Get best of the week

Bedrohungs-Spotlight: Neshta File Virus

Gruß, Chabrowiten! Im Vorfeld des Kursbeginns "Reverse Engineering 2.0" möchten wir Ihnen eine weitere interessante Übersetzung mitteilen.



Kurze Review


Neshta ist ein ziemlich alter Dateivirus, der immer noch weit verbreitet ist. Es wurde ursprünglich im Jahr 2003 entdeckt und war zuvor mit BlackPOS-Malware verbunden. Infizierten Dateien wird bösartiger Code hinzugefügt. Grundsätzlich gelangt diese Bedrohung durch unbeabsichtigte Downloads oder andere schädliche Programme in die Umgebung. Es infiziert ausführbare Windows-Dateien und kann Netzwerkressourcen und Wechselmedien angreifen.

Im Jahr 2018 konzentrierte sich Neshta hauptsächlich auf das verarbeitende Gewerbe, griff aber auch den Finanz-, Verbraucher- und Energiesektor an. Aus Stabilitätsgründen benennt sich Neshta in svchost.com um und ändert die Registrierung so, dass sie bei jedem Start der EXE-Datei gestartet wird. Es ist bekannt, dass diese Bedrohung Systeminformationen sammelt und POST-Anforderungen verwendet, um Daten auf Servern zu filtern, die von Angreifern kontrolliert werden. Die in unserer Analyse verwendeten Neshta-Binärdateien zeigten kein Verhalten oder keine Funktionalität bei der Datenexfiltration.

Technische Analyse


Dieser Abschnitt beschreibt die Symptome einer Neshta-Infektion. Wir haben Virenproben genommen, die 2007, 2008 und 2019 auf VirusTotal hochgeladen wurden.

Wir haben Dateien mit den folgenden SHA-256-Hashes analysiert:

  • 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
  • 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
  • 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
  • a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
  • 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
  • c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75


Statische Dateianalyse


Mit Borland Delphi 4.0 kompilierter Neshta-Code. Die Dateigröße beträgt normalerweise 41.472 Bytes.

Wie jede Delphi-Binärdatei verfügt Neshta über vier beschreibbare (DATA, BSS, .idata und .tls) und drei gemeinsam genutzte Abschnitte (.rdata, .reloc und .rsrc):


Abbildung 1. Merkmale der Abschnittsüberschriften .

Darüber hinaus zeigt der Neshta-Code interessante Zeilen - siehe Abbildung 2 unten:

„Delphi - der Beste. Verdammt noch mal. Neshta 1.0 Made in Belarus. Wir halten das ~ Tsikav ~ Belarus_kim Jiauchatam. Alyaksandr Rygoravich, du bist ein Taxama :) Vosen-kepsky Paar ... Alivarya - mach Bier! Mit freundlichen Grüßen 2 Tommy Salo. [Nov-2005] deine [Dziadulja Apanas] “
(„ Delphi ist das Beste. Der Rest geht an ***. Neshta 1.0 Made in Belarus. Hallo an alle ~ interessanten ~ belarussischen Mädchen. Alyaksandr Grigoryevich, auch du :) Der Herbst ist ein schlechtes Paar ... Alivaria ist das beste Bier! Beste Wünsche für Tommy Salo. [November 2005] dein [Opa Apanas]) "



Abbildung 2: Interessante Linien im Körper des Virus

Dateiinfektion


Das Hauptmerkmal von Neshta ist ein Datei-Eindringling, der auf lokalen Laufwerken nach EXE-Dateien sucht. Neshta zielt auf ".exe" -Dateien ab, ausgenommen nur solche, deren Verknüpfung eine der folgenden Zeilen enthält:

  • % Temp%
  • % SystemRoot% (normalerweise C: \ Windows)
  • \ PROGRA ~ 1 \


Eine Zusammenfassung des Infektionsprozesses ist unten und in Abbildung 3 beschrieben.

