На анализ в систему ATHENA пришел исполняемый файл с расширением .exe. Для начала была собрана его общая информация, представленная в таблице Таблица 1.

Исследование файла

Исследования файла происходило с помощью системы AVSOFT ATHENA. Посмотрим на статический и динамический анализ файла в системе ATHENA.

Исследование в системе ATHENA

1. Статическое исследование

Антивирусы Comodo и Clamav посчитали файл вредоносным.

Также файл был помечен как Подозрительный моделью машинного обучения PE-32 Detection Torch.

Кроме того, отработал статический индикатор «Импорты: Вероятность внедрения кода», в файле были обнаружены функции, которые позволяют внедрить вредоносный код в процесс другого приложения.

С вкладкой «Источники вердикта» стоит просто ознакомиться, она несет в себе информацию о том, какие методы и модули статического анализа выдали вердикт после проверки данного файла.

2. Динамическое исследование

При динамическом анализе в системе ATHENA сработал несколько индикаторов:

1) индикатор «Планирование заданий в планировщике задач Windows» - ПО планирует задания в планировщике задач Windows, что является нелегитимным действием;

2) индикатор «Запись в память системного процесса» - запись в память системного процесса используется вредоносным ПО для исполнения своего кода от имени системного процесса;

3) индикатор «Признаки заражения вирусным семейством XWorm» - действия, совершаемые во время работы ПО в файловой системе, очень похожи на действия, совершаемые при работе вирусного программного обеспечения XWorm.

В ходе динамического анализа среди системных программ были обнаружены schtasks.exe, Conhost.exe.

Также, с процессами можно ознакомиться во вкладке «Карта исследования».

Во вкладке «Дампы» видим, что были обнаружены вредоносные дампы процессов.

При переходе в отчет по дампам можно увидеть, что дампы были заблокированы антивирусом Clamav, который обнаружил в них признаки эксплуатации уязвимости CVE-2017-0245 (Рисунок 9 и Рисунок 10).

Во вкладке «Техники MITRE» видно, что отработало несколько техник.

Стоит отметить следующие:

- System Location Discovery.

Злоумышленники собирают информацию, пытаясь вычислить географическое положение хоста жертвы. Местоположение системы может быть определено с помощью различных системных проверок, таких как часовой пояс, раскладка клавиатуры и/или языковые настройки, а также с помощью служб поиска IP-адресов.

Исследуемый файл устанавливает соединение с легитимным сайтом (https://www.maxmind.com/en/locate-my-ip), получая оттуда информацию об IP- адрессе устройства и его местоположении.

- Masquerading.

Злоумышленники манипулируют характеристиками своих артефактов, чтобы они казались законными или безопасными для пользователей и/или средств безопасности. Это может включать в себя манипулирование метаданными файлов и их типами, или переименование файлов, например в имена системных утилит или служб.

В данном случае файл создает исполняемые файлы в директории AppData\Local (Рисунок 13), это позволяет злоумышленнику использовать типичные для легитимных программ пути, чтобы не вызывать подозрений у пользователя или систем безопасности, так как эти каталоги часто используются обычными приложениями и редко проверяются вручную.

Для отправки данных, собранных на устройстве, устанавливается соединение C2-сервером.

- Scheduled Task/Job.

Злоумышленники могут использовать функции планирования задач для первоначального или повторного выполнения вредоносного кода в определенную дату и время. Задача также может быть запланирована в удаленной системе при условии соблюдения надлежащей проверки подлинности.

В данном случае файл использует schtasks.exe — системную утилиту Windows, предназначенная для управления запланированными задачами из командной строки.

Данные команды создают две задачи в планировщике Windows от имени пользователя "Ivan" с максимальными правами: первая задача запускает программу OfficeTrackerNMP131.exe при каждом входе пользователя в систему, а вторая — запускает ту же программу каждый час. Обе задачи принудительно перезаписывают существующие с теми же именами ("OfficeTrackerNMP131 LG" и "OfficeTrackerNMP131 HR") и используют полный путь к исполняемому файлу.

Во вкладке «Индикаторы компрометации» отображаются индикаторы компрометации вредоносного поведения файла по результатам его проверки в «песочнице».

Во вкладке «Источники вердикта» можно ознакомиться с тем, какие источники посчитали файл вредоносным.

На анализ в систему Афина пришел офисный файл с расширением .vbs. Для начала была собрана его общая информация, представленная в таблице Таблица 1.

Исследование в системе ATHENA

1. Статическое исследование

При проверке статического анализа ни один антивирус не сработал.

Вкладка «Источники вердикта» можно ознакомиться с основными резуль-татами статического анализа.

Можно заметить, что все инструменты, кроме YARA-правил, указали, что файл безопасный.

Правило, по которому система выдала вердикт «Подозрительный» - ObfuscatedScript. Обфускация используется злоумышленниками для за-труднения чтения кода и его анализа, чтобы избежать обнаружения сред-ствами защиты.

2. Динамическое исследование

Динамический анализ в системе AVSOFT ATHENA выявил несколько индикаторов:

1) Скачивание файла с помощью PowerShell - ПО скачивает файл при помощи PowerShell. Такой способ получения файлов свойственен вирусам (например, Emotet).

2) Запуск исполняемого файла с помощью shell32.dll - ПО запускает исполняемый файл с помощью rundll32.exe с использованием библиотеки shell32.dll, которая отвечает за работу иконок в Windows.;

3) Подозрительные действия с командной строкой - ПО производит подозрительные действия с командной строкой, обычно относящиеся к нелегитимным.

Среди системных программ, выявленных в процессе динамического исследования, были выявлены такие как: wscript.exe, cmd.exe, powershell.exe и rundll32.exe.

Также, с процессами можно ознакомиться во вкладке “Карта процессов”.

В блоке «Дампы» видно, что ПО во время работы создало файлы, которые являются легитимными.

Среди них находится скрипт «__PSScriptPolicyTest_m4tr3xtt.vjx.ps1», Расширение в конце «ps1» указывает, что это сценарий PowerShell. Нестандартное расширение «vjx» может быть признаком обфускации.

Также ВПО создает лог-файл, предположительно связанный с активностью PowerShell. Он может использоваться как прикрытие для хранения полезной нагрузки.

Во вкладке “Техники MITRE” видно, что отработало несколько техник:

1) Command and Scripting Interpreter. Сработавшие индикаторы: Скачивание файла с помощью PowerShell.

2) Create or modify system process. Сработавшие индикаторы: Создание процесса.

Злоумышленники могут создавать или изменять процессы системного уровня для многократного выполнения вредоносных полезных нагрузок в рамках сохранения. При загрузке операционных систем они могут запускать службы, выполняющие фоновые системные функции. Злоумышленники устанавливают новые службы, которые настроены на выполнение при запуске или при повторяемом интервале, чтобы обеспечить постоянство. Аналогичным образом могут быть изменены существующие службы.

3) Hide artifacts. Сработавшие индикаторы: Запуск исполняемого файла с помощью shell32.dll.

Во вкладке “Индикаторы компрометации” отображаются индикаторы компрометации вредоносного поведения файла по результатам его проверки в «песочнице».

В блоке события можно детально изучить процессы и данные, которые были собраны в ходе исследования.

Во вкладке «Источники вердикта» можно ознакомиться с тем, какие источники посчитали файл вредоносным.

Детальное исследование файла

Рассмотрим исходный код скрипта вне ATHENA.

В части кода, указанной на скриншоте, видно, что скрипт создает объект для работы с файловой системой. Сначала проверяет наличие папки "C:\ProgramData\DNSBackup", и если ее нет, то создает. Это и будет рабочая папка для загрузки вредоносного файла.

Далее запускается веб-страница в браузере и в нем открывается документ, который отвлекает внимание пользователя от действий вредоносного скрипта.

Во время открытия документа, скрипт параллельно использует PowerShell для загрузки .cpl-файла с GitHub-репозитория. Файл сохраняется в ранее созданную папку.

Скрипт использует и 32-битную, и 64-битную версию «rundll32.exe», чтобы обеспечить исполнение вне зависимости от архитектуры системы, и запускает файл с расширением «.cpl» через «control_RunDLL».

Последняя часть кода - создание Wscript.Shell, который выполняет все вышеописанные команды:

1) Открывает сайт;

2) Скачивает вредоносный «.cpl»;

3) Запускает его двумя способами.

Параметр «0» скрывает окно, то есть все выполняется без отображения для пользователя.

На анализ в систему ATHENA пришел исполняемый файл с расширением .exe. Для начала была собрана его общая информация, представленная в таблице Таблица 1.

Исследование файла

Исследования файла происходило с помощью системы ATHENA. Посмотрим на статический и динамический анализ файла в системе ATHENA.

Исследование в системе ATHENA

1. Статическое исследование

Антивирусы Avira ScanCL и Bitdefender посчитали файл вредоносным.

С вкладкой «Источники вердикта» стоит просто ознакомиться, она несет в себе информацию о том, какие методы и модули статического анализа выдали вердикт после проверки данного файла.

