[Информационная безопасность, Реверс-инжиниринг, Исследования и прогнозы в IT, IT-компании] Cassandra: криптор, который любит держаться в тени
Автор
Сообщение
news_bot ®
Стаж: 6 лет 2 месяца
Сообщений: 27286
Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во вложении. Подобные письма достаточно часто являются началом атаки, так было и в этом раз. Внутри архива находился исполняемый файл Cassandra Crypter — популярный криптор, полезной нагрузкой которого могут выступать различные семейства вредоносного программного обеспечения. Алексей Чехов, аналитик CERT-GIB, рассказывает, как Cassandra проникает на компьютер жертвы и приводит с собой других незваных гостей.
Работу Cassandra можно условно разделить на два этапа. На первой стадии загружается вспомогательная библиотека, которая извлекает основную часть криптора из исходного файла. На второй — криптор раскрывает весь свой потенциал.
Первая стадияCassandra маскируется под легитимное приложение. В точке входа располагается стандартная для приложений Windows Forms функция запуска.
Конструктор формы также выглядит стандартным, ничем не отличающимся от легитимного приложения.
При детальном анализе был обнаружен вызов функции aaa(), которая содержит вредоносный функционал. Ее вызов приводит к расшифровке и подгрузке вспомогательной dll.
Для расшифровки используется алгоритм AES.
После подгрузки вспомогательной dll вызовется одна из её функций, в результате чего будет получена и запущена вторая стадия криптора.
Вторая стадия содержится в изображении, в зашифрованном виде, в исходной сборке.
Для расшифровки используется операция XOR, ключом для расшифровки являются первые 16 байтов исходного изображения.
В первой стадии злоумышленники практически не используют средства противодействия анализу, отладки и так далее, за исключением обфускации дополнительной библиотеки.Вторая стадияВторая стадия представляет собой исполняемый файл .Net Framework. Конфигурационный файлКлюч, который используется на первой стадии расшифровки пейлоада"baAsaBBxDT"Поле, содержащее пейлоад в расшифрованном видеПоле содержащее сырой (не разобранный) конфиг"0||0||0||0||0||||||0||0||0||0||||||||||||||0||0||0||0||0||0||0||0||v2||0||3046||0||0||||||0||0||0||||"Поле, содержащее подготовленный конфигПоле, содержащее флаг типа инжекта0Поле, содержащее флаг закрепления в системе0Поле, содержащее имя файла после закрепления в системе"YhwcrydjrNS"Поле, содержащее название мьютекса"ljrSLVyCApWxcUE"Неиспользуемое поле0Поле, содержащее информацию об использовании загрузчика0Поле, содержащее информацию о пути до загруженного файла0Поле, содержащее ссылку на пейлоад0Поле, содержащее информацию об использовании Anti-VM/Sandbox-функции, осуществляющей поиск 0Поле, содержащее информацию об использовании Anti-VM/Sandbox-функции, осуществляющей поиск строк в пути файла0Неиспользуемое поле0Неиспользуемое поле0Поле, содержащее информацию об использовании Fake MessageBox0Текст заголовка Fake MessageBox0Текст Fake MessageBox0Информация о кнопках Fake MessageBox0Информация об иконке Fake MessageBox0Количество секунд, в течение которых приложение будет бездействовать0
Функция, осуществляющая разбор конфигурационного файлаПолезная нагрузкаПолезная нагрузка содержится в крипторе в зашифрованном виде. Расшифровка проходит в два этапа:1. В цикле осуществляется побайтовый XOR шифрограммы, ключа и значения операции XOR от последнего элемента байта шифрограммы и 112. Полученные значения сохраняются в созданный массив. Ключ для первой стадии содержится в конфигурационном файле. 
2. Осуществляется дешифрование, аналогичное тому, что было на первой стадии: используется операция XOR, в качестве ключа используются первые 16 байтов массива, полученного на первом этапе.
Закрепление в системеЗакрепление в системе осуществляется через создание отложенной задачи. Файл копируется в директорию AppData//{имя файла, заданное в конфиге}+”.exe”. После этого исходный файл удаляется и создается задача на выполнение.
Anti-VMВ функции осуществляется поиск виртуальных видеоадаптеров и специфических ключей реестра, свойственных для виртуальных машин.
Anti-SandboxРеализованы три функции противодействия песочнице:
- Детект изолированной среды. Функция проверяет путь до исполняемого файла и ищет в нём специфические строки, таких как \\VIRUS, SAMPLE, SANDBOX и т.д. Также осуществляется поиск окна, свойственного WindowsJail, и библиотеки SbieDll.dll, загруженной в процесс.
