Get best of the week

Amenaza destacada: Virus de archivo Neshta

Saludo, Khabrovites! En previsión del comienzo del curso "Ingeniería inversa 2.0" queremos compartir con ustedes otra traducción interesante.



Breve reseña


Neshta es un virus de archivo bastante antiguo que todavía está muy extendido. Fue descubierto originalmente en 2003 y anteriormente estaba asociado con el malware BlackPOS. Agrega código malicioso a los archivos infectados. Básicamente, esta amenaza ingresa al medio ambiente a través de descargas involuntarias u otros programas maliciosos. Infecta los archivos ejecutables de Windows y puede atacar los recursos de red y los medios extraíbles.

En 2018, Neshta se centró principalmente en la fabricación, pero también atacó los sectores financiero, de consumo y energético. Por razones de estabilidad, Neshta se renombra a svchost.com y luego modifica el registro para que se inicie cada vez que se inicia el archivo .exe. Se sabe que esta amenaza recopila información del sistema y utiliza solicitudes POST para filtrar datos en servidores controlados por atacantes. Los binarios de Neshta utilizados en nuestro análisis no demostraron el comportamiento o la funcionalidad de la exfiltración de datos.

Análisis técnico


Esta sección describe los síntomas de la infección por Neshta. Tomamos muestras de virus cargadas en VirusTotal en 2007, 2008 y 2019.

Analizamos archivos con los siguientes hashes SHA-256:

  • 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
  • 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
  • 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
  • a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
  • 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
  • c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75


Análisis de archivo estático


Código Neshta compilado con Borland Delphi 4.0. El tamaño del archivo suele ser de 41.472 bytes.

Al igual que cualquier binario de Delphi, Neshta tiene cuatro de escritura (DATA, BSS, .idata y .tls) y tres secciones compartidas (.rdata, .reloc y .rsrc):


Figura 1. Características de los encabezados de sección .

Además, el código Neshta muestra líneas interesantes; consulte la Figura 2 a continuación:

“Delphi, el mejor. Joder todo lo demás. Neshta 1.0 Hecho en Bielorrusia. Estamos celebrando el ~ Tsikav ~ Bielorrusia_kim jiauchatam. Alyaksandr Rygoravich, eres un taxama :) Pareja de Vosen-kepsky ... Alivarya - ¡haz cerveza! Saludos cordiales 2 Tommy Salo. [Nov-2005] suyo [Dziadulja Apanas] "
(" Delphi es la mejor. El resto va a ***. Neshta 1.0 Hecho en Bielorrusia. Hola a todos ~ interesantes ~ chicas bielorrusas. Alyaksandr Grigoryevich, ustedes también :) El otoño es una mala pareja ... ¡Alivaria es la mejor cerveza! Mis mejores deseos para Tommy Salo. [Noviembre de 2005] tu [abuelo Apanas]) "



Figura 2: líneas interesantes en el cuerpo del virus

Infección de archivo


La característica principal de Neshta es un intruso de archivos que busca archivos .exe en unidades locales. Neshta apunta a archivos ".exe", excluyendo solo aquellos que contienen cualquiera de las siguientes líneas en su acceso directo:

  • % Temp%
  • % SystemRoot% (generalmente C: \ Windows)
  • \ PROGRA ~ 1 \


Un resumen del proceso de infección se describe a continuación y en la Figura 3.

Neshta:

  1. Lee 41,472 bytes (0xA200) desde el comienzo del archivo fuente de destino.
  2. Crea dos particiones y asigna memoria con el atributo PAGE_READWRITE al principio y al final del archivo fuente.
  3. Pone su encabezado y código malicioso al comienzo del archivo fuente. Los datos grabados son 41,472 bytes.
  4. Escribe el encabezado y el código fuente codificado en un archivo que tiene un tamaño de 41.472 bytes.


Estas acciones le permiten ejecutar código malicioso inmediatamente después de iniciar el archivo infectado:


Figura 3: Infección del archivo

Cuando se inicia el archivo infectado, el programa fuente se coloca %Temp%\3582-490\<filename>y se inicia utilizando la API WinExec.

Sustentabilidad


Neshta se C:\Windows\svchost.cominstala e instala en el registro utilizando los siguientes parámetros:

Clave de registro: HKLM \ SOFTWARE \ Classes \ exefile \ shell \ open \ command
Valor del registro: (Predeterminado)
Valor: %SystemRoot%\svchost.com "%1" %*
Este cambio de registro le dice al sistema que inicie Neshta cada vez que se ejecute .exe. archivo. "% 1"% * indica el archivo .exe en ejecución. Además, Neshta crea un mutex con nombre para verificar la existencia de otra instancia de trabajo:

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\command‹À "%1" %*œ‘@

otro archivo inyectado es "directx.sys", que se envía a% SystemRoot%. Este es un archivo de texto (no un controlador de núcleo) que contiene la ruta al último archivo infectado que se ejecutó. Se actualiza cada vez que se ejecuta un archivo infectado.

BlackBerry Cylance detiene a Neshta


BlackBerry Cylance utiliza agentes basados ​​en IA capacitados para detectar amenazas en millones de archivos seguros e inseguros. Nuestros agentes de seguridad automatizados bloquean Neshta en función de una variedad de atributos de archivo y comportamiento malicioso, en lugar de depender de una firma de archivo específica. BlackBerry Cylance, que ofrece una ventaja predictiva sobre las amenazas de día cero, está entrenado y es efectivo contra los ciberataques nuevos y conocidos. Para obtener más información, visite https://www.cylance.com .

solicitud


Indicadores de compromiso (COI)


  • Hashes

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a O
O 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
o 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
o a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
o 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
o c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

  • Nombres de archivo

o% SystemRoot% \ svchost.com
o% SystemRoot% \ directx.sys
o% Temp% \ tmp5023.tmp

  • C2 / IP
  • Mutexes

o MutexPolesskayaGlush *. * <0x90> svchost.com <0x90> exefile \ shell \ open \ command ‹À"% 1 "% * œ '@

  • Líneas interesantes

o Delphi, el mejor. Joder todo lo demás. Neshta 1.0 Hecho en Bielorrusia. Estamos celebrando el ~ Tsikav ~ Bielorrusia_kim jiauchatam. Alyaksandr Rygoravich, eres un taxama :) Pareja de Vosen-kepsky ... Alivarya - ¡haz cerveza! Saludos cordiales 2 Tommy Salo. [Nov-2005] tuyo [Dziadulja Apanas]

sha25629fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
un tipope32 ejecutable (gui) intel 80386, para ms windows
el tamaño41472
marca de tiempo1992: 06: 20 07: 22: 17 + 09: 00
itwsvchost [.] com


Aprende más sobre el curso.

More articles:


All Articles