Халдвар авсан системээс уг хортой программыг цэвэрлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд:

·        Системд ажиллаж байгаа процессуудыг шалгаж backdoor программыг олж устгах

·        Регистрийн түлхүүрүүд хэсэг буй регистрүүдийг устгах

·        Хорт кодыг системд хуулж байгаа замын байршил хэсэгт хандаж, харгалзах файлуудыг олж устгах,

·        Хэрэглэгчийн нууц үгийг шинэчлэх.

·   Системийг дахин уг хорт кодын халдварт өртөхөөс сэргийлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд:

·        Microsoft Windows defender эсвэл Mawlarebytes зэрэг anti virus программыг байнгын update-тэй мөн асаалттай real-time protection горимд байлгах

·     backdoor программыг гаднын хандалтыг таслах зорилгоор системийн firewall программыг байнгын асаалттай байлгах outbound rule-д нэмэлт block хийх хэсэг оруулж болно.

Дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж Convagent.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Convagent.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Convagent хортой кодыг хайна.

 Жишээ нь: 

• C дискээс Convagent хортой программыг хайх команд: "yara64.exe -r Convagent.yara C:\ 2>NUL"

• D дискээс Convagent хортой программыг хайх команд: "yara64.exe -r Convagent.yara D:\ 2>NUL"

import "hash"

rule Detect_Files_By_SHA256 {

meta:

 description = "SHA-256 hash-aar olno"

 author = "bilg"

 date = "2023-10-30"

condition:

 hash.sha256(0,filesize)==

"f60073bf66ee8f8a5ba488ec10477fe5cc99fe9626bf972d16609eb72e8be187"

}

Convagent хортой программын халдвар авсан системээс уг хортой программыг илрүүлж, цэвэрлэх болон системийг дахин уг хорт кодын халдварт өртөхөөс сэргийлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд: 

• Convagent төрлийн хортой программыг ихэнх антивирусын программууд илрүүлж байгаа тул хост системд антивирусын программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх, системийн галт хана идэвхэжсэн байгаа эсэхийг шалгах.

• Хорт кодын үүсгэж байгаа файлууд, Регистрийн түлхүүрүүд хэсэгт байгаа файлуудыг цэвэрлэх.

• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг хийх, цаашдаа хийж байх сонголтыг тогтмол байдлаар идэвхжүүлэх.

• Энэ төрлийн программ нь вэб хүсэлтүүд илгээх болон интернэт хөтөчтэй их харьцдаг тул эхлээд компьютероо сүлжээнээс салгаж, доорх Кодыг Yara дүрмийг ашиглан Convagent төрлийн хортой кодыг илрүүлэх.

• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.

• Хост системүүдэд анти-вирусийн программыг суулгаж, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна. https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Matsnu.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Matsnu.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Matsnu хортой кодыг хайна.

Жишээ нь:

• C дискээс Matsnu хортой программыг хайх команд: "yara64.exe -r Matsnu.yara C:\ 2>NUL"
• D дискээс Matsnu хортой программыг хайх команд : "yara64.exe -r Matsnu.yara D:\ 2>NUL"

Халдвар авсан системээс уг хортой программыг илрүүлэх Yara -ын дүрэм:

rule Detect_Specific_File

rule Matsnu

{

        meta:

                 description = "Detects Matsnu malware"

                 author = "PCERT"

                 date = "2024-05-27"

                 version = "1.1" sha256 = "8ac9774484dd7b23f45e0167f8bd000dbc750147ffef602f5b17faffae24c4c5"

        strings:

                 $string1 = "type-commission.exe"

                 $string2 = "Matsnu"

        condition:

                 all of ($string*) or

                 sha256(0, filesize) == "8ac9774484dd7b23f45e0167f8bd000dbc750147ffef602f5b17faffae24c4c5"

}

rule Matsnu_DroppedFiles

{

        meta:

                 description = "Dropped files"

                 author = "PCERT"

                 date = "2024-05-27"

                 version = "1.0"

        strings:

                 $file1 = "C:\\Users\\\\AppData\\Local\\Temp\\~c8c8932b.tmp"

