PseudoManuscrypt хортой программ
PseudoManuscrypt loader trojan төрлийн хортой программ бөгөөд нь 2021 оны 6-р сараас эхлэн тархаж эхэлсэн ба энэхүү хортой программын халдварлах аргачлал нь их сонирхолтой. Энэ төрлийн хортой программууд нь хайлтын системүүд дээр SEO- “Search engine optimization нь хайлтын системээс вэб хуудас руу чиглэсэн урсгалын чанар, тоо хэмжээг сайжруулах процесс” хийсэн веб хуудаснууд дээр pirated- “зохиогчийн эрхийг зөрчин хууль бусаар ашиглах, түгээгдэж буй” мэт харагдах хуурамч программуудыг байршуулдаг ба түүнийг нь татаж авч суулгасан хэрэглэгч тухайн хортой программын хохирогч болдог.
Жишээлбэл: Solarwinds-ын программыг хайлт хийхэд Google хайлтын системийн харуулж буй илэрцүүдийн хамгийн эхэнд харагдаж байгаа юм.
PseudoManuscrypt нь 2021 онд идэвхтэй байсан ч одоогоор хөгжүүлэлт нь зогссон учраас түүний ихэнх C2 серверүүд нь хандах боломжгүй болсон. Өөрөөр хэлбэл аюулгүй байдлын төхөөрөмжүүд дээр алерт өгч буй PseudoManuscrypt хортой программтай холбоотой эвентүүд нь тухайн идэвхтэй байсан хугацааны мөчлөгт халдварлагдсан ч одоог хүртэл цэвэрлэгдээгүй байсаар байгаа гэсэн үг юм.
• C2 серверээс нэмэлт файлуудыг татаж авсан.
• Хэрэглэгчийн компьютерын гарын даралтын утгуудыг хадгалж авч байгаа
• Компьютерт суусан программын мэдээлэл, ажиллаж буй процессуудын мэдээллийг цуглуулж байгаа.
• Хэрэглэгчийн компьютерын гарын даралтын утгуудыг хадгалж авч байгаа.
Хортой программыг Yara дүрэм ашиглах илрүүлж, устгахын тулд дараах алхмуудыг хэрэгжүүлнэ. Үүнд:
1. Yara программ татах Yara программыг энэ холбоосоор хандаж татаж авна.
https://github.com/VirusTotal/yara/releases/download/v4.3.2/yara-4.3.2-2150-win64.zip
2. Татсан zip файлыг задлах
Yara программыг татаж авахад zip өргөтгөлтэй архив файл байх тул уг zip файлыг задална.
3. Command Prompt программыг administrator эрхтэй нээх
4. yara программ байгаа фолдерийг нээх
Жишээ нь cd C:\yara-4.3.2-2150-win64 \
5. Шинэ file нээн Yara -ын дүрэм хуулж pseudo.yara нэртэйгээр өргөтгөлийг *.txt биш *.yara өргөтгөлтэй хадгална.
6. Хортой программыг Yara дүрэм ашиглан хайх
Өмнөх алхмаар нээсэн Command Prompt цонхонд Yara программд хортой программыг илрүүлэх Yara дүрмийг агуулсан pseudo.yara файл болон уг хортой программыг хайх замыг параметр болгон өгч ажиллуулна. Өөрөөр хэлбэл тухайн компьютерын бүх дискүүд дээр доорх командаар PseudoManuscrypt хортой кодыг хайна.
Жишээ нь:
- C дискээс PseudoManuscrypt хортой программыг хайх команд: "yara64.exe -r pseudo.yara C:\ 2>NUL"
- D дискээс PseudoManuscrypt хортой программыг хайх команд: "yara64.exe -r pseudo.yara D:\ 2>NUL"
rule Detect_Specific_File
{
meta:
description = "Detects file with specific SHA256 hash"
hash= "5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"
condition:
hash.sha256(0,filesize)==
"5693264b2606429d4ca89aeecb33b5903244e3692c658e37333de12a7bb9827"
}
• Дээрх YARA дүрмийг ашиглан PseudoManuscrypt төрлийн хортой кодыг илрүүлэх.
• PseudoManuscrypt төрлийн хортой программыг ихэнх анти-вирусийн программууд илрүүлж байгаа тул хост системүүдэд анти-вирусийн программыг суулгаж системийг бүрэн скан хийж илэрсэн илэрцүүдийг устгах, шинэчлэлийг тогтмол хийж, бодит хугацааны илрүүлэлтийг идэвхжүүлэх.
• Үйлдлийн систем, программ хангамжуудынхаа шинэчлэлийг тогтмол хийх.