ذكاء البرامج الضارة

أمادي مجهزة بمانع الصوت والصورة تسقط ريدلاين ستيلر

اكتشف باحثونا أن Amadey botnet تستخدم الآن معطل Healer AV جديدًا لتعطيل Microsoft Defender وإصابة الأنظمة المستهدفة باستخدام Redline Stealer.

July 28, 2023

دقيقة

جدول المحتوى

مثال H2

الفئة: ذكاء البرامج الضارة

النوع/العائلة:

معطل/معالج AV
بوتنيت/أمادي
السارقة/الخط الأحمر

الصناعة: متعدد

المنطقة: عالمي

‍

ملخص تنفيذي

تهديد

يتم استخدام معطل Healer AV الجديد بواسطة Amadey botnet من أجل تعطيل Microsoft Defender.
تم إسقاط سارق الخط الأحمر على الأنظمة المستهدفة.
الأنظمة المستهدفة المصابة بـ Amadey botnet.

تأثير

تم تعطيل ميكروسوفت ديفندر بشكل دائم على الهدف.
تم تعطيل التحديث التلقائي لـ Microsoft، مما يؤدي إلى تقييد الأهداف للحصول على أحدث تصحيحات الأمان.
تم نشر Redline infostealer لسرقة المعلومات الحساسة.
تحصل الجهات الفاعلة في مجال التهديد على السيطرة الكاملة على الأنظمة المستهدفة باستخدام Amadey bot.
‍

تخفيف

حافظ على تحديث الأصول بأحدث تصحيح أمان من Microