 = "pei[1].exe" nocase
condition:
// hortoi code haih
(
$regKey or
$filePath1 or
$fileName1
)
or (
//by hash
hash.sha256(0, filesize) ==
"e172537adcee1fcdc8f16c23e43a5ac82c56a0347fa0197c08be979438a534ab "
)
}
- Дээрх YARA дүрмийг ашиглан Phorpiex төрлийн хортой кодыг илрүүлэх
- Phorpiex төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх
PlugX хортой программыг YARA дүрэм ашиглан илрүүлэх болон хорт кодыг цэвэрлэх заавар
PlugX төрлийн хортой код нь тархахдаа фишинг халдлага, хортой файл хавсаргасан USB флаш дискээр мөн системийн эмзэг байдлыг ашиглан эзлэгдсэн хост дээр халдагчид хандах суваг үүсгэх зорилготой Remote Access Trojan (RAT) төрлийн хортой программ юм.
Энэ хортой программ нь FmtOptions.exe, FmtOptions.dll, AppIdPolicy.xsd гэсэн 3 файлаас бүрдэнэ. FmtOptions.exe программ ажиллаж эхлэхэд хортой DLL файл буюу FmtOptions.dll-г дуудаж AppIdPolicy.xsd payload-ын шифрийг тайлан ачаалах байдлаар системд нууцлагдмал байдлаар хортой үйл ажиллагаа явуулна. Ихэнх тохиолдолд FmtOptions.exe файлыг компьютер асахад ачаалагдах байдлаар startup тохиргоонд нэмж өгсөн байдаг.
PlugX хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
- Yara программ татах. Yara программыг энэ холбоосоор хандаж татаж авна.
- Татсан zip файлыг задлах. Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална. Файлыг татаж аваад задалсны дараах байдлыг дараах зургаас харна уу.
- PlugX хортой программыг илрүүлэх Yara дүрмийг байрлуулах. Энэхүү зааврын хавсралт rule.yara файл нь PlugX хортой программыг илрүүлэх Yara дүрмийг агуулсан байгаа тул уг файлыг өмнөх алхмаар задалсан Yara программын байрлах хавтсанд хуулж байрлуулна.
- Command Prompt программыг нээх. Зурагт харуулсанчлан Command Prompt программыг Administrator эрхтэйгээр нээнэ.
- PlugX хортой программыг Yara дүрэм ашиглан хайх. Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд PlugX хортой программыг илрүүлэх Yara дүрмийг агуулсан rule.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар PlugX хортой кодыг хайна. Жишээ нь:
- C дискээс PlugX хортой программыг хайх команд > yara64.exe -r rule.yara C:\ 2>/NUL
- D дискээс PlugX хортой программыг хайх команд > yara64.exe -r rule.yara D:\ 2>/NUL
Дээрх зааврын дагуу C дискээс PlugX программыг хайсан байдлыг дараах зурагт харуулав.
Дээрх хайлтын үр дүнд PlugX хортой программ илэрвэл уг хортой программын илэрсэн замыг буцаана. Уг хортой программ илрээгүй тохиолдолд ямар нэгэн үр дүн хэвлэхгүй.
import "hash"
rule PlugX_hortoi_code {
meta:
description = "PlugX-iin last variant ilruuleh"
author = "pcert"
date = "2024-02-26"
strings:
// by registry
$regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\KavSky" nocase
// by file paths
$filePath1 = "%AUTO%\\KavSky\\cap" nocase
$filePath2 = "%AUTO%\\KavSky" nocase
// by file names
$fileName1 = "FmtOptions.dll" nocase
$fileName2 = "FmtOptions.exe" nocase
$fileName3 = "AppIdPolicy.xsd" nocase
condition:
// hortoi code haih
(
$regKey or
$filePath1 or
$filePath2 or
$fileName1 or
$fileName2 or
$fileName3
)
or (
//by hash
hash.sha256(0, filesize) == "3eaef97089754bfe545117f4dc359f59c957a4fcc1b2797b7ed3071d5370acd2" or
hash.sha256(0, filesize) == "f9558aae2ad658885c071975a6efd055e3324717a32ddf551c5760afe766204e" or
hash.sha256(0, filesize) == "ebb9fe6e0b0e8dfcc69088a9cec1d66b373817ea4de48fa0029436715bc9bcee"
)
}
PlugX хортой программ нь post-exploitation буюу халдагч этгээд тухайн компьютерын эмзэг байдал, фишинг имэйл зэргээр дамжин компьютерт нэвтэрсний дараа алсын зайнаас удирдах, өгөгдөл хулгайлах зэргээр ашиглаж буй хортой программ юм. Өөрөөр хэлбэл энэхүү Yara дүрэм нь зөвхөн PlugX хортой программыг л цэвэрлэхээс түүний орж ирсэн сувгийг илрүүлэх боломжгүй юм.
