🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

التحليل الفني لحملة البرامج الضارة «Blister» الموقعة بالرمز (الجزء الأول)

التحليل الفني لحملة البرامج الضارة «Blister» الموقعة بالرمز (الجزء الأول)

January 7, 2022
Green Alert
Last Update posted on
August 21, 2025
ما وراء المراقبة: الحماية التنبؤية للمخاطر الرقمية باستخدام CloudSek

قم بحماية مؤسستك من التهديدات الخارجية مثل تسرب البيانات وتهديدات العلامة التجارية والتهديدات الناشئة عن الويب المظلم والمزيد. حدد موعدًا لعرض تجريبي اليوم!

Schedule a Demo
Table of Contents
Author(s)
No items found.

يعمل برنامج ضار جديد، أطلق عليه فريق Elastic Security الذي حدده فريق Elastic Security الذي حدده، على الاستفادة من شهادات توقيع التعليمات البرمجية الصالحة في أنظمة Windows، لتجنب اكتشافها بواسطة برامج مكافحة الفيروسات. تمت تسمية البرنامج الضار باسم إحدى حمولاته، Blister، التي تنشر أيضًا حمولات المرحلة الثانية.

كانت الجهات الفاعلة في مجال التهديد التي تنظم حملات Blister نشطة منذ 15 سبتمبر 2021، وتستخدم شهادات توقيع الرموز التي تم التحقق من صحتها في 23 أغسطس 2021. تم إصدار هذه الشهادات من قبل Sectigo إلى عنوان البريد الإلكتروني mail.ru الخاص بـ Blist LLC. من الجدير بالذكر أن mail.ru هو مزود خدمة بريد إلكتروني روسي يستخدم على نطاق واسع.

تخفي البرامج الضارة المكونات الضارة كملفات أصلية قابلة للتنفيذ، مما يؤدي إلى انخفاض معدل اكتشافها. بصرف النظر عن استخدام شهادات توقيع الرموز، تستفيد الجهات الفاعلة في مجال التهديد أيضًا من تقنيات أخرى، مثل ربط Blister بمكتبة شرعية على النظام المصاب، للبقاء بعيدًا عن الأنظار.

طريقة عمل حملة بليستر

من المعروف أن الجهات الفاعلة في مجال التهديد تستخدم توقيع التعليمات البرمجية للتحايل على عمليات التحقق الأمنية الثابتة الأساسية لاختراق أنظمة الضحايا. لا يختلف برنامج Blister الضار من حيث أنه يستخدم شهادة صادرة عن Sectigo لجعل برنامج Loader الضار يبدو أصليًا لمنتجات الأمان. ثم تقوم بعد ذلك بنشر حصان طروادة للوصول البعيد (RAT) على النظام المستهدف للحصول على وصول غير مصرح به.

أ .dll يتم استخدام الملف كحمولة المرحلة الثانية لتنفيذ منارة RAT/CobaltStrike المشفرة. منذ .dll لا يحتوي الملف على أي آثار ضارة، فقد تم اكتشاف عدد قليل جدًا من عمليات الكشف على VirusTotal. ومع ذلك، يستخدم اللودر Rundll32.exe لتنفيذ قم بتشغيل ColorCPL تم تصدير الوظيفة بواسطة البرامج الضارة .dll ملف.

نظرة عامة على حملة Blister للبرامج الضارة

الاستفادة من شهادات توقيع التعليمات البرمجية لتجنب الاكتشاف

  • تحتوي الصورة أدناه على تفاصيل الشهادة لكيان يسمى «Blist LLC». من الشائع أن يقوم مجرمو الإنترنت إما بسرقة شهادات توقيع التعليمات البرمجية من الأهداف المخترقة، أو استخدام شركة واجهة للحصول على الشهادة، لتوقيع البرامج الضارة معها.
شهادة صادرة لشركة Blist LLC

  • قامت Sectigo منذ ذلك الحين بإلغاء الشهادة الصادرة للثنائي.
شهادة صادرة عن القسم

المرحلة الأولى من العدوى

نظرة عامة على اللودر

  • يكتب المُحمل رسالة ضارة .dll ملف في دليل تم إنشاؤه داخل مجلد Temp الخاص بالمستخدم.
  • في إحدى العينات التي تم تحليلها، أنشأت البرامج الضارة مجلدًا باسم «goalgames» وداخله تم تفريغ أداة التحميل holorui.dll.
  • ال .dll يحتوي على رمز نشر RAT للحصول على وصول غير مصرح به إلى النظام المصاب.
يقوم المُحمل بكتابة ملف.dll في مجلد Temp الخاص بالمستخدم

عمل اللودر خطوة بخطوة

  • يتم استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد يسمى «goalgames» في المسار: C:\Users\<user>\ AppData\ دليل محلي\ مؤقت. كما هو موضح أدناه.
استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد في مجلد Temp الخاص بالمستخدم

