Дизассемблирование малварей

На рабочую почту начал массово сыпаться очень убедительный спам. Письма от реальных компаний, официально оформленные, на темы, имеющие отношение именно к нашей деятельности. На скриншоте - заказчик интересуется стоимостью авиаперевозки, и предлагает скачать по ссылке список груза.

Ссылка ведёт на гугл диск, по ссылке - .vbs скрипт.

Гугл предупреждает, что файл - исполняемый, но позволяет скачать.

Внутри скрипта - строка размером полтора! мегабайта! и команда, которая деобфусцирует (расшифровывает) её (на скриншоте видно URLDecode после Replace), сохраняет, как файл, и запускает сборщиком дот нет. Изменим этот скрипт, чтобы сроку расшифровать, записать в файл, но не запускать.

После расшифровки получаем исходник на Си Шарп, в котором тоже гигантские строки с абракадаброй. Код их расшифровывает, сохраняет как два файла, и регистрирует их в системе. Антивирус по-прежнему не реагирует. Продолжаем чистить "цибульку", изменяем скрипт, чтобы файлы сохранялись, но не запускались.

Получаем две ДЛЛ-ки, и тут впервые просыпается антивирус.

Он классифицирует эти файлы, как эксплойт (т.е. половинка вируса, которая внедряется в систему, получает доступ, скачивает из интернета активную вредоносную часть часть - payload, и запускает). Отключим антивирус и вскроем эти длл-ки с помощью dnSpy.

Находим часть, которая получает из интернета вредоносный код. Нам интересен адрес, откуда она его берёт. Адрес есть в программе, но он зашифрован. Так как механизмы шифрования доступны для анализа, расшифровать их для нас трудности не составит.

Ключ записан простым Base64, хост адрес и номер порта зашифрованы AES 256. Но нас надолго это не задержит. Качаем бесплатную Visual Studio Community, и пишем маленькую консольную программку;)

Вуаля! Вот хост адрес и порт, где лежит payload.

Хоть геолокация утверждает, что айпи ведёт в Венгрию, whois приподносит неожиданный сюрприз. Регистратор домена находится в Киеве. Даже если на этом оборудовании находится лишь VPN сервис, это ниточка, потянув за которую можно остановить атаки. Но это ужа задача другого отдела. Наша работа выполнена, идем пить кофе и писать пост в фейсбук. Всем хороших выходных!