                 $file2 = "C:\\Users\\\\AppData\\Roaming\\Stuff-strip\\stuffbone.exe"

                 $file3 = "C:\\Users\\\\AppData\\Local\\Temp\\04DA6B4A.bat"

                 $file4 = "C:\\Windows\\ServiceProfiles\\LocalService\\AppData\\Roaming\\Microsoft\\UPnP Device

                 Host\\upnphost\\udhisapi.dll"

                 $file5 = "C:\\Windows\\System32\\Tasks\\Microsoft\\Windows\\DiskDiagnostic\\MicrosoftWindows-

                 DiskDiagnosticDataCollector"

        condition:

                 any of ($file*)

}

• Дээрх YARA дүрмийг ашиглан Matsnu төрлийн хортой кодыг илрүүлэх
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж Mirai.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Mirai.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Mirai хортой кодыг хайна.

 Жишээ нь: 

• C дискээс Mirai хортой программыг хайх команд: "yara64.exe -r Mirai.yara C:\ 2>NUL"
• D дискээс Mirai хортой программыг хайх команд: "yara64.exe -r Mirai.yara D:\ 2>NUL"

rule Detect_Specific_File

{

meta:

description = "Detects file with specific SHA256 hash"

 hash= "5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"

condition:

 hash.sha256(0,filesize)==

"5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"

}

• Mirai хортой программын persistence хийх аргачлал нь тийм ч сайн биш учраас ихэнх тохиолдолд төхөөрөмжийг restart хийхэд процессоо дахин эхлүүлж чаддаггүй. 

• Төхөөрөмжийг reset хийх telnet нэвтрэлтийн нууц үгийг хүчирхэг болгох.

• firmware-ын хувилбарыг хамгийн сүүлийн хувилбар болгон ахиулах зэрэг арга хэмжээг авна.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж Nymaim.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Nymaim.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Mirai хортой кодыг хайна.

 Жишээ нь: 

• C дискээс Nymaim хортой программыг хайх команд: "yara64.exe -r Nymaim.yara C:\ 2>NUL"

• D дискээс Nymaim хортой программыг хайх команд: "yara64.exe -r Nymaim.yara D:\ 2>NUL"

rule nymaim: trojan

{

meta:

author = "mak"

reference = "https://www.cert.pl/en/news/single/nymaim-revisited/"

strings:

$call_obfu_xor = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 33 ?? 08 E9 }

$call_obfu_add = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 03 ?? 08 E9 }

$call_obfu_sub = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 2b ?? 08 E9 }

$nym_get_cnc = {E8 [4] C7 45 ?? [4] C7 45 ?? [4] 83 ??}//3D[4] 01 74 4E E8}

$nym_get_cnc2 ={E8 [4] C7 45 ?? [4] 89 [5] 89 [5] C7 45 ?? [4] 83 ??}

$nym_check_unp = {C7 45 ?? [4] 83 3D [3] 00 01 74 }

$set_cfg_addr = {FF 75 ?? 8F 05 [4] FF 75 08 8F 05 [4] 68 [4] 5? 68 [4] 68 [4]

E8 }

condition:

(

/* orig */

(2 of ($call_obfu*)) and (

/* old versions */

$nym_check_unp or $nym_get_cnc2 or $nym_get_cnc or

/* new version */ $set_cfg_addr

)

)

 } 

• Дээрх YARA дүрмийг ашиглан Nymaim төрлийн хортой кодыг илрүүлэх. 
• Nymaim төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн  программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна. https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж pandabanker.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална. 
6. Хортой программыг Yara дүрэм ашиглан хайх Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан pandabanker.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар pandabanker хортой кодыг хайна.

Жишээ нь:

• C дискээс pandabanker хортой программыг хайх команд: "yara64.exe -r pandabanker.yara C:\ 2>NUL"
• D дискээс pandabanker хортой программыг хайх команд: "yara64.exe -r pandabanker.yara D:\ 2>NUL"

Халдвар авсан системээс уг хортой программыг илрүүлэх Yara -ын дүрэм:

rule win_pandabanker_auto {

        meta:

                 author = "Felix Bilstein - yara-signator at cocacoding dot com"

                 date = "2023-12-06"

                 version = "1"

                 description = "Detects win.pandabanker."

                 info = "autogenerated rule brought to you by yara-signator"

                 tool = "yara-signator v0.6.0"

                 signator_config = "callsandjumps;datarefs;binvalue"

                 malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker"

                 malpedia_rule_date = "20231130"

                 malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"

                 malpedia_version = "20230808"

                 malpedia_license = "CC BY-SA 4.0"

                 malpedia_sharing = "TLP:WHITE"

        strings:

                 $sequence_0 = { 56 8bf2 57 83f8ff 7507 8bce e8???????? }

                 // n = 7, score = 8600

                 // 56 | push esi

                 // 8bf2 | mov esi, edx

                 // 57 | push edi //

                 83f8ff | cmp eax, -1

                 // 7507 | jne 9

                 // 8bce | mov ecx, esi

                 // e8???????? |

        $sequence_1 = { 57 8b4808 8d7c2418 8b4004 }

                 // n = 4, score = 8600

                 // 57 | push edi

                 // 8b4808 | mov ecx, dword ptr [eax + 8]

                 // 8d7c2418 | lea edi, [esp + 0x18]

                 // 8b4004 | mov eax, dword ptr [eax + 4]

        $sequence_2 = { c1e202 8bfe 8bca 45 }

                 // n = 4, score = 8600

                 // c1e202 | shl edx, 2

                 // 8bfe | mov edi, esi

                 // 8bca | mov ecx, edx

                 // 45 | inc ebp

        $sequence_3 = { 7404 c6400109 8b442430 8bd5 014608 8bcf 56 }

                 // n = 7, score = 8600

                 // 7404 | je 6

                 // c6400109 | mov byte ptr [eax + 1], 9

                 // 8b442430 | mov eax, dword ptr [esp + 0x30]

                 // 8bd5 | mov edx, ebp

                 // 014608 | add dword ptr [esi + 8], eax

                 // 8bcf | mov ecx, edi

                 // 56 | push esi

        $sequence_4 = { eb2c 6a05 5a 8bcf }

                 // n = 4, score = 8600

                 // eb2c | jmp 0x2e

                 // 6a05 | push 5

                 // 5a | pop edx

                 // 8bcf | mov ecx, edi

        $sequence_5 = { c6007b 40 85db 7404 c6000a 40 c60000 }

                 // n = 7, score = 8600

                 // c6007b | mov byte ptr [eax], 0x7b

                 // 40 | inc eax

                 // 85db | test ebx, ebx

                 // 7404 | je 6

                 // c6000a | mov byte ptr [eax], 0xa

                 // 40 | inc eax

                 // c60000 | mov byte ptr [eax], 0

        $sequence_6 = { e8???????? 8bf0 85f6 7411 8bcf }

                 // n = 5, score = 8600

                 // e8???????? |

                 // 8bf0 | mov esi, eax

                 // 85f6 | test esi, esi

                 // 7411 | je 0x13

                 // 8bcf | mov ecx, edi

        $sequence_7 = { 85ff 7423 8b0e 8bd5 }

                 // n = 4, score = 8600

                 // 85ff | test edi, edi

                 // 7423 | je 0x25

                 // 8b0e | mov ecx, dword ptr [esi]

                 // 8bd5 | mov edx, ebp

       $sequence_8 = { e8???????? 8b742414 8bce 8b542418 89742424 e8???????? 84c0 }

                 // n = 7, score = 8600

                 // e8???????? |

                 // 8b742414 | mov esi, dword ptr [esp + 0x14]

                 // 8bce | mov ecx, esi

                 // 8b542418 | mov edx, dword ptr [esp + 0x18]