- Попытка обхода песочницы по таймауту. Реализована при помощи стандартной процедуры Sleep.
- Попытка обхода песочницы по user activity. Реализована при помощи показа Fake MessageBox.
Защита от повторного запускаРеализована путем создания мьютекса с заданным именем в системе.
ФункционалDownloaderРеализована функция загрузки пейлоада из сети.
Запуск полезной нагрузкиСодержит два варианта запуска пейлоада:1. Загрузка в память при помощи функций .Net Framework.
2. Инжект полезной нагрузки в запущенный процесс. Есть возможность выбора из нескольких процессов.
На данный момент Cassandra — достаточно распространенный тип крипторов. Как правило, злоумышленники используют его в массовых рассылках, чтобы незаметно запускать на машине пользователя вредоносное ПО. Cassandra позволяет запускать даже хорошо изученные семейства ВПО.
===========
Источник:
habr.com
===========
Похожие новости:
- [Исследования и прогнозы в IT, IT-компании] Где в Рунете работать хорошо: всероссийское исследование IT-брендов 2021
- [Законодательство в IT, Финансы в IT, IT-компании] «Тинькофф Банк» подал иск к «Мегафону» на 677 млн рублей
- [Управление проектами, Управление продуктом, Читальный зал, IT-компании] Как Airbnb скрывает кошмары при помощи тайной команды «чистильщиков» (перевод)
- [Контекстная реклама, Управление e-commerce, IT-компании] Amazon блокирует FLoC от Google
- [Информационная безопасность, IT-инфраструктура, API] Предотвращение медленных маломощных атак на приложения и API (перевод)
- [Информационная безопасность, Системное администрирование, Сетевые технологии] Интеграция SAML в Zimbra OSE
- [Беспроводные технологии, Разработка систем связи, Сетевое оборудование, IT-компании] Пользователи Starlink жалуются, что при нагревании до +50°C (122°F) тарелки с ФАР отключаются
- [Высокая производительность, История IT, IT-компании] История компании Silicon Graphics (перевод)
- [Информационная безопасность, Софт] Новое обновление Windows 10 самостоятельно удаляет из системы uTorrent
- [Законодательство в IT, Социальные сети и сообщества, IT-компании] Роскомнадзор предложил давать доступ к порнографическому контенту в РФ через госуслуги
Теги для поиска: #_informatsionnaja_bezopasnost (Информационная безопасность), #_reversinzhiniring (Реверс-инжиниринг), #_issledovanija_i_prognozy_v_it (Исследования и прогнозы в IT), #_itkompanii (IT-компании), #_kriptor (криптор), #_cryptor, #_cassandra, #_vpo (впо), #_protektor (протектор), #_kompjuternaja_bezopasnost (компьютерная безопасность), #_kompjuternaja_kriminalistika (компьютерная криминалистика), #_reversinzhiniring (реверс-инжиниринг), #_reversing (реверсинг), #_blog_kompanii_groupib (
Блог компании Group-IB
), #_informatsionnaja_bezopasnost (
Информационная безопасность
), #_reversinzhiniring (
Реверс-инжиниринг
), #_issledovanija_i_prognozy_v_it (
Исследования и прогнозы в IT
), #_itkompanii (
IT-компании
)
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 02-Май 12:56
Часовой пояс: UTC + 5
| Автор | Сообщение |
|---|---|
|
news_bot ®
Стаж: 6 лет 2 месяца |
|
|
Ни один атакующий не хочет, чтобы его инструменты обнаружили и раскрыли раньше времени. Поэтому, как правило, в чистом виде никто вредоносные программы не распространяет. Например, пользователю прилетело фишинговое письмо от имени известной транспортной компании и просят проверить документы во вложении. Подобные письма достаточно часто являются началом атаки, так было и в этом раз. Внутри архива находился исполняемый файл Cassandra Crypter — популярный криптор, полезной нагрузкой которого могут выступать различные семейства вредоносного программного обеспечения. Алексей Чехов, аналитик CERT-GIB, рассказывает, как Cassandra проникает на компьютер жертвы и приводит с собой других незваных гостей.  Работу Cassandra можно условно разделить на два этапа. На первой стадии загружается вспомогательная библиотека, которая извлекает основную часть криптора из исходного файла. На второй — криптор раскрывает весь свой потенциал.  Первая стадияCassandra маскируется под легитимное приложение. В точке входа располагается стандартная для приложений Windows Forms функция запуска.  