Skip to main content

PlugX хортой программ

PlugX төрлийн хортой код нь тархахдаа фишинг халдлага, хортой файл хавсаргасан USB флаш дискээр мөн системийн эмзэг байдлыг ашиглан эзлэгдсэн хост дээр халдагчид хандах суваг үүсгэх зорилготой Remote Access Trojan (RAT) төрлийн хортой программ юм. 

Энэ хортой программ нь FmtOptions.exe, FmtOptions.dll, AppIdPolicy.xsd гэсэн 3 файлаас бүрдэнэ. FmtOptions.exe программ ажиллаж эхлэхэд хортой DLL файл буюу FmtOptions.dll-г дуудаж AppIdPolicy.xsd payload-ын шифрийг тайлан ачаалах байдлаар системд нууцлагдмал байдлаар хортой үйл ажиллагаа явуулна. Ихэнх тохиолдолд FmtOptions.exe файлыг компьютер асахад ачаалагдах байдлаар startup тохиргоонд нэмж өгсөн байдаг.

PlugX хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

  1. Yara программ татах. Yara программыг энэ холбоосоор хандаж татаж авна. 
  2. Татсан zip файлыг задлах. Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална. Файлыг татаж аваад задалсны дараах байдлыг дараах зургаас харна уу.
  3. PlugX хортой программыг илрүүлэх Yara дүрмийг байрлуулах. Энэхүү зааврын хавсралт rule.yara файл нь PlugX хортой программыг илрүүлэх Yara дүрмийг агуулсан байгаа тул уг файлыг өмнөх алхмаар задалсан Yara программын байрлах хавтсанд хуулж байрлуулна.
  4. Command Prompt программыг нээх. Зурагт харуулсанчлан Command Prompt программыг Administrator эрхтэйгээр нээнэ. 
  5. PlugX хортой программыг Yara дүрэм ашиглан хайх. Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд PlugX хортой программыг илрүүлэх Yara дүрмийг агуулсан rule.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар PlugX хортой кодыг хайна. Жишээ нь: 
    • C дискээс PlugX хортой программыг хайх команд: "yara64.exe -r rule.yara C:\ 2>NUL"
    • D дискээс PlugX хортой программыг хайх команд: "yara64.exe -r rule.yara D:\ 2>NUL"

Дээрх зааврын дагуу C дискээс PlugX программыг хайсан байдлыг дараах зурагт харуулав.

Дээрх хайлтын үр дүнд PlugX хортой программ илэрвэл уг хортой программын илэрсэн замыг буцаана. Уг хортой программ илрээгүй тохиолдолд ямар нэгэн үр дүн хэвлэхгүй.

import "hash"

rule PlugX_hortoi_code {

    meta:

        description = "PlugX-iin last variant ilruuleh"

        author = "pcert"

        date = "2024-02-26"

    strings:

        // by registry

        $regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\KavSky" nocase

        // by file paths

        $filePath1 = "%AUTO%\\KavSky\\cap" nocase

        $filePath2 = "%AUTO%\\KavSky" nocase

        // by file names

        $fileName1 = "FmtOptions.dll" nocase

        $fileName2 = "FmtOptions.exe" nocase

        $fileName3 = "AppIdPolicy.xsd" nocase

    condition:

        // hortoi code haih

        (

            $regKey or

            $filePath1 or

            $filePath2 or

            $fileName1 or

            $fileName2 or

            $fileName3

        )

        or (

            //by hash

            hash.sha256(0, filesize) == "3eaef97089754bfe545117f4dc359f59c957a4fcc1b2797b7ed3071d5370acd2" or

            hash.sha256(0, filesize) == "f9558aae2ad658885c071975a6efd055e3324717a32ddf551c5760afe766204e" or

            hash.sha256(0, filesize) == "ebb9fe6e0b0e8dfcc69088a9cec1d66b373817ea4de48fa0029436715bc9bcee"

        )

}

PlugX хортой программ нь post-exploitation буюу халдагч этгээд тухайн компьютерын эмзэг байдал, фишинг имэйл зэргээр дамжин компьютерт нэвтэрсний дараа алсын зайнаас удирдах, өгөгдөл хулгайлах зэргээр ашиглаж буй хортой программ юм. Өөрөөр хэлбэл энэхүү Yara дүрэм нь зөвхөн PlugX хортой программыг л цэвэрлэхээс түүний орж ирсэн сувгийг илрүүлэх боломжгүй юм. 

Yara дүрмийг ашиглан хийсэн хайлтын үр дүнд PlugX төрлийн хортой программ систем дээрээс илэрсэн тохиолдолд дараах зөвлөмжийн дагуу уг хортой программыг системээс цэвэрлэх боломжит сонголтуудыг дор харуулав. Үүнд:

  1. Системийг дахин шинээр суулгах. Тухайн систем нь PlugX төрлийн хортой программын ямар хувилбарт өртсөнөөс хамаараад ажиллаж байгаа процесс, сервисийн нэр, файлын хуулсан зам, үүсгэсэн файлын нэр, регистр өөр өөр байх магадлалтай байдаг. Мөн систем уг хортой программын халдварт өртсөнөөс хойш нэмэлтээр өөр бусад төрлийн хортой программууд системд суусан байх магадлалтай. Энэ тохиолдолд халдвар авсан хостын үйлдлийн системийг дахин шинээр суулгаж ашиглах нь хамгийн зохистой хариу арга хэмжээ юм. 
  2. Хортой программыг устгах. Хэрвээ халдвар авсан хостын үйлдлийн системийг дахин шинээр суулгах боломжгүй тохиолдолд уг хортой программыг системээс устгах/цэвэрлэх зорилгоор дараах алхмуудыг гүйцэтгэнэ. Энэ аргаар цэвэрлэх нь дээр дурдсан сул талуудтай гэдгийг анхаарна уу. 
    1. Yara дүрмээр илэрсэн файлын зам дээр очиж уг фолдерт байгаа бүх файлыг устгах
    2. Start -> Services цэсээр орон сервисүүдийн жагсаалтаас “KavSky” нэртэй “KavSky Anit-Virus Service” тайлбар бүхий сервис байгаа эсэхийг шалгаж байгаа тохиолдолд сервисийг зогсоосны дараа “sc.exe delete KavSky” командыг ажиллуулан устгана
    3. Файлуудыг устгасан ч санах ойд бусад процесст inject хийн ажиллаж буй хортой программ байж болзошгүй учир компьютерыг рестарт хийх.
    4. PlugX хортой программаар дахин халдварлах боломжтой учир /цэвэрлээгүй компьютероос халдварлах эсвэл өмнөх халдварласан сувгаар дамжин орж ирэх/ IOC хэсэг дэх домийн, IP хаяг руу байгууллагын сүлжээнээс хандалт хийгдэж байгаа эсэхийг тогтмол хянах.
The Cyber Security Council receives information about information security incidents, phishing attempts, malware and vulnerabilities.

Report Cyber issue