👵🏾 🎢 🐬 بقعة ضوء التهديد: Neshta File Virus 🖕🏿 👨🏿‍🤝‍👨🏼 ⚠️

تحية يا خبروفيتس! تحسبًا لبدء الدورة "Reverse Engineering 2.0" ، نريد أن نشارك معك ترجمة أخرى مثيرة للاهتمام.

مراجعة قصيرة

Neshta هو فيروس ملف قديم إلى حد ما لا يزال واسع الانتشار. تم اكتشافه في الأصل في عام 2003 وكان مرتبطًا سابقًا ببرامج BlackPOS الضارة. يضيف تعليمات برمجية ضارة إلى الملفات المصابة. بشكل أساسي ، يدخل هذا التهديد إلى البيئة من خلال التنزيلات غير المقصودة أو البرامج الضارة الأخرى. يصيب ملفات Windows القابلة للتنفيذ ويمكنه مهاجمة موارد الشبكة والوسائط القابلة للإزالة.

في عام 2018 ، ركزت Neshta في المقام الأول على التصنيع ، لكنها هاجمت أيضًا قطاعات المال والاستهلاك والطاقة. لأسباب تتعلق بالاستقرار ، تقوم Neshta بإعادة تسمية نفسها إلى svchost.com ثم تعديل التسجيل بحيث يبدأ في كل مرة يتم فيها تشغيل ملف exe. من المعروف أن هذا التهديد يجمع معلومات النظام ويستخدم طلبات POST لاستخراج البيانات على الخوادم التي يسيطر عليها المهاجمون. لم تثبت ثنائيات نيشتا المستخدمة في تحليلنا سلوك أو وظيفة استخراج البيانات.

التحليل الفني

يصف هذا القسم أعراض عدوى النشتة. أخذنا عينات فيروسات تم تحميلها على VirusTotal في 2007 و 2008 و 2019.

قمنا بتحليل الملفات باستخدام تجزئات SHA-256 التالية:

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

تحليل ملف ثابت

كود Neshta مترجم مع بورلاند دلفي 4.0. حجم الملف عادة 41.472 بايت.

مثل أي دلفي ثنائي ، Neshta لديها أربعة للكتابة (DATA ، BSS ، .idata و. tls) وثلاثة أقسام مشتركة (.rdata ، .reloc و .rsrc):

الشكل 1. ميزات رؤوس الأقسام .

بالإضافة إلى ذلك ، يظهر رمز Neshta خطوطًا مثيرة للاهتمام - انظر الشكل 2 أدناه:

“دلفي الأفضل. F *** قبالة كل ما تبقى. نشطا 1.0 صنع في بيلاروسيا. نحن نحمل جياشاتام ~ Tsikav ~ Belarus_kim. أليكساندر ريجورافيتش ، أنت بحاجة إلى تصنيف :) زوجان فوسين-كيبسكي ... Alivarya - اصنع الجعة! مع أطيب التحيات 2 تومي سالو. [نوفمبر 2005] لك [Dziadulja Apanas] "
(" دلفي هي الأفضل. والباقي يذهب إلى ***. Neshta 1.0 صنع في بيلاروسيا. مرحبًا بكم جميعًا ~ بنات بيلاروسيا مثيرات للاهتمام. أليكساندر غريغوريفيتش ، أنت أيضًا: الخريف زوجان سيئان ... Alivaria هي أفضل بيرة! أطيب التمنيات لتومي سالو. [تشرين الثاني (نوفمبر) 2005] [جدي أباناس]) "

الشكل 2: خطوط مثيرة للاهتمام في جسم الفيروس

عدوى الملف

الميزة الرئيسية لـ Neshta هي متطفل ملف يبحث عن ملفات exe. على محركات الأقراص المحلية. يستهدف Neshta ملفات "exe." ، باستثناء الملفات التي تحتوي على أي من الأسطر التالية في اختصارها:

٪ مؤقت٪
٪ SystemRoot٪ (عادةً C: \ Windows)
\ PROGRA ~ 1 \

يوصف ملخص لعملية العدوى أدناه وفي الشكل 3.

