Grinju-downloader

De Grinju Downloader is, zoals de naam al doet vermoeden, een type malware voor downloader. Dit betekent dat zijn rol in de aanvalsketen is om op te treden als een eerste-trap dropper die verantwoordelijk is voor het leveren van de daadwerkelijke lading nadat de beoogde computer al is gecompromitteerd. Deze specifieke druppelaar vertoont enkele unieke kenmerken als het gaat om maatregelen tegen analyse en detectie.

In wezen is de Grinju Downloader een macrogebaseerde malware die wordt geleverd via vergiftigde Excel-bestanden. In tegenstelling tot andere soortgelijke bedreigingen is er echter geen VBA-code die kan worden geanalyseerd, aangezien alle code zich in de spreadsheet zelf bevindt, verspreid over duizenden rijen en talrijke cellen. Om deze methode te laten werken, maakten de hackers gebruik van een oude Excel-functionaliteit: het creëren van een 'macro'-blad waar macrofuncties rechtstreeks aan de cellen konden worden toegevoegd. Inderdaad, wanneer de gebruiker dat beschadigde bestand opent, zullen er twee bladen in aanwezig zijn. De eerste, die aan de gebruiker wordt gepresenteerd, heet ' Sheet1 ' en bevat verschillende gegevens die door de macrofuncties zullen worden gebruikt om de bedreigende agenda van de dreiging uit te voeren. Het tweede blad is het 'macro'-blad en het bevat alle macrofuncties die op volgorde moeten worden uitgevoerd. Het heet 'ij3Lv.'

Unieke stealth- en anti-analysetechnieken zijn aanwezig in de Grinju Downloader

Als u het tweede blad opent, wordt in eerste instantie een leeg celscherm weergegeven, zelfs als het volledig is uitgezoomd. Om te zien waar de functies beginnen, zullen gebruikers naar beneden moeten scrollen naar R3887C240 - rij 3887, kolom 40. Van de verschillende functies wordt een aanzienlijk deel besteed aan het belemmeren van de analysepogingen van infosec-onderzoekers. De Grinju Downloader is in staat om te controleren of er een muis aanwezig is, om te bepalen of de breedte en hoogte van het werkvenster bepaalde formaten overschrijden, of het systeem in staat is om geluiden af te spelen, en om te controleren of de macro in een enkele stap wordt uitgevoerd. Al deze indicatoren kunnen mogelijke tekenen zijn dat Grinju wordt uitgevoerd in een sandbox-omgeving.

Op een specifiek punt tijdens de werking gaat Grinju een lus in die is gebaseerd op een 'If'-instructie. Tijdens elke cyclus worden de waarden met één verhoogd, en als de conditie terugkeert als 'Waar', gaat Grinju verder met het vormen van de volgende groep instructies.

Een bijzonder sinistere techniek die door Grinju Downloader wordt uitgevoerd, is de dreiging die de waarschuwing 'Inhoud inschakelen' uitschakelt. De eerste stap om dit te bereiken is het maken van een tekstbestand met een enkel teken erin - '1', dat in de map Temp wordt neergezet. De betekenis van deze waarde wordt duidelijk bij het observeren van de volgende functie. Het opent het register, navigeert naar de component Excel Security Warnings en schrijft daarin de waarde die uit het tekstbestand is gehaald. Dit betekent dat alle macro's vanaf nu automatisch worden uitgevoerd, zonder dat er waarschuwingssignalen aan de gebruiker worden getoond.

De Grinju Downloader controleert de omgeving waarin het wordt uitgevoerd, en als het iets anders dan Windows detecteert, wordt de uitvoering ervan eenvoudig beëindigd. Het bepaalt ook of het Windows-systeem een 32-bits architectuur of een 64-bits architectuur heeft, wat resulteert in het ophalen van verschillende codes uit het macro Excel-blad. De laatste stap in het programmeren van malware is het plaatsen van een scrip in het ' Local \ Temp \ Nvf.vbs' -pad dat verantwoordelijk is voor het downloaden en uitvoeren van de tweede-fase malware-payload, die wordt afgeleverd als een bestand met de naam' ZsQrgSU.html . '

De hackers achter de Grinju Downloader laten zien dat zelfs ietwat oude technieken verrassend efficiënte resultaten kunnen opleveren.

Trending

Meest bekeken

Bezig met laden...