                 // 89742424 | mov dword ptr [esp + 0x24], esi

                 // e8???????? |

                 // 84c0 | test al, al

        $sequence_9 = { 7508 33c0 85d2 0f95c0 c3 }

                 // n = 5, score = 8600

                 // 7508 | jne 0xa

                 // 33c0 | xor eax, eax

                 // 85d2 | test edx, edx

                 // 0f95c0 | setne al

                 // c3 | ret

        condition:

                 7 of them and filesize < 417792

} 

• Дээрх YARA дүрмийг ашиглан Panda banker төрлийн хортой кодыг илрүүлэх
• Panda banker төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх

import "hash"

rule Phorpiex_hortoi_code {

meta:

description = "Phorpiex-iin last variant ilruuleh"

author = "pcert"

date = "2024-03-26"

strings:

 // by registry

$regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Wpad" nocase

// by file paths

$filePath1 = "%AUTO%\\1582108473.0167336_40d2b83b-f78f-4d18-aba6- caf1cfd0815d\\" nocase

// by file names

$fileName1 = "pei[1].exe" nocase

condition:

// hortoi code haih

(

$regKey or

$filePath1 or

$fileName1

 )

 or (

//by hash

hash.sha256(0, filesize) ==

"e172537adcee1fcdc8f16c23e43a5ac82c56a0347fa0197c08be979438a534ab "

)

 }

• Дээрх YARA дүрмийг ашиглан Phorpiex төрлийн хортой кодыг илрүүлэх 
• Phorpiex төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх 
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх

PlugX хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах. Yara программыг энэ холбоосоор хандаж татаж авна. 
2. Татсан zip файлыг задлах. Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална. Файлыг татаж аваад задалсны дараах байдлыг дараах зургаас харна уу.
3. PlugX хортой программыг илрүүлэх Yara дүрмийг байрлуулах. Энэхүү зааврын хавсралт rule.yara файл нь PlugX хортой программыг илрүүлэх Yara дүрмийг агуулсан байгаа тул уг файлыг өмнөх алхмаар задалсан Yara программын байрлах хавтсанд хуулж байрлуулна.
4. Command Prompt программыг нээх. Зурагт харуулсанчлан Command Prompt программыг Administrator эрхтэйгээр нээнэ. 
5. PlugX хортой программыг Yara дүрэм ашиглан хайх. Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд PlugX хортой программыг илрүүлэх Yara дүрмийг агуулсан rule.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар PlugX хортой кодыг хайна. Жишээ нь: 
   • C дискээс PlugX хортой программыг хайх команд: "yara64.exe -r rule.yara C:\ 2>NUL"
   • D дискээс PlugX хортой программыг хайх команд: "yara64.exe -r rule.yara D:\ 2>NUL"

Дээрх зааврын дагуу C дискээс PlugX программыг хайсан байдлыг дараах зурагт харуулав.

Дээрх хайлтын үр дүнд PlugX хортой программ илэрвэл уг хортой программын илэрсэн замыг буцаана. Уг хортой программ илрээгүй тохиолдолд ямар нэгэн үр дүн хэвлэхгүй.

import "hash"

rule PlugX_hortoi_code {

    meta:

        description = "PlugX-iin last variant ilruuleh"

        author = "pcert"

        date = "2024-02-26"

    strings:

        // by registry

        $regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\KavSky" nocase

        // by file paths

        $filePath1 = "%AUTO%\\KavSky\\cap" nocase

        $filePath2 = "%AUTO%\\KavSky" nocase

        // by file names

        $fileName1 = "FmtOptions.dll" nocase

        $fileName2 = "FmtOptions.exe" nocase

        $fileName3 = "AppIdPolicy.xsd" nocase

    condition:

        // hortoi code haih

        (

            $regKey or

            $filePath1 or

            $filePath2 or

            $fileName1 or

            $fileName2 or

            $fileName3

        )

        or (

            //by hash

            hash.sha256(0, filesize) == "3eaef97089754bfe545117f4dc359f59c957a4fcc1b2797b7ed3071d5370acd2" or

            hash.sha256(0, filesize) == "f9558aae2ad658885c071975a6efd055e3324717a32ddf551c5760afe766204e" or

            hash.sha256(0, filesize) == "ebb9fe6e0b0e8dfcc69088a9cec1d66b373817ea4de48fa0029436715bc9bcee"

        )

}

PlugX хортой программ нь post-exploitation буюу халдагч этгээд тухайн компьютерын эмзэг байдал, фишинг имэйл зэргээр дамжин компьютерт нэвтэрсний дараа алсын зайнаас удирдах, өгөгдөл хулгайлах зэргээр ашиглаж буй хортой программ юм. Өөрөөр хэлбэл энэхүү Yara дүрэм нь зөвхөн PlugX хортой программыг л цэвэрлэхээс түүний орж ирсэн сувгийг илрүүлэх боломжгүй юм. 

Yara дүрмийг ашиглан хийсэн хайлтын үр дүнд PlugX төрлийн хортой программ систем дээрээс илэрсэн тохиолдолд дараах зөвлөмжийн дагуу уг хортой программыг системээс цэвэрлэх боломжит сонголтуудыг дор харуулав. Үүнд:

1. Системийг дахин шинээр суулгах. Тухайн систем нь PlugX төрлийн хортой программын ямар хувилбарт өртсөнөөс хамаараад ажиллаж байгаа процесс, сервисийн нэр, файлын хуулсан зам, үүсгэсэн файлын нэр, регистр өөр өөр байх магадлалтай байдаг. Мөн систем уг хортой программын халдварт өртсөнөөс хойш нэмэлтээр өөр бусад төрлийн хортой программууд системд суусан байх магадлалтай. Энэ тохиолдолд халдвар авсан хостын үйлдлийн системийг дахин шинээр суулгаж ашиглах нь хамгийн зохистой хариу арга хэмжээ юм. 
2. Хортой программыг устгах. Хэрвээ халдвар авсан хостын үйлдлийн системийг дахин шинээр суулгах боломжгүй тохиолдолд уг хортой программыг системээс устгах/цэвэрлэх зорилгоор дараах алхмуудыг гүйцэтгэнэ. Энэ аргаар цэвэрлэх нь дээр дурдсан сул талуудтай гэдгийг анхаарна уу. 
   1. Yara дүрмээр илэрсэн файлын зам дээр очиж уг фолдерт байгаа бүх файлыг устгах
   2. Start -> Services цэсээр орон сервисүүдийн жагсаалтаас “KavSky” нэртэй “KavSky Anit-Virus Service” тайлбар бүхий сервис байгаа эсэхийг шалгаж байгаа тохиолдолд сервисийг зогсоосны дараа “sc.exe delete KavSky” командыг ажиллуулан устгана
   3. Файлуудыг устгасан ч санах ойд бусад процесст inject хийн ажиллаж буй хортой программ байж болзошгүй учир компьютерыг рестарт хийх.
   4. PlugX хортой программаар дахин халдварлах боломжтой учир /цэвэрлээгүй компьютероос халдварлах эсвэл өмнөх халдварласан сувгаар дамжин орж ирэх/ IOC хэсэг дэх домийн, IP хаяг руу байгууллагын сүлжээнээс хандалт хийгдэж байгаа эсэхийг тогтмол хянах.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж pseudo.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан pseudo.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар PseudoManuscrypt хортой кодыг хайна.

 Жишээ нь: 

• C дискээс PseudoManuscrypt хортой программыг хайх команд: "yara64.exe -r pseudo.yara C:\ 2>NUL"
• D дискээс PseudoManuscrypt хортой программыг хайх команд: "yara64.exe -r pseudo.yara D:\ 2>NUL"

rule Detect_Specific_File

{

meta:

description = "Detects file with specific SHA256 hash"

 hash= "5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"

condition:

 hash.sha256(0,filesize)==

"5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"

}

• Дээрх YARA дүрмийг ашиглан PseudoManuscrypt төрлийн хортой кодыг илрүүлэх.

• PseudoManuscrypt төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.

• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж Pykspa.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Pykspa.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Pykspa хортой кодыг хайна.