  • قبل تفريغ ملف dll، يقوم المُحمل بتعيين دليل العمل إلى C:\Users\<user>\ بيانات التطبيق\ المحلية\ المؤقتة\ ألعاب الهدف عبر واجهة برمجة تطبيقات Win32 تعيين الدليل الحالي W.
باستخدام واجهة برمجة تطبيقات Win32 setCurrentDirectoryW لتعيين دليل العمل

  • بعد إعداد دليل العمل، تقوم البرامج الضارة بحل اسم الملف لـ .dll ملف إلى holorui.dll ويخزنها في سجل RCX، لتمريرها لاحقًا إلى Win32 API إنشاء ملف جديد.
تقوم البرامج الضارة بحل اسم الملف الخاص بملف.dll إلى holorui.dll

  • الملف C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll تم إنشاؤه باستخدام إنشاء ملف جديد API.
holorui.dll تم إنشاؤها باستخدام إنشاء ملف جديد API

  • بمجرد إنشاء الملف، تبدأ البرامج الضارة في كتابة المحتوى إلى الملف عن طريق نقل وحدات البايت بشكل متكرر من .dll الحمولة في اللودر. واجهة برمجة تطبيقات Win32 اكتب ملف يستخدم لكتابة المحتويات إلى holorui.dll.
ملف كتابة واجهة برمجة تطبيقات Win32 يستخدم لكتابة المحتويات إلى holorui.dll

  • الخبيثة .dll مضمن في مقطع البيانات الذي تمت تهيئته من ملف PE القابل للتنفيذ الخاص بالمحمل ويتم نقل وحدات البايت إليه C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ ألعاب الهدف\ holorui.dll.
رأس MZ للملف المضمن

  • عند إغلاق المقبض إلى holorui.dll الملف، المكتوب على القرص في دليل Temp، تنتهي البرامج الضارة من تسليم حمولة المرحلة الثانية. ثم يتم إغلاق مقابض الملفات بواسطة البرامج الضارة.
تم إغلاق مقابض الملفات بواسطة البرامج الضارة

  • يمكن تأكيد التسليم الناجح لـ .dll الضار من خلال تحليل تفاعل البرامج الضارة على النظام.
تسليم ناجح لملف.dll الضار

  • استنادًا إلى تحليل عينات اللودر المتعددة الموقعة، قمنا بتعداد أسماء الدليل والحمولة المميزة التالية المستخدمة في عينات مختلفة من نفس الحملة:
    • C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll
    • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ الإطار\ axsssig.dll
    • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ البرامج\ holorui.dll
    • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ إطارات girts\ Pasade.dll

ملاحظة: المحتوى الموجود داخل .dll هو نفسه على الرغم من وجود أسماء مختلفة

المرحلة الثانية من العدوى

  • في المرحلة الثانية من الإصابة، يقوم المحمل بإنشاء سطر أوامر لتنفيذ الوظيفة تم تصدير لون التشغيل (CPL) من .dll، بواسطة Rundll32.exe على النظام المصاب.
سطر الأوامر لتنفيذ وظيفة LaunchColorCpl

  • يتم إنشاء عملية جديدة باستخدام سطر الأوامر أعلاه لإنتاج الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32.
وضع البيض الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32

  • المولوّد حديثًا Rundll32.exe يتم إدراج العملية في قائمة العمليات على الجهاز المصاب.
عملية Rundll32.exe التي تم إنتاجها حديثًا

تأكيد سطر الأوامر للعملية التي تم إنشاؤها حديثًا

  • يتم تنفيذ الحمولة النهائية من قبل Rundll32.exe معالجة.
أنشطة الشبكة بين المضيف المصاب والمهاجم C2

في الجزء 2 من هذه المقالة، سنغطي العمل الداخلي لحمولة dll بالتفصيل.

مؤشرات التسوية (IOCs)

فايلهاش - MD5

e6404260b4e42b7a75bb0a96627 ed3a304921a919ab5228687a4932 b66 fab9d8827d0d7d72adc0adx0adc05719e407216 d141b331 c1f232bed68 ac108519 ca2d 35f755 f50457416 aeb7fe7 رسوم 95a67 abfear 9 fe1896 e6b20128e85a9851b94753eabbdf6f76505a91c91c29238 f0ed70b369417a91b8 f4a339a983e831e831e831e831e831e83a83a8a8a8a8a8a7a86cc600f5a97e3b53f7338 b9c560 c6970a877a7a359 f37811d73efcd 76417 a185e48d71e22d230c547

ملف هاش- SHA1

f8fa1ba 14df6f8ab2b307 ee0ce04054e9d538 c077 ديسيبل 11 سم مكعب 7 درجة مئوية 02 درجة فهرنهايت 2 درجة مئوية مقاس 71 سم 380 درجة فهرنهايت مقاس 82 بوصة 39 درجة فهرنهايت 9 بوصة مقاس 8 بوصةf534e15 بي بي سي 104 كافاب80f954ba30f12de870f4872134 bbf433c51d475412 d16ff7ab4ce2b08110d58e06727 c551756 cbee1fc6539929553 a09878b4800d1f8e6ec489c6c8a1d3a1f99b8339cf0980c039362e891b01040c20e75e169c51291abd21799 د 1 د 30344428697 f3a 186733 ب 283 a993ac 16bb69d5da 32164813 be5 af29d31 edc951a8f1f088871e52778597185 f98eb0a57127024bcd094cf07a492 b5e329 b55d4a0f66217 e5352 ab56 فاباكاد1

ملف حاش-شا256

fe7357d48906 b68f094a81d19cc0ff93f56cc40454 ac5f00e2e2e2d9c8ccdb388f885e9e1293552 cb45a89e740426 f9c313225 ff77 الإعلان 1980 dfea83 b6c4a91 cf5104 d0e2f178711b1e23 ديسيبل 3c16846 de7d1a3ac04dbe09 bacb847775 db8 ed6910 fd51d6373065a2f1 d3580 ad645f443bf0 bdc398a77185324b0284db8 ed241 c92f9c969a160 da2c4c0b006581 f54f9615646 d467d47 24 f55 26 ج 7 د ف 814 ج 5 ف 897 أ ف 65972041024 إب 74c7915 df0e18 ج 6364 ج 5 ف ب 9 ب 2943426 إد 1 إعلان 54 د ف ف د 9 ف ف د 4 د ج 4 د 5 د 4 د 5 د 6 د 6 د 63 أ 1524616 ب 73 ج 2102786 ب 710 ج 19 ج 697 ج 8 د 4 كا 5 د 0د 934 د 5 د د 63 أ 1524616 ج 13 ب 51ce274539a8 إعلانات 9b072e7f1a14b8b927a6cc31c39025 f5c3a410ed4108a56b7c6e90b5819167a06800d02 ef1f028cb949 ebe87c55c0ba6c0525161e2e6670c1ae186ab83ce46047446e9753a926c9d9d9d2f3cfcc06b33e101c137533 cd7fb6b38fe71 قدم489d1dbcffe455c5ec1bcf845cc0f3b27ae4f7a86a38244225 cca35a0960eb6a685 ed350e99a36c32b61 bee321be3210360c5d5d387b9f0c232c9f9f0c232cf93x93 b46a19e53930 a1606 bda28a5b3a50930e 7a144637 faf88 a98f2990a27532 bfd20a93 dc160b 2db4fb1758 afb77617 a4c637614c429440 c787840 c78781d1 ca24 d78483a731 d80832 c2af555d61bcfcf 0c13d4bc8e7ab97ddc6591 f8c6b892290898 d28ebce1c5d 28ebce1c5d486e836026e184 f7d3f30e4308e2f0c381c070af1x5118 a484a987827 c1a34821b50ae0d85c382c432d44d1e5ef0f2f2f7aed6abf3e21f9949 bcc1862e3e5a6c89524f2d2d76144 d121 d0e95b1b8 ba5d0ffcaa23025318a6096 bf7bdf 5f405d3b4c9a71 bcd 1060395 f28f2466 fdb91 cafc 6e261 a31 d41b 37a9472 d4 cb393256a62a466 f6601014e5 cb04a71 f115499 c320 dc615245 c7594 d49232f90749 da76b99e1c7870 ae3402 aba 875 قدم مربع 64 قدم 79 سنتيمتر مكعب بيبا 2f9288841298ee22 cf 159345852 be585 bc5a8 e9 af476b00c91cdd669e2a52a5a5dbbb 5 صور 74 ديسيبل 98 أمبير 414 أ 40 419 ه 32282 د 33 أفت 3273 ف 73 أ 596 أ 7 أ 8738 ه 9 سى دى كا 6 أى 7 دى 7 دى 7 دبى 0دى 41 سى 1 أ 7658863228 إيفا 55 ب 54 أ 8 د 03 أ 87 ب 602 أ 2 أ 4 أ 4 م 6 أ 4 م 6 أ 4 م 6 أ 4 م 6 أ 4 م 6 أ 6 أ 4 م 6 أ 6 أ 7 دى 7 دى 5 دى 5 ب 54 أ 8 د 03 أ 87 ب 602أ 2 أى 418856e0028 أى 409357454a6303b12822484 a67f191a93e827 c4829498d2cb1 d27 bdd 9e47e136 dc6652 a5414d440b7481 edf3a3b295 b0189e54f79387e7e7e7e7 df61250 cc8e4f1e8f1e8 f42102 df 8f1f7cd03 b30cfeea07b5ea4c8976e6456cb65e09f6b8e7dcc68884379925681b1c47b9091c41525 f1721b12e12e993e990 ce1718 eecf81dcfb25cc5a8f6c6f9b19e1e1f1f8e1b دي سي 99386 f0 ceee 8593 دي اف دي 461 ac047 eae812df8733696 f6274 af4b9e8 ديسيبل 4727269 د 43 سي 83c 350694 bd1 ef4 bd5cc dc0806b1f014568 a56 ca9e3f7870561 ed3c6387 داف495404 ed3827 f212472501 d2541 5 ccf8b 9415651e8e6f9c63c4 c1162efadfc4 cdd9ad634c5e00a5a5ab03259 fcaaa58a6bfec58a6bfec5a6ba0b 724961148199 ديسيبل 32 قدم مكعب 42 سم 01 ب 12 تيار متردد 31 قدم 6a60994 قدم 551 قبل الميلاد 5e07879 ec84a7f1 CEA 1036c03151403542 كابينة 6b8541f841 f8 e54405770751679 f178f90 قدم 7bd57e867 عمق 8e906708 c52184 bf4 27 قدم 323 سم 7480998 متر مربع 344 قدم 74 عرض 956 قدم 7 د 3 ج 1 ج 989 أ ف 43 ج 6 د 3 د 3 د 3 ج 3 د 3 ف 039 د 0 ج 010 د 039 2 د 049 ف ب 37 د ب 35 د ب 42 ب 1 د ب 9 د ب 8 د ج 3 د 3 ب 0391380 قدم 9 د ب 640 2 د 049 ف 7658أ 8 سنتيمتر مكعب 930 قدم مكعب 7010b32ed1c9a5cc0f8109b511 ca2a77a2104301369294 c710f4074b37 ade714c83b6b7b7b7b7b722a46aef61 c02b6543 de5d 59 edc97b6025a0d639 c4c839 c4d 70839 cd1 ef9395570 cc86 d54d47257d5696401717 f66 be3 c1216 cb4 f2caeaaf 59 f297 f72 f7 f271b084637 e5087 d59411 ac77 ddd3b87e7a7a10 a07413115 c254 cb7a5 c4f63ff525e 64adfe8 b60acef946 bb7656b76b7a2b17e84d547e97a030d2b02ac2ea9763 fb4f96f6c54659533 a23e17268aab00b 2f75822 د007bd464bc3934b892 b37 سي 6 إيو 0810 أ 7778 قدم 6 قدم 9 أ 1 بد894e89 قدم 82 قدم 2 عرض 40 قدم 9 عمق 6 سم 9 سم 4 ب 72 be97328 e681 قدم 32 أ 1 ب 1 أ 00