Конструктор формы также выглядит стандартным, ничем не отличающимся от легитимного приложения.  При детальном анализе был обнаружен вызов функции aaa(), которая содержит вредоносный функционал. Ее вызов приводит к расшифровке и подгрузке вспомогательной dll.  Для расшифровки используется алгоритм AES.  После подгрузки вспомогательной dll вызовется одна из её функций, в результате чего будет получена и запущена вторая стадия криптора.  Вторая стадия содержится в изображении, в зашифрованном виде, в исходной сборке.  Для расшифровки используется операция XOR, ключом для расшифровки являются первые 16 байтов исходного изображения.  В первой стадии злоумышленники практически не используют средства противодействия анализу, отладки и так далее, за исключением обфускации дополнительной библиотеки.Вторая стадияВторая стадия представляет собой исполняемый файл .Net Framework. Конфигурационный файлКлюч, который используется на первой стадии расшифровки пейлоада"baAsaBBxDT"Поле, содержащее пейлоад в расшифрованном видеПоле содержащее сырой (не разобранный) конфиг"0||0||0||0||0||||||0||0||0||0||||||||||||||0||0||0||0||0||0||0||0||v2||0||3046||0||0||||||0||0||0||||"Поле, содержащее подготовленный конфигПоле, содержащее флаг типа инжекта0Поле, содержащее флаг закрепления в системе0Поле, содержащее имя файла после закрепления в системе"YhwcrydjrNS"Поле, содержащее название мьютекса"ljrSLVyCApWxcUE"Неиспользуемое поле0Поле, содержащее информацию об использовании загрузчика0Поле, содержащее информацию о пути до загруженного файла0Поле, содержащее ссылку на пейлоад0Поле, содержащее информацию об использовании Anti-VM/Sandbox-функции, осуществляющей поиск 0Поле, содержащее информацию об использовании Anti-VM/Sandbox-функции, осуществляющей поиск строк в пути файла0Неиспользуемое поле0Неиспользуемое поле0Поле, содержащее информацию об использовании Fake MessageBox0Текст заголовка Fake MessageBox0Текст Fake MessageBox0Информация о кнопках Fake MessageBox0Информация об иконке Fake MessageBox0Количество секунд, в течение которых приложение будет бездействовать0  Функция, осуществляющая разбор конфигурационного файлаПолезная нагрузкаПолезная нагрузка содержится в крипторе в зашифрованном виде. Расшифровка проходит в два этапа:1. В цикле осуществляется побайтовый XOR шифрограммы, ключа и значения операции XOR от последнего элемента байта шифрограммы и 112. Полученные значения сохраняются в созданный массив. Ключ для первой стадии содержится в конфигурационном файле.  2. Осуществляется дешифрование, аналогичное тому, что было на первой стадии: используется операция XOR, в качестве ключа используются первые 16 байтов массива, полученного на первом этапе.  Закрепление в системеЗакрепление в системе осуществляется через создание отложенной задачи. Файл копируется в директорию AppData//{имя файла, заданное в конфиге}+”.exe”. После этого исходный файл удаляется и создается задача на выполнение.   Anti-VMВ функции осуществляется поиск виртуальных видеоадаптеров и специфических ключей реестра, свойственных для виртуальных машин.   Anti-SandboxРеализованы три функции противодействия песочнице:
 Защита от повторного запускаРеализована путем создания мьютекса с заданным именем в системе.  ФункционалDownloaderРеализована функция загрузки пейлоада из сети.  Запуск полезной нагрузкиСодержит два варианта запуска пейлоада:1. Загрузка в память при помощи функций .Net Framework.  2. Инжект полезной нагрузки в запущенный процесс. Есть возможность выбора из нескольких процессов.  На данный момент Cassandra — достаточно распространенный тип крипторов. Как правило, злоумышленники используют его в массовых рассылках, чтобы незаметно запускать на машине пользователя вредоносное ПО. Cassandra позволяет запускать даже хорошо изученные семейства ВПО. =========== Источник: habr.com =========== Похожие новости:
Блог компании Group-IB ), #_informatsionnaja_bezopasnost ( Информационная безопасность ), #_reversinzhiniring ( Реверс-инжиниринг ), #_issledovanija_i_prognozy_v_it ( Исследования и прогнозы в IT ), #_itkompanii ( IT-компании ) |
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 02-Май 12:56
Часовой пояс: UTC + 5