Mlw #41: новый сложный загрузчик APT-группировки TA505 … ·...
Transcript of Mlw #41: новый сложный загрузчик APT-группировки TA505 … ·...
![Page 1: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/1.jpg)
ptsecurity.com
Mlw #41: новый сложный загрузчик APT-группировки TA505
Алексей ВишняковЭксперт PT ESC
![Page 2: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/2.jpg)
Старший специалист экспертного центра безопасности (PT ESC)
• Киберразведка
• Анализ APT
• Поддержка реагирования на инциденты
Докладчик на ИБ-конференциях(PHDays, AVAR, Nullcon)
Twitter: @Vishnyak0v
![Page 3: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/3.jpg)
PT ExpertSecurity Center
Threat
Intelligence
50+отслеживаемых групп
Incident
Response
50+расследований в год
Network
Security
5000+сетевых сигнатур
Экспертиза в продукты
![Page 4: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/4.jpg)
Содержание
• Введение
• PE упаковщик
• Стадии:
• подготовки
• закрепления
• полезной нагрузки
• C&C плагина
• Заключение
![Page 5: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/5.jpg)
Введение
Киберпреступная группа TA505
• Активна с 2014 года
• Атаковали более чем полмира
• Огромный арсенал: Dridex, Locky, ServHelper и дюжины других семейств
• Связи с другими группировками: Buhtrap, Silence
ServHelper and FlawedGrace - New malware introduced by TA505: proofpoint.com/us/threat-insight/post/servhelper-and-
flawedgrace-new-malware-introduced-ta505
Операция TA505: как мы анализировали новые инструменты создателей трояна Dridex,
шифровальщика Locky и ботнета Neutrino: ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part1/
TA505 is Expanding its Operations: yoroi.company/research/ta505-is-expanding-its-operations/
![Page 6: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/6.jpg)
Введение
• File size: 287440 bytes
• PE32 executable for MS Windows (console) Intel 80386 32-bit
• Microsoft Visual C++
• MD5: 58a875aeaa00ddb684349446ec9d36af
• SHA1: f6d3545a962e88e31365d9218460381d5265025d
• SHA256: d19a8ebbcd0dd9f1f438ac04d510270a135ba4c0c59f3f5eb92ae7e4ea5d8f71
• Imphash: e58e198778a2bd20fd323a8924987ccf
• SSDEEP: 6144:7xohcLcBrQsCSQ+Rd1f4kdn6PAScLl14aG3wUhJzM6rG8mb7+:7s5+sCcLdKM/6r3mbq
![Page 7: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/7.jpg)
Введение
![Page 8: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/8.jpg)
PE упаковщик
Часть 1: упаковщик группы TA505
![Page 9: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/9.jpg)
PE упаковщик
Бесполезные инструкции,
предшествующие основной
логике
![Page 10: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/10.jpg)
PE упаковщик
Процедура декодирования
“SUB-XOR-ROL7-XOR”
![Page 11: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/11.jpg)
PE упаковщик
Запуск шеллкода
struct ShellcodeArgs {
HMODULE hkernel32;
void *aEncodedBlob;
unsigned int nEncodedBlobSize;
unsigned int nBlobMagic;
unsigned int nBlobSize;
};
![Page 12: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/12.jpg)
PE упаковщик
Начало шеллкода второй стадии
![Page 13: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/13.jpg)
PE упаковщик
Усечение полезной
нагрузки “от 5 к 3
байт”
Снова декодирование
“SUB-XOR-ROL7-XOR”
![Page 14: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/14.jpg)
PE упаковщик
Декомпрессия aPLib
(см. упаковщик FSG)
![Page 15: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/15.jpg)
PE упаковщик
Замена собственной
точки входа в PEB
![Page 16: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/16.jpg)
PE упаковщик
Часть 2: кастомный упаковщик
![Page 17: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/17.jpg)
PE упаковщик
C:\_SHARED\mlw41_DNSG\c_drop\Release\c_drop.pdb
![Page 18: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/18.jpg)
PE упаковщик
Кодирующий алгоритм на базе XOR
![Page 19: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/19.jpg)
PE упаковщик
Декомпрессия LZNT1
Сжатый PE
![Page 20: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/20.jpg)
Стадия подготовки
Рекогносцировка, импорты DLL,
конфигурация
![Page 21: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/21.jpg)
Стадия подготовки
Имя: pld32.dll
Одна экспортированная
функция в целях
выполнения релокаций
![Page 22: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/22.jpg)
Стадия подготовки
Определение версии ОС с
помощью структуры
KUSER_SHARED_DATA
![Page 23: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/23.jpg)
Стадия подготовки
geoffchappell.com/studies/windows/km/ntoskrnl/structs/kuser_shared_data/index.htm
![Page 24: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/24.jpg)
Стадия подготовки
Массив байт: смещения функций
в SDT
![Page 25: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/25.jpg)
Стадия подготовки
eax ==
KeServiceDescriptorTable
index
![Page 26: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/26.jpg)
Стадия подготовки
# 2-bytes value API
0 15 00 NtAllocateVirtualMemory
1 1B 00 NtFreeVirtualMemory
2 52 00 NtCreateFile
3 0C 00 NtClose
4 03 00 NtReadFile
5 0E 00 NtQueryInformationFile
6 4F 00 NtResumeThread
7 50 01 NtSetContextThread
Как это выглядит для нашей ВМ
# 2-bytes value API
8 25 00 NtMapViewOfSection
9 47 00 NtCreateSection
10 34 00 NtOpenSection
11 30 00 NtOpenFile
12 4D 00 NtProtectVirtualMemory
13 33 00 NtQuerySystemInformation
14 3A 00 NtQueryAttributesFile
15 27 00 NtUnmapViewOfSection
![Page 27: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/27.jpg)
Стадия подготовки
FastSysCall в Wow64
Это x86?
Прямой вызов функции
через syscall
![Page 28: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/28.jpg)
Стадия подготовки
ИМХО: качество в деталях
![Page 29: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/29.jpg)
Стадия подготовки
Загрузка
вспомогательных
библиотек с помощью
fast syscalls
![Page 30: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/30.jpg)
Стадия подготовки
Парсинг таблицы
экспорта DLL
![Page 31: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/31.jpg)
Стадия подготовки
Алгоритм вычисления хэша функций
![Page 32: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/32.jpg)
Стадия подготовки
Определение адресов
функций для
предзаданных
библиотек по хэшам
![Page 33: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/33.jpg)
Стадия подготовки
Хэши функций
![Page 34: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/34.jpg)
Стадия подготовки
Скрипт на IDA Python для
определения функций,
часть 1
[Число хэшей, массив
хэшей, массив адресов]
![Page 35: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/35.jpg)
Стадия подготовки
Скрипт на IDA Python для
определения функций,
часть 2
![Page 36: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/36.jpg)
Стадия подготовки
Бинго!
href
![Page 37: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/37.jpg)
Стадия подготовки
Поиск хэша своего
имени в блэклисте
![Page 38: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/38.jpg)
Стадия подготовки
Получение
информации
о жестком диске
![Page 39: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/39.jpg)
Стадия подготовки
Проверка имен
антивирусных
продуктов и ВМ
![Page 40: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/40.jpg)
Стадия подготовки
Самоупаковка и шифрование
![Page 41: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/41.jpg)
Стадия подготовки
Структура конфигурации
в результате разведки
![Page 42: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/42.jpg)
Стадия закрепления
Шеллкод, инжекты, скрипты, задачи,
анти-DFIR
![Page 43: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/43.jpg)
Стадия закрепления
Генерация промежуточного шеллкода
420 байтов• Вшитый код
532 байта• Путь реестра• Размер полезной нагрузки• Относительные адреса основных API-функций из ntdll
![Page 44: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/44.jpg)
Стадия закрепления
Шеллкод
Конфигурация
![Page 45: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/45.jpg)
Стадия закрепления
![Page 46: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/46.jpg)
Стадия закрепления
![Page 47: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/47.jpg)
Стадия закрепления
![Page 48: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/48.jpg)
Стадия закрепления
ZwOpenProcess ->
InitializeProcThreadAttributeList ->
UpdateProcThreadAttribute ->
CreateProcessW
![Page 49: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/49.jpg)
Стадия закрепления
Правка контекста
потока ROP
гаджетом в ntdll
![Page 50: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/50.jpg)
Стадия закрепления
Инжект через NtSetContextThread с ROP
![Page 51: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/51.jpg)
Стадия закрепления
Запись скрипта в систему
![Page 52: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/52.jpg)
Стадия закрепления
Генерация ps1 стартера
![Page 53: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/53.jpg)
Стадия закрепления
Запуск скрипта
![Page 54: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/54.jpg)
Стадия закрепления
Формирование пути JScript
![Page 55: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/55.jpg)
Стадия закрепления
Формирование пути JScript
![Page 56: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/56.jpg)
Стадия закрепления
Создание JScript
MAC времена?