Neshta:

يقرأ 41،472 بايت (0xA200) بايت من بداية الملف المصدر الهدف.
إنشاء قسمين وتخصيص الذاكرة مع السمة PAGE_READWRITE في بداية ونهاية الملف المصدر.
يضع رأسه ورمزه الضار في بداية الملف المصدر. البيانات المسجلة هي 41،472 بايت.
يكتب رأس المصدر المشفر والرمز إلى ملف بحجم 41.472 بايت.

تتيح لك هذه الإجراءات تشغيل تعليمات برمجية ضارة فور تشغيل الملف المصاب:

الشكل 3: إصابة الملف

عند تشغيل الملف المصاب ، يتم وضع البرنامج المصدر وتشغيله %Temp%\3582-490\<filename>باستخدام WinExec API.

الاستدامة

Neshta تضع نفسها وتثبت نفسها في C:\Windows\svchost.comالتسجيل باستخدام المعلمات التالية:

مفتاح التسجيل: HKLM \ SOFTWARE \ Classes \ exefile \ shell \ open \ command
قيمة التسجيل: (افتراضي)
القيمة: %SystemRoot%\svchost.com "%1" %*
يغير تغيير التسجيل هذا النظام لبدء تشغيل Neshta في كل مرة يتم فيها تشغيل .exe. ملف. يشير "٪ 1"٪ * إلى ملف .exe قيد التشغيل. بالإضافة إلى ذلك ، ينشئ Neshta كائنًا مختلطًا مسميًا للتحقق من وجود مثيل عامل آخر:

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\command‹À "%1" %*œ‘@

ملف محقن آخر هو "directx.sys" ، والذي يتم إرساله إلى٪ SystemRoot٪. هذا ملف نصي (ليس برنامج تشغيل kernel) يحتوي على المسار إلى آخر ملف مصاب ليتم تشغيله. يتم تحديثه في كل مرة يتم فيها تنفيذ ملف مصاب.

توقف BlackBerry Cylance Neshta

تستخدم BlackBerry Cylance الوكلاء المعتمدين على الذكاء الاصطناعي المدربين على اكتشاف التهديدات على ملايين الملفات الآمنة وغير الآمنة. يحظر وكلاء الأمن الآليون لدينا Neshta بناءً على مجموعة متنوعة من سمات الملف والسلوك الضار ، بدلاً من الاعتماد على توقيع ملف معين. إن BlackBerry Cylance ، التي تقدم ميزة تنبؤية على تهديدات اليوم صفر ، مدربة وفعالة ضد الهجمات السيبرانية الجديدة والمعروفة. لمزيد من المعلومات ، يرجى زيارة https://www.cylance.com .

تطبيق

مؤشرات التسوية (IOCs)

تجزئات

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a س
س 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
س 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
س a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
س 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
س c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

أسماء الملفات

o٪ SystemRoot٪ \ svchost.com
o٪ SystemRoot٪ \ directx.sys
o٪ Temp٪ \ tmp5023.tmp

C2s / IPs
المزج

o MutexPolesskayaGlush *. * <0x90> svchost.com <0x90> exefile \ shell \ open \ command ‹À"٪ 1 "٪ * œ '@

خطوط مثيرة للاهتمام

o دلفي الأفضل. F ** k من جميع الباقي. نشطا 1.0 صنع في بيلاروسيا. نحن نحمل جياشاتام ~ Tsikav ~ Belarus_kim. أليكسندر ريغورافيتش ، أنت بحاجة إلى تصنيف :) زوجان فوسين-كيبسكي ... Alivarya - اصنع الجعة! مع أطيب التحيات 2 تومي سالو. [نوفمبر 2005] لك [Dziadulja Apanas]

sha256	29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
نوع	pe32 قابل للتنفيذ (واجهة المستخدم الرسومية) إنتل 80386 ، لنظام التشغيل Windows windows
الحجم	41472
الطابع الزمني	1992: 06: 20 07: 22: 17 + 09: 00
itw	svchost [.] com

تعلم المزيد عن الدورة.

بقعة ضوء التهديد: Neshta File Virus