მოგესალმებათ CYBSECGROUP ფორუმი
№1 კიბერ ფორუმი საქართველოში, თქვენ გაქვთ შესაძლებლობა გაეცნოთ საინტერესო პროექტებს, საინტერესო გარემოში
რეგისტრაცია

ვირუს King Ouroboros სრული ანალიზი

SIMBIOS

R00T 😈
დრუიდი
ივნ 24, 2018
58
105
#1
გამარჯობათ დიდი ხნის შემდგომ დავწერე სტატია ვირუსის ანალიზზე იმედია მოგეწონებათ:)
1.png
King Ouroboros - ეს ვირუსი მიეკუთვნება გამომძალველი ვირუსების ტიპს რომელიც შიფრავს თქვენს ფაილებს და უმატებს გაფართოებას .[ID = XXXXXXXXXX] [Mail=[email]Decrypt_your_data@protonmail.com[/email]] .limbo და ითხოვს გამოსასყიდს რომელიც მოთავსებულია Read-Me-Now.txt, ფაილში
2.png
ფაილის ნიმუშები შეგიძლიათ ნახოთ ამ ბმულზე

ინფორმაცია ფაილის შესახებ
ფაილის სახელი : sample.exe
MD5 : 7ff6b1e1db4b9dd908b4ca8673fe1ae8
SHA-1 : d3af03c19aa5299cf2dbacb52a21cb940b9296e6
SHA-256 : 6bddeeae48703f18efe0317d69fa679dadb004134bd9bd2c2c0f1540b2f610ef


პროცესები
3.png

«sample.exe» ფაილი შესრულებისას შიფრავს ყველა ფაილს და სისტემში ქმნის პროცესს სახელად «uiapp.exe» რომელცი გამომძალველ პროგრამს უშვებს და ითხოვს თანხას.

ინფორმაცია
  • Drops file uiapp.exe, info.txt, Read-Me-Now.txt
    • Drops file uiapp.exe in C:\\ProgramData\uiapp.exe (Hash : ac2c435634b60a4b1c6fa150c88c9d753ec3e1fd1c2a3690d2250416d1783b27)
    • Drops info.txt in C:\\ProgramData\info.txt
    • Drops file Read-Me-Now.txt
  • Connects to the following URL’s
    • www[.]sfml-dev[.]org/ip-provider[.]php
    • 176[.]31[.]68[.]30 for ftp, tcp and http
  • Passes FTP authentication credential in plaintext
    • Traffic containing USER:admin PASS:asmodeusasmodeus to 176[.]31[.]68[.]30 on port 21
4.png

სიღრმისეული ანალიზი
ფაილი რომელიც ასრულებს შიფრაციას არის 32- ბიტიანი PE- ფაილი Windows ისთვის რომელის დაკომპილირებულია Visual C ++ ში
6.png
ფაილი შესრულებისას ითვლის ყველა დისკს სისტემაში.
7.png
შემდგომის იღებს ბიტურ მასკას რომელიც წარადგენს მისაწვდომ დისკებს ამ მომენტში 8.png
ხსნის ყველა ფაილს ლოგიკურ დისკზე.
9.png
შემდგომ ის შიფრავს ყველა მდებარე ფაილს იყენებს ნაკადოვან შიფრს რომელიც შეიცავს გადანაცვლებას და მრავალრიცხოვან გამონათვლებს.
10.png
შემდგომ ამატებს გაფართოებას . [id = XXXXXXXXXX] [Mail=[email]Decrypt_your_data@protonmail.com[/email]] .limbo თითოეული ფაილისთვის
11.png
შიფრაციის შემდეგ იქმენბა ფაილი Read-Me-Now.txt რომელიშიც განტავსებულია ინფორმაცია თანხის გადახდის შესახებ
12.png
პროგრამა აგზავნის მოთხოვნას www[.]Sfml-dev[.]Org/ip-provider[.]Php
13.png
მიღებულ პასუხად კი ეს არის მსხვერპლის იპ მისამრთი
14.png
თითოეული კომპიტერისტვის იქმნება უნიკლაური გასაღები რომელიც იგზავნება ბოროტმოქმედის სერვერზე
15.png
და ასევე ტვირთავს და იყენებს ფაილებს FTP- სერვერიდან ამ მისმართზე 176 [.] 31 [.] 68 [.] 30.
16.png
ftp მომხამრებლის უსერი და პაროლი არის USER: «Admin», PASS: «Asmodeusasmodeus».
17.png
ის ტვირთავს uiapp.exe ს C: \\ ProgramData \.
18.png
ასრულებს ჩატვირთულ ფაილს ქმნის ახალ პროცესს
UIAPP.EXE
ინფორმაცაი ფაილზე
ფაილის სახელი: uiapp.exe
Creation Time Stamp : 01.08.2019 13:46:54
MD5 : 0db35c8f612f30b2eade689f2d5119a9
SHA-1 : 599db1e610b9541d1bde291dda32943e17b215be
SHA-256 : ac2c435634b60a4b1c6fa150c88c9d753ec3e1fd1c2a3690d2250416d1783b27
19.png
მე ადრევე მივირე წვდომა ფტპ სერვერიდან ფაილზე uiapp.exe
20.png
ფაილი წარმოადგენს .net PE ფაილს მე მოვახდინე დეკომპელაცია რომ მენახა რას შვრებოდა იგი მისი ფუნქციებიდან გამოდინარე ის უშვებს GUI- რომელიც ასრულებს Form1.
21.png
uiapp.exe, ფაილი მხოლოდ წარმადგენს ფანჯარას რომელიც გატყობინებთ შეტყობინებს რომ ფაილები დაშიფრულია და ფულია გდასახდელი.
23.png
მადლობა ყურადღებისთვის :)
 
მოწონებები: k3b3CH37, Lucifer, Jioma and 3 others