![Page 57: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/57.jpg)
Стадия закрепления
Извлечение и использование MAC отметок из ntdll
(Timestomping)
![Page 58: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/58.jpg)
Стадия закрепления
AddressBook.js
![Page 59: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/59.jpg)
Стадия закрепления
Планирование задач с помощью COM интерфейсов
![Page 60: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/60.jpg)
Стадия закрепления
Очистка логов событий
![Page 61: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/61.jpg)
Стадия полезной нагрузки
Генерация GUID,
открытие маппинга
файла
![Page 62: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/62.jpg)
Стадия полезной нагрузки
Сохранение полезной нагрузки на диск и запуск, или …
![Page 63: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/63.jpg)
Стадия полезной нагрузки
… инжект в msiexec через NtSetContextThread
![Page 64: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/64.jpg)
Стадия полезной нагрузки
… инжект через LoadLibraryW, wups.dll и сплайсинг
![Page 65: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/65.jpg)
Стадия полезной нагрузки
… инжект через LoadLibraryW, wups.dll и сплайсинг
![Page 66: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/66.jpg)
Стадия полезной нагрузки
Перехваченные функции
![Page 67: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/67.jpg)
Стадия полезной нагрузки
Шифрование и сохранение полезной
нагрузки в реестре
![Page 68: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/68.jpg)
Стадия C&C плагина
Взаимодействие с C2, X25 запросы,
туннелирование
![Page 69: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/69.jpg)
Стадия C&C плагина
Расшифровка и запуск плагина
![Page 70: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/70.jpg)
Стадия C&C плагина
Похоже, что это правильный временной штамп?
![Page 71: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/71.jpg)
Стадия C&C плагина
Структура зашифрованного конфига
Проверочные
байты
![Page 72: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/72.jpg)
Стадия C&C плагина
Структура зашифрованного конфига
Проверочные
байты
Ключ RC4
![Page 73: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/73.jpg)
Стадия C&C плагина
Структура зашифрованного конфига
Проверочные
байты
Ключ RC4
Размер
конфига
![Page 74: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/74.jpg)
Стадия C&C плагина
Структура зашифрованного конфига
Проверочные
байты
Ключ RC4
Размер
конфига
Зашифрованный
конфиг
![Page 75: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/75.jpg)
C&C plugin stage
Расшифрованный конфиг
<a>37.59.52.229</a><b>a12</b><c>zjs4zmhmr2ws</c><d>1</d>
C&C Новый ключ RC4
![Page 76: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/76.jpg)
Стадия C&C плагина
Base64 декодирование
![Page 77: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/77.jpg)
Стадия C&C плагина
Замена символов в запросе
‘+’ -> -11P || -22L
‘/’ -> -33S || -44L
‘=‘ -> -55E || -66Q || -77A || -88L ||
-99S
![Page 78: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/78.jpg)
Стадия C&C плагина
Разделение данных на
порции
Соединение
через точки
![Page 79: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/79.jpg)
Стадия C&C плагина
Вычисление MD5 и кастомное Base64 кодирование
![Page 80: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/80.jpg)
Стадия C&C плагина
Генерация доменного
имени:
/[a-z]{2}[0-9]{2}.com/
![Page 81: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/81.jpg)
Стадия C&C плагина
Структура заголовка пакета, 0x18 байт
struct PacketHeader {
DWORD rand; // rand(0xAAAABBBB) + 0x11111111
BYTE num; // номер последовательности
BYTE zero; // неизвестно, обычно 0
DWORD xored_volume_info; // volume_info ^ rand
DWORD xored_chunks; // chunks ^ rand
DWORD rand; // обычно то же, что и rand
};
![Page 82: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/82.jpg)
Стадия C&C плагина
Вшитая структура UDP запроса
![Page 83: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/83.jpg)
Стадия C&C плагина
X25 DNS тип запроса
![Page 85: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/85.jpg)
Стадия C&C плагина
70FLQwcAqHfxh-11PlBS0PvQUtD.ol68.com
ivMAAAEAzcW6xIrzAACK8wAA.ol68.com
![Page 86: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/86.jpg)
Стадия C&C плагина
7ZWPrs2G1tlcONzJnd68Kfb73DYaa0dOB68Dq5djUoy9UAB
YdFhtAeAaTW-
22Lr.1AjwSkBXvVhSlW31sveIvBTvk1TUHtcS6MRj87VIKkXTl
QyFLTcP5Ck0FX-11P.irbmr-
11PhFWVXcPj2BjkAzRWryseAaDlLajqH7kjXjE4Y7fn4RIt-
44LswTTX.BZwPrcF-44LbLn5ZcgT.ySADOwjSjha5-
44L8kgAzvaIeJi.ol68.com
Заголовок
Порция полезной нагрузки
![Page 87: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/87.jpg)
Стадия C&C плагина
…
![Page 88: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/88.jpg)
Стадия C&C плагина
1. Берем все 6 порций
2. Соединяем «как есть»
3. Кастомный base64
декодирование
4. Расшифровываем RC4
5. Готово!
