Всем привет. В преддверии старта курса «Реверс-инжиниринг 2.0» подготовили еще один интересный перевод.
Sality терроризирует пользователей компьютеров с 2003 года, когда персональные цифровые помощники (PDA или КПК) делали заголовки технических изданий, а офисные ПК работали под управлением Windows XP. За прошедшие годы пользователи успели обменять свои КПК на смартфоны, а настольные компьютеры перешли на новые операционные системы и цифровые решения для рабочих мест. Sality, однако, пережил бешеный темп технологических инноваций и продолжает угрожать организациям по сей день.
Вирус Sality заражает локальные исполняемые файлы, сменные носители и удаленно используемые диски. Он создает одноранговый(P2P) ботнет, который облегчает загрузку и выполнение других вредоносных программ. Sality может выполнять внедрение вредоносного кода и изменять свою точку входа для принудительного выполнения кода. Это вредоносное ПО остается жизнеспособным, перенимая успешные стратегии других угроз, включая такие методы, как руткит/бэкдор, кейлоггинг и червеподобное распространение.
Наш анализ начинается со скриншота файла службы Защитника Windows, зараженного вредоносным кодом. Обратите внимание на вредоносный код, внедренный в последний раздел этого файла (рисунок 1):
Рисунок 1: В последней строке показан исполняемый файл чтения/записи
Sality создает три копии себя. Первая копия сохраняется в папке
Рисунок 2: Первая копия Sality сохраняется в папке
Рисунок 3: В процесс проводника внедряется вредоносный процесс (
Вторая копия этой вредоносной программы сохраняется в папке
Рисунок 4. Вторая копия Sality с именем
Третья копия Sality сохраняется в виртуальной памяти удаленного процесса в папке
Рисунок 5: Третья копия Sality, сохраненная с именем
Для обеспечения устойчивости Sality изменяет системный реестр (рисунок 6):
Рисунок 6: Sality записывается в системный реестр.
Затем вирус пытается установить P2P подключение для загрузки дополнительных вредоносных программ (Рисунок 7):
Рисунок 7: Sality обращается к подозрительным IP для получения большего количества вредоносного ПО
Когда жертва перезагружает компьютер, все три копии вредоносного ПО внедряются в
Рисунок 8: Все три копии Sality внедряются в процесс проводника.
Sality дебютировал в том же году, когда Apple открыла магазин iTunes, а кинотеатры собрали кассу на «Возвращении короля». Он остается угрозой и сегодня. Только одна долговечность вируса Sality является свидетельством его эффективности, модернизируемости и адаптируемости. Любое вредоносное ПО, все еще жизнеспособное через полтора десятилетия после его первоначального обнаружения, не должно быть вне поля зрения пользователей и специалистов по безопасности.
По сравнению с Nemucod, Sality является более полнофункциональным и зрелым примером вредоносного ПО. Он имеет длинную историю изменений, которые указывают на разнообразный набор вариантов использования с возможностью развертывания Sality в зависимости от целей и сложности атаки. Сопоставляя возможности Sality с категориями тактики MITER ATT & CK, эта вредоносная программа способна играть роль на каждом внутреннем этапе цепочки атак после выполнения, а это означает, что Sality требуется метод доставки в среду, прежде чем он сможет приступить к работе.
При необходимости Sality может выступать в качестве основного операционного агента, предоставляя злоумышленнику основной набор функций для выполнения различных действий над целью, ориентированных на сохранение и расширение доступа. Он также имеет возможность модульной загрузки дополнительных функций по мере необходимости злоумышленника. Гибкость, предлагаемая этим базовым набором функций, делает Sality подходящим для широкого спектра наступательных кампаний.
Гибкость, предоставляемая в таких распространенных вредоносных программах, как Sality, предлагает более искусным злоумышленникам возможность скрыть активность и намерения целенаправленной атаки под видом широкой, неизбирательной кампании. Атакующий может использовать возможности Sality в первой волне целевой атаки, устанавливая точку опоры в окружающей среде. Благодаря такому доступу злоумышленник может открыть более изощренное или губительное вредоносное ПО после того, как он оценит операционный риск на основе защитной позиции цели.
Пользователи CylancePROTECT будут рады узнать, что мы обнаруживаем и предотвращаем Sality до его запуска. Предотвращая запуск Sality, мы защищаем наших клиентов от этой мастистой вредоносной программы и множества других угроз, которые она стремится развернуть. Sality может и является долгожителем, но он не выживет на машинах, защищенных CylancePROTECT.
Получить скидку на курс.