2. Динамическое исследование

При динамическом анализе в системе AVSOFT ATHENA сработало несколько индикаторов:

1) индикатор «Запись в память системного процесса» - запись в память системного процесса используется вредоносным ПО для исполнения своего кода от имени системного процесса;

2) индикатор «Компиляция и запуск кода при помощи системной программы msbuild» - ПО использует системную программу msbuild (Microsoft Build Engine) для компиляции и запуска C# кода в обход AppLocker. Данное поведение свойственно вредоносному ПО;

А также сработало несколько правил Suricata:

1) Сигнал Suricata с предупреждением "[emerging-dns] ET DNS Query to a *.top domain - Likely Hostile" указывает на DNS-запрос к домену в зоне .top, который система классифицирует как потенциально опасный.

2) Предупреждение "[emerging-info] ET INFO Observed DNS Query to .life TLD" означает, что в сети был зафиксирован DNS-запрос к домену с верхним уровнем .life.

3) Предупреждение "[emerging-info] ET INFO Observed DNS Query to .world TLD" означает, что в сети был зафиксирован DNS-запрос к домену с верхним уровнем .world.

В ходе динамического анализа среди системных программ были обнаружены explorer.exe, Conhost.exe, MSBuild.exe.

Также, с процессами можно ознакомиться во вкладке «Карта исследования».

Во вкладке «Сетевой трафик» видим, что были обнаружены вредоносные ссылки. Кроме того, файл использует Dead Drop Resolver, при котором адреса C2 серверов хранятся в описаниях профилей Steam, что затрудняет блокировку и обнаружение инфраструктуры злоумышленников. Попытку подключения к API площадке Steam видно в подразделе «Соединения» (Рисунок 7).

Во вкладке «Техники MITRE» видно, что отработало несколько техник.

Вкладка «Файлы» показывает, что файл использует несколько файлов, которые могут быть полезны для дальнейшего анализа.

Злоумышленники могут использовать интерпретатор команд и сценариев для выполнения команд, сценариев или двоичных файлов

В данном случае, Lumma запускается через легитимный системный процесс MSBuild.exe, используя его как прокси для выполнения вредоносных скриптов через PowerShell. Это снижает вероятность выявления, так как процесс выглядят легитимным.

- Process Injection.

В исследуемом файле полезная нагрузка извлекается из секции .BSS.

Проверка энтропии файла в программе Detect It Easy показывает, что .BSS раздел имеет высокую энтропию. Этот раздел обычно содержит неинициализированные глобальные и статические объекты, поэтому высокая энтропия может указывать на то, что он содержит дополнительную полезную нагрузку.

Код из данной секции записывается в память системного процесса (Рисунок 10). В системе были сформированы дампы данных процессов, которые отобразились во вкладке «Дампы» (Рисунок 11).

- Application Layer Protocol.

Злоумышленники используют протоколы прикладного уровня, чтобы избежать обнаружения / фильтрации сети, смешиваясь с существующим трафиком. Злоумышленники могут использовать различные протоколы, в том числе протоколы для просмотра веб-страниц, передачи файлов, электронной почты или DNS.

Исследуемый файл подключается к стороннему IP-адресу, для получения адресов C2-сервера (Рисунок 14).

Во вкладке «Источники вердикта» можно ознакомиться с тем, какие источники посчитали файл вредоносным.

На анализ в систему Афина пришел исполняемый файл с расширением .exe. Для начала была собрана его общая информация, представленная в таблице Таблица 1.

Исследование файла

Исследования файла происходило с помощью системы ATHENA. Для начала посмотрим на статический и динамический анализ файл в системе ATHENA.

Исследование в системе ATHENA

1. Статическое исследование

В ходе статического исследования файлу был присвоен вредоносный вердикт модулем статического анализа с помощью антивирусной проверки. Антивирусный движок «Bitdefender» выявил сигнатуру в исследуемом файле : «Trojan.GenericKD.75954438».

Во вкладке «Индикаторы» отработало несколько Yara-правил: «DarkCloud», «Very_High_Entropy_Entry_Section», «Very_High_Entropy_Code_Section», а также системные индикаторы: «Импорты: Вредоносная хеш-сумма таблицы зависимостей», «Цифровая подпись: Несовпадение контрольной суммы PE файла».

Во вкладке «Источники вердикта» строится графическая карта с источниками и их вердиктами, а также общим вердиктом по исследуемому файлу.