![Page 89: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/89.jpg)
Стадия C&C плагина
Fu-33S2umvUVm44Ezor-44Lrcw6w-88L-
55E.FoVHKQklUbP97RaFRykL4c1H.ol68.com
Fu-33S2umvUVm44Ezor-44Lrcw6w-88L-
55E.uI6dHQkl-44L7gn2biOnR2l6hdz.ol68.com
![Page 90: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/90.jpg)
Стадия C&C плагина
… кастомное base64 декодирование -> вычисление
MD5 от полезной нагрузки
Почему дважды? …
![Page 91: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/91.jpg)
Стадия C&C плагина
Полезная нагрузка в ответе
Заголовок Полезная нагрузка
![Page 92: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/92.jpg)
Стадия C&C плагина
Конфиг малвари
Снова проверка MD5
![Page 93: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/93.jpg)
Заключение
Похожий образецв твиттере
twitter.com/vk_intel/status/1177269767297806337
![Page 94: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/94.jpg)
Заключение
Proofpoint пишет о Snatch
proofpoint.com/us/threat-insight/post/ta505-distributes-new-sdbbot-remote-access-trojan-get2-downloader
![Page 95: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/95.jpg)
Заключение
@tildedennis про Snatch
github.com/tildedennis/malware/blob/master/snatch_loader/decrypt_cfg.py
![Page 96: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/96.jpg)
Заключение
Такой же алгоритм генерации ключа
![Page 97: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/97.jpg)
Заключение
Blue team: на что обратить внимание
• Все любят задачи• PowerShell/WScript процессы и .ps1/.js файлы на диске• msiexec и приостановленные процессы• Контроль целостности системных библиотек (сплайсинг до сих
пор жив)
![Page 98: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/98.jpg)
Заключение
Blue team: на что обратить внимание
• Контроль потока выполнения? (ROP гаджеты -> kBouncer -> JOP)• Необычные типы запросов и DNS туннелирование• Легкий и качественный троян загрузчик – устойчивый тренд
APT != целевая атака
![Page 99: Mlw #41: новый сложный загрузчик APT-группировки TA505 … · ptsecurity.com Mlw #41: новый сложный загрузчик APT-группировки](https://reader036.fdocuments.in/reader036/viewer/2022070110/6046704d62ebaa3751185057/html5/thumbnails/99.jpg)
ptsecurity.com/ru-ru/research/pt-esc-threat-
intelligence/
PT ESC Threat Intelligence blog
PT ESC Incident Response Alertptsecurity.com/ru-
ru/services/esc/
Вопросы
ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part1/
ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part2/
Полезные ссылки
Часть 1. Как мы анализировали новые инструменты создателей
трояна Dridex, шифровальщика Locky и ботнета Neutrino
Часть 2. Изучаем бэкдор ServHelper с NetSupport RAT
Операция TA505:
Часть 3. Сетевая инфраструктура группировки
ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part3/
Часть 4. Близнецы
ptsecurity.com/ru-ru/research/pt-esc-threat-intelligence/operation-ta505-part4/