sha1:
- b463f775a28e134615984d58f774c80575f002af (Акт Сверки.pdf.exe)
Описание
Троян-загрузчик, написанный на языке C++ и работающий на компьютерах под управлением ОС семейства Windows. В рамках целевой атаки на российское машиностроительное предприятие в одном из сценариев заражения он использовался в качестве входной точки для внедрения бэкдора Trojan.Updatar.3 на целевые машины. Код трояна обфусцирован.
Принцип действия
При запуске Trojan.Updatar.1 собирает базовую информацию о системе и отправляет ее на C2-сервер, ожидая дальнейших команд. После того как злоумышленники обрабатывают переданные данные, с сервера отправляется следующий компонент в цепочке заражения, Trojan.Updatar.2, который сохраняется в каталог C:\Users\<user_name>\Pictures\. Далее происходит попытка запуска этого трояна.
Сбор информации о системе
Перед получением данных о системе Trojan.Updatar.1 проверят интернет-соединение с помощью запроса к hxxp[:]//www.msftncsi[.]com/ncsi.txt.
Далее выполняется сбор необходимых сведений:
| Параметр | Содержимое |
|---|---|
| Username | Имя пользователя |
| PC_name | Имя ПК |
| OS | Версия Windows |
| Screen | Размер экрана |
| Ram | Количество оперативной памяти, мегабайт |
| External ip | Внешний IP |
| Manufacturer | Производитель материнской платы |
| Model | Имя продукта |
| Processor Name | Имя процессора и значение его тактовой частоты |
| Avname | Установленный антивирус |
| BIOS Version | Версия встроенного ПО BIOS |
| UUID | Уникальный идентификатор BIOS |
| BUILD | Simple101 — вшитая константа |
Троян получает основную информацию через запросы к WMI.
Для получения внешнего IP отправляется запрос к hxxp[:]//api.ipify[.]org/.
Общение с C2-сервером
Trojan.Updatar.1 отправляет на управляющий сервер два запроса со следующими маршрутами:
- /authorization/
- /stats
Запрос с маршрутом /authorization/
Служит для отправки собранных данных и аутентификации бота. В нем передается информация о системе и скриншот экрана зараженного компьютера. Запрос имеет следующие параметры:
| Адрес C2-сервера: | updatingservices[.]net или adobe-updater[.]net |
| Маршрут: | /authorization/ |
| Порт: | 80 |
| Тип: | POST |
| User-Agent: | MyScreenshotApp |
Информация о системе представлена в формате
<key>=<value>&<key>=<value>&...
где:
<key> — параметр;
<value> — содержимое.
Запрос с маршрутом /stats
Имеет следующие параметры:
| Адрес C2-сервера: | updatingservices[.]net или adobe-updater[.]net |
| Маршрут: | /stats |
| Порт: | 80 |
| Тип: | GET |
| User-Agent: | ChromeX\r\n |
В ответ на него троян получает одну из команд, либо полезную нагрузку — Trojan.Updatar.2.
Команды, поступающие от C2-сервера:
- dc — завершить работу трояна;
- wait — ожидать заданное время и повторно отправить запрос /stats.
Если ответ не содержит данные команды, то его содержимое является полезной нагрузкой.
Обфускация кода
Обфускация кода Trojan.Updatar.1 реализована следующим способом. В теле трояна постоянно инициализируются строчки из словаря RockYou.txt. C ними происходят различные операции, которые никак не влияют на основную функциональность вредоносной программы. При этом строчки, которые непосредственно относятся к работе приложения, закодированы с помощью операции XOR и небольшого смещения. Ключ для смещения и операции XOR — случайный для каждого образца.
Версии трояна
Существуют различные версии трояна, имеющие следующие отличия:
- разные имена исполняемых файлов;
- разные ключи для декодирования строк в коде;
- в новых версиях появилось поле BUILD (константа, вшитая в тело вредоносных приложений), которое передается в запросе к C2-серверу;
- обфускация кода в новых версиях.
Подробнее о Trojan.Updatar.2
Подробнее о Trojan.Updatar.3
Новость о трояне
Индикаторы компрометации