النطاقات

  • ظلال الخصومات direct.com
  • دومين كليبرشيبintl.com
  • النطاق bimelectrical.com

بروتوكول IPv4

  • 93.115.18.248
  • 188.68.221.203
  • 185.170213.186

رافعات موقعة

  • ed6910 fd51d6373065a2f1 d3580 ad645f443 bf0 bdc398a77185324b0284db8
  • cb949ebe87c55c0ba6cf0525161e2e6670c1ae186ab83ce46047446 e9753a926
  • 7b9091c41525 f1721b12def601117737 e990-ce178 eecf81dcfb25ccb5a8f
  • 84 أ 67 إف 191 أ 93 إي إي 827 سي 4829498 دي 2 سي 1 دي 27 دي 9 دي 47 دي 136 دي سي 6652 أ 5414 داب 440 بي 74
  • cc31c124fc39025f5c3a410ed4108a56b7c6e90b5819167a06800d02ef1f028
  • 9472d4cb393256 a62a466 f6601014e5cb04a71 f115499 cb320 dc615245 c7594d4
  • 4 قدم 551 قبل الميلاد 5e07879 ec84a7f1 CEA 1036cfd0a3b03151403542 كابينة 6bd8541f841 f8e5
  • 1a10a07413115c254c7a5c4f63ff525e64adf8b60acef946b7656b7a2b3d
  • 9bcc1862e3e5a6c89524 f2d76144 d121 d0ee95b1b8b5dffcaa23025318a60
  • 8a414a40419e32282 d33 af3273 ff73a596a7ac8738e9 cdca6e6e6e6e6e6e6e7db0e41c1a7658
  • 923b2f90749 da76b997e1c7870ae3402 aba875fdbdd64f79cbba2f928884129
  • إد 241 ج 92 ج 9 ج 969 أ 160 دا 2 ج 4 ج 0ب 006581 فا 54 ف 9615646 د 46467 د 24 قدم 5526ج 7 أ
  • 294 × 710 × 4 × 4 × 4 × 37 × 14 × 83 × 6 × 7 × 7 × 7 × 72 × 46 أ ف 61 × 02 ب 65 43 دي 5 د 59 د ج 97 ب 60

مكتبة متصلة ديناميكيا

  • BE7E259D5992180 الدفاع 3F4F3AB1A5DECC6A394D60C7170550B3D222 FC5F19

Author

Predict Cyber threats against your organization

Related Posts

DogRat: حملة Android للبرامج الضارة التي تستهدف المستخدمين عبر صناعات متعددة

اكتشف فريق TRIAD التابع لـ CloudSek برنامجًا ضارًا آخر مفتوح المصدر يعمل بنظام Android يسمى DogRat (Remote Access Trojan)، يستهدف قاعدة عملاء كبيرة عبر صناعات متعددة، وخاصة الخدمات المصرفية والترفيهية. على الرغم من أن غالبية هذه الحملة استهدفت المستخدمين في الهند، إلا أنها تهدف إلى أن يكون لها نطاق عالمي.

Blog Image
December 29, 2023

اختراق حسابات Google: البرامج الضارة التي تستغل وظيفة OAuth2 غير الموثقة لاختطاف الجلسة

مدونة مفصلة حول تحليل الاتجاه العالمي للبرامج الضارة: استغلال وظيفة OAuth2 غير الموثقة لإعادة إنشاء ملفات تعريف الارتباط الخاصة بخدمة Google بغض النظر عن عنوان IP أو إعادة تعيين كلمة المرور.

اختراق البنية التحتية للبرامج الضارة الخاصة بـ Bandit Stealer

اكتشف باحثو التهديدات في CloudSek لوحة ويب جديدة للبرامج الضارة Bandit Stealer في 06 يوليو 2023، مع 14 حالة نشطة على الأقل.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

ذكاء البرامج الضارة
Table of Content

يعمل برنامج ضار جديد، أطلق عليه فريق Elastic Security الذي حدده فريق Elastic Security الذي حدده، على الاستفادة من شهادات توقيع التعليمات البرمجية الصالحة في أنظمة Windows، لتجنب اكتشافها بواسطة برامج مكافحة الفيروسات. تمت تسمية البرنامج الضار باسم إحدى حمولاته، Blister، التي تنشر أيضًا حمولات المرحلة الثانية.

كانت الجهات الفاعلة في مجال التهديد التي تنظم حملات Blister نشطة منذ 15 سبتمبر 2021، وتستخدم شهادات توقيع الرموز التي تم التحقق من صحتها في 23 أغسطس 2021. تم إصدار هذه الشهادات من قبل Sectigo إلى عنوان البريد الإلكتروني mail.ru الخاص بـ Blist LLC. من الجدير بالذكر أن mail.ru هو مزود خدمة بريد إلكتروني روسي يستخدم على نطاق واسع.

تخفي البرامج الضارة المكونات الضارة كملفات أصلية قابلة للتنفيذ، مما يؤدي إلى انخفاض معدل اكتشافها. بصرف النظر عن استخدام شهادات توقيع الرموز، تستفيد الجهات الفاعلة في مجال التهديد أيضًا من تقنيات أخرى، مثل ربط Blister بمكتبة شرعية على النظام المصاب، للبقاء بعيدًا عن الأنظار.

طريقة عمل حملة بليستر

من المعروف أن الجهات الفاعلة في مجال التهديد تستخدم توقيع التعليمات البرمجية للتحايل على عمليات التحقق الأمنية الثابتة الأساسية لاختراق أنظمة الضحايا. لا يختلف برنامج Blister الضار من حيث أنه يستخدم شهادة صادرة عن Sectigo لجعل برنامج Loader الضار يبدو أصليًا لمنتجات الأمان. ثم تقوم بعد ذلك بنشر حصان طروادة للوصول البعيد (RAT) على النظام المستهدف للحصول على وصول غير مصرح به.

أ .dll يتم استخدام الملف كحمولة المرحلة الثانية لتنفيذ منارة RAT/CobaltStrike المشفرة. منذ .dll لا يحتوي الملف على أي آثار ضارة، فقد تم اكتشاف عدد قليل جدًا من عمليات الكشف على VirusTotal. ومع ذلك، يستخدم اللودر Rundll32.exe لتنفيذ قم بتشغيل ColorCPL تم تصدير الوظيفة بواسطة البرامج الضارة .dll ملف.

نظرة عامة على حملة Blister للبرامج الضارة

الاستفادة من شهادات توقيع التعليمات البرمجية لتجنب الاكتشاف

  • تحتوي الصورة أدناه على تفاصيل الشهادة لكيان يسمى «Blist LLC». من الشائع أن يقوم مجرمو الإنترنت إما بسرقة شهادات توقيع التعليمات البرمجية من الأهداف المخترقة، أو استخدام شركة واجهة للحصول على الشهادة، لتوقيع البرامج الضارة معها.
شهادة صادرة لشركة Blist LLC

  • قامت Sectigo منذ ذلك الحين بإلغاء الشهادة الصادرة للثنائي.
شهادة صادرة عن القسم

المرحلة الأولى من العدوى

نظرة عامة على اللودر

  • يكتب المُحمل رسالة ضارة .dll ملف في دليل تم إنشاؤه داخل مجلد Temp الخاص بالمستخدم.
  • في إحدى العينات التي تم تحليلها، أنشأت البرامج الضارة مجلدًا باسم «goalgames» وداخله تم تفريغ أداة التحميل holorui.dll.
  • ال .dll يحتوي على رمز نشر RAT للحصول على وصول غير مصرح به إلى النظام المصاب.
يقوم المُحمل بكتابة ملف.dll في مجلد Temp الخاص بالمستخدم

عمل اللودر خطوة بخطوة

  • يتم استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد يسمى «goalgames» في المسار: C:\Users\<user>\ AppData\ دليل محلي\ مؤقت. كما هو موضح أدناه.
استخدام واجهة برمجة تطبيقات Win32 CreateDirectoryW لإنشاء مجلد في مجلد Temp الخاص بالمستخدم

  • قبل تفريغ ملف dll، يقوم المُحمل بتعيين دليل العمل إلى C:\Users\<user>\ بيانات التطبيق\ المحلية\ المؤقتة\ ألعاب الهدف عبر واجهة برمجة تطبيقات Win32 تعيين الدليل الحالي W.
باستخدام واجهة برمجة تطبيقات Win32 setCurrentDirectoryW لتعيين دليل العمل

  • بعد إعداد دليل العمل، تقوم البرامج الضارة بحل اسم الملف لـ .dll ملف إلى holorui.dll ويخزنها في سجل RCX، لتمريرها لاحقًا إلى Win32 API إنشاء ملف جديد.
تقوم البرامج الضارة بحل اسم الملف الخاص بملف.dll إلى holorui.dll

  • الملف C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll تم إنشاؤه باستخدام إنشاء ملف جديد API.
holorui.dll تم إنشاؤها باستخدام إنشاء ملف جديد API

  • بمجرد إنشاء الملف، تبدأ البرامج الضارة في كتابة المحتوى إلى الملف عن طريق نقل وحدات البايت بشكل متكرر من .dll الحمولة في اللودر. واجهة برمجة تطبيقات Win32 اكتب ملف يستخدم لكتابة المحتويات إلى holorui.dll.
ملف كتابة واجهة برمجة تطبيقات Win32 يستخدم لكتابة المحتويات إلى holorui.dll

  • الخبيثة .dll مضمن في مقطع البيانات الذي تمت تهيئته من ملف PE القابل للتنفيذ الخاص بالمحمل ويتم نقل وحدات البايت إليه C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ ألعاب الهدف\ holorui.dll.
رأس MZ للملف المضمن

  • عند إغلاق المقبض إلى holorui.dll الملف، المكتوب على القرص في دليل Temp، تنتهي البرامج الضارة من تسليم حمولة المرحلة الثانية. ثم يتم إغلاق مقابض الملفات بواسطة البرامج الضارة.
تم إغلاق مقابض الملفات بواسطة البرامج الضارة

  • يمكن تأكيد التسليم الناجح لـ .dll الضار من خلال تحليل تفاعل البرامج الضارة على النظام.
تسليم ناجح لملف.dll الضار

  • استنادًا إلى تحليل عينات اللودر المتعددة الموقعة، قمنا بتعداد أسماء الدليل والحمولة المميزة التالية المستخدمة في عينات مختلفة من نفس الحملة:
    • C:\Users\<user>\ بيانات التطبيق\ محلي\ مؤقت\ ألعاب الهدف\ holorui.dll
    • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ الإطار\ axsssig.dll
    • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ البرامج\ holorui.dll
    • C:\Users\<user>\ بيانات التطبيق\ المحلي\ درجة الحرارة\ إطارات girts\ Pasade.dll

ملاحظة: المحتوى الموجود داخل .dll هو نفسه على الرغم من وجود أسماء مختلفة

المرحلة الثانية من العدوى

  • في المرحلة الثانية من الإصابة، يقوم المحمل بإنشاء سطر أوامر لتنفيذ الوظيفة تم تصدير لون التشغيل (CPL) من .dll، بواسطة Rundll32.exe على النظام المصاب.
سطر الأوامر لتنفيذ وظيفة LaunchColorCpl

  • يتم إنشاء عملية جديدة باستخدام سطر الأوامر أعلاه لإنتاج الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32.
وضع البيض الجولة 32 معالجة عبر إنشاء عملية W واجهة برمجة تطبيقات Win32

  • المولوّد حديثًا Rundll32.exe يتم إدراج العملية في قائمة العمليات على الجهاز المصاب.
عملية Rundll32.exe التي تم إنتاجها حديثًا

تأكيد سطر الأوامر للعملية التي تم إنشاؤها حديثًا

  • يتم تنفيذ الحمولة النهائية من قبل Rundll32.exe معالجة.
أنشطة الشبكة بين المضيف المصاب والمهاجم C2

في الجزء 2 من هذه المقالة، سنغطي العمل الداخلي لحمولة dll بالتفصيل.

مؤشرات التسوية (IOCs)

فايلهاش - MD5

e6404260b4e42b7a75bb0a96627 ed3a304921a919ab5228687a4932 b66 fab9d8827d0d7d72adc0adx0adc05719e407216 d141b331 c1f232bed68 ac108519 ca2d 35f755 f50457416 aeb7fe7 رسوم 95a67 abfear 9 fe1896 e6b20128e85a9851b94753eabbdf6f76505a91c91c29238 f0ed70b369417a91b8 f4a339a983e831e831e831e831e831e83a83a8a8a8a8a8a7a86cc600f5a97e3b53f7338 b9c560 c6970a877a7a359 f37811d73efcd 76417 a185e48d71e22d230c547

ملف هاش- SHA1

f8fa1ba 14df6f8ab2b307 ee0ce04054e9d538 c077 ديسيبل 11 سم مكعب 7 درجة مئوية 02 درجة فهرنهايت 2 درجة مئوية مقاس 71 سم 380 درجة فهرنهايت مقاس 82 بوصة 39 درجة فهرنهايت 9 بوصة مقاس 8 بوصةf534e15 بي بي سي 104 كافاب80f954ba30f12de870f4872134 bbf433c51d475412 d16ff7ab4ce2b08110d58e06727 c551756 cbee1fc6539929553 a09878b4800d1f8e6ec489c6c8a1d3a1f99b8339cf0980c039362e891b01040c20e75e169c51291abd21799 د 1 د 30344428697 f3a 186733 ب 283 a993ac 16bb69d5da 32164813 be5 af29d31 edc951a8f1f088871e52778597185 f98eb0a57127024bcd094cf07a492 b5e329 b55d4a0f66217 e5352 ab56 فاباكاد1

ملف حاش-شا256

fe7357d48906 b68f094a81d19cc0ff93f56cc40454 ac5f00e2e2e2d9c8ccdb388f885e9e1293552 cb45a89e740426 f9c313225 ff77 الإعلان 1980 dfea83 b6c4a91 cf5104 d0e2f178711b1e23 ديسيبل 3c16846 de7d1a3ac04dbe09 bacb847775 db8 ed6910 fd51d6373065a2f1 d3580 ad645f443bf0 bdc398a77185324b0284db8 ed241 c92f9c969a160 da2c4c0b006581 f54f9615646 d467d47 24 f55 26 ج 7 د ف 814 ج 5 ف 897 أ ف 65972041024 إب 74c7915 df0e18 ج 6364 ج 5 ف ب 9 ب 2943426 إد 1 إعلان 54 د ف ف د 9 ف ف د 4 د ج 4 د 5 د 4 د 5 د 6 د 6 د 63 أ 1524616 ب 73 ج 2102786 ب 710 ج 19 ج 697 ج 8 د 4 كا 5 د 0د 934 د 5 د د 63 أ 1524616 ج 13 ب 51ce274539a8 إعلانات 9b072e7f1a14b8b927a6cc31c39025 f5c3a410ed4108a56b7c6e90b5819167a06800d02 ef1f028cb949 ebe87c55c0ba6c0525161e2e6670c1ae186ab83ce46047446e9753a926c9d9d9d2f3cfcc06b33e101c137533 cd7fb6b38fe71 قدم489d1dbcffe455c5ec1bcf845cc0f3b27ae4f7a86a38244225 cca35a0960eb6a685 ed350e99a36c32b61 bee321be3210360c5d5d387b9f0c232c9f9f0c232cf93x93 b46a19e53930 a1606 bda28a5b3a50930e 7a144637 faf88 a98f2990a27532 bfd20a93 dc160b 2db4fb1758 afb77617 a4c637614c429440 c787840 c78781d1 ca24 d78483a731 d80832 c2af555d61bcfcf 0c13d4bc8e7ab97ddc6591 f8c6b892290898 d28ebce1c5d 28ebce1c5d486e836026e184 f7d3f30e4308e2f0c381c070af1x5118 a484a987827 c1a34821b50ae0d85c382c432d44d1e5ef0f2f2f7aed6abf3e21f9949 bcc1862e3e5a6c89524f2d2d76144 d121 d0e95b1b8 ba5d0ffcaa23025318a6096 bf7bdf 5f405d3b4c9a71 bcd 1060395 f28f2466 fdb91 cafc 6e261 a31 d41b 37a9472 d4 cb393256a62a466 f6601014e5 cb04a71 f115499 c320 dc615245 c7594 d49232f90749 da76b99e1c7870 ae3402 aba 875 قدم مربع 64 قدم 79 سنتيمتر مكعب بيبا 2f9288841298ee22 cf 159345852 be585 bc5a8 e9 af476b00c91cdd669e2a52a5a5dbbb 5 صور 74 ديسيبل 98 أمبير 414 أ 40 419 ه 32282 د 33 أفت 3273 ف 73 أ 596 أ 7 أ 8738 ه 9 سى دى كا 6 أى 7 دى 7 دى 7 دبى 0دى 41 سى 1 أ 7658863228 إيفا 55 ب 54 أ 8 د 03 أ 87 ب 602 أ 2 أ 4 أ 4 م 6 أ 4 م 6 أ 4 م 6 أ 4 م 6 أ 4 م 6 أ 6 أ 4 م 6 أ 6 أ 7 دى 7 دى 5 دى 5 ب 54 أ 8 د 03 أ 87 ب 602أ 2 أى 418856e0028 أى 409357454a6303b12822484 a67f191a93e827 c4829498d2cb1 d27 bdd 9e47e136 dc6652 a5414d440b7481 edf3a3b295 b0189e54f79387e7e7e7e7 df61250 cc8e4f1e8f1e8 f42102 df 8f1f7cd03 b30cfeea07b5ea4c8976e6456cb65e09f6b8e7dcc68884379925681b1c47b9091c41525 f1721b12e12e993e990 ce1718 eecf81dcfb25cc5a8f6c6f9b19e1e1f1f8e1b دي سي 99386 f0 ceee 8593 دي اف دي 461 ac047 eae812df8733696 f6274 af4b9e8 ديسيبل 4727269 د 43 سي 83c 350694 bd1 ef4 bd5cc dc0806b1f014568 a56 ca9e3f7870561 ed3c6387 داف495404 ed3827 f212472501 d2541 5 ccf8b 9415651e8e6f9c63c4 c1162efadfc4 cdd9ad634c5e00a5a5ab03259 fcaaa58a6bfec58a6bfec5a6ba0b 724961148199 ديسيبل 32 قدم مكعب 42 سم 01 ب 12 تيار متردد 31 قدم 6a60994 قدم 551 قبل الميلاد 5e07879 ec84a7f1 CEA 1036c03151403542 كابينة 6b8541f841 f8 e54405770751679 f178f90 قدم 7bd57e867 عمق 8e906708 c52184 bf4 27 قدم 323 سم 7480998 متر مربع 344 قدم 74 عرض 956 قدم 7 د 3 ج 1 ج 989 أ ف 43 ج 6 د 3 د 3 د 3 ج 3 د 3 ف 039 د 0 ج 010 د 039 2 د 049 ف ب 37 د ب 35 د ب 42 ب 1 د ب 9 د ب 8 د ج 3 د 3 ب 0391380 قدم 9 د ب 640 2 د 049 ف 7658أ 8 سنتيمتر مكعب 930 قدم مكعب 7010b32ed1c9a5cc0f8109b511 ca2a77a2104301369294 c710f4074b37 ade714c83b6b7b7b7b7b722a46aef61 c02b6543 de5d 59 edc97b6025a0d639 c4c839 c4d 70839 cd1 ef9395570 cc86 d54d47257d5696401717 f66 be3 c1216 cb4 f2caeaaf 59 f297 f72 f7 f271b084637 e5087 d59411 ac77 ddd3b87e7a7a10 a07413115 c254 cb7a5 c4f63ff525e 64adfe8 b60acef946 bb7656b76b7a2b17e84d547e97a030d2b02ac2ea9763 fb4f96f6c54659533 a23e17268aab00b 2f75822 د007bd464bc3934b892 b37 سي 6 إيو 0810 أ 7778 قدم 6 قدم 9 أ 1 بد894e89 قدم 82 قدم 2 عرض 40 قدم 9 عمق 6 سم 9 سم 4 ب 72 be97328 e681 قدم 32 أ 1 ب 1 أ 00

النطاقات

  • ظلال الخصومات direct.com
  • دومين كليبرشيبintl.com
  • النطاق bimelectrical.com

بروتوكول IPv4

  • 93.115.18.248
  • 188.68.221.203
  • 185.170213.186

رافعات موقعة

  • ed6910 fd51d6373065a2f1 d3580 ad645f443 bf0 bdc398a77185324b0284db8
  • cb949ebe87c55c0ba6cf0525161e2e6670c1ae186ab83ce46047446 e9753a926
  • 7b9091c41525 f1721b12def601117737 e990-ce178 eecf81dcfb25ccb5a8f
  • 84 أ 67 إف 191 أ 93 إي إي 827 سي 4829498 دي 2 سي 1 دي 27 دي 9 دي 47 دي 136 دي سي 6652 أ 5414 داب 440 بي 74
  • cc31c124fc39025f5c3a410ed4108a56b7c6e90b5819167a06800d02ef1f028
  • 9472d4cb393256 a62a466 f6601014e5cb04a71 f115499 cb320 dc615245 c7594d4
  • 4 قدم 551 قبل الميلاد 5e07879 ec84a7f1 CEA 1036cfd0a3b03151403542 كابينة 6bd8541f841 f8e5
  • 1a10a07413115c254c7a5c4f63ff525e64adf8b60acef946b7656b7a2b3d
  • 9bcc1862e3e5a6c89524 f2d76144 d121 d0ee95b1b8b5dffcaa23025318a60
  • 8a414a40419e32282 d33 af3273 ff73a596a7ac8738e9 cdca6e6e6e6e6e6e6e7db0e41c1a7658
  • 923b2f90749 da76b997e1c7870ae3402 aba875fdbdd64f79cbba2f928884129
  • إد 241 ج 92 ج 9 ج 969 أ 160 دا 2 ج 4 ج 0ب 006581 فا 54 ف 9615646 د 46467 د 24 قدم 5526ج 7 أ
  • 294 × 710 × 4 × 4 × 4 × 37 × 14 × 83 × 6 × 7 × 7 × 7 × 72 × 46 أ ف 61 × 02 ب 65 43 دي 5 د 59 د ج 97 ب 60

مكتبة متصلة ديناميكيا

  • BE7E259D5992180 الدفاع 3F4F3AB1A5DECC6A394D60C7170550B3D222 FC5F19

Related Blogs