Sality терроризирует пользователей компьютеров с 2003 года, когда персональные цифровые помощники (PDA или КПК) делали заголовки технических изданий, а офисные ПК работали под управлением Windows XP. За прошедшие годы пользователи успели обменять свои КПК на смартфоны, а настольные компьютеры перешли на новые операционные системы и цифровые решения для рабочих мест. Sality, однако, пережил бешеный темп технологических инноваций и продолжает угрожать организациям по сей день.
Вирус Sality заражает локальные исполняемые файлы, сменные носители и удаленно используемые диски. Он создает одноранговый(P2P) ботнет, который облегчает загрузку и выполнение других вредоносных программ. Sality может выполнять внедрение вредоносного кода и изменять свою точку входа для принудительного выполнения кода. Это вредоносное ПО остается жизнеспособным, перенимая успешные стратегии других угроз, включая такие методы, как руткит/бэкдор, кейлоггинг и червеподобное распространение.
Анализ цепочки атаки
Анализ Sality
Наш анализ начинается со скриншота файла службы Защитника Windows, зараженного вредоносным кодом. Обратите внимание на вредоносный код, внедренный в последний раздел этого файла (рисунок 1):
Рисунок 1: В последней строке показан исполняемый файл чтения/записи
Sality создает три копии себя. Первая копия сохраняется в папке
%AppData%\local\temp\ (рисунок 2) и внедряется в процесс проводника (рисунок 3):Рисунок 2: Первая копия Sality сохраняется в папке
%temp% с именем xelag.exeРисунок 3: В процесс проводника внедряется вредоносный процесс (
xelag.exe)Вторая копия этой вредоносной программы сохраняется в папке
%AppData%\local\temp\%random_folder_name%\ с именем WinDefender.exe (рисунок 4):Рисунок 4. Вторая копия Sality с именем
WinDefender.exeТретья копия Sality сохраняется в виртуальной памяти удаленного процесса в папке
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\Download_Manager.exe (Рисунок 5):Рисунок 5: Третья копия Sality, сохраненная с именем
Download_Manager.exe.Для обеспечения устойчивости Sality изменяет системный реестр (рисунок 6):
Рисунок 6: Sality записывается в системный реестр.
Затем вирус пытается установить P2P подключение для загрузки дополнительных вредоносных программ (Рисунок 7):
Рисунок 7: Sality обращается к подозрительным IP для получения большего количества вредоносного ПО
Когда жертва перезагружает компьютер, все три копии вредоносного ПО внедряются в
explorer.exe (рисунок 8):Рисунок 8: Все три копии Sality внедряются в процесс проводника.
Почему Sality важен и почему я должен быть обеспокоен?
Sality дебютировал в том же году, когда Apple открыла магазин iTunes, а кинотеатры собрали кассу на «Возвращении короля». Он остается угрозой и сегодня. Только одна долговечность вируса Sality является свидетельством его эффективности, модернизируемости и адаптируемости. Любое вредоносное ПО, все еще жизнеспособное через полтора десятилетия после его первоначального обнаружения, не должно быть вне поля зрения пользователей и специалистов по безопасности.
По сравнению с Nemucod, Sality является более полнофункциональным и зрелым примером вредоносного ПО. Он имеет длинную историю изменений, которые указывают на разнообразный набор вариантов использования с возможностью развертывания Sality в зависимости от целей и сложности атаки. Сопоставляя возможности Sality с категориями тактики MITER ATT & CK, эта вредоносная программа способна играть роль на каждом внутреннем этапе цепочки атак после выполнения, а это означает, что Sality требуется метод доставки в среду, прежде чем он сможет приступить к работе.
При необходимости Sality может выступать в качестве основного операционного агента, предоставляя злоумышленнику основной набор функций для выполнения различных действий над целью, ориентированных на сохранение и расширение доступа. Он также имеет возможность модульной загрузки дополнительных функций по мере необходимости злоумышленника. Гибкость, предлагаемая этим базовым набором функций, делает Sality подходящим для широкого спектра наступательных кампаний.
Гибкость, предоставляемая в таких распространенных вредоносных программах, как Sality, предлагает более искусным злоумышленникам возможность скрыть активность и намерения целенаправленной атаки под видом широкой, неизбирательной кампании. Атакующий может использовать возможности Sality в первой волне целевой атаки, устанавливая точку опоры в окружающей среде. Благодаря такому доступу злоумышленник может открыть более изощренное или губительное вредоносное ПО после того, как он оценит операционный риск на основе защитной позиции цели.
Cylance останавливает Sality
Пользователи CylancePROTECT будут рады узнать, что мы обнаруживаем и предотвращаем Sality до его запуска. Предотвращая запуск Sality, мы защищаем наших клиентов от этой мастистой вредоносной программы и множества других угроз, которые она стремится развернуть. Sality может и является долгожителем, но он не выживет на машинах, защищенных CylancePROTECT.
Получить скидку на курс.