Telegram / Boosty / Видео
Подпишись на канал t.me/kiberdruzhinnik, чтобы не пропускать контент.
Также на https://boosty.to/kiberdruzhinnik/posts/0cda5c7f-76e0-4b4d-9af5-b2251b875287 я опубликовал подробный видео разбор этой задачи. Это может быть полезно для обучения, если вы делаете первые шаги в информационной безопасности. Поддержать меня на Boosty.
Исследование
Распаковываем архив и обнаруживаем файл nsis-installer.exe с хеш-суммой SHA256 7a95214e7077d7324c0e8dc7d20f2a4e625bc0ac7e14b1446e37c47dff7eeb5b и размером в 78057262 байт.
Сразу пробьем файл на VirusTotal - https://www.virustotal.com/gui/file/7a95214e7077d7324c0e8dc7d20f2a4e625bc0ac7e14b1446e37c47dff7eeb5b/details.
Отсюда узнаем Imphash для ответа на вопрос 1: b34f154ec913d2d2c435cbd644e91687
Также из этой же страницы находим SpcSpOpusInfo (вопрос 2): Windows Update Assistant
Судя по иконке и названию, перед нами NSIS инсталлятор. Мы можем распаковать инсталлятор с помощью 7-Zip версии 15.05.
После распаковки откроем файл NSIS.nsi.
Сразу обнаружим ответ на вопрос про мьютекс и GUID (вопрос 3) - cfbc383d-9aa0-5771-9485-7b806e8442d5.
В каталоге $PLUGINSDIR есть файл app-32.7z, который мы можем распаковать.
Похоже на Electron приложение.
В каталоге resources обнаружим app.asar, который можем распаковать плагином для 7-Zip https://www.tc4shell.com/en/7zip/asar/.
Распакуем и увидим файлы.
Ответ на вопрос 4 в файле package.json.
Откроем app.js и увидим обфусцированный JavaScript.
С помощью VSCode запускаем в режиме дебага, дампаем скрипт и складываем его рядом. Для этого надо установить NodeJS, разрезолвить зависимости и поправить ошибки в sqlite3 и @primno/dpapi (переустановить их), а в папке node_modules старые удалить.
npm install @primno/dpapi sqlite3
C2 сервер малвари (вопрос 5 - только домен, вопрос 7 - полный URL):
Малварь получает IP-адрес с помощью вот такого ресурса (вопрос 6):
Ключ идентификатора user_id - duvet_user:
Малварь проверяет имена хостов, нас спрашивают про имя, начинающееся с arch (вопрос 9):
В вопросе 10 нас спрашивают, какое имя процесса повторяется дважды:
В вопросе 11 нас спрашивают про интересный путь, куда положится нагрузка (%USERPROFILE%\Documents\cmd.exe):
В вопросе 12 нас спрашивают, какой командой малварь ищет cookies от браузера Firefox:
В вопросе 13 нас спрашивают, какой модуль Discord был инфецирован (discord_desktop_core-1, index.js):