 Жишээ нь: 

• C дискээс Pykspa хортой программыг хайх команд: "yara64.exe -r Pykspa.yara C:\ 2>NUL"
• D дискээс Pykspa хортой программыг хайх команд: "yara64.exe -r Pykspa.yara D:\ 2>NUL"

rule win_pykspa_auto {

meta:

author = "Felix Bilstein - yara-signator at cocacoding dot com"

date = "2023-12-06"

version = "1"

description = "Detects win.pykspa."

info = "autogenerated rule brought to you by yara-signator"

tool = "yara-signator v0.6.0"

signator_config = "callsandjumps;datarefs;binvalue"

malpedia_reference                                                                  =

https://malpedia.caad.fkie.fraunhofer.de/details/win.pykspa

malpedia_rule_date = "20231130"

malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"

malpedia_version = "20230808"

malpedia_license = "CC BY-SA 4.0"

malpedia_sharing = "TLP:WHITE"

/* DISCLAIMER

* The strings used in this rule have been automatically selected from the

* disassembly of memory dumps and unpacked files, using YARA-Signator.

* The code and documentation is published here:

* https://github.com/fxb-cocacoding/yara-signator

* As Malpedia is used as data source, please note that for a given

* number of families, only single samples are documented.

* This likely impacts the degree of generalization these rules will offer.

* Take the described generation method also into consideration when you

* apply the rules in your use cases and assign them confidence levels.

*/

strings:

               $sequence_0 = { 8b5c240c 57 8b7c240c 3bfb 7513 57 8b7c2418 }

// n = 7, score = 100

// 8b5c240c       | mov                   ebx, dword ptr [esp + 0xc]

// 57                     | push                 edi

// 8b7c240c       | mov                   edi, dword ptr [esp + 0xc]

// 8b7c240c      | mov                    edi, dword ptr [esp + 0xc]

// 3bfb                 | cmp                  edi, ebx

// 7513                | jne                     0x15

// 57                     | push                 edi

// 8b7c2418      | mov                   edi, dword ptr [esp + 0x18]

               $sequence_1 = { 6a00 c6400e01 ff15???????? cc 55 8bec b89c110000 }

// n = 7, score = 100

// 6a00                | push                  0

// c6400e01       | mov                   byte ptr [eax + 0xe], 1

// ff15???????? |

// cc                      | int3

// 55                     | push                 ebp

// 8bec                 | mov                   ebp, esp

// b89c110000 | mov                    eax, 0x119c

               $sequence_2 = { c3 a1???????? 85c0 7501 c3 8b4818 85c9 }

                              // n = 7, score = 100

// c3                     | ret

// a1????????   |

// 85c0                | test                    eax, eax

// 7501                | jne                     3

// c3                     | ret

// 8b4818           | mov                    ecx, dword ptr [eax + 0x18]

// 85c9                | test                    ecx, ecx

               $sequence_3 = { 381d???????? 8b2d???????? 744f 8d442418 68???????? 50 e8???????? }

 // n = 7, score = 100

 // 381d????????            |

 // 8b2d????????            |

 // 744f                               | je                        0x51

 // 8d442418                    | lea                      eax, [esp + 0x18]

 // 68????????                 |

 // 50                                   | push                  eax

 // e8????????

               $sequence_4 = { c60000 807d0000 0f843b010000 57 ff742414 e8???????? 50 }

 // n = 7, score = 100

 // c60000                         | mov                   byte ptr [eax], 0

 // 807d0000                    | cmp                  byte ptr [ebp], 0

 // 0f843b010000           | je                        0x141

 // 57 | push edi

 // ff742414                       | push                  dword ptr [esp + 0x14]

