Passaggi Di Wekby Per L’eliminazione Del Malware

La scorsa settimana, alcuni follower ci hanno segnalato di aver subito wekby malware.

Il tuo computer è lento? Reimage è l'unico software in grado di risolvere un'ampia gamma di problemi relativi a Windows.

Questo messaggio può essere trovato anche in: 日本語 (giapponese)

In queste ultime settimane, abbiamo sicuramente assistito a un attacco del gruppo Wekby contro un’organizzazione statunitense. Wekby è un gruppo che sembra esistere da anni e inoltre si rivolge a vari settori, nonché a sanità, telecomunicazioni, aerospaziale, difesa e tecnologia meravigliosa. Il gruppo è noto per averti aiutato a sfruttare i nuovi exploit rilasciati poco dopo che tali intrusioni sono diventate disponibili, come l’exploit flash zero-day di HackingTeam.

Secondo il team di Wekby, il malware utilizzato è focalizzato sulla famiglia di malware HTTPBrowser e utilizza le ricerche DNS come meccanismo di comando e controllo. Inoltre, durante questo particolare periodo di analisi vengono utilizzate tecniche di offuscamento delle scelte per interferire con i motori di indagine. Sulla base dei metadati rilevati durante il porting dei campioni discussi, Palo Alto Networks ha chiamato questo o spyware “pisloader”.

Infrastrutture

Il malware Pisloader è stato distribuito per gentile concessione della famiglia tramite HTTP dal seguente URL. Al momento della stesura di questo articolo, questo URL era ancora attivo.

Questo file individuato è stato probabilmente identificato come una sorta di istanza del diffuso malware Friends combinato con il malware Family Poison Ivy con i seguenti dati di configurazione particolari:

Il comando e/o il controllo si concentrano su: intranetbabcam[.]com
Porta di comando e controllo: amministratore
Mute: 80
Password: )!VoqA.Domains i5

Tutti i testimoni che hanno vissuto l’attacco sono stati registrati poco prima dell’operazione. Questo attacco ha colpito i seguenti domini in particolare:

Contagocce iniziale

Il seguente esempio è stato originariamente scoperto e verrà sempre fatto riferimento in ulteriori analisi:

Le proprietà dei metadati subito dopo vengono utilizzate in un particolare file. L’identità “pisload2” ha reso possibile identificare questa famiglia di trojan.

Un vero contagocce contiene un codice molto semplice, che di solito è responsabile del salvataggio di uno specifico mistero del registro di esecuzione, nonché dell’eliminazione e dell’offerta dell’eseguibile Windows integrato. Quando si è verificato un offuscamento specificato, gli autori di Internet hanno rotto le corde della chitarra in sottostringhe molto più compatte per utilizzare omesso i nomi “strcpy” più “strcat” per ricrearli prima dell’uso. Hanno anche utilizzato lo stesso approccio per essere in grado di generare spazzatura in cui potevano trovarsi stringhe che non sono mai state utilizzate. Questo è probabile che identifichi così analizzare un certo tipo di campioni. Il seguente codice decompilato lo riflette. Aggiunti commenti per visualizzare stringhe completamente sviluppate.

Nel codice decompilato sopra, tutti noi vediamo che ogni pisloader genera una riga successiva, che alla fine è generalmente quella di creare la chiave del personal computer Run.

cmd.exe /c reg lend HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

Questo comando positivo molto probabilmente imposterà una chiave di registro specifica HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm che contiene tutto il valore “%appdata%lsm.exe”. Una volta impostato un valore così grande, il malware inizia a decrittografare i due BLOB che fanno riferimento correttamente ai dati utilizzando un XOR a un byte di 0x54. I dati ricevuti possono essere potenzialmente scritti nell’archivio attraverso il percorso %appdata%lsm.exe.

Dopo aver scritto questo completo, il virus esegue il file lsm appena redatto contenente un utile file devastante. Pisloader collo di bottiglia.

Carico utile

wekby malware

Un esemplare imminente è stato avvisato e nominato nell’analisi in arrivo:

I carichi utili possono essere altamente offuscati con tutti i metodi ROP e il tuo paio di istruzioni per la raccolta dei rifiuti. In alcuni esempi di seguito, il codice che deve essere completamente rosso rispetto ai numerosi codici fa poco o nulla per impedire che l’esempio venga veramente riprogettato. Questo codice può essere filtrato, spazzatura e ignorato. La fine della funzione è evidenziata organicamente in verde, a indicare che due giorni di lavoro della funzione sono stati spostati sul carico, seguiti da un’unica revisione del reso. Questo ciclo mostra prima il codice di configurazione con una funzione nulla, che sempre, quando tutta l’elettronica è spenta, di solito punta il codice di esecuzione in “funzione_next”. Questo metodo viene utilizzato durante l’esecuzione del carico utile, il che rende difficili le indagini statiche.

wekby malware

Il malware è stato in realtà abbastanza semplice se sorridi interiormente all’offuscamento e al codice indesiderato. Inizia perfettamente generando un code.head alfanumerico a 10 byte di giudizi umani. Il resto della maggior parte dei dati è in realtà codificato in base32 tra il riempimento rimosso. Queste informazioni vengono utilizzate per popolare ogni sottodominio utilizzato che appare nella successiva query DNS per il nostro record TXT. Usa

DNS se tutto il protocollo C2 non è stato ampiamente utilizzato dagli autori di malware in passato. Eccezioni degne di nota sono:

  • FrameworkPOS
  • C3PRO-procione
  • FeederBot
  • Morte
  • Varianti PlugX
  • L’utilizzo di DNS a come C2 consente a pisloader di aggirare alcuni prodotti di sicurezza che non ispezionano correttamente questo traffico.

    Esempio Pisloader probabilmente invierà un beacon di routine, che dovrebbe consistere in una stringa maiuscola casuale di 4 byte significativa utilizzata come payload. Vedi esempio sotto:

    Lo spyware rilevato prevede che una combinazione di aspetti relativi alle risposte DNS venga impostata all’interno di un determinato strumento oppure un pisloader specifico sta attualmente ignorando la reazione DNS. I seguenti banner DNS devono trovarsi installati. Se vengono specificati ulteriori flag, la risposta verrà effettivamente omessa. Desiderato

  • Ricorsione

  • Rispondi
  • Ricorsione disponibile
  • La carriera delle domande dovrebbe essere accoppiata a 0x1. Il campo Record di risorse di risposta deve essere qualsiasi valore che inizia da 0x1. Inoltre, il tuo attuale sottodominio della query problematica deve soddisfare il requisito DNS univoco.

    Consigliato: Reimage

    Hai un computer che funziona lentamente? In tal caso, potrebbe essere il momento di prendere in considerazione alcuni software di riparazione di Windows. Reimage è facile da usare e risolverà gli errori comuni sul tuo PC in pochissimo tempo. Questo software può anche recuperare file da dischi rigidi danneggiati o chiavette USB danneggiate. Ha anche la capacità di spazzare via i virus con un clic di un pulsante!

  • Passaggio 1: scarica e installa Reimage
  • Passaggio 2: avvia il programma e seleziona il dispositivo che desideri scansionare
  • Fase 3: fai clic sul pulsante Scansione per avviare il processo di scansione

  • Ottieni lo strumento di riparazione PC Reimage. Correggi istantaneamente gli errori del tuo computer e migliora le prestazioni.

    Wekby Malware
    Logiciel Malveillant Wekby
    Malware Wekby
    Wekby-Malware
    Wekby Malware
    Wekby-malware
    Złośliwe Oprogramowanie Wekby
    Wekby Malware
    웩비 악성코드
    Wekby вредоносное ПО