Neshta:

  1. Liest 41.472 (0xA200) Bytes vom Anfang der Zielquelldatei.
  2. Erstellt zwei Partitionen und weist dem Attribut PAGE_READWRITE am Anfang und Ende der Quelldatei Speicher zu.
  3. Setzt den böswilligen Header und Code an den Anfang der Quelldatei. Die aufgezeichneten Daten sind 41.472 Bytes.
  4. Schreibt den codierten Quellheader und den Code in eine Datei mit einer Größe von 41,472 Byte.


Mit diesen Aktionen können Sie schädlichen Code unmittelbar nach dem Start der infizierten Datei ausführen:


Abbildung 3: Dateiinfektion

Wenn die infizierte Datei gestartet wird, wird das Quellprogramm %Temp%\3582-490\<filename>mithilfe der WinExec-API abgelegt und gestartet.

Nachhaltigkeit


Neshta stellt sich C:\Windows\svchost.commithilfe der folgenden Parameter in die Registrierung ein und installiert sich in der Registrierung:

Registrierungsschlüssel: HKLM \ SOFTWARE \ Classes \ exefile \ shell \ open \ command
Registrierungswert: (Standard)
Wert: %SystemRoot%\svchost.com "%1" %*
Diese Registrierungsänderung weist das System an, Neshta jedes Mal zu starten, wenn .exe ausgeführt wird. Datei. "% 1"% * gibt die laufende EXE-Datei an. Darüber hinaus erstellt Neshta einen benannten Mutex, um die Existenz einer anderen Arbeitsinstanz zu überprüfen:

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\command‹À "%1" %*œ‘@

Eine weitere injizierte Datei ist "directx.sys", die an% SystemRoot% gesendet wird. Dies ist eine Textdatei (kein Kerneltreiber), die den Pfad zur zuletzt infizierten Datei enthält, die ausgeführt werden soll. Es wird jedes Mal aktualisiert, wenn eine infizierte Datei ausgeführt wird.

BlackBerry Cylance stoppt Neshta


BlackBerry Cylance verwendet AI-basierte Agenten, die darauf trainiert sind, Bedrohungen für Millionen sicherer und unsicherer Dateien zu erkennen. Unsere automatisierten Sicherheitsagenten blockieren Neshta basierend auf einer Vielzahl von Dateiattributen und böswilligem Verhalten, anstatt sich auf eine bestimmte Dateisignatur zu verlassen. BlackBerry Cylance, das einen prädiktiven Vorteil gegenüber Zero-Day-Bedrohungen bietet , ist geschult und effektiv gegen neue und bekannte Cyber-Angriffe. Weitere Informationen finden Sie unter https://www.cylance.com .

Anwendung


Kompromissindikatoren (IOCs)


  • Hashes

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a o
o 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
o 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
o a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
o 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
o c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

  • Dateinamen

o% SystemRoot% \ svchost.com
o% SystemRoot% \ directx.sys
o% Temp% \ tmp5023.tmp

  • C2s / IPs
  • Mutexe

o MutexPolesskayaGlush *. * <0x90> svchost.com <0x90> exefile \ shell \ open \ command ‹À"% 1 "% * œ '@

  • Interessante Zeilen

o Delphi - das Beste. F ** k den ganzen Rest ab. Neshta 1.0 Made in Belarus. Wir wiederholen die Bemühungen des ~ ~ Tsikavy ~ Weißrussland_Kim Dziauchatam. Alyaksandr Rygoravich, du bist ein Taxama :) Vosen-kepsky Paar ... Alivarya - mach Bier! Mit freundlichen Grüßen 2 Tommy Salo. [November 2005] Ihre [Dziadulja Apanas]

sha25629fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
eine Artpe32 ausführbare (gui) Intel 80386, für MS Windows
die Größe41472
Zeitstempel1992: 06: 20 07: 22: 17 + 09: 00
itwsvchost [.] com


Erfahren Sie mehr über den Kurs.

More articles:


All Articles