Snake Keylogger IOCs

Spyware IOC
Опубликовано

HP Wolf Security обнаружили вредоносную компанию в которой использовался вложения в формате PDF для установки в систему жертвы кейлогера Snake. Вредоносная программа прибыла в документе PDF  использовала несколько уловок, чтобы избежать обнаружения, таких как встраивание вредоносных файлов, загрузка удаленно размещенных эксплойтов и шифрование шеллкода.

Snake Keylogger

Документ PDF с именем "REMMITANCE INVOICE.pdf" был отправлен в качестве вложения в электронное письмо. Поскольку документ пришел из опасного источника - электронной почты, в данном случае - когда пользователь открыл его, HP Sure Click запустил файл в изолированной виртуальной машине, предотвратив заражение системы.

После открытия документа Adobe Reader предлагает пользователю открыть файл .docx. Злоумышленники подло назвали документ Word "был проверен". Однако PDF, Jpeg, xlsx, .docx", чтобы создать впечатление, что имя файла является частью подсказки Adobe Reader.

Анализ PDF-файла показывает, что файл .docx хранится как объект EmbeddedFile. Следователи могут быстро обобщить наиболее важные свойства PDF-документа с помощью сценария pdfi.

При нажатии "Открыть этот файл"  в  PDF-документе откроется Microsoft Word. Если функция "Защищенный вид" отключена, Word загружает файл Rich Text Format (.rtf) с веб-сервера, который затем запускается в контексте открытого документа.

Подключение к этому URL приводит к перенаправлению, а затем загружает RTF-документ под названием f_document_shp.doc.

При изучении объекта OLE обнаруживается шеллкод, использующий уязвимость CVE-2017-11882 удаленного выполнения кода в Equation Editor.

Шелл-код хранится в структуре OLENativeStream в конце объекта. Затем мы можем запустить шеллкод в отладчике, ища вызов GlobalLock. Эта функция возвращает указатель на первый байт блока памяти - метод, используемый шеллкодом для определения своего местоположения в памяти. Используя эту информацию, шеллкод переходит к определенному смещению и запускает процедуру расшифровки.

Ключ умножается на константу и добавляется на каждой итерации. Затем шифротекст каждый раз расшифровывается с помощью операции XOR. Расшифрованные данные представляют собой шеллкод, который затем выполняется.

Вредоносная программа загружает исполняемый файл fresh.exe и запускает его в общедоступном каталоге пользователя с помощью ShellExecuteExW. Исполняемый файл представляет собой Snake Keylogger, семейство вредоносных программ для кражи информации.

Indicators of Compromise

IPv4

  • 192.227.196.211

Domains

  • mail.saadzakhary.com

Domains and Port

  • mail.saadzakhary.com:587

URL

  • https://vtaurl.com/IHytw
  • http://192.227.196.211/tea_shipping/f_document_shp.doc
  • http://192.227.196.211/FRESH/fresh.exe

SHA256

  • 05dc0792a89e18f5485d9127d2063b343cfd2a5d497c9b5df91dc687f9a1341d
  • 250d2cd13474133227c3199467a30f4e1e17de7c7c4190c4784e46ecf77e51fe
  • 165305d6744591b745661e93dc9feaea73ee0a8ce4dbe93fde8f76d0fc2f8c3f
  • 297f318975256c22e5069d714dd42753b78b0a23e24266b9b67feb7352942962
  • f1794bfabeae40abc925a14f4e9158b92616269ed9bcf9aff95d1c19fa79352e
  • 20a3e59a047b8a05c7fd31b62ee57ed3510787a979a23ce1fde4996514fae803

Похожие записи:

  1. Snake Keylogger IOCs - Part 2
  2. OriginLogger Malware IOCs
  3. Magniber Ransomware IOCs - Part 3
  4. Атаки Ransomware на критическую инфраструктуру финансируют вредоносную кибердеятельность КНДР
HP Wolf Security Keylogger Snake
Добавить комментарий