Grinju Downloader

Grinju Downloader er, som navnet antyder, en malware-type af downloader. Dette betyder, at dens rolle i angrebskæden er at fungere som en første-trins dropper, der er ansvarlig for at levere den faktiske nyttelast, efter at den målrettede computer allerede er kompromitteret. Denne særlige dropper viser nogle unikke egenskaber, når det kommer til anti-analyse og anti-detekteringsforanstaltninger.

I sin kerne er Grinju Downloader en makrobaseret malware leveret gennem forgiftede Excel-filer. I modsætning til andre lignende trusler er der imidlertid ingen VBA-kode, der kan analyseres, da al koden er indeholdt i selve regnearket spredt over tusinder af rækker og mange celler. For at få denne metode til at fungere, udnyttede hackerne en gammel Excel-funktionalitet - oprettelsen af et 'makroark', hvor makrofunktioner kunne føjes til cellerne direkte. Når brugeren åbner den beskadigede fil, er der faktisk to ark til stede i den. Den første, der præsenteres for brugeren, kaldes ' Sheet1 ' og indeholder forskellige data, der skal bruges af makrofunktionerne til at udføre den truende dagsorden for truslen. Det andet ark er 'makro', og det indeholder alle de makrofunktioner, der skal køres i rækkefølge. Det hedder 'ij3Lv.'

Unikke stealth- og anti-analyseteknikker er til stede i Grinju Downloader

Åbning af det andet ark viser oprindeligt en tom celleskærm, selvom den er zoomet helt ud. For at finde ud af, hvor funktionerne begynder, bliver brugerne nødt til at rulle ned til R3887C240 - række 3887, kolonne 40. Blandt de forskellige funktioner er der afsat en betydelig mængde til at hæmme enhver infosec-forskers analyseforsøg. Grinju Downloader er i stand til at kontrollere, om en mus er til stede, bestemme, om arbejdsvinduets bredde og højde overstiger specifikke størrelser, om systemet er i stand til at afspille lyde, og kontrollere, om makroen køres i et enkelt trins tilstand. Alle disse indikatorer kunne være potentielle tegn på, at Grinju udføres i et sandkassemiljø.

På et bestemt tidspunkt under sin drift går Grinju ind i en loop, der er baseret på en 'Hvis' udsagn. Under hver cyklus øges værdierne med en, og hvis tilstanden vender tilbage som 'Sand', fortsætter Grinju til at danne den næste gruppe instruktioner.

En særlig uhyggelig teknik udført af Grinju Downloader er truslen, der deaktiverer advarslen 'Aktiver indhold'. Den første fase i opnåelsen af dette er oprettelsen af en tekstfil med et enkelt tegn i - '1', som er faldet i Temp-mappen. Betydningen af denne værdi bliver tydelig, når man observerer den næste funktion. Det åbner registreringsdatabasen, navigerer til Excel Security Advarsels-bikuben og skriver den værdi, der er taget fra tekstfilen, ind i dem. Dette betyder, at alle makroer fra nu af udføres automatisk uden nogen advarselsskilte, der vises for brugeren.

Grinju Downloader udfører en kontrol af det miljø, den kører i, og hvis den opdager andet end Windows, afslutter den simpelthen dens udførelse. Det bestemmer også, om Windows-systemet har en 32-bit arkitektur eller en 64-bit en, hvilket resulterer i, at forskellige koder hentes fra makro-excel-arket. Det sidste trin i malware-programmeringen er at droppe et scrip i stien ' Local \ Temp \ Nvf.vbs ', der er ansvarlig for download og udførelse af anden-trins malware-nyttelast, som leveres som en fil med navnet ' ZsQrgSU.html . ''

Hackerne bag Grinju Downloader demonstrerer, at selv noget gamle teknikker kunne give overraskende effektive resultater.