Yara дүрмийг ашиглан хийсэн хайлтын үр дүнд PlugX төрлийн хортой программ систем дээрээс илэрсэн тохиолдолд дараах зөвлөмжийн дагуу уг хортой программыг системээс цэвэрлэх боломжит сонголтуудыг дор харуулав. Үүнд:
- Системийг дахин шинээр суулгах. Тухайн систем нь PlugX төрлийн хортой программын ямар хувилбарт өртсөнөөс хамаараад ажиллаж байгаа процесс, сервисийн нэр, файлын хуулсан зам, үүсгэсэн файлын нэр, регистр өөр өөр байх магадлалтай байдаг. Мөн систем уг хортой программын халдварт өртсөнөөс хойш нэмэлтээр өөр бусад төрлийн хортой программууд системд суусан байх магадлалтай. Энэ тохиолдолд халдвар авсан хостын үйлдлийн системийг дахин шинээр суулгаж ашиглах нь хамгийн зохистой хариу арга хэмжээ юм.
- Хортой программыг устгах. Хэрвээ халдвар авсан хостын үйлдлийн системийг дахин шинээр суулгах боломжгүй тохиолдолд уг хортой программыг системээс устгах/цэвэрлэх зорилгоор дараах алхмуудыг гүйцэтгэнэ. Энэ аргаар цэвэрлэх нь дээр дурдсан сул талуудтай гэдгийг анхаарна уу.
- Yara дүрмээр илэрсэн файлын зам дээр очиж уг фолдерт байгаа бүх файлыг устгах
- Start -> Services цэсээр орон сервисүүдийн жагсаалтаас “KavSky” нэртэй “KavSky Anit-Virus Service” тайлбар бүхий сервис байгаа эсэхийг шалгаж байгаа тохиолдолд сервисийг зогсоосны дараа “sc.exe delete KavSky” командыг ажиллуулан устгана
- Файлуудыг устгасан ч санах ойд бусад процесст inject хийн ажиллаж буй хортой программ байж болзошгүй учир компьютерыг рестарт хийх.
- PlugX хортой программаар дахин халдварлах боломжтой учир /цэвэрлээгүй компьютероос халдварлах эсвэл өмнөх халдварласан сувгаар дамжин орж ирэх/ IOC хэсэг дэх домийн, IP хаяг руу байгууллагын сүлжээнээс хандалт хийгдэж байгаа эсэхийг тогтмол хянах.
PseudoManuscrypt хортой программ
PseudoManuscrypt loader trojan төрлийн хортой программ бөгөөд нь 2021 оны 6-р сараас эхлэн тархаж эхэлсэн ба энэхүү хортой программын халдварлах аргачлал нь их сонирхолтой. Энэ төрлийн хортой программууд нь хайлтын системүүд дээр SEO- “Search engine optimization нь хайлтын системээс вэб хуудас руу чиглэсэн урсгалын чанар, тоо хэмжээг сайжруулах процесс” хийсэн веб хуудаснууд дээр pirated- “зохиогчийн эрхийг зөрчин хууль бусаар ашиглах, түгээгдэж буй” мэт харагдах хуурамч программуудыг байршуулдаг ба түүнийг нь татаж авч суулгасан хэрэглэгч тухайн хортой программын хохирогч болдог.
Жишээлбэл: Solarwinds-ын программыг хайлт хийхэд Google хайлтын системийн харуулж буй илэрцүүдийн хамгийн эхэнд харагдаж байгаа юм.
PseudoManuscrypt нь 2021 онд идэвхтэй байсан ч одоогоор хөгжүүлэлт нь зогссон учраас түүний ихэнх C2 серверүүд нь хандах боломжгүй болсон. Өөрөөр хэлбэл аюулгүй байдлын төхөөрөмжүүд дээр алерт өгч буй PseudoManuscrypt хортой программтай холбоотой эвентүүд нь тухайн идэвхтэй байсан хугацааны мөчлөгт халдварлагдсан ч одоог хүртэл цэвэрлэгдээгүй байсаар байгаа гэсэн үг юм.
• C2 серверээс нэмэлт файлуудыг татаж авсан.
• Хэрэглэгчийн компьютерын гарын даралтын утгуудыг хадгалж авч байгаа
• Компьютерт суусан программын мэдээлэл, ажиллаж буй процессуудын мэдээллийг цуглуулж байгаа.
• Хэрэглэгчийн компьютерын гарын даралтын утгуудыг хадгалж авч байгаа.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж pseudo.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан pseudo.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар PseudoManuscrypt хортой кодыг хайна.
Жишээ нь:
- C дискээс PseudoManuscrypt хортой программыг хайх команд > yara64.exe -r pseudo.yara C:\ 2>/NUL
- D дискээс PseudoManuscrypt хортой программыг хайх команд > yara64.exe -r pseudo.yara D:\ 2>/NUL
rule Detect_Specific_File
{
meta:
description = "Detects file with specific SHA256 hash"
hash= "5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"
condition:
hash.sha256(0,filesize)==
"5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"
}
• Дээрх YARA дүрмийг ашиглан PseudoManuscrypt төрлийн хортой кодыг илрүүлэх.
• PseudoManuscrypt төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.
Pykspa хортой программ
Pykspa нэрт worm төрлийн хортой программ нь 2019 оноос эхлэн үйл ажиллагаагаа явуулж эхэлсэн бөгөөд тархах аргачлал нь хэрэглэгчийн компьютер дээр суусны дараа тухайн хэрэглэгчийн Skype messenger-ийн contact дэх хэрэглэгчид рүү Pykspa программыг татах линк бүхий мессежийг илгээдэг бөгөөд тухайн линк дээр дарсан тохиолдолд халдвар авч цааш тархах байдлаар үргэлжилдэг.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Pykspa.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Pykspa.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Pykspa хортой кодыг хайна.
Жишээ нь:
- C дискээс Pykspa хортой программыг хайх команд > yara64.exe -r Pykspa.yara C:\ 2>/NUL
- D дискээс Pykspa хортой программыг хайх команд > yara64.exe -r Pykspa.yara D:\ 2>/NUL
rule win_pykspa_auto {
meta:
author = "Felix Bilstein - yara-signator at cocacoding dot com"
date = "2023-12-06"
version = "1"
description = "Detects win.pykspa."
info = "autogenerated rule brought to you by yara-signator"
tool = "yara-signator v0.6.0"
signator_config = "callsandjumps;datarefs;binvalue"
malpedia_reference =
https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa
malpedia_rule_date = "20231130"
malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
malpedia_version = "20230808"
malpedia_license = "CC BY-SA 4.0"
malpedia_sharing = "TLP:WHITE"
/* DISCLAIMER
* The strings used in this rule have been automatically selected from the
* disassembly of memory dumps and unpacked files, using YARA-Signator.
* The code and documentation is published here:
* https://github.com/fxb-cocacoding/yara-signator
* As Malpedia is used as data source, please note that for a given
* number of families, only single samples are documented.
* This likely impacts the degree of generalization these rules will offer.
* Take the described generation method also into consideration when you
* apply the rules in your use cases and assign them confidence levels.
*/
strings:
$sequence_0 = { 8b5c240c 57 8b7c240c 3bfb 7513 57 8b7c2418 }
// n = 7, score = 100
// 8b5c240c | mov ebx, dword ptr [esp + 0xc]
// 57 | push edi
// 8b7c240c | mov edi, dword ptr [esp + 0xc]
// 8b7c240c | mov edi, dword ptr [esp + 0xc]
// 3bfb | cmp edi, ebx
// 7513 | jne 0x15
// 57 | push edi
// 8b7c2418 | mov edi, dword ptr [esp + 0x18]
$sequence_1 = { 6a00 c6400e01 ff15???????? cc 55 8bec b89c110000 }
// n = 7, score = 100
// 6a00 | push 0
// c6400e01 | mov byte ptr [eax + 0xe], 1
// ff15???????? |
// cc | int3
// 55 | push ebp
// 8bec | mov ebp, esp
// b89c110000 | mov eax, 0x119c
$sequence_2 = { c3 a1???????? 85c0 7501 c3 8b4818 85c9 }
// n = 7, score = 100
// c3 | ret
// a1???????? |
// 85c0 | test eax, eax
// 7501 | jne 3
// c3 | ret
// 8b4818 | mov ecx, dword ptr [eax + 0x18]
// 85c9 | test ecx, ecx
$sequence_3 = { 381d???????? 8b2d???????? 744f 8d442418 68???????? 50 e8???????? }
// n = 7, score = 100
// 381d???????? |
// 8b2d???????? |
// 744f | je 0x51
// 8d442418 | lea eax, [esp + 0x18]
// 68???????? |
// 50 | push eax
// e8????????
$sequence_4 = { c60000 807d0000 0f843b010000 57 ff742414 e8???????? 50 }
// n = 7, score = 100
// c60000 | mov byte ptr [eax], 0
// 807d0000 | cmp byte ptr [ebp], 0
// 0f843b010000 | je 0x141
// 57 | push edi
// ff742414 | push dword ptr [esp + 0x14]
// e8???????? |
// 50 | push eax
$sequence_5 = { 0f95c0 5e c3 55 8bec 83ec54 53 }
// n = 7, score = 100
// 0f95c0 | setne al
// 5e | pop esi
// c3 | ret
// 55 | push ebp
// 8bec | mov ebp, esp
// 83ec54 | sub esp, 0x54
// 53 | push ebx
$sequence_6 = { ff15???????? 8b35???????? 53 ffd6 8b3d???????? 53 ffd7 }
// n = 7, score = 100
// ff15???????? |
// 8b35???????? |
// 53 | push ebx
// ffd6 | call esi
// 8b3d???????? |
// 53 | push ebx
// ffd7 | call edi
$sequence_7 = { 381d???????? 7508 381d???????? 743e 56 ff15???????? 83f805 }
// n = 7, score = 100
// 381d???????? |
// 7508 | jne 0xa
// 381d???????? |
// 743e | je 0x40
// 56 | push esi
// ff15???????? |
// 83f805 | cmp eax, 5
$sequence_8 = { 8d85acfeffff 68???????? 50 e8???????? 85c0 59 59 }
// n = 7, score = 100
// 8d85acfeffff | lea eax, [ebp - 0x154]
// 68???????? |
// 50 | push eax
// e8???????? |
// 85c0 | test eax, eax
// 59 | pop ecx
// 59 | pop ecx
$sequence_9 = { 6a05 8bca 33d2 f7f3 8bc7 bb40e20100 03ca }
// n = 7, score = 100
// 6a05 | push 5
// 8bca | mov ecx, edx
// 33d2 | xor edx, edx
// f7f3 | div ebx
// 8bc7 | mov eax, edi
// bb40e20100 | mov ebx, 0x1e240
// 03ca | add ecx, edx
condition:
7 of them and filesize < 835584
}
- Дээрх YARA дүрмийг ашиглан Pykspa төрлийн хортой кодыг илрүүлэх.
- Pykspa төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.
RisePro хортой программ
RisePro хортой программ нь Malware-as-а-service” Хорт кодоор үйлчилгээ үзүүлэх” байдлаар ашиглагддаг бөгөөд 2022 оноос эрчимтэй тархаж эхэлсэн. Malware-as-a-service нь хортой программ болон түүний дэд бүтцийг сервис байдлаар дурын этгээдэд төлбөртэйгөөр ашиглуулдаг ба хортой кодын цуглуулсан өгөгдөл рүү хандах, команд удирдлагын серверийн домэйн хаягийг өөрийнхөө эзэмшлийн домэйнээр солих, antivirus evasion хийх зэрэг “Анти-вирусийн программд илрэхгүй болгох” давуу талуудыг олгодог үйлчилгээ юм.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж RisePro.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан RisePro.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар RisePro хортой кодыг хайна.
