Отчет по анализу RiseProStealer

На анализ в систему ATHENA пришел исполняемый файл с расширением .exe. Для начала была собрана его общая информация, представленная в таблице Таблица 1.

Исследование файла

Исследования файла происходило с помощью системы AVSOFT ATHENA. Посмотрим на статический и динамический анализ файла в системе ATHENA.

Исследование в системе ATHENA

1. Статическое исследование

Антивирусы Comodo и Clamav посчитали файл вредоносным.

Рисунок 1. Антивирусы

Также файл был помечен как Подозрительный моделью машинного обучения PE-32 Detection Torch.

Рисунок 2. Машинное обучение

Кроме того, отработал статический индикатор «Импорты: Вероятность внедрения кода», в файле были обнаружены функции, которые позволяют внедрить вредоносный код в процесс другого приложения.

Рисунок 3. Индикаторы

С вкладкой «Источники вердикта» стоит просто ознакомиться, она несет в себе информацию о том, какие методы и модули статического анализа выдали вердикт после проверки данного файла.

Рисунок 4. Источники вердикта

2. Динамическое исследование

При динамическом анализе в системе ATHENA сработал несколько индикаторов:

1) индикатор «Планирование заданий в планировщике задач Windows» - ПО планирует задания в планировщике задач Windows, что является нелегитимным действием;

2) индикатор «Запись в память системного процесса» - запись в память системного процесса используется вредоносным ПО для исполнения своего кода от имени системного процесса;

3) индикатор «Признаки заражения вирусным семейством XWorm» - действия, совершаемые во время работы ПО в файловой системе, очень похожи на действия, совершаемые при работе вирусного программного обеспечения XWorm.

Рисунок 5. Динамический анализ

В ходе динамического анализа среди системных программ были обнаружены schtasks.exe, Conhost.exe.

Рисунок 6. Процессы

Также, с процессами можно ознакомиться во вкладке «Карта исследования».

Рисунок 7. Карта исследования

Во вкладке «Дампы» видим, что были обнаружены вредоносные дампы процессов.

Рисунок 8. Дампы

При переходе в отчет по дампам можно увидеть, что дампы были заблокированы антивирусом Clamav, который обнаружил в них признаки эксплуатации уязвимости CVE-2017-0245 (Рисунок 9 и Рисунок 10).

Рисунок 9. Отчет статического исследования дампа PID3256_20-05-2025_09:09:12
Рисунок 10. Отчет по статическому исследованию дампа PID4280_20-05-2025_09:09:15

Во вкладке «Техники MITRE» видно, что отработало несколько техник.

Рисунок 11. Техники MITRE

Стоит отметить следующие:

- System Location Discovery.

Злоумышленники собирают информацию, пытаясь вычислить географическое положение хоста жертвы. Местоположение системы может быть определено с помощью различных системных проверок, таких как часовой пояс, раскладка клавиатуры и/или языковые настройки, а также с помощью служб поиска IP-адресов.

Исследуемый файл устанавливает соединение с легитимным сайтом (https://www.maxmind.com/en/locate-my-ip), получая оттуда информацию об IP- адрессе устройства и его местоположении.

Рисунок 12. Обращение к внешнему сервису

- Masquerading.

Злоумышленники манипулируют характеристиками своих артефактов, чтобы они казались законными или безопасными для пользователей и/или средств безопасности. Это может включать в себя манипулирование метаданными файлов и их типами, или переименование файлов, например в имена системных утилит или служб.

В данном случае файл создает исполняемые файлы в директории AppData\Local (Рисунок 13), это позволяет злоумышленнику использовать типичные для легитимных программ пути, чтобы не вызывать подозрений у пользователя или систем безопасности, так как эти каталоги часто используются обычными приложениями и редко проверяются вручную.

Рисунок 13. Создание исполняемых файлов

Для отправки данных, собранных на устройстве, устанавливается соединение C2-сервером.

Рисунок 14. Установка подключения к C2-серверу

- Scheduled Task/Job.

Злоумышленники могут использовать функции планирования задач для первоначального или повторного выполнения вредоносного кода в определенную дату и время. Задача также может быть запланирована в удаленной системе при условии соблюдения надлежащей проверки подлинности.

В данном случае файл использует schtasks.exe — системную утилиту Windows, предназначенная для управления запланированными задачами из командной строки.

Рисунок 15. Создание задач в планировщике Windows

Данные команды создают две задачи в планировщике Windows от имени пользователя "Ivan" с максимальными правами: первая задача запускает программу OfficeTrackerNMP131.exe при каждом входе пользователя в систему, а вторая — запускает ту же программу каждый час. Обе задачи принудительно перезаписывают существующие с теми же именами ("OfficeTrackerNMP131 LG" и "OfficeTrackerNMP131 HR") и используют полный путь к исполняемому файлу.

Во вкладке «Индикаторы компрометации» отображаются индикаторы компрометации вредоносного поведения файла по результатам его проверки в «песочнице».

Рисунок 16. Индикаторы компрометации

Во вкладке «Источники вердикта» можно ознакомиться с тем, какие источники посчитали файл вредоносным.

Рисунок 17. Источники вердикта

Заказать пилот

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
.grecaptcha-badge {display:none;}

ПРОЙТИ ОБУЧЕНИЕ

Внешнее меню