 // e8????????                 |

 // 50                                   | push                  eax

 $sequence_5 = { 0f95c0 5e c3 55 8bec 83ec54 53 }

// n = 7, score = 100

 // 0f95c0                           | setne                 al

 // 5e                                   | pop                   esi

 // c3                                   | ret

 // 55                                   | push                  ebp

 // 8bec                               | mov                   ebp, esp

 // 83ec54                          | sub                    esp, 0x54

 // 53                                   | push                 ebx

 $sequence_6 = { ff15???????? 8b35???????? 53 ffd6 8b3d???????? 53 ffd7 }

 // n = 7, score = 100

 // ff15????????              |

 // 8b35????????            |

 // 53                                   | push                  ebx

 // ffd6                                | call                     esi

 // 8b3d????????            |

 // 53                                   | push                 ebx

 // ffd7                                | call                    edi

 $sequence_7 = { 381d???????? 7508 381d???????? 743e 56 ff15???????? 83f805 }

 // n = 7, score = 100

 // 381d????????            |

 // 7508                              | jne                     0xa

 // 381d????????            |

 // 743e                              | je                        0x40

 // 56                                   | push                 esi

 // ff15????????              |

 // 83f805                          | cmp                  eax, 5

$sequence_8 = { 8d85acfeffff 68???????? 50 e8???????? 85c0 59 59 }

 // n = 7, score = 100

 // 8d85acfeffff                | lea                     eax, [ebp - 0x154]

 // 68????????                 |

 // 50                                   | push                  eax

 // e8????????                 |

 // 85c0                              | test                    eax, eax

 // 59                                   | pop                   ecx

 // 59                                   | pop                    ecx

 $sequence_9 = { 6a05 8bca 33d2 f7f3 8bc7 bb40e20100 03ca }

 // n = 7, score = 100

 // 6a05                              | push                  5

 // 8bca                              | mov                    ecx, edx

 // 33d2                              | xor                      edx, edx

 // f7f3                                 | div                      ebx

 // 8bc7                              | mov                    eax, edi

 // bb40e20100               | mov                    ebx, 0x1e240

 // 03ca                              | add                    ecx, edx

condition:

 7 of them and filesize < 835584

}

• Дээрх YARA дүрмийг ашиглан Pykspa төрлийн хортой кодыг илрүүлэх.
• Pykspa төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж RisePro.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан RisePro.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар RisePro хортой кодыг хайна.

 Жишээ нь: 

• C дискээс RisePro хортой программыг хайх команд: "yara64.exe -r RisePro.yara C:\ 2>NUL"
• D дискээс RisePro хортой программыг хайх команд: "yara64.exe -r RisePro.yara D:\ 2>NUL"

rule RisePro {

meta:

author = "ANY.RUN"

description = "Detects RisePro (stealer version)"

date = "2023-11-27"

reference = "https://any.run/cybersecurity-blog/risepro-malwarecommunication-analysis/" strings:

$ = { 74 2e 6d 65 2f 52 69 73 65 50 72 6f 53 55 50 50 4f 52 54 }

condition:

any of them

} 

• Дээрх YARA дүрмийг ашиглан RisePro төрлийн хортой кодыг илрүүлэх.
• RisePro төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж Sality.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Sality.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Sality хортой кодыг хайна.

 Жишээ нь: 

• C дискээс Sality хортой программыг хайх команд: "yara64.exe -r Sality.yara C:\ 2>NUL"
• D дискээс Sality хортой программыг хайх команд: "yara64.exe -r Sality.yara D:\ 2>NUL"

import "hash"

rule Detect_Files_By_SHA256 {

meta:

 description = "SHA-256 hash-aar olno"

 author = "bilg"

 date = "2023-10-17"

condition:

 hash.sha256(0,filesize)==

"040f8a9fbdc49c0ae2c2e3872f1fabd8ed805bb8e0baaefd6e426d5facd2a173" or

 hash.sha256(0,filesize)==

"c2d814a34b184b7cdf10e4e7a4311ff15db99326d6dd8d328b53bf9e19ccf858" or

 hash.sha256(0,filesize)==

"c015b6e5b8e1dc3707b555042480c1001c8eb847561ab2f7c05594e057cde7ad"

}

//Ajluulah :

//yara -r sality.yara {haih zam}

//Jishee :

//yara -r sality.yara C:\

• Sality төрлийн хортой программыг ихэнх антивирусын программууд илрүүлж байгаа тул хост системүүдэд антивирусын программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
• Sality программ Temp нэртэй фолдерт үүсгэсэн файлуудаасаа дахин халдварлах боломжтой тул C:\Windows зам дээрх бүх файлыг устгах, хогийн савыг мөн цэвэрлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг хийх, цаашдаа хийж байх сонголтыг тогтмол байдлаар идэвхжүүлэх.

Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:

1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.

https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip 

2. Татсан zip файлыг задлах 

Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.

3. Command Prompt программыг administrator эрхтэй нээх

4. yara программ байгаа фолдерийг нээх

Жишээ нь cd C:\yara-4.3.2-2150-win64 \

5. Шинэ file нээн Yara -ын дүрэм хуулж ViperSoftX.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.

6. Хортой программыг Yara дүрэм ашиглан хайх

Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Sality.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар ViperSoftX хортой кодыг хайна.

 Жишээ нь: 

• C дискээс ViperSoftX хортой программыг хайх команд: "yara64.exe -r ViperSoftX.yara C:\ 2>NUL"
• D дискээс ViperSoftX хортой программыг хайх команд: "yara64.exe -r ViperSoftX yara D:\ 2>NUL"

import "hash"

rule ViperSoftX_hortoi_code {

meta: description = "ViperSoftX-iin last variant ilruuleh"

author = "pcert"

date = "2024-02-27"

strings:

// by registry $regKey = "HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings\\Wpad" nocase

// by file paths

$filePath1 = "%AUTO%\\1582108473.0167336_40d2b83b-f78f-4d18-aba6- caf1cfd0815d\\" nocase

// by file names

$fileName1 = "reg.converter.sys" nocase

condition:

// hortoi code haih

(

$regKey or

$filePath1 or

$fileName1

)

or (

//by hash hash.sha256(0, filesize) == "65cb35d1b09097aa64b89062a060b3bb680bc4c962ff116f32edf92735f401eb"

)

} 

• Дээрх YARA дүрмийг ашиглан ViperSoftX төрлийн хортой кодыг илрүүлэх
• ViperSoftX төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх

Уг хорт кодын халдварт өртөх, уг хорт кодтой холбоотой үйл ажиллагааны хохирогч болохоос сэргийлэхийн тулд дараах зөвлөмжүүдийг хэрэгжүүлэх боломжтой. Үүнд:

• Төрөл бүрийн ялгаатай байрлалд буй эмзэг болон өмчийн өгөгдөл, серверүүдийн хуулбаруудыг авч үлдэхийн тулд нөхөн сэргээх төлөвлөгөөг хэрэгжүүлэх

• Бүх хэрэглэгчийн эрхийг нууц үгтэйгээр нэвтэрдэг байхыг шаардах

• Үйлчилгээнүүддээ фишинг халдлагад тэсвэртэй MFA хэрэгжүүлэх

• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх

• Хорт кодыг тархахаас сэргийлж сүлжээгээ сегментчилэх

• Хост системүүдэд Antivirus программыг суулгаж, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх

• Домайн контроллер, сервэр, хэрэглэгчийн компьютер болон актив директорт шинэ болон үл таних хэрэглэгчийн эрх үүссэн байгаа эсэхийг шалгах

• Админ түвшинтэй хэрэглэгчийн эрхийг шалгаж, хамгийн бага эрх зарчимд тулгуурласан тохиргоог хийх

• Ашиглагддаггүй портуудыг хаах

• Өөр байгууллагаас хүлээж авсан имэйлд баннер нэмэх

• Хүлээж авсан имэйлүүд дэх холбооснуудыг идэвхгүй болгох

• Өндөр түвшинтэй хэрэглэгчийн эрхэд цагт суурилсан хандалтыг хэрэгжүүлэх

• Командын мөрнөөс ажиллах болон скрипт бичих үйл ажиллагаа, эрхүүдийг хаах

• Системүүдийг нөөцлөлтийг тогтмол хийж, бүх төхөөрөмжүүдийг тохиргооны хуулбарыг авах

• Бүх өгөгдөл шифрлэгдсэн, өөрчлөлт хийгдэхээргүй байгаа эсэхийг нягтлах