Panda banker хортой программ
Panda banker нь trojan төрлийн хортой программ бөгөөд алдарт Zeus banking trojan нь 2011 онд эх кодоо нийтэд ил болгосны улмаас маш олон энэ төрлийн хортой программууд хөгжүүлэгдсэний нэг нь Panda banker юм. 2016 онд Бразилын олимпын үеэр тархаж эхэлсэн бөгөөд хэрэглэгчийн санхүүгийн нууц мэдээллийг хулгайлах зорилготой хортой программ юм.
- Panda banker хортой программ нь хэрэглэгчийн систем дээр суусны дараа команд болон скрипт ажиллуулж өөрийгөө устгана.
- Хортой программ нь халдварлагдсан системд дахин ачаалахдаа startup фолдерт хуулагдана.
- “svchost” процессыг үүсгэн түүн рүү inject хийн өөрийгөө нууж үйл ажиллагаагаа явуулна.
- Panda baker хортой программ нь халдварлагдсан системийн мэдээлэл, хэрэглэгчийн мэдээллүүд рүү хандалт хийнэ.
- Цуглуулсан мэдээллээ C2 сервер рүүгээ дамжуулдаг.
Хорт кодын файл нэр: 3870112724rsegmnoittet-es.exe
Хорт кодын төрөл: Trojan
Panda banker хортой программ нь хэрэглэгчийн компьютерын веб хөтчийн мэдээлэлд хандаж банк болон кредит картын мэдээллийг хулгайлах зорилготойгоор 2016 оноос эхлэн тархаж эхэлсэн Zeus banking trojan программаас үүдэлтэй хортой программ юм. Уг хортой программ анти-вирус болон хортой программын шинжилгээнээс хамгаалах механизмуудтай бөгөөд өөрийнхөө ажиллагааг нуухдаа process injection хийж ажилладаг. Халдвар авсан системээс хэрэглэгчийн вэб хөтчөөс эмзэг мэдээллүүдийг цуглуулж коммaнд удирдлагын сервер рүүгээ дамжуулах байдлаар хортой ажиллагаагаа явуулдаг ноцтой түвшний хохирол учруулах хортой программ тул зөрчлийг буруулах зөвлөмжийн дагуу хариу арга хэмжээг авахыг зөвлөж байна.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
- Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна. https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
- Татсан zip файлыг задлах Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
- Command Prompt программыг administrator эрхтэй нээх
- yara программ байгаа фолдерийг нээх Жишээ нь cd C:\yara-4.3.2-2150-win64 \
- Шинэ file нээн Yara -ын дүрэм хуулж pandabanker.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
- Хортой программыг Yara дүрэм ашиглан хайх Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан pandabanker.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар pandabanker хортой кодыг хайна.
Жишээ нь:
- C дискээс pandabanker хортой программыг хайх команд: "yara64.exe -r pandabanker.yara C:\ 2>NUL"
- D дискээс pandabanker хортой программыг хайх команд: "yara64.exe -r pandabanker.yara D:\ 2>NUL"
Халдвар авсан системээс уг хортой программыг илрүүлэх Yara -ын дүрэм:
rule win_pandabanker_auto {
meta:
author = "Felix Bilstein - yara-signator at cocacoding dot com"
date = "2023-12-06"
version = "1"
description = "Detects win.pandabanker."
info = "autogenerated rule brought to you by yara-signator"
tool = "yara-signator v0.6.0"
signator_config = "callsandjumps;datarefs;binvalue"
malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.pandabanker"
malpedia_rule_date = "20231130"
malpedia_hash = "fc8a0e9f343f6d6ded9e7df1a64dac0cc68d7351"
malpedia_version = "20230808"
malpedia_license = "CC BY-SA 4.0"
malpedia_sharing = "TLP:WHITE"
strings:
$sequence_0 = { 56 8bf2 57 83f8ff 7507 8bce e8???????? }
// n = 7, score = 8600
// 56 | push esi
// 8bf2 | mov esi, edx
// 57 | push edi //
83f8ff | cmp eax, -1
// 7507 | jne 9
// 8bce | mov ecx, esi
// e8???????? |
$sequence_1 = { 57 8b4808 8d7c2418 8b4004 }
// n = 4, score = 8600
// 57 | push edi
// 8b4808 | mov ecx, dword ptr [eax + 8]
// 8d7c2418 | lea edi, [esp + 0x18]
// 8b4004 | mov eax, dword ptr [eax + 4]
$sequence_2 = { c1e202 8bfe 8bca 45 }
// n = 4, score = 8600
// c1e202 | shl edx, 2
// 8bfe | mov edi, esi
// 8bca | mov ecx, edx
// 45 | inc ebp
$sequence_3 = { 7404 c6400109 8b442430 8bd5 014608 8bcf 56 }
// n = 7, score = 8600
// 7404 | je 6
// c6400109 | mov byte ptr [eax + 1], 9
// 8b442430 | mov eax, dword ptr [esp + 0x30]
// 8bd5 | mov edx, ebp
// 014608 | add dword ptr [esi + 8], eax
// 8bcf | mov ecx, edi
// 56 | push esi
$sequence_4 = { eb2c 6a05 5a 8bcf }
// n = 4, score = 8600
// eb2c | jmp 0x2e
// 6a05 | push 5
// 5a | pop edx
// 8bcf | mov ecx, edi
$sequence_5 = { c6007b 40 85db 7404 c6000a 40 c60000 }
// n = 7, score = 8600
// c6007b | mov byte ptr [eax], 0x7b
// 40 | inc eax
// 85db | test ebx, ebx
// 7404 | je 6
// c6000a | mov byte ptr [eax], 0xa
// 40 | inc eax
// c60000 | mov byte ptr [eax], 0
$sequence_6 = { e8???????? 8bf0 85f6 7411 8bcf }
// n = 5, score = 8600
// e8???????? |
// 8bf0 | mov esi, eax
// 85f6 | test esi, esi
// 7411 | je 0x13
// 8bcf | mov ecx, edi
$sequence_7 = { 85ff 7423 8b0e 8bd5 }
// n = 4, score = 8600
// 85ff | test edi, edi
// 7423 | je 0x25
// 8b0e | mov ecx, dword ptr [esi]
// 8bd5 | mov edx, ebp
$sequence_8 = { e8???????? 8b742414 8bce 8b542418 89742424 e8???????? 84c0 }
// n = 7, score = 8600
// e8???????? |
// 8b742414 | mov esi, dword ptr [esp + 0x14]
// 8bce | mov ecx, esi
// 8b542418 | mov edx, dword ptr [esp + 0x18]
// 89742424 | mov dword ptr [esp + 0x24], esi
// e8???????? |
// 84c0 | test al, al
$sequence_9 = { 7508 33c0 85d2 0f95c0 c3 }
// n = 5, score = 8600
// 7508 | jne 0xa
// 33c0 | xor eax, eax
// 85d2 | test edx, edx
// 0f95c0 | setne al
// c3 | ret
condition:
7 of them and filesize < 417792
}
- Дээрх YARA дүрмийг ашиглан Panda banker төрлийн хортой кодыг илрүүлэх
- Panda banker төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх
- Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх