Простой и мультифункциональный — это ли не идеальный вирус? Анализ стиллера FormBook. Часть первая
Приветствую, ох и давно меня не было на Codeby. Много воды утекло, но, надеюсь, меня кто-то здесь ещё помнит. Для тех кто не забыл, оговорю, что старого формата уже не будет по ряду причин: я повзрослел, куда более углубился в тематику информационной безопасности и взрастил свои умения писать аналитический материал. Но кто сказал, что от этого будет менее интересно?
Сегодня на повестке дня небольшой статистический и динамический анализ популярного инфостиллера — FormBook. Объем данных здесь будет большой, поэтому скорее всего разделю эту статью на две части. Ссылочка на вторую будет в конце статьи. Старенький дисклеймер, выходи, как же давно я тебя не видел.
Дисклеймер
На самом деле я против зла и то, что я покажу вам далее, может быть, практически применено различного рода антагонистами. Сразу предупреждаю, что я, как автор этой писанины , снимаю с себя ответственность за то с каким умыслом будет использована эта информация дальше. Виноват только и только тот, кто применяет знания, но не тот, кто ими делится. Автор лишь преследует благие цели, используя способы и пути злоумышленников, раскрывает суть преступного механизма, открывая людям глаза, демонстрируя способы защиты, ведь лучший протект — это знания.
Formbook — что же мы о тебе знаем
Впервые этот вредонос появляется в сети, примерно, в конце 2016 года, когда контора
Ссылка скрыта от гостей
проводит исследование в попытке выявить новые фишинговые методы. Отчет у них вышел крайне скудным и никакой конкретной информации о FormBook он не давал, лишь о какой-то непонятной схеме с использованием презентаций PowerPoint. Написал я это не просто так, ведь спустя пару месяцев эта же контора заявляет, что вдруг обнаружила в этих презентациях неизвестный вредонос. Правда что-ли? Важно отметить, что презентация была лишь первичной полезной нагрузкой в этой цепочке, но об этом немного позже.Так что же такое ФормБук? В отчете он был описан следующим образом, перескажу своими словами:
FormBook — настоящая революция в области вредоносов, он до ужаса мултифункционален, чего он только не может так это высунуть руку из системного блока и ввалить хозяину по лицу. Как уже ранее говорилось, классифицируется ФормБук, как инфостиллер и кейлогер, но на практике в нём имеются части и от дроппера, и от RAT, и от самодельной ядерной боеголовки.
Никакой крутой предыстории у этого вредоноса нет, он как и множество других вирусов продается на теневых порталах по принципу “malware-as-service” за какие-то 160$. Единственное важное замечание, что он чуть ли не первый инфостилер, который начал продаваться таким образом.
Как правило, у 90% стиллеров и всей прочей братии, если они продаются всем желающим, то способы их распространения крайне дифференцированы. Логично, ведь занимаются этим самые разнообразные балбесы. От школьника Ивана из твоей параллели до взрослого нахимиченого и накаченного дядьки, стероиды за что-то ведь нужно покупать, правда?
Когда я писал статьи о вредоносах, распространяющихся конкретной группировкой, например LockBit, то вектор распространения был скучным и однообразным: будь то фишинг или использование какой-то уязвимости. Но в случае с Формбук я не знаю куда смотреть: фишинг, уязвимости, дропперы, другие стиллеры и даже autorun с флешки, целые пиратские порталы, которые предлагают тебе скачать Формбук через Торрент. Вакханалия, абсурд и вишенка на торте.
Поговорим о самых известных кампаниях с участием нашего испытуемого. Естественно, та самая презентация PowerPoint и уязвимость CVE-2017-8570, которую вроде и исправили, но в сети до сих пор уйма порталов предлагает вам скачать старые версии не имеющие фикса. И на них какие-то баснословные количества скачиваний — больше миллиона на некоторых порталах. Та и пользователи в те года не очень охотно устанавливали всякие там обновления. Какие обновления? Я танки играл и мне было плевать на окружающий мир.
Идентификатор CVE-2017-8570 относится к уязвимости, обнаруженной в программном обеспечении Microsoft Office в 2017 году. Эта уязвимость позволяет злоумышленникам запускать произвольный код на компьютере, если пользователь открывает специально подготовленный документ, содержащий вредоносный макрос.
На GitHub до сих пор лежит репозиторий, который позволит вам грамотно упаковать первичную полезную нагрузку в виде документа .pptx, алгоритм действий там порядком прост и у нас на форуме есть старенькая статья об этом.
И в это сложно поверить, но самым частым методом распространения ФормБук до 2021 года был как раз таки такой способ. На фоне эпидемии COVID-19, злоумышленники начали рассылать фишинговые письма, якобы от министерства здравоохранения страны, мол вот мы собрали для вас самые действенные рекомендации по тому, как не заболеть, не умереть и потерять все накопления с криптокошелька. Вложения к письму зачастую имели название MyHealth.pptx или HealthGOV.pptx, хотя были случаи, когда присылали просто исполняемый файл. Практически с текстом: “бабушка, открой эту презентацию, тебе не нужна пенсия, она нужна нам”.
Сейчас же он распространяется посредством уязвимостей нулевого дня или через сайты с пиратским контентом.
Краткий статистический анализ FormBook
Для сие манипуляций мы будем использовать следующий набор инструментов, уточню, что я не профессиональный реверс-инженер и все делаю методом проб и ошибок:
- DIE — Detect it Easy: многофункциональный инструмент, имеющий просто огромный арсенал. Позволит нам опередить тип компилятора вредоноса, язык, библиотеки и таблицы импорта/экспорта с последующим дизассемблированием.
- PE Bear — неплохой инструмент для просмотра и редактирования составляющих PE файла.
- Tiny Tracer — утилита для динамического отслеживания исполнения бинарных элементов. Так называемый трейсер.
- IDA PRO — инструмент для реверс-инжиниринга.
- Reko — декомпилятор, который в 90% случаев бесполезный.
- HollowHunter — утилита, которая распознает и сбрасывает множество потенциально вредоносных имплантов (замененные/имплантированные PE, шелл-коды, перехватчики, патчи в памяти).
Кстати тема Формбука сейчас действительно актуальна, ведь за последние 24 часа было загружено больше тысячи новых образцов FormBook, а их суммарное количество составляет около 800 тысяч.
Без лишней воды, берем образец и переходим в DIE для получения более конкретной информации об этом файлике. Отмечаю сразу крайне маленький исходный вес и попытку маскировки под svchost.exe.
Это у нас 32-битный исполняемый PE, написанный на языке .NET, грубо говоря C#. Дата компиляции ничем не изменена, скорее всего, всего-то три дня назад кстати. Обфусцирован ли код - неизвестно пока что, а в качестве компилятора был использован дефолтный VB.NET.
Эксперимента ради ещё выгрузил его на VirusTotal и процент обнаружения радует(49/62), но… Антивирус от Яндекс, почему ты этого не видишь?
Переходим в DNSpy и видим, что здесь нет ничего интересного, лишь банальные процедуры: проверка среды исполнения, детект дебаггера и прочий шлак.
О чем это говорит? Конечно же о том, что это не настоящее тело вредоноса, а лишь его первичная полезная нагрузка, отвечающая за его доставку. Говоря общепринятыми терминами — дроппер. Я не просто так отметил ранее его маленький вес, уж больно он маленький для такого мультифункционального вредоноса. Также в этой “штучке” присутствует уйма функций, типа обнаружения дебаггера, виртуальной среды исполнения и так далее.
Изучив более детально этот промежуточный вирус, мне удалось найти вот эту интересную строку, отвечающую за создание массива данных, точнее сразу двух:
Чтобы не ходить вокруг да около, пытаясь разыскать основное тело вируса на виртуальной машине или не морочиться с переносом массивов, воспользуемся утилитой Hollows Hunter, бесподобная штука, которая не раз упрощала мне жизнь. Просто запускаем её с параметром /shelc 4 и следом вредонос, так как происходит все действо в изолированной виртуальной среде, бояться мне нечего.
В итоге получаем вот этих двух красавцев со скрина, 1.exe и 2.dll, будем ли мы с ними что-то делать? Естественно.
Ссылка скрыта от гостей
Сперва воспользуемся утилитой PE Studio и рассмотрим вредоносные файлы более подробно: поразительно огромная таблица импорта, отличный процент обнаружения и всё то же имя svchost, написан также на C#. 2.dll же представляет собой исключительно дополнение к исполняемому файлу и не стоит особого внимания, о нем на время забываем.
Далее перенесем их в DIE для получения более подробной информации.
И вот здесь уже могут возникнуть трудности, но это не точно, так как первым делом я обращаю внимание на наличие обфускатора. Я уже имел дело с KoiVM в паре ещё с каким-то протектором и это было больно. С Obfuscator проблем возникнуть не должно, в целом существует целая уйма деобфускаторов для него, так что давайте сразу приступим к делу.
С деобфускацией не возникло абсолютно никаких проблем, для этого дела была использована простенькая оперсурсная утилита, ссылочку оставлю здесь, там все максимально просто и сводится к банальному перетаскиванию целевого файла в интерфейс и я не вижу смысла описывать его здесь, символы не резиновые.
Примерный алгоритм работы вредоноса после окончательной доставки:
- Закрепление себя в системе, уничтожение потенциально опасных процессов, определение среды выполнения.
- Сбор информации о системе жертвы и связь с C&C сервером.
- Непосредственно кража данных: кейлоггинг, данные автозаполнение и прочее.
Продолжение следует…
Краткие выводы к первой части
Чем отличается Формбук от других вредоносов? Та ничем, кроме как своей мултифункциональностью. Создатели этого вируса не используют какие-то продвинутые методы шифрования или революционные методы обхода антивирусов. Он прост и универсален, авторы явно не боятся экспериментировать с методами доставки, закрепления вредоноса и прочего. Чего только стоит батник с куском кода, который загрузит на твой ПК Формбук? Вторая часть выйдет буквально через несколько дней. Не теряйте. Ваш Deathday.
Последнее редактирование:
