Get best of the week

Ameaça em destaque: Neshta File Virus

Saudação, Khabrovites! Antecipando o início do curso "Reverse Engineering 2.0" , queremos compartilhar com você outra tradução interessante.



Breve revisão


Neshta é um vírus de arquivo bastante antigo que ainda é generalizado. Foi originalmente descoberto em 2003 e estava associado anteriormente ao malware BlackPOS. Ele adiciona código malicioso aos arquivos infectados. Basicamente, essa ameaça entra no ambiente por meio de downloads não intencionais ou outros programas maliciosos. Ele infecta arquivos executáveis ​​do Windows e pode atacar recursos de rede e mídia removível.

Em 2018, Neshta se concentrou principalmente na fabricação, mas também atacou os setores financeiro, consumidor e energia. Por motivos de estabilidade, o Neshta renomeia-se para svchost.com e modifica o registro para que seja iniciado toda vez que o arquivo .exe for iniciado. Sabe-se que essa ameaça coleta informações do sistema e usa solicitações POST para filtrar dados em servidores controlados por atacantes. Os binários Neshta usados ​​em nossa análise não demonstraram comportamento ou funcionalidade de exfiltração de dados.

Análise técnica


Esta seção descreve os sintomas da infecção por Neshta. Coletamos amostras de vírus carregadas no VirusTotal em 2007, 2008 e 2019.

Analisamos arquivos com os seguintes hashes SHA-256:

  • 29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
  • 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
  • 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
  • a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
  • 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
  • c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75


Análise de arquivo estático


Código Neshta compilado com Borland Delphi 4.0. O tamanho do arquivo é geralmente 41.472 bytes.

Como qualquer binário Delphi, o Neshta possui quatro graváveis ​​(DATA, BSS, .idata e .tls) e três seções compartilhadas (.rdata, .reloc e .rsrc):


Figura 1. Recursos dos cabeçalhos das seções .

Além disso, o código Neshta mostra linhas interessantes - veja a Figura 2 abaixo:

“Delphi, o melhor. Foda-se todo o resto. Neshta 1.0 Feito na Bielorrússia. Estamos repetindo os esforços do ~ ~ Tsikavy ~ Belarus_Kim Dziauchatam. Alyaksandr Rygoravich, você é um taxama :) Casal Vosen-kepsky ... Alivarya - faça cerveja! Atenciosamente 2 Tommy Salo. [Nov-2005] seu [Dziadulja Apanas] "
(" Delphi é o melhor. O resto vai para ***. Neshta 1.0 Feito na Bielorrússia. Olá a todas as ~ interessantes ~ garotas bielorrussas. Alyaksandr Grigoryevich, você também :) O outono é um casal ruim ... Alivaria é a melhor cerveja! Muitas felicidades para Tommy Salo. [Novembro de 2005] seu [vovô Apanas]) "



Figura 2: Linhas interessantes no corpo do vírus

Infecção de arquivo


O principal recurso do Neshta é um invasor de arquivos que pesquisa arquivos .exe em unidades locais. O Neshta direciona arquivos ".exe", excluindo apenas aqueles que contêm qualquer uma das seguintes linhas em seu atalho:

  • % Temp%
  • % SystemRoot% (geralmente C: \ Windows)
  • \ PROGRA ~ 1 \


Um resumo do processo de infecção é descrito abaixo e na Figura 3.

Neshta:

  1. Lê 41.472 (0xA200) bytes desde o início do arquivo de origem de destino.
  2. Cria duas partições e aloca memória com o atributo PAGE_READWRITE no início e no final do arquivo de origem.
  3. Coloca seu cabeçalho e código malicioso no início do arquivo de origem. Os dados gravados são 41.472 bytes.
  4. Grava o cabeçalho e o código de origem codificado em um arquivo com tamanho de 41.472 bytes.


Essas ações permitem executar código malicioso imediatamente após iniciar o arquivo infectado:


Figura 3: Infecção de arquivo

Quando o arquivo infectado é iniciado, o programa de origem é inserido %Temp%\3582-490\<filename>e iniciado usando a API WinExec.

Sustentabilidade


O Neshta se C:\Windows\svchost.cominstala e se instala no registro, usando os seguintes parâmetros:

Chave do Registro: HKLM \ SOFTWARE \ Classes \ exefile \ shell \ open \ command
Valor do registro: (Padrão)
Valor: %SystemRoot%\svchost.com "%1" %*
Esta alteração no registro informa ao sistema para iniciar o Neshta toda vez que o EXE é executado. Arquivo. "% 1"% * indica o arquivo .exe em execução. Além disso, o Neshta cria um mutex nomeado para verificar a existência de outra instância de trabalho:

MutexPolesskayaGlush*.*<0x90>svchost.com<0x90>exefile\shell\open\command‹À "%1" %*œ‘@

Outro arquivo injetado é "directx.sys", que é enviado para% SystemRoot%. Este é um arquivo de texto (não um driver do kernel) que contém o caminho para o último arquivo infectado a ser executado. É atualizado sempre que um arquivo infectado é executado.

BlackBerry Cylance para Neshta


O BlackBerry Cylance usa agentes baseados em IA treinados para detectar ameaças em milhões de arquivos seguros e não seguros. Nossos agentes de segurança automatizados bloqueiam o Neshta com base em uma variedade de atributos de arquivo e comportamento malicioso, em vez de depender de uma assinatura de arquivo específica. O BlackBerry Cylance, que oferece uma vantagem preditiva sobre ameaças de dia zero, é treinado e eficaz contra ataques cibernéticos novos e conhecidos. Para mais informações, visite https://www.cylance.com .

inscrição


Indicadores de compromisso (COI)


  • Hashes

29fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a o
o 980bac6c9afe8efc9c6fe459a5f77213b0d8524eb00de82437288eb96138b9a2
o 539452719c057f59238e123c80a0a10a0b577c4d8af7a5447903955e6cf7aa3d
o a4d0865565180988c3d9dbf5ce35b7c17bac6458ef234cfed82b4664116851f2
o 46200c11811058e6d1173a2279213d0b7ccde611590e427b3b28c0f684192d00
o c965f9503353ecd6971466d32c1ad2083a5475ce64aadc0b99ac13e2d2c31b75

  • Nomes de arquivo

% SystemRoot% \ svchost.com
% SystemRoot% \ directx.sys
% Temp% \ tmp5023.tmp

  • C2s / IPs
  • Mutexes

o MutexPolesskayaGlush *. * <0x90> svchost.com <0x90> exefile \ shell \ open \ command ‹À"% 1 "% * œ '@

  • Linhas interessantes

o Delphi, o melhor. Foda-se todo o resto. Neshta 1.0 Feito na Bielorrússia. Estamos segurando o ~ Tsikav ~ Belarus_kim jiauchatam. Alyaksandr Rygoravich, você precisa de um taxama :) Casal Vosen-kepsky ... Alivarya - faça cerveja! Atenciosamente 2 Tommy Salo. [Nov-2005] seu [Dziadulja Apanas]

sha25629fd307edb4cfa4400a586d38116a90ce91233a3fc277de1cab7890e681c409a
um tipoexecutável pe32 (gui) intel 80386, para ms windows
o tamanho41472
timestamp1992: 06: 20 07: 22: 17 + 09: 00
itwsvchost [.] com


Saiba mais sobre o curso.

More articles:


All Articles