Bu məqalədə dövlət qurumlarına göndərilən “Sənədlərin elektron sorğusu” adlı icra olunan faylın analizini aparılacaq.İlk öncə faylın statik analizi aparılacaq.
Daxil olan fayl Microsoft Visual c++ 6.0 verisyasında hazırlanmış 32 bitlik portable executable-dır. Faylın həcmi 8.54 MB-dır. Faylın resurs bölməsinə nəzər yetirək. Burada “Configuration files” bölməsində “7-Zip.SfxMod” yazısı diqqətimizi cəkir Daxil olan fayl Microsoft Visual c++ 6.0 verisyasında hazırlanmış 32 bitlik portable executable-dır. Faylın həcmi 8.54 MB-dır. Faylın resurs bölməsinə nəzər yetirək. Burada “Configuration files” bölməsində "7-Zip.SfxMod" yazısı diqqətimizi çəkir .
Bu yazı icra olunan faylın SFX modulu ilə sıxışdırılmış olduğun göstərir. SFX modulu quraşdırma (installation) proqramı yaratmağa imkan verir. Modul istifadəçinin müvəqqəti qovluğuna arxivi çıxarır və müəyyən edilmiş proqramı işə salır və proqram başa çatdıqdan sonra müvəqqəti faylları silir. 7-zip vasitəsi ilə icra olunan faylı açaq. Faylın host_news_mod_mod.msi və installer.exe faylların görürük.
İlk öncə host_news_mod_mod.msi faylının analizini aparaq. Faylı dekompress edirik. Dekompress olunandan sonra "Data1.cab" faylının analizi ilə davam edirik. "CAB" – Microsoft tərəfindən hazırlanmış məlumatlarınsıxılma fayl növüdür. LZX, Quantumvə ZİP kimi sıxılmış məlumat alqoritmlərini dəstəkləyir. Data1.cab faylını dekompress edirik. Aşağıda göstərilən fayllar diqqətimizi çəkir:
Faylın adı: rfusclient.exe
MD5: 477bd1ce48510c988c41011ca8195b49
SHA-1: 8dd2fc30218e13e23bdcbdf6a5402bd3495323e1
SHA-2: a5033cc383c699a39fa314491592be448e4821fa25611d6833f364238de2d5b0
Faylın adı: rutserv.exe
MD5: 90e027b39d2786d5b465a9dc53bf040e
SHA-1: 5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf
SHA-2: 99de2f7653107a227a79993aeb03b1bb443b66376c49ec590cf3a91d6cf184c8
rfusclient.exe -Borland Delphi 4.0 versiyasında hazırlanmış, 32 bitlik icra olunan fayldır. Faylın "Usoris Systems LLC" tərəfindən hazırlandığını və “File Description” bölməsində proqramın “Remote utilities” (uzaqdan idarəetmə) təsnifatına aid olduğu qeyd edilib. Proqram təminatı sertifikatla təmin edilib.
"Remote Utilities" haqqında daha ətraflı məlumat verək. "Remote Utilities" istifadəçiyə (viewer) başqa bir kompüteri uzaqdan idarə (host) etməyə imkan verən proqramıdır. Proqram təminatı uzaq kompüter üzərində tam nəzarəti təmin edir. Istifadəçi həmçinin internet üzərindən əlaqə yarada və İnternet ID bağlantısı vasitəsilə tələb olunan yorucu konfiqurasiyalardan yan keçə bilər. İnternet ID bağlantısı, istifadəçi və uzaq kompüter arasında əlaqə yaratmaq üçün vebdəki vasitəçi serverdən ("İnternet ID serveri") istifadə edir.
Qoşulma vasitçi serverə ehtiyac olmadan, IP ünvanı və ya DNS adı vasitəsilə host və uzaq kompüter arasında sürətli və birbaşa əlaqə yaratmağa imkan verir. Birbaşa əlaqə host kopüter birbaşa uzaq kompüterə görünən zaman yaradıla bilər, yəni host öz IP ünvanı və ya DNS ilə ünvanlana bilər. İnternet ID bağlantısından fərqli olaraq, birbaşa əlaqə host və uzaq kompüter arasında aralıq serverdən istifadə etmir. Əlaqə LAN və ya VPN kimi şəxsi şəbəkə üzərindən birbaşa əlaqə yaradıla bilər, yəni internetə çıxış olmadan təcrid olunmuş şəbəkələr üçün uyğundur.
Uzaqdan idarədə heç kimin olmadığı kompüterə 24/7/365 məhdudiyyətsiz giriş imkanı yaradır. Uzaq kompüterdə admin səlahiyyətə malik olub, hostu quraşdırıb və nəzarətsiz girişi əldə etmək mümkündür. Tam idarəetmə rejimi uzaqdan ekrana baxmaq, siçan göstəricisini hərəkət etdirmək və klaviatura idarə etmək imkanı verir. Proqram təminatı vasitəsilə ekran görüntüsü almaq, səs yazılarına qulaq asmaq, fayl ötürmə kimi imkanlar yaradır. Fayl ötürmə rejimi hər iki kopüterdən (host və uzaq kompüter) faylları kopyalamağa imkan verir.
installer.exe faylı təhlükəsizlik sertifikatı ilə təmin edilib. Statik analizi burada yekunlaşdırıb dinamik analizə keçid edirik.
Faylı işə salırıq. Proqram təminatı kompüterə quraşdırılır və “rutserv.exe” adı ilə dərhal işə düşür. “rutserv.exe” öz növbəsində 2 eyni “rfusclient.exe” adlı proses yaradır.
Proqramın qoşulduğu IP ünvanları tapmaq üçün trafik analizinə keçirik. Burada diqqətimizi bir IP ünvan çəkir. Bütün sorğular TCP protokolu ilə gedir.
Bu sorğularda hansı məlumatların ötürüldüyünə baxaq. Xml formatda göndərilən məlumatda ilk öncə, atributunda istifadəçinin (zərərçəkənin) proqram təminatının istifadə etdiyi ID göndərilir, atributunda isə base64 şifrələnmiş məlumat.
<?xml version="1.0" encoding="UTF-8" ?>
<rom_version version="70120">
<product>RUT</product>
<version>70120</version>
<text_version>7.1.2.0></text_version>
<beta_version>0</beta_version>
<protocol_version>7</protocol_version>
<kind>3</kind>
<id></id>
</device_name>WIN-N4RIOGJLP3D</device_name>
<country_code>244</country_code>
</rom_version>
IOCs
MD5: 90e027b39d2786d5b465a9dc53bf040e
SHA-1: 5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf
SHA-2: 99de2f7653107a227a79993aeb03b1bb443b66376c49ec590cf3a91d6cf184c8
MD5: 477bd1ce48510c988c41011ca8195b49
SHA-1: 8dd2fc30218e13e23bdcbdf6a5402bd3495323e1
SHA-2: a5033cc383c699a39fa314491592be448e4821fa25611d6833f364238de2d5b0
İstinadlar
[1] https://www.remoteutilities.com/product
[2] https://en.wikipedia.org/wiki/Self-extracting_archive