Жишээ нь:
- C дискээс RisePro хортой программыг хайх команд > yara64.exe -r RisePro.yara C:\ 2>/NUL
- D дискээс RisePro хортой программыг хайх команд > yara64.exe -r RisePro.yara D:\ 2>/NUL
rule RisePro {
meta:
author = "ANY.RUN"
description = "Detects RisePro (stealer version)"
date = "2023-11-27"
reference = "https://any.run/cybersecurity-blog/risepro-malwarecommunication-analysis/" strings:
$ = { 74 2e 6d 65 2f 52 69 73 65 50 72 6f 53 55 50 50 4f 52 54 }
condition:
any of them
}
- Дээрх YARA дүрмийг ашиглан RisePro төрлийн хортой кодыг илрүүлэх.
- RisePro төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.
Sality төрлийн хортой программ
Sality хортой программ нь ихэвчлэн USB флаш диск, дундын хуваалцсан хавтас зэргээр дамжуулагдан халдварладаг. Sality нь халдвар авсан файл (эсвэл хост)-ын төгсгөлд урьдчилан бэлтгэсэн өөрийн хортой кодыг нэмж оруулдаг trojan-“Хэрэглэгчийн төхөөрөмжид бусад хэвийн программтай хавсарсан байдлаар суух болон түүнийг дуурайлган хийсэн хэрэглэгчийн мэдээллийг хулгайлах, өөр бусад хорт программыг суулгах, төхөөрөмжид нэвтрэх хандалт үүсгэж өгөх гэх мэт төрөл бүрийн хорт кодыг хавсаргасан хортой программ” төрлийн хорт программ юм. Sality-ийн оруулж буй хортой код нь polymorph- Өөрийн ялгаатай хувилбаруудыг үүсгэх боломжтой ба түүнчлэн илрүүлэхэд улам нарийн төвөгтэй кодтой бөгөөд шинжилгээг илүү төвөгтэй болгох зорилготой байдаг.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Sality.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Sality.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Sality хортой кодыг хайна.
Жишээ нь:
- C дискээс Sality хортой программыг хайх команд > yara64.exe -r Sality.yara C:\ 2>/NUL
- D дискээс Sality хортой программыг хайх команд > yara64.exe -r Sality.yara D:\ 2>/NUL
import "hash"
rule Detect_Files_By_SHA256 {
meta:
description = "SHA-256 hash-aar olno"
author = "bilg"
date = "2023-10-17"
condition:
hash.sha256(0,filesize)==
"040f8a9fbdc49c0ae2c2e3872f1fabd8ed805bb8e0baaefd6e426d5facd2a173" or
hash.sha256(0,filesize)==
"c2d814a34b184b7cdf10e4e7a4311ff15db99326d6dd8d328b53bf9e19ccf858" or
hash.sha256(0,filesize)==
"c015b6e5b8e1dc3707b555042480c1001c8eb847561ab2f7c05594e057cde7ad"
}
//Ajluulah :
//yara -r sality.yara {haih zam}
//Jishee :
//yara -r sality.yara C:\
- Sality төрлийн хортой программыг ихэнх антивирусын программууд илрүүлж байгаа тул хост системүүдэд антивирусын программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
- Sality программ Temp нэртэй фолдерт үүсгэсэн файлуудаасаа дахин халдварлах боломжтой тул C:\Windows зам дээрх бүх файлыг устгах, хогийн савыг мөн цэвэрлэх.
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг хийх, цаашдаа хийж байх сонголтыг тогтмол байдлаар идэвхжүүлэх.
