H1N1 læsser

H1N1-malware blev først opdaget i naturen som en simpel indlæser - det fik til opgave at levere andre mere komplekse malware-trusler til den allerede kompromitterede computer. Imidlertid gennemgik den en hurtig udvikling, hvor hackerne bagved udstyrede truslen med forskellige truende funktioner, såsom obfuskationsteknikker til at hæmme ethvert analyseforsøg, brugerkontokontrol-bypass-funktion, dataindsamling og selvformering i det infiltrerede netværk. Selvfølgelig blev læsserfunktionerne stadig holdt intakte.

H1N1 blev leveret til det målrettede system gennem MS Word-dokumenter, der bærer ødelagte VBA-makroer. For at skjule makroens sande formål, kraftig tilsløring, er brugen af strengfunktionerne StrReverse, Ucase, Lcase, Right, Mid og Left på plads. De forgiftede dokumenter bruger socialteknisk taktik til at overbevise brugeren om at udføre den ødelagte makro ved at vise en krypteret blok ledsaget af meddelelsen - 'Aktiver indhold for at justere dette dokument til din version af Microsoft Word.' Makroens slutmål er at droppe en H1N1 eksekverbar fil til% temp% og derefter køre den.

H1N1 bruger i sig selv to antidetektions- og analyseteknikker - streng-obfuscation og import obfuscation via import hashing. Strengtørring opnås ved brug af SUB, XOR og ADD med faste DWORD-værdier. Når hver operation er løst, bruges den som input til den næste.

For at omgå brugerkontokontrol (UAC) i Windows-systemer udnyttede H1N1 en sårbarhed med DLL-kapring. Det tvang Windows Update Standalone Installer (wusa.exe) til at køre en beskadiget DLL-fil som en høj integritetsproces uden at fremkalde et UAC-svar. Et andet værktøj, der var knyttet til H1N1, var en procesdrab-funktion. Truslen har en intern liste over processer, og hvis der registreres et match på det kompromitterede system, dræbes det via kommandoen ' cmd.exe / c net stop [Service Name] '. Processen forhindres også i at blive startet på enhver efterfølgende systemstart gennem ' cmd.exe / c sc config [Service Name] start = deaktiveret .' H1N1's liste bestod af 5 processer, hvoraf fire var:

• MpsSvc - Windows Firewall Service
• wscsvc - Windows Security Center Service
• WinDefend - Windows Defender Service
• wuauserv - Windows Update Service.

Et ret mærkeligt aspekt af H1N1 var dets evne til at slette systembackups. Denne funktionalitet bruges ofte af ransomware-trusler, men fremkaldes sjældent i andre malware-typer. I dette tilfælde slettes Shadow Volume Kopier af filerne gennem ' vssadmin.exe slet skygger / stille / alt ', mens standardindstillingerne for gendannelse af windows blev deaktiveret ved at udføre bcdedit-kommandoer.

Den mest drastiske adfærdskontakt var dog overgangen til H1N1 fra at være en loader-malware til primært at blive en potent dataeksfiltreringstrussel. H1N1-læsseren kunne udtrække logininformationsdata fra Firefox. Det søgte efter logindatafilen 'logins.json' inden for alle systemprofilerne og exfiltrerede de værdier, der matchede 'encryptedUsername', 'encryptedPassword' og 'hostname' nøglerne. For at få adgang til Internet Explorer-loginoplysninger opregnede truslen først URL-cachen, hashede URL'erne der og forsøgte at matche dem med de værdier, der er gemt i - HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Windows Messaging Subsystem \ Profiles \ Outlook og HKLM \ Software \ Microsoft \ Office \ 15.0 \ Outlook \ Profiler \ Outlook.

H1N1 Loader er et perfekt eksempel på, hvordan gennem iteration og konstant udvikling, selv ikke så sofistikerede trusler kan blive potente dele af cyberkriminelle 'værktøjssæt.