Get best of the week

Pleins feux sur les menaces: virus de fichier Neshta

Salut, Khabrovites! En prévision du début du cours "Reverse Engineering 2.0", nous voulons partager avec vous une autre traduction intéressante.



Bref avis


Neshta est un virus de fichier assez ancien qui est toujours répandu. Il a été découvert à l'origine en 2003 et était auparavant associé à des logiciels malveillants BlackPOS. Il ajoute du code malveillant aux fichiers infectés. Fondamentalement, cette menace pénètre dans l'environnement par le biais de téléchargements involontaires ou d'autres programmes malveillants. Il infecte les fichiers exécutables Windows et peut attaquer les ressources réseau et les supports amovibles.

En 2018, Neshta s'est principalement concentré sur la fabrication, mais a également attaqué les secteurs financier, de la consommation et de l'énergie. Pour des raisons de stabilité, Neshta se renomme en svchost.com, puis modifie le registre pour qu'il démarre à chaque lancement du fichier .exe. Il est connu que cette menace collecte des informations système et utilise des requêtes POST pour exfiltrer des données sur des serveurs contrôlés par des attaquants. Les binaires Neshta utilisés dans notre analyse n'ont pas démontré de comportement ou de fonctionnalité d'exfiltration des données.

Analyse technique


Cette section décrit les symptômes de l'infection à Neshta. Nous avons prélevé des échantillons de virus téléchargés sur VirusTotal en 2007, 2008 et 2019.

Nous avons analysé les fichiers avec les hachages SHA-256 suivants:

  • 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
  • 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
  • 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
  • a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
  • 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
  • c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75


Analyse de fichiers statiques


Code Neshta compilé avec Borland Delphi 4.0. La taille du fichier est généralement de 41 472 octets.

Comme tout binaire Delphi, Neshta dispose de quatre sections accessibles en écriture (DATA, BSS, .idata et .tls) et de trois sections partagées (.rdata, .reloc et .rsrc):


Figure 1. Caractéristiques des en -têtes de section .

De plus, le code Neshta montre des lignes intéressantes - voir la figure 2 ci-dessous:

“Delphi-le meilleur. F *** off tout le reste. Neshta 1.0 Fabriqué au Bélarus. Nous tenons le ~ Tsikav ~ Belarus_kim jiauchatam. Alyaksandr Rygoravich, vous êtes un taxama :) Couple Vosen-kepsky ... Alivarya - faites de la bière! Cordialement 2 Tommy Salo. [Nov-2005] vôtre [Dziadulja Apanas] »
(« Delphi est le meilleur. Le reste va à ***. Neshta 1.0 Fabriqué en Biélorussie. Bonjour à tous ~ intéressant ~ filles biélorusses. Alyaksandr Grigoryevich, vous aussi :) L'automne est un mauvais couple ... Alivaria est la meilleure bière! Meilleurs voeux à Tommy Salo. [Novembre 2005] votre [grand-père Apanas]) "



Figure 2: lignes intéressantes dans le corps du virus

Infection de fichier


La principale caractéristique de Neshta est un intrus de fichiers qui recherche des fichiers .exe sur des disques locaux. Neshta cible les fichiers ".exe", en excluant uniquement ceux qui contiennent l'une des lignes suivantes dans leur raccourci:

  • % Temp%
  • % SystemRoot% (généralement C: \ Windows)
  • \ PROGRA ~ 1 \


Un résumé du processus d'infection est décrit ci-dessous et dans la figure 3.

Neshta:

  1. Lit 41 472 (0xA200) octets à partir du début du fichier source cible.
  2. Crée deux partitions et alloue de la mémoire avec l'attribut PAGE_READWRITE au début et à la fin du fichier source.
  3. Place son en-tête et son code malveillants au début du fichier source. Les données enregistrées sont de 41 472 octets.
  4. Écrit l'en-tête et le code source codés dans un fichier de 41,472 octets.


Ces actions vous permettent d'exécuter du code malveillant immédiatement après le lancement du fichier infecté:


Figure 3: Infection du fichier

Lorsque le fichier infecté est lancé, le programme source est placé %Temp%\3582-490\<filename>et lancé à l'aide de l'API WinExec.

Durabilité


Neshta C:\Windows\svchost.coms'installe et s'installe dans le registre à l'aide des paramètres suivants:

Clé de registre: HKLM \ SOFTWARE \ Classes \ exefile \ shell \ open \ command
Valeur de registre: (par défaut)
Valeur: %SystemRoot%\svchost.com "%1" %*
cette modification du registre indique au système de démarrer Neshta à chaque exécution de .exe. fichier. "% 1"% * indique le fichier .exe en cours d'exécution. En outre, Neshta crée un mutex nommé pour vérifier l'existence d'une autre instance de travail:

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\command‹À "%1" %*œ‘@

Un autre fichier injecté est «directx.sys», qui est envoyé à% SystemRoot%. Il s'agit d'un fichier texte (pas un pilote du noyau) qui contient le chemin d'accès au dernier fichier infecté à exécuter. Il est mis à jour à chaque exécution d'un fichier infecté.

BlackBerry Cylance arrête Neshta


BlackBerry Cylance utilise des agents basés sur l'IA formés pour détecter les menaces sur des millions de fichiers sûrs et non sécurisés. Nos agents de sécurité automatisés bloquent Neshta en fonction d'une variété d'attributs de fichiers et de comportements malveillants, plutôt que de s'appuyer sur une signature de fichier spécifique. BlackBerry Cylance, qui offre un avantage prédictif par rapport aux menaces zero-day, est formé et efficace contre les cyberattaques nouvelles et connues. Pour plus d'informations, visitez https://www.cylance.com .

application


Indicateurs de compromis (IOC)


  • Hashs

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a o
o 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
o 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
o a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
o 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
o c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

  • Noms de fichiers

o% SystemRoot% \ svchost.com
o% SystemRoot% \ directx.sys
o% Temp% \ tmp5023.tmp

  • C2s / IPs
  • Mutex

o MutexPolesskayaGlush *. * <0x90> svchost.com <0x90> exefile \ shell \ open \ command ‹À"% 1 "% * œ '@

  • Lignes intéressantes

Delphi-le meilleur. F ** k de tout le reste. Neshta 1.0 Fabriqué au Bélarus. Nous tenons le ~ Tsikav ~ Belarus_kim jiauchatam. Alyaksandr Rygoravich, vous êtes un taxama :) Couple Vosen-kepsky ... Alivarya - faites de la bière! Cordialement 2 Tommy Salo. [Nov-2005] vôtre [Dziadulja Apanas]

sha25629fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
un typePE32 exécutable (GUI) Intel 80386, pour MS Windows
la taille41472
horodatage1992: 06: 20 07: 22: 17 + 09: 00
itwsvchost [.] com


En savoir plus sur le cours.

More articles:


All Articles