Matsnu хортой программ
Matsnu нь backdoor төрлийн хортой программ бөгөөд 2011 – 2015 оны үед идэвхтэй тархаж байсан бөгөөд нэмэлтээр хортой код татаж авах, серверээс авсан командын дагуу өөрийгөө update хийх чадвартай бөгөөд хэрэглэгчийн хувийн мэдээллийг хулгайлах зорилготой. Тухайн хортой программ нь 3 давхар пакертай бөгөөд үүний 2 нь UPX ашигласан байдаг бол 1 нь хөгжүүлэгчдийнх нь бүтээсэн тусгай пакер юм. Matsnu хортой программ нь хортой кодыг татаж авах, команд удирдлагын серверээр дамжуулан өөрийгөө шинэчлэх, хувийн мэдээллийг хулгайлах зэрэг үйлдлүүд хийж байна. Энэ нь өгөгдлийн хэсгүүдийг нуух, IsDebuggerPresent зэрэг шинжилгээний хэрэгслүүдийг илрүүлэхийн тулд тусгай packer ашигладаг. Хорт код ажилласны дараа Windows-ийн функцийн суулгацын дүрд хувирч, дараа нь AppData-д "tracerpt.exe" хэлбэрээр хуулбарлагдаж, дараагийн шатны payload-уудыг байрлуулдаг. Matsnu нь C2 серверийн холболтод домэйн үүсгэх алгоритмыг (DGA) ашигладаг бөгөөд domain серверүүд идэвхгүй байсны улмаас шинжилгээний ул мөр авах явц амжилтгүй болсон. Энэ хортой программын аюулгүй байдлын системүүдийг давах, системд урт хугацаанд орших нарийн механизмууд нь өмнө шинжилгээ хийсэн хортой программуудаас илүү аюул занал учруулах боломжтой байна.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
- Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна. https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
- Татсан zip файлыг задлах Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
- Command Prompt программыг administrator эрхтэй нээх
- yara программ байгаа фолдерийг нээх Жишээ нь cd C:\yara-4.3.2-2150-win64 \
- Шинэ file нээн Yara -ын дүрэм хуулж Matsnu.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
- Хортой программыг Yara дүрэм ашиглан хайх Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Matsnu.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Matsnu хортой кодыг хайна.
Жишээ нь:
- C дискээс Matsnu хортой программыг хайх команд: "yara64.exe -r Matsnu.yara C:\ 2>NUL"
- D дискээс Matsnu хортой программыг хайх команд : "yara64.exe -r Matsnu.yara D:\ 2>NUL"
Халдвар авсан системээс уг хортой программыг илрүүлэх Yara -ын дүрэм:
rule Detect_Specific_File
rule Matsnu
{
meta:
description = "Detects Matsnu malware"
author = "PCERT"
date = "2024-05-27"
version = "1.1" sha256 = "8ac9774484dd7b23f45e0167f8bd000dbc750147ffef602f5b17faffae24c4c5"
strings:
$string1 = "type-commission.exe"
$string2 = "Matsnu"
condition:
all of ($string*) or
sha256(0, filesize) == "8ac9774484dd7b23f45e0167f8bd000dbc750147ffef602f5b17faffae24c4c5"
}
rule Matsnu_DroppedFiles
{
meta:
description = "Dropped files"
author = "PCERT"
date = "2024-05-27"
version = "1.0"
strings:
$file1 = "C:\\Users\\\\AppData\\Local\\Temp\\~c8c8932b.tmp"
$file2 = "C:\\Users\\\\AppData\\Roaming\\Stuff-strip\\stuffbone.exe"
$file3 = "C:\\Users\\\\AppData\\Local\\Temp\\04DA6B4A.bat"
$file4 = "C:\\Windows\\ServiceProfiles\\LocalService\\AppData\\Roaming\\Microsoft\\UPnP Device
Host\\upnphost\\udhisapi.dll"
$file5 = "C:\\Windows\\System32\\Tasks\\Microsoft\\Windows\\DiskDiagnostic\\MicrosoftWindows-
DiskDiagnosticDataCollector"
condition:
any of ($file*)
}
- Дээрх YARA дүрмийг ашиглан Matsnu төрлийн хортой кодыг илрүүлэх
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх