Get best of the week

Spotlight Ancaman: Neshta File Virus

Salut, orang Khabrovit! Untuk mengantisipasi dimulainya kursus "Rekayasa Balik 2.0", kami ingin membagikan terjemahan menarik lainnya kepada Anda.



Ulasan singkat


Neshta adalah virus file yang cukup lama yang masih tersebar luas. Awalnya ditemukan pada tahun 2003 dan sebelumnya dikaitkan dengan malware BlackPOS. Itu menambahkan kode berbahaya ke file yang terinfeksi. Pada dasarnya, ancaman ini memasuki lingkungan melalui unduhan yang tidak disengaja atau program jahat lainnya. Ini menginfeksi file yang dapat dieksekusi Windows dan dapat menyerang sumber daya jaringan dan media yang dapat dipindahkan.

Pada tahun 2018, Neshta berfokus terutama pada manufaktur, tetapi juga menyerang sektor keuangan, konsumen, dan energi. Untuk alasan stabilitas, Neshta mengubah nama dirinya menjadi svchost.com, dan kemudian memodifikasi registri sehingga dimulai setiap kali file .exe diluncurkan. Diketahui bahwa ancaman ini mengumpulkan informasi sistem dan menggunakan permintaan POST untuk mengeksfiltrasi data pada server yang dikendalikan oleh penyerang. Binari Neshta yang digunakan dalam analisis kami tidak menunjukkan perilaku atau fungsi exfiltrasi data.

Analisis teknis


Bagian ini menjelaskan gejala-gejala infeksi Neshta. Kami mengambil sampel virus yang diunggah ke VirusTotal pada 2007, 2008 dan 2019.

Kami menganalisis file dengan hash SHA-256 berikut:

  • 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
  • 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
  • 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
  • a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
  • 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
  • c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75


Analisis file statis


Kode Neshta dikompilasi dengan Borland Delphi 4.0. Ukuran file biasanya 41.472 byte.

Seperti biner Delphi, Neshta memiliki empat yang dapat ditulis (DATA, BSS, .idata, dan .tls) dan tiga bagian bersama (.rdata, .reloc, dan .rsrc):


Gambar 1. Fitur header bagian .

Selain itu, kode Neshta menunjukkan garis yang menarik - lihat Gambar 2 di bawah ini:

โ€œDelphi-yang terbaik. Singkirkan semua sisanya. Neshta 1.0 Buatan Belarus. Kami memegang jiauchatam ~ Tsikav ~ Belarus_kim. Alyaksandr Rygoravich, Anda seorang taxama :) Pasangan Vosen-kepsky ... Alivarya - buat bir! Salam 2 Tommy Salo. [Nov-2005] milikmu [Dziadulja Apanas] "
(" Delphi adalah yang terbaik. Sisanya pergi ke ***. Neshta 1.0 Buatan Belarus. Halo semuanya ~ menarik ~ gadis Belarusia. Alyaksandr Grigoryevich, kamu juga :) Musim gugur adalah pasangan yang buruk ... Alivaria adalah bir terbaik! Salam hangat untuk Tommy Salo. [November 2005] [Kakek Apanas] Anda) "



Gambar 2: Garis-garis menarik di tubuh virus

Infeksi file


Fitur utama Neshta adalah pengganggu file yang mencari file .exe di drive lokal. Neshta menargetkan file ".exe", kecuali hanya yang berisi baris berikut dalam pintasannya:

  • % Temp%
  • % SystemRoot% (biasanya C: \ Windows)
  • \ PROGRA ~ 1 \


Ringkasan proses infeksi dijelaskan di bawah ini dan pada Gambar 3.

Neshta:

  1. Membaca 41.472 (0xA200) byte dari awal file sumber target.
  2. Membuat dua partisi dan mengalokasikan memori dengan atribut PAGE_READWRITE di awal dan akhir file sumber.
  3. Letakkan tajuk dan kode jahatnya di awal file sumber. Data yang direkam adalah 41.472 byte.
  4. Menulis header sumber yang dikodekan dan kode ke file yang berukuran 41,472 byte.


Tindakan ini memungkinkan Anda untuk menjalankan kode berbahaya segera setelah meluncurkan file yang terinfeksi:


Gambar 3: Infeksi file

Ketika file yang terinfeksi diluncurkan, program sumber ditempatkan %Temp%\3582-490\<filename>dan diluncurkan menggunakan WinExec API.

Keberlanjutan


Neshta menempatkan dirinya di C:\Windows\svchost.comdan menginstal dirinya di registri menggunakan parameter berikut:

Kunci registri: HKLM \ SOFTWARE \ Classes \ exefile \ shell \ open \ command
Nilai registri: (Default)
Nilai: %SystemRoot%\svchost.com "%1" %*
Perubahan registri ini memberi tahu sistem untuk memulai Neshta setiap kali .exe dijalankan. mengajukan. "% 1"% * menunjukkan file .exe yang sedang berjalan. Selain itu, Neshta membuat mutex bernama untuk memeriksa keberadaan instance lain yang berfungsi:

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\commandโ€นร€ "%1" %*ล“โ€˜@

File yang disuntikkan lainnya adalah "directx.sys," yang dikirim ke% SystemRoot%. Ini adalah file teks (bukan driver kernel) yang berisi path ke file yang terinfeksi terakhir untuk dijalankan. Ini diperbarui setiap kali file yang terinfeksi dijalankan.

BlackBerry Cylance menghentikan Neshta


BlackBerry Cylance menggunakan agen berbasis AI yang dilatih untuk mendeteksi ancaman pada jutaan file aman dan tidak aman. Agen keamanan otomatis kami memblokir Neshta berdasarkan berbagai atribut file dan perilaku jahat, daripada mengandalkan tanda tangan file tertentu. BlackBerry Cylance, yang menawarkan keunggulan prediksi atas ancaman zero-day, dilatih dan efektif terhadap serangan dunia maya yang baru dan diketahui. Untuk informasi lebih lanjut, kunjungi https://www.cylance.com .

aplikasi


Indikator Kompromi (IOC)


  • Hash

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a o
o 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
o 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
o a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
o 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
o c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

  • Nama file

o% SystemRoot% \ svchost.com
o% SystemRoot% \ directx.sys
o% Temp% \ tmp5023.tmp

  • C2s / IPs
  • Mutex

o MutexPolesskayaGlush *. * <0x90> svchost.com <0x90> exefile \ shell \ open \ perintah โ€นร€"% 1 "% * ล“ '@

  • Garis yang menarik

o Delphi-yang terbaik. F ** k dari semua yang lain. Neshta 1.0 Buatan Belarus. Kami memegang jiauchatam ~ Tsikav ~ Belarus_kim. Alyaksandr Rygoravich, Anda seorang taxama :) Pasangan Vosen-kepsky ... Alivarya - buat bir! Salam 2 Tommy Salo. [Nov-2005] milikmu [Dziadulja Apanas]

sha25629fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
sebuah tipePE32 executable (gui) intel 80386, untuk ms windows
ukuran41472
cap waktu1992: 06: 20 07: 22: 17 + 09: 00
yasvchost [.] com


Pelajari lebih lanjut tentang kursus.

More articles:


All Articles