Этапы устранения вредоносных программ Wekby

На прошлой неделе всего несколько пользователей сообщили нам, что они действительно столкнулись с вредоносным ПО wekby.

Ваш компьютер стал работать медленно? Reimage — единственное программное обеспечение, которое может исправить широкий спектр проблем, связанных с Windows.

Это сообщение также всегда можно найти в: 日本語 (японский)

За последние несколько недель некоторые из нас стали свидетелями нападения определенной группы Wekby на специалиста из США. Wekby — это группа, которая, кажется, существует уже несколько лет и нацелена на различные компании, включая здравоохранение, телекоммуникации, аэрокосмическую промышленность, оборону, а также высокие технологии. Группа известна тем, что помогает вам воспользоваться недавно выпущенными эксплойтами вскоре после того, как эксплойты пользователей станут доступны, например эксплойт HackingTeam для флэш-памяти нулевого дня.

Согласно этой команде Wekby, используемое вредоносное ПО связано с популярными вредоносными программами HTTPBrowser и использует поиск DNS в качестве фактического механизма управления и контроля. Кроме того, в течение всего периода анализа используются методы запутывания ассортимента, чтобы предотвратить воздействие поисковых систем. Основываясь на метаданных, обнаруженных при переносе обсуждаемых тестов, Palo Alto Networks назвала это или шпионское ПО «pisloader».

Инфраструктура

Вредоносное ПО Pisloader было распространено семейством по протоколу HTTP, предоставленному по следующему URL-адресу. На момент написания этой статьи о процессе этот URL-адрес был активен.

Этот обнаруженный файл, вероятно, был идентифицирован с помощью экземпляра широко распространенного вредоносного ПО Friends and Family Poison Ivy со следующими данными конфигурации:

Командный и/или контрольный адрес: intranetbabcam[.]com
Порт управления и контроля: Администратор
Мьютекс: 80
Пароль: )!VoqA.Domains i5

Все свидетели, участвовавшие во время этого теракта, были оперативно записаны перед операцией. Эта атака затронула следующие домены:

Исходная пипетка

Следующий образец был первоначально обнаружен и может упоминаться при любом дальнейшем анализе:

В этом конкретном файле используются следующие свойства метаданных. Информация “pisload2” позволила идентифицировать здесь семейство вредоносных программ.

Настоящий дроппер содержит удивительно простой код, который обычно важен для сохранения определенного ключа реестра Run pc, а также для удаления, кроме того, запуска встроенного исполняемого файла Windows. Когда происходила ограниченная запутанность, авторы Интернета превращали строки в гораздо более узкие подстроки и использовали имена «strcpy», а «strcat», чтобы воссоздать их перед использованием. Они также использовали тот же самый подход для создания мусора, в котором посты, которые никогда не использовались, могли оказаться найденными. Это, вероятно, для установления и анализа определенного типа из выборки. Следующий декомпилированный код представляет это. Добавлены комментарии для отображения сгенерированных строк.

В приведенном здесь декомпилированном коде мы видим, что каждый pisloader выдает следующую строку, которая вызывается для создания ключа реестра Run pc.

cmd.exe /c reg lend HKCUSoftwareMicrosoftWindowsCurrentVersionRun Lsm /v /t reg_sz /d “%appdata%lsm.exe” /f

Эта специальная команда, скорее всего, соединит ключ реестра HKCUSoftwareMicrosoftWindowsCurrentVersionRunlsm, который состоит из значения “%appdata%lsm.exe”. Как только такой ключ установлен, вредоносная программа начинает с расшифровки двух больших двоичных объектов, которые продвигаются к данным, используя однобайтовое XOR 0x54. Полученные записи можно записать в хранилище по пути %appdata%lsm.exe.

После записи этого файла навыков вирус запускает обновленный записанный файл lsm, содержащий полезный файл атаки.Bottleneck pisloader.

Полезная нагрузка

wekby malware

Последний образец всегда обнаруживался и назывался при надлежащем анализе:

Полезные нагрузки могут быть сильно запутаны при использовании метода ROP и собственного набора инструкций по сборке мусора. В приведенном ниже примере код, который полностью красный по сравнению с другими моими кодами, мало что делает для освобождения, чтобы предотвратить реинжиниринг примера. Этот код можно рассматривать как мусор и игнорировать. Заключительные этапы функции органично окрашены в зеленый цвет, что указывает на то, что две смены выполнения были помещены в стек, за которым следует один оператор Give. Этот цикл сначала показывает фактический код выполнения с нулевым процессом, который, когда вся электроника отключена, обычно указывает значение выполнения на «next_function». Этот метод широко используется во время выполнения полезной нагрузки, что затрудняет тщательный анализ.

wekby malware

Вредоносное ПО почти наверняка довольно простое, если оно игнорирует обфускацию и нежелательный код. Это может начаться с создания уникального 10-байтового буквенно-цифрового кода. Остальные данные на самом деле защищены base32 с удаленным заполнением. Эта информация будет использоваться для заполнения каждого субдомена, используемого в последующем DNS-запросе, касающемся записи TXT. Используйте

DNS на случай, если протокол C2 не слишком широко использовался авторами вредоносных программ в прошлом. Заметными исключениями являются:

<ул>

  • FrameworkPOS
  • C3PRO-енот
  • ФидерБот
  • Смерть
  • Варианты PlugX
  • Использование DNS a в качестве C2 потребует от pisloader обхода некоторых продуктов безопасности, которые могут неправильно проверять трафик этого руководства.

    Пример Pisloader, вероятно, будет периодически отправлять блестящий пример, который должен состоять из абсолютной 4-байтовой случайной строки в верхнем регистре, используемой в качестве полезной нагрузки. См. пример ниже:

    Диагностируемая вредоносная программа ожидает, что в определенном инструменте будет установлена ​​комбинация ситуаций ответов DNS, или весь загрузчик в настоящее время игнорирует ответ DNS. Должны быть установлены следующие баннеры DNS. Если установлены дополнительные флаги, ответ действительно будет игнорироваться. Желаемый

  • Рекурсия

    <ул>

  • Ответить
  • Доступна рекурсия
  • Вопросы карьеры должны стать равными 0x1. Поле Response Resource Records должно иметь любое значение, начиная с 0x1. Кроме того, какой субдомен проблемного запроса просто должен соответствовать уникальному требованию DNS.

    Рекомендуется: Reimage

    У вас есть компьютер, который работает медленно? Если это так, то, возможно, пришло время подумать о программном обеспечении для восстановления Windows. Reimage прост в использовании и быстро исправит распространенные ошибки на вашем ПК. Это программное обеспечение может даже восстанавливать файлы с поврежденных жестких дисков или USB-накопителей. Он также может уничтожать вирусы одним нажатием кнопки!

  • Шаг 1. Загрузите и установите версию Reimage.
  • Шаг 2. Запустите программу и выберите устройство, которое хотите сканировать.
  • Шаг 3. Нажмите кнопку "Сканировать", чтобы начать сканирование.

  • Получите инструмент для ремонта ПК Reimage. Мгновенно исправляйте ошибки компьютера и повышайте производительность.

    Wekby Malware
    Logiciel Malveillant Wekby
    Malware Wekby
    Wekby-Malware
    Wekby Malware
    Wekby Malware
    Wekby-malware
    Złośliwe Oprogramowanie Wekby
    Wekby Malware
    웩비 악성코드
    г.