ViperSoftX хортой программ
Хорт кодын ерөнхий мэдээлэл ViperSoftX хортой программ нь 2019 оны сүүл, 2020 оны эхээр ажиглагдаж эхэлсэн бөгөөд түүний хамгийн идэвхтэй байсан үе нь 2022, 2023 онуудад юм. ViperSoftX нь stealer буюу хэрэглэгчийн компьютероос нууц үг, крипто хэтэвчийн мэдээлэл зэрэг санхүүгийн мэдээлэл рүү хандах боломжит өгөгдлийг хулгайлагч төрлийн хортой программ бөгөөд тархах аргачлал нь кракдсан программ, keygen1, activator2 зэрэг хууль бус программуудаар дамжин хэрэглэгчийн компьютерт сууна. Тэрээр executable3, browser extension4, javascript5 зэрэг хэд хэдэн төрлийн хувилбараар бүтээгдсэн ба өөрийнхөө шинж чанарыг нуух зорилгоор маш олон давхар obfuscation техникүүд ашигладгаараа онцлог юм.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж ViperSoftX.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Sality.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар ViperSoftX хортой кодыг хайна.
Жишээ нь:
- C дискээс ViperSoftX хортой программыг хайх команд > yara64.exe -r ViperSoftX.yara C:\ 2>/NUL
- D дискээс ViperSoftX хортой программыг хайх команд > yara64.exe -r ViperSoftX yara D:\ 2>/NUL
import "hash"
rule ViperSoftX_hortoi_code {
meta: description = "ViperSoftX-iin last variant ilruuleh"
author = "pcert"
date = "2024-02-27"
strings:
// by registry $regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Wpad" nocase
// by file paths
$filePath1 = "%AUTO%\\1582108473.0167336_40d2b83b-f78f-4d18-aba6- caf1cfd0815d\\" nocase
// by file names
$fileName1 = "reg.converter.sys" nocase
condition:
// hortoi code haih
(
$regKey or
$filePath1 or
$fileName1
)
or (
//by hash hash.sha256(0, filesize) == "65cb35d1b09097aa64b89062a060b3bb680bc4c962ff116f32edf92735f401eb"
)
}
- Дээрх YARA дүрмийг ашиглан ViperSoftX төрлийн хортой кодыг илрүүлэх
- ViperSoftX төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх
Virut хортой программ
Virut хортой программд өртсөн хост нь халдагч этгээдэд уг хост дээр бусад зорилгоор ашиглах хортой үйлдлүүд хийх, мэдээлэл цуглуулах зорилготой программууд суулгах холболт тогтооход ашиглахаар backdoor-ыг үүсгэж өгдөг.
Уг хорт кодын халдварт өртөх, уг хорт кодтой холбоотой үйл ажиллагааны хохирогч болохоос сэргийлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд:
• Төрөл бүрийн ялгаатай байрлалд буй эмзэг болон өмчийн өгөгдөл, серверүүдийн хуулбаруудыг авч үлдэхийн тулд нөхөн сэргээх төлөвлөгөөг хэрэгжүүлэх
• Бүх хэрэглэгчийн эрхийг нууц үгтэйгээр нэвтэрдэг байхыг шаардах
• Үйлчилгээнүүддээ фишинг халдлагад тэсвэртэй MFA хэрэгжүүлэх
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх
• Хорт кодыг тархахаас сэргийлж сүлжээгээ сегментчилэх
• Хост системүүдэд Antivirus программыг суулгаж, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
• Домайн контроллер, сервэр, хэрэглэгчийн компьютер болон актив директорт шинэ болон үл таних хэрэглэгчийн эрх үүссэн байгаа эсэхийг шалгах
• Админ түвшинтэй хэрэглэгчийн эрхийг шалгаж, хамгийн бага эрх зарчимд тулгуурласан тохиргоог хийх
• Ашиглагддаггүй портуудыг хаах
• Өөр байгууллагаас хүлээж авсан имэйлд баннер нэмэх
• Хүлээж авсан имэйлүүд дэх холбооснуудыг идэвхгүй болгох
• Өндөр түвшинтэй хэрэглэгчийн эрхэд цагт суурилсан хандалтыг хэрэгжүүлэх
• Командын мөрнөөс ажиллах болон скрипт бичих үйл ажиллагаа, эрхүүдийг хаах
• Системүүдийг нөөцлөлтийг тогтмол хийж, бүх төхөөрөмжүүдийг тохиргооны хуулбарыг авах
• Бүх өгөгдөл шифрлэгдсэн, өөрчлөлт хийгдэхээргүй байгаа эсэхийг нягтлах