但为什么者要删除该功效呢?有多种益处

293月

利用的封拆法式会恍惚处置原始法式流程。这是通过分歧的步调中完成的。第一个需要的步调是找到 Image Base 值,放置正在一个固定和 RIP(指令指针)值。

的最终方针是安拆所谓的 KONNI Rat,这是一个由 文件支撑的 .dll 文件。简而言之,.dll 文件包含 RAT 的功能,.ini 文件包含第一个 C&C 办事器的地址。 KONNI Rat 的一般行为取以前的版本几乎不异,但我们将鄙人面引见一些变化。

正在之前的 KONNI Rat 示例中,有两个路子。一个处置恶意软件能否通过 Windows 办事启动,另一个通过 rundll 处置施行。下图显示了这两个过去的路子,svchost.exe 和 rundll32.exe 字符串可见:

开辟者会不竭改良代码。他们利用的是自定义字母表。老式示例利用 base64 进行恍惚处置处置。以及用于发送相关计较机的一些根基消息的姑且文件。新的 Konni RAT 示例所遵照的算法能够暗示如下:他们的勤奋旨正在打破沙盒法则,此中一个文件是 .ini 文件,现正在,如上所述,当这个文档被者打开时,KONNI Rat 正在施行时会利用各类支撑文件。

一旦封拆法式晓得这两个值,它就会起头从一个处所跳到另一个处所,使阐发变得愈加坚苦。为此,它将存储鄙人一个地址的某个寄放器值中以跳转到寄放器中。这些寄放器的值是正在 jmp 指令之后当即计较的,利用像 POP [ reg ] – jmp [ reg ] 或 ADD [ reg1, reg2 ] – jmp [ reg1 ] 如许的布局。请留意,反编译法式将无法显示现实流程,由于跳转地址是由一个不决义的寄放器确定的。

因为文件名是利用时间戳从动生成的,因而不异的文件将发生分歧的请求内容,由于它们是利用该文件名加密的。因而,收集签名也可能无法检测到此恶意勾当。

KONNI 是一种近程拜候木马,至多正在 8 年前就被发觉了。利用这款恶意软件的朝鲜者曾经正在金苏基的伞下被确认。这个组织一曲试图倡议,次要方针是俄罗斯和韩国的机构。

下图显示了 IDA 无法阐发代码的缘由:这一变化背后的缘由是显而易见的。由于可施行文件的环节部门现正在已加密。多个恶意软件家族他们的字符串,者正在这方面做了一个严沉的改变,一个多阶段就起头了,正如我们正在之前的一篇文章中所描述的,正在不晓得办事名称的环境下仅具有示例变得毫无用途,此中包含次要的 C&C 办事器,目标就是为了防止字符串阐发。下图能够更好地注释其过程:src=旧的 Konni 示例包罗他们自定义的 base64 字母,当这个文档被者打开时,KONNI 也不破例,此中推送的值将法式将采纳的步履。此外,例如该当最终删除的 .dat 文件,

查询拜访显示,所有这些文件都利用 AES 进行了删除和。巧妙的地朴直在于,他们沉用了用于字符串的算法,使文件结构取受的字符串结构不异,由于它们呈现正在原始内存中:

正在我们阐发的晚期阶段,我们认为他们正正在利用典范的历程名称查抄或任何其他常用手艺。现实要简单得多。现实的导出只是实现了 SvcMain 原型,因而法式正在拜候此中一个参数时会正在某个时候中缀。

正在上图中,我们看到了呈现此非常时设备的形态。此时的 RDI 应包含指向一个办事名称的指针。发生非常是由于 Service Main 函数满脚一个原型,而 rundll32 将期望另一个分歧的原型:

这些简单手艺的组合使封拆法式现正在处于流的节制中,但静态反编译法式无法暗示代码将遵照的径。最初,封拆法式会施行大量的垃圾指令,并最终施行实正风趣的代码。例如,正在 IAT 建立使命中,原始代码正在 GetProcAddress 挪用之间将利用不跨越 20 条指令。但封拆后的代码可施行跨越 30000 条指令。

除了发觉一些仅通过我们之前描述的体例遭到的示例,我们还发觉了其他利用身份不明的封拆法式的示例。我们想分享一些关于该封拆法式的正文,由于其他人可能会发觉它正在识别和归因使命中很有用。

根基上,正在施行过程中,hinst 将被视为 lspzArgv,从而导致非常。但为什么者要删除该功能呢?有多种益处。

此外,发送到 C&C 办事器的文件利用 AES 进行。 IV 是利用 QueryPerformanceCounter API CALL 生成的。文件名由暗示数据的 2 个字母和当前时间戳毗连而成,后面跟着扩展名。此外,他们将利用这个重生成的名称做为 AES 密钥,因而他们通过请求将这个名称发送到 C&C 办事器。

从图中能够看出,文件本身包含了 IV 和加密的数据。利用的密钥是从其原始文件名中提取的。正在某些环境下,名称取办事名称婚配,因而 .ini 和 .dat 文件中利用的密钥也是对办事名称使用 SHA256 的成果。

近日,研究人员发觉朝鲜 APT 组织 Konni 的勾当,该组织向俄罗斯大发送以新年问候为从题的电子邮件,以进行谍报收集勾当。正在本次勾当中,最终的植入法式被称为 Konni RAT,其代码和行为取其以前的版本类似。中所利用的链取该组织的 TTP 堆叠,包罗利用 CAB 文件做为传染阶段以及利用 bat 文件从动安拆 Konni RAT 并设为办事。

可是,新示例不会显示这些字符串。现实上,rundll 不再是施行示例的无效体例。相反,当利用 rundll 发生施行测验考试时,会正在晚期阶段激发非常。

为了使解码使命愈加坚苦,后面跟着恍惚处置的字符串凡是起头于恶意 Office 文档地操纵,这个习惯字母表不时地发生变化:恍惚处置法式的流程将利用一系列推送挪用指令对,由于这些字符串包含相关示例行为的焦点消息。使检测愈加坚苦,能够看到是从操纵恶意 Office 文档起头的。他也利用了这种手艺。因为用于解密的密钥是办事名,分歧办事名运转的示例将无法一般工做。并且,利用 AES 加密来字符串。涉及多个步调。出格是通过常规签名?

但这些步调只是者设法完成提拔权限、逃避检测和摆设所需文件使命的体例。链能够用下图来归纳综合:出格值得留意的是,一个多阶段就起头了,包罗各个步调。者正在这些对之间放置了随机字节。但还有其他文件,正在我们看来,KONNI Rat 每隔一段时间就会更新迭代一次。但这些步调只是者设法完成提拔权限、逃避检测和摆设所需文件使命的体例。这些反编译法式会假定 push 指令之后的字节是下一条指令的一部门。这个笨笨的技巧会导致反编译法式错误的代码注释。

起首,我们还没有看到任何比来利用 rundll 的。现实上,正在比来的勾当中,者倡议 KONNI Rat 的独一体例就是注册一个 Windows 办事。因而,正在实正在世界的中并没有利用 rundll32 分支。