2. Динамическое исследование

Динамический анализ в системе AVSOFT ATHENA выявил множество вредоносных индикаторов. Среди них отмечаются:

1) Кража пользовательских данных из диспетчера учетных записей - ПО читает файлы из диспетчера учетных записей. Такое поведение свойственно вредоносному ПО.

2) Кража пользовательских данных из FTP-клиента - ПО читает файлы FTP-клиента с конфиденциальной информацией пользователя. Такое поведение свойственно вредоносному ПО.

3) Изменение настроек Windows Defender - ПО изменяет настройки Windows Defender, что может негативно повлиять на безопасность работы пользователя в системе. Такое поведение является нелегитимным.

4) Кража пользовательских данных из почтового приложения - ПО читает файлы почтового клиента с конфиденциальной информацией пользователя. Такое поведение свойственно вредоносному ПО.

Среди системных программ, выявленных в процессе динамического исследования, были выявлены такие как: powershell.exe, schtasks.exe, Conhost.exe и svchost.exe.

Также, с процессами можно ознакомиться во вкладке «Карта исследования».

В блоке «Ход исследования» можно наблюдать изменения файлов/ключей реестра, наличие сетевого трафика, а также создание дампов с различными расширениями.

Во вкладке “Техники MITRE” видно, что отработало множество техник,вот самые интересные из них:

1) Scheduled Task/Job. Сработавшие индикаторы: Планирование заданий в планировщике задач Windows.

Злоумышленники могут использовать функции планирования задач для первоначального или повторного выполнения вредоносного кода в определенную дату и время. Задача также может быть запланирована в удаленной системе при условии соблюдения надлежащей проверки подлинности.

2) Boot Or Logon Autorstart Execution. Сработавшие индикаторы: Изменение ключа реестра для автоматического запуска приложений, Изменение содержимого папки автозагрузки, Установка значения ключа автозагрузки.

Злоумышленники могут настроить системные параметры для автоматического выполнения вредоносного кода во время загрузки системы или входа в систему, чтобы добиться постоянства или получить привилегии более высокого уровня в скомпрометированных системах. Достичь той же цели злоумышленники могут, изменив или расширив функции ядра.

3) Credentials From Password Stores. Сработавшие индикаторы: Кража пользовательских данных из диспетчера учетных записей.

Злоумышленники могут искать общие места хранения паролей, чтобы получить учетные данные пользователя. Пароли хранятся в нескольких местах системы, в зависимости от операционной системы или приложения, в котором хранятся учетные данные. Существуют также специальные приложения, которые хранят пароли, чтобы облегчить пользователям управление и обслуживание. После получения учетных данных они могут быть использованы для латерального перемещения и доступа к информации ограниченного доступа.

4) Unsecured Credentials. Сработавшие индикаторы: Кража пользовательских данных из FTP-клиента, Кража пользовательских данных из почтового приложения.

Недоброжелатели могут искать во взломанных системах и получать незащищенные учетные данные. Эти учетные данные могут храниться и/или ошибочно размещаться в различных местах системы, включая файлы с открытым текстом (например, историю Bash), репозитории операционной системы или приложений, а также другие специализированные файлы/артефакты (например, закрытые ключи).

Во вкладке “Индикаторы компрометации” отображаются индикаторы компрометации вредоносного поведения файла по результатам его проверки в «песочнице».

В вкладке «События» можно заметить как троян удаленного доступа закрепляется в ОС, добавляет задачи в планировщик через shtasks.exe, заносит путь исполняемого файла в список исключений Windows Defender. Также, можно проследить, какие именно данные крадет стиллер, будь то пароли браузеров, почтовых клиентов и другие.

Во вкладке «Источники вердикта» можно ознакомиться с тем, какие источники посчитали файл вредоносным.

На анализ в систему Афина пришел исполняемый файл с расширением .exe. Для начала была собрана его общая информация, представленная в таблице Таблица 1.

Исследование файла

Исследования файла происходило с помощью системы ATHENA. Для начала посмотрим на статический и динамический анализ файл в системе ATHENA.

Исследование в системе ATHENA

1. Статическое исследование

В ходе статического исследования файлу был присвоен вредоносный вердикт модулем статического анализа с помощью антивирусной проверки. Антивирусный движок «Kaspersky Mail Server» выявил сигнатуру в исследуемом файле : «HEUR:Backdoor.MSIL.Crysan.gen», а «F-Secure» - «Trojan.TR/Spy.Gen [Aquarius]».

Модули машинного обучения выдали подозрительный вердикт, указав теги : trojan, dropper, miner.

Во вкладке «Индикаторы» отработало несколько Yara-правил: «Xworm», «BitRat», «DisableDefender», «Sandboxie_Detection», а также системны индикаторы: «Импорты: Вредоносная хеш-сумма таблицы зависимостей», «Строки: Поиск присутствия песочницы (sandbox)».

Во вкладке «Источники вердикта» строится графическая карта с источниками и их вердиктами, а также общим вердиктом по исследуемому файлу.

2. Динамическое исследование

Динамический анализ в системе AVSOFT ATHENA выявил множество вредоносных индикаторов. Среди них отмечаются:

1) Признаки заражения вирусным семейством XWorm - Действия, совершаемые во время работы ПО в файловой системе, очень похожи на действия, совершаемые при работе вирусного программного обеспечения XWorm.

2) Выявление признаков присутствия Xworm - ПО совершает действия, характерные для XWorm. Например, создает файл XClient.

3) Изменение настроек Windows Defender - ПО изменяет настройки Windows Defender, что может негативно повлиять на безопасность работы пользователя в системе. Такое поведение является нелегитимным.

4) Обход AMSI интерфейса - ПО пытается обойти AMSI (интерфейс сканирования на наличие вредоносных программ) - метод защиты от выполнения распространенных вредоносных программ и защиты конечного пользователя.

5) Отключение отображения скрытых файлов - ПО пытается отключить отображение скрытых файлов в проводнике. Данное действие направлено на попытку вредоносного ПО скрыть следы своего присутствия.

6) Запуск PowerShell - ПО запускает PowerShell, который может быть использован для запуска программ (скриптов) различного уровня, что является нелегитимным действием.

7) Планирование заданий в планировщике задач Windows - ПО планирует задания в планировщике задач Windows, что является нелегитимным действием.

Среди системных программ, выявленных в процессе динамического исследования, были выявлены такие как: powershell.exe, schtasks.exe, Conhost.exe и svchost.exe.

Также, с процессами можно ознакомиться во вкладке «Карта исследования».

В блоке «Ход исследования», можно наблюдать, изменения файлов/ключей реестра, наличие сетевого трафика, а также создание дампов с различными расширениями.

Во вкладке “Техники MITRE” видно, что отработало множество техник,вот самые интересные из них:

1) Command And Scripting Interpreter. Сработавшие индикаторы: Запуск PowerShell.

Злоумышленники могут использовать интерпретатор команд и сценариев для выполнения команд, сценариев или двоичных файлов. Большинство систем поставляется с встроенным интерфейсом командной строки и возможностями написания сценариев. Команды и сценарии могут быть встроены в исходные полезные нагрузки, доставляемые жертвам в виде документов-приманки или в виде вторичных полезных нагрузок, загруженных с существующего C&C сервера.

2) Scheduled Task/Job. Сработавшие индикаторы: Планирование заданий в планировщике задач Windows, Изменение ключа реестра для автоматического запуска приложений, Изменение содержимого папки автозагрузки.

Злоумышленники могут использовать функции планирования задач для первоначального или повторного выполнения вредоносного кода в определенную дату и время. Задача также может быть запланирована в удаленной системе при условии соблюдения надлежащей проверки подлинности.

3) Create Or Modify System Process. Сработавшие индикаторы: Изменение настроек Windows Defender.

Злоумышленники могут создавать или изменять процессы системного уровня для многократного выполнения вредоносных полезных нагрузок в рамках сохранения. При загрузке операционных систем они могут запускать службы, выполняющие фоновые системные функции. Злоумышленники устанавливают новые службы, которые настроены на выполнение при запуске или при повторяемом интервале, чтобы обеспечить постоянство. Аналогичным образом могут быть изменены существующие службы.

4) Impair Defenses. Сработавшие индикаторы: Изменение настроек Windows Defender, Отключение отображения скрытых файлов, Изменение настроек соединения Internet Explorer.

Злоумышленники изменяют компоненты атакуемой среды, чтобы помешать или отключить защитные механизмы. Это может быть ослабление превентивных средств защиты, таких как брандмауэры и антивирус, и/или уклонение от механизмов обнаружения, которые применяются для аудита активности и выявления злонамеренного поведения.

5) Boot Or Logon Autorstart Execution. Сработавшие индикаторы: Изменение ключа реестра для автоматического запуска приложений, Изменение содержимого папки автозагрузки, Установка значения ключа автозагрузки.

Злоумышленники могут настроить системные параметры для автоматического выполнения вредоносного кода во время загрузки системы или входа в систему, чтобы добиться постоянства или получить привилегии более высокого уровня в скомпрометированных системах. Достичь той же цели злоумышленники могут, изменив или расширив функции ядра.

Во вкладке “Индикаторы компрометации” отображаются индикаторы компрометации вредоносного поведения файла по результатам его проверки в «песочнице».

В блоке «События» можно заметить как троян удаленного доступа закрепляется в ОС. Для начала — он добавил себя в автозагрузку, с помощью powershell’a отключил отображение скрытых файлов, а также обошел amsi интерфейс в системе.

Во вкладке «Источники вердикта» можно ознакомиться с тем, какие источники посчитали файл вредоносным.

На анализ в систему Афина пришел исполняемый файл с расширением .exe. Для начала была собрана его общая информация, представленная в таблице Таблица 1.

Исследование файла

Исследования файла происходило с помощью системы ATHENA. Посмотрим на статический и динамический анализ файл в системе ATHENA.

Исследование в системе ATHENA

1. Статическое исследование

При проверке сработало два антивируса: Avira ScanCL и Bitdefender.

С данной вкладкой стоит просто ознакомиться, она несет в себе информацию о том, какие методы и модули статического анализа выдали вердикт после проверки данного ПО.

2. Динамическое исследование

Динамический анализ в системе AVSOFT ATHENA выявил несколько индикаторов:

1) Выявление признаков присутствия ValleyRAT - ПО совершает действия, характерные для ValleyRAT;

2) Создание файла драйвера - ПО создает драйверы в ОС, что является нелегитимным действием;

3) Использование системной программы explorer.exe - программа explorer отвечает за графический интерфейс ОС Windows пользователя. При запуске она вызывает дочерние процессы, не контролируемые защитой Windows. ПО использует explorer для выполнения стороннего файла, что является подозрительным действием.

4) Обнаружено SURICATA-правило - [emerging-malware.rules] - ET MALWARE Anonymous RAT CnC Checkin;

Среди системных программ, выявленных в процессе динамического исследования, были выявлены: Microsoft_Xtools.exe, explorer.exe.

Также, с процессами можно ознакомиться во вкладке “Карта процессов”.

В блоке «Дампы» видно, что ПО во время работы создало файлы с расширениями res, dll и ini. Злоумышленники могут использовать файлы с этими расширениями для распространения вредоносных программ путем изменения содержимого файла.

Во вкладке “Техники MITRE” видно, что отработало несколько техник:

1) Pre-OS Boot. Сработавшие индикаторы: запуск программы explorer.exe.

Злоумышленники используют механизмы предварительной загрузки ОС, чтобы обеспечить постоянство в системе. Злоумышленники могут перезаписывать вредоносные программы в загрузочных драйверах или микропрограммах, таких как BIOS (базовая система ввода / вывода) и унифицированный расширяемый интерфейс микропрограмм (UEFI), чтобы они сохранялись в системах на уровне ниже операционной системы, что особенно сложно обнаружить.

2) System Network Configuration Discovery. Сработавшие индикаторы: поиск информации о системе, просмотр установленных служб.

Злоумышленники ищут подробную информацию о конфигурации сети и настройках систем, к которым они получили доступ, или об удаленных системах. Существует несколько утилит администрирования операционной системы, которые можно использовать для сбора этой информации, например, Arp, ipconfig / ifconfig, nbtstat и route.

3) Process Discovery. Сработавшие индикаторы: Создание снимка процессов.

Злоумышленники пытаются получить информацию о запущенных процессах в системе для составления представления об общем программном обеспечении/приложениях, работающих внутри сети. Эта информация используется злоумышленниками для формирования последующего поведения, включая, полностью ли заражать цель и/или предпринять конкретные действия.

Во вкладке “Индикаторы компрометации” отображаются индикаторы компрометации вредоносного поведения файла по результатам его проверки в «песочнице».

В блоке «События» можно заметить записи “Создание файлов”. Вирус создает драйвер «kernelquick.sys» в ОС при помощи исполняемого файла explorer.exe

Во вкладке «Источники вердикта» можно ознакомиться с тем, какие источники посчитали файл вредоносным.

На анализ в систему Афина пришел исполняемый файл с расширением vbs. Для начала была собрана его общая информация, представленная в таблице Таблица 1.

Исследование файла в системе ATHENA

Исследования файла происходило с помощью системы ATHENA. Для начала посмотрим на статический и динамический анализ файл в системе ATHENA.

1. Статическое исследование

При проверке антивирусами было обнаружено, что в файле обнару-жено вредоносное содержимое:

Также были извлечены и проверены ссылки из файла, автоматически была произведена проверка ссылок, в результате которых не было выявлено вредоносного содержимого:

Модулем YARA были обнаружены совпадения по 3 правилам:

- LCRYPTX – выявлены признаки шифровальщика LCRYPTX

- GreyWareTools – обнаружены инструменты для создания вредоносного программного обеспечения

- ObfuscatedScript – Обнаружена обфускация файла скрипта

Отработавшие правила в интерфейсе ATHENA:

2. Динамическое исследование

Динамический анализ в системе AVSOFT ATHENA выявил несколько вредоносных индикаторов:

1) Выявление признаков присутствия шифровальщика LCRYPTX – ПО совершает действия, характерные для шифровальщика LCRYPTX.

2) Завершение процесса с помощью системной программы taskkill.exe – ПО завершает процесс с помощью программы taskkill.exe, что свойственно только вредоносному ПО.

3) Запись в память системного процесса – запись в память системного процесса используется вредоносным ПО для исполнения своего кода от имени системного процесса.

4) Изменение политики запуска программ – ПО изменяет системные политики для предотвращения запуска определенных приложений или исполняемых файлов, что является нелегитимным действием.

5) Отключение UAC через реестр – отключение UAC позволяет запускать файлы под правами администратора, без уведомления пользователя.

6) Отключение диспетчера задач Windows – ПО отключает диспетчера задач Windows для скрытия от обнаружения, что свойственно только вредоносному ПО.

7) Отключение командной строки – ПО отключает командную строку Windows, что свойственно только вредоносному ПО.

8) Отключение Панели управления – ПО предотвращает запуск Control.exe, исполняемого файла панели управления. В результате пользователи не могут запускать панель управления или запускать какие-либо программы панели управления. Такое поведение свойственно только вредоносному ПО.

9) Отключение редактора реестра Windows – ПО отключает редакторы реестра Windows Regedt32.exe и Regedit.exe, что свойственно только вредоносному ПО.

10) Попытка отключения антивирусного ПО – ПО выполняет попытки по отключению антивирусного обеспечения, что может негативно повлиять на безопасность работы пользователя в системе. Такое поведение является нелегитимным.

11) Удаление резервных копий – ПО удаляет резервные копии данных системы. Такое поведение свойственно только вредоносному ПО.

12) Удаление теневых копий – ПО удаляет теневые копии системы. Данное действие является нелегитимным.

13) Изменение настроек Windows Defender – ПО изменяет настройки Windows Defender, что может негативно повлиять на безопасность работы пользователя в системе. Такое поведение является нелегитимным.

14) Использование IFEO для подгрузки dll – ПО использует Image File Execution Options (IFEO), что позволяет ему запускать вместо целевой программы ее отладчик и передать на выполнение практически любой код.

15) Отключение проводника – ПО отключает системный процесс проводника. что не свойственно легитимному ПО

16) Изменение обоев рабочего стола – ПО изменяет обои рабочего стола. Такое поведение свойственно вредоносному ПО.

17) Обнаружение антивируса по директориям и файлам – ПО пытается идентифицировать установленные антивирусные продукты по каталогу установки и характерным файлам. Такое поведение несвойственно безопасному ПО.

18) Инверсия кнопок мыши – ПО изменяет значение ключа реестра для инверсирования ввода с кнопок мышки.

Все созданные процессы отображаются во вкладке «Процессы», в том числе, видно, что системный интерпретатор скриптов wscript выполнял powershell и cmd команды:

Во вкладке «Источники вердикта» можно ознакомиться с тем, какие источники посчитали файл вредоносным.

Во вкладке «Файлы» отображаются все созданные, отредактированные записи в реестре системы:

Во вкладке «Реестр» отображаются все созданные, отредактированные и удаленные записи в реестре системы:

Во вкладке «Сетевой трафик» отображаются созданные сетевые соединения:

В этой же вкладке отображается HTTP(S) трафик:

Во вкладке «Дампы» отображаются создаваемые файлы и дампы процессов, которые были получены в ходе исследования. Видим, что во время динамического исследования были созданы файлы advapi32_ext.vbs и systemconfig.exe.vbs имеющие подозрительный вердикт.

В окне «Карта исследования» отображаются все созданные процессы в исследуемой среде:

В окне «Техники MITRE» отображаются, какие тактики и техники задействованы для заражения устройства вредоносным ПО:

В окне «Индикаторы компрометации» контрольные суммы и IP-адреса с вредоносным содержимым:

Подробное исследование файла

В начале скрипта происходит проверка, на наличие прав администратора гостевой ОС, если их нет – скрипт перезапускает себя с необходимым набором прав. При этом, используется обработчик исключений, который позволяет не завершать процесс при получении ошибок:

После получения прав скрипт изменяет записи в реестре, создавая в разделах политик ограничения на запуск системных процессов, в том числе: диспетчер задач, командную строку, редактор реестра, панель управления, контроль учетных записей (UAC), запрос на повышение прав для администраторов в режиме одобрения администратором (UAC), отключает тайм-аут блокировки экрана при бездействии. После чего создает директорию для политики DissallowRun, которая ограничивает запуск и выполнение указанных процессов: msconfig.exe, Autoruns.exe (Sysinternals), gpedit.msc, SystemSettings.exe, procexp.exe. Указанные действия представлены на скриншоте:

Для того, чтобы закрепиться на машине жертвы скрипт создает записи в разделах реестра Winlogon, а также добавляет себя в качестве отладчика для процесса cmd.exe, в результате чего будет запускаться при каждом открытии процесса cmd.exe:

В том числе, исполняемый скрипт файла меняет собственные атрибуты на «Скрытый», «Системный» и «Только для чтения»:

Также, скрипт производит попытки по отключению встроенного антивируса Windows Defender и антивирусов внешних вендоров: Bitdefender.

После закрепления вызываются инструкции, которые завещают процессы Диспетчера задач, командной строки, конфигурации системы и редактора реестра при помощи WMI.

Для того, чтобы помешать пользователю прервать вредоносные действия скрипта создаются записи в реестрах для переназначения раскладки клавиатуры, а также инверсированния клавиш мыши.

Также, скрипт считывает файл образа и перезаписывает MBR дисковых накопителей:

Скрипт создает функцию для определения версии ОС Windows:

Эта функция используется для получения пользовательских директорий:

Для удаления резервных копий определяется функция, которая получает путь, в котором происходит рекурсивный обход всех директорий, после чего все файлы с расширениями «.bak», «.backup» и «.old» будут удалены.

В том числе, скрипт удаляет резервные копии с машины жертвы. Для удаления теневых копий используется системная утилита vssadmin, а для очистки каталогов резервных копий используется wbadmin.

Далее, скрипт создает определения для определенных системных директорий и собственных значений для дальнейшего функционирования:

Определяется функция для создания случайной цифробуквенной строки из представленного алфавита:

Далее, создается определение функции для добавления разрывов в строке, формируя подстроки заданного размера:

Далее код определяет функцию для шифрования файлов. Скрипт проверяет, соответствует ли путь к файлу из заданного. Если это так, скрипт останавливается. В ином случае он шифрует файл с помощью сдвига Цезаря и гаммирования XOR-ом. Полученный результат сохраняет с заданным ранее расширением – «lcryx», исходный файл удаляется. Полученный зашифрованный файл открывается в блокноте.

Сама функция гаммирования представлена на скриншоте:

Функция сдвига Цезаря представлена на скриншоте:

Затем на рабочем столе жертвы создается записка с выкупом:

В том числе на машине жертвы меняют изображение рабочего стола:

После происходит создание дополнительных файлов, «msvcr80.dll.bat», «systemconfig.exe.vbs», «advapi32_ext.vbs».

Созданный msvcr80.dll.bat присваиваются атрибуты «Скрытый», «Системный» и «Только для чтения». После чего, файл добавляется в регистры автозагрузки ОС:

Следующим создается «systemconfig.exe.vbs», который запускается в цикле и создает окна с предупреждением о том, что все файлы на машине жертвы зашифрованы, при этом в открывшемся модальном окне при нажатии на любую диалоговую клавишу («Да» или «Нет») происходит открытие браузера с клипом.

Аналогично файлу присваиваются атрибуты «Скрытый», «Системный» и «Только для чтения». После чего, файл добавляется в регистры автозагрузки ОС:

Третий файл «advapi32_ext.vbs», содержит инструкции по завершению процессов из списка (powershell, taskmgr, cmd, regedit, control, gp, msconfig, MsMpEng, avp, AvastSvc, avgsvc, avc, NortonSecurity, Protegent, pavsrvx, mbam, avguard, mcshield) каждые 5 секунд в бесконечном цикле.

Аналогично файлу присваиваются атрибуты «Скрытый», «Системный» и «Только для чтения». После чего, файл добавляется в регистры автозагрузки ОС:

После этого, созданные файлы запускаются и завершится системный процесс «explorer.exe».

Информация о компрометации