Nymaim хортой программ
Nymaim хортой программ нь downloader төрлийнх буюу тухайн системийн эмзэг байдал /exploit kit/ эсвэл фишинг имэйл зэрэг төрөл бүрийн аргаар хэрэглэгчийн компьютерт суусны дараа дахин өөр нэмэлт хортой кодуудыг татах зориулалттай хортой программ юм. Анх 2013 онд Black Hat SEO, Black Hole Exploit Kit-ыг ашиглан тархдаг байсан бол 2015 оноос banking trojan буюу хэрэглэгчийн санхүүгийн мэдээлэл рүү хандах боломжит эрхүүдийг хулгайлдаг болон хөгжсөн.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж Nymaim.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан Nymaim.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар Mirai хортой кодыг хайна.
Жишээ нь:
• C дискээс Nymaim хортой программыг хайх команд: "yara64.exe -r Nymaim.yara C:\ 2>NUL"
• D дискээс Nymaim хортой программыг хайх команд: "yara64.exe -r Nymaim.yara D:\ 2>NUL"
rule nymaim: trojan
{
meta:
author = "mak"
reference = "https://www.cert.pl/en/news/single/nymaim-revisited/"
strings:
$call_obfu_xor = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 33 ?? 08 E9 }
$call_obfu_add = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 03 ?? 08 E9 }
$call_obfu_sub = {55 89 E5 5? 8B ?? 04 89 ?? 10 8B ?? 0C 2b ?? 08 E9 }
$nym_get_cnc = {E8 [4] C7 45 ?? [4] C7 45 ?? [4] 83 ??}//3D[4] 01 74 4E E8}
$nym_get_cnc2 ={E8 [4] C7 45 ?? [4] 89 [5] 89 [5] C7 45 ?? [4] 83 ??}
$nym_check_unp = {C7 45 ?? [4] 83 3D [3] 00 01 74 }
$set_cfg_addr = {FF 75 ?? 8F 05 [4] FF 75 08 8F 05 [4] 68 [4] 5? 68 [4] 68 [4]
E8 }
condition:
(
/* orig */
(2 of ($call_obfu*)) and (
/* old versions */
$nym_check_unp or $nym_get_cnc2 or $nym_get_cnc or
/* new version */ $set_cfg_addr
)
)
}
- Дээрх YARA дүрмийг ашиглан Nymaim төрлийн хортой кодыг илрүүлэх.
- Nymaim төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.