PNGLoader IOCs

security IOC

Анализируемый Avas набор инструментов Worok  выявил финальную стадию, скрытую в PNG-файле, которая похищает данные и предоставляет многофункциональный бэкдор, использующий репозиторий DropBox и API.


Конкретный первоначальный вектор атаки пока неизвестен, но Avast обнаружил на скомпрометированных машинах четыре DLL-библиотеки, содержащие код CLRLoader. CLRLoader - это DLL-файл, написанный на Microsoft Visual C++. Он реализует метод DllMain, который отвечает за загрузку следующего этапа (.NET-вариант PNGLoader). CLRLoader активируется вызовом LoadLibraryExW из нарушенного процесса/службы. Затем CLRLoader проверяет наличие DLL-файла .NET, содержащего PNGLoader, создает мьютекс и, наконец, выполняет PNGLoader через API CorBindToRuntimeEx.

PNGLoader - это загрузчик, который извлекает байты из файлов PNG и реконструирует их в исполняемый код. PNGLoader представляет собой DLL-файл .NET, обфусцированный с помощью .NET Reactor; описание файла содержит информацию, имитирующую легитимное программное обеспечение, такое как Jscript Profiler или Transfer Service Proxy. Имеется жестко заданный путь, по которому рекурсивно ищутся все PNG-файлы. Фактическая полезная нагрузка занимает только пиксели, представляющие размер полезной нагрузки в PNG, которая декодируется и размещается с помощью алгоритма в PNGLoader.

Indicators of Compromise

SHA1

  • 05f19ebf6d46576144276090cc113c6ab8ccec08
  • 27abb54a858ad1c1ff2863913bda698d184e180d
  • 3a47185d0735cdecf4c7c2299eb18401bfb328d5
  • 4721eeba13535d1ee98654efce6b43b778f13126
  • 4ccf0386bde80c339efe0cc734cb497e0b08049c
  • 4f9a43e6cf37ff20ae96e564c93898fda6787f7d
  • 54700a48d934676fc698675b4ca5f712c0373188
  • 5cfc0d776af023dcfe8eded5cada03c6d7f9c244
  • 678a131a9e932b9436241402d9727aa7d06a87e3
  • 728a6cb7a150141b4250659cf853f39bfdb7a46c
  • 757aba12d04fd1167528fdd107a441d11cd8c427
  • 864e55749d28036704b6ea66555a86527e02af4a
  • 8da6387f30c584b5fd3694a99ec066784209ca4c
  • a5d548543d3c3037da67dc0da47214b2c2b15864
  • aa60fb4293530fbff00d200c0d44eeb1a17b1c76
  • b2eaec695dd8bb518c7e24c4f37a08344d6975be
  • c2f1954de11f72a46a4e823de767210a3743b205
  • c2f53c138cb1b87d8fc9253a7088db30b25389af
  • cbf42dcaf579af7e6055237e524c0f30507090f3
  • cdb6b1cafee098615508f107814179deaed1ebcf
  • ce430a27df87a6952d732b4562a7c23bef4602d1
  • ede5ab2b94ba85f28d5ee22656958e4ecd77b6ff
  • f181e87b0cd6aa4575fd51b9f868ca7b27240610

SHA256

  • 1413090eaa0c2dafa33c291eeb973a83deb5cbd07d466afaf5a7ad943197d726
  • 29a195c5ff1759c010f697dc8f8876541651a77a7b5867f4e160fd8620415977
  • 9e1c5ff23cd1b192235f79990d54e6f72adbfe29d20797ba7a44a12c72d33b86
  • af2907fc02028ac84b1af8e65367502b5d9af665ae32405c3311e5597c9c2774
SEC-1275-1
Добавить комментарий