Chủ đề

(Chuyên đề) - Các báo cáo khác của CrowdStrike mô tả một dropper (mã độc trung gian hỗ trợ cài đặt các mã độc khác lên hệ thống mục tiêu) được sử dụng bởi PUTTER PANDA (abc.scr) để cài đặt 4H RAT. Dropper này sử dụng thuật toán mã hóa RC4 để giải mã một thành phần được nhúng từ dữ liệu nguồn trước khi thành phần này được ghi xuống ổ đĩa và thực thi.

 Phân tích kỷ thuật – DROPPERS – RC4 và XOR BASED (Kỳ 2)

1006_chinese_hackers_970

Mục lục
[ẩn]

Một vài trường hợp về dropper này từng được xem xét, thường là đi với 4H RAT, nhưng cũng có liên hệ với các công cụ khác sẽ được mô tả trong báo cáo sắp tới. Một dropper khác từng được tìm hiểu, chuyên thực hiện cài đặt mã độc pngdowner (mẫu mã MD5 là 4c50457c35e2033b3a03fcbb4adac7b7). Dropper này rất đơn giản và được biên dịch từ một tập tin mã nguồn C++. Công cụ chứa một tài liệu Word dưới dạng plaintext (Bienvenue_a_sahaja_Yoga_toulouse.doc), cùng với một tâp tin thực thi (Update.exe) và thư viện liên kết động DLL (McUpdate.dll). Tập tin thực thi và DLL chứa vào mục .data của dropper, được làm rối bằng một khóa XOR 16-byte (bao gồm các byte từ 0xA0 đến 0xAF).

Cả tài liệu và tập tin thực thi được ghi vào ổ đĩa và thực thi thông qua hàm API
ShellExecute (sử dụng lệnh “open”). Tập tin thực thi cũng được cài đặt vào khóa registry ASEP HKCUSoftwareMicrosoftWindowsCurrentVersionRun, với giá trị được đặt tên là McUpdate. Cuối cùng, dropper tự xóa chính nó thông qua một tập tin batch. Dropper thực thi (MD5 hash 38a2a6782e1af29ca8cb691cf0d29a0d) chủ yếu nhằm đưa DLL xác định (McUpdate.dll, MD5 hash 08c7b5501df060ccfc3aa5c8c41b452f) vào trong tiến trình cho phép truy cập bình thường vào mạng lưới, nhằm che giấu các hoạt động độc hại. Các tên module tương ứng với các chương trình Outlook Express (msinm.exe), Outlook (outlook.exe), Internet Explorer (iexplore.exe), và Firefox (firefox.exe) được sử dụng. Nếu Internet Explorer được sử dụng, mã độc sẽ cố gắng kết thúc tiến trình tương ứng với hai thành phần của phần mềm Sophos Anti-Virus (SAVadminService.exe và SavService.exe). Bốn ví dụ về các dropper được đưa ra, sử dụng các tài liệu PDF và Microsoft Word làm mồi nhử (thể hiện ở Hình 15-18). Chủ đề phổ biến xuyên suốt các tài liệu này là về công nghệ không gian (tập tin Bienvenue_a_ Sahaja_Yoga_Toulouse.doc không đi theo xu hướng này, nhưng có thể được nhắm mục tiêu là các công nhân tại Trung tâm Không gian Toulouse, “trung tâm không gian lớn nhất Châu Âu”), chỉ ra rằng những kẻ tấn công quan tâm đến lĩnh vực này, cũng như được phản ánh qua việc chọn tên cho một số tên miền C2 (xem ở phần trên).

panda ky 7

panda ky 7.1

 

panda ky 7.5

 

panda ky 7.3

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 6)

(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 6)

PUTTER PANDA sử dụng một vài công cụ quản trị từ xa (RAT). Trong số đó, hai công cụ phổ biến nhất, 4HRAT và 3PARA RAT, từng được đưa vào báo cáo CrowdStrike Intelligence trước đây....
(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 5)

(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 5)

Quan sát thời gian phát triển các công cụ PUTTER PANDA được mô tả trong báo cáo này từ năm 2007 đến cuối năm 2013 cho thấy, các tin tặc đã tiến hành nhiều chiến dịch tấn công nhằm...
(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 4)

(CĐ 19) Các nhóm tin tặc Trung Quốc: PUTTER PANDA – ĐƠN VỊ 61486 PLA (Kỳ 4)

Như đã đề cập bên trên, tên miền checalla.com được dùng để điều khiển và kiểm soát Trojan điều khiển từ xa PUTTER PANDA 4H vào năm 2008. Tên miền này được đăng ký bởi email [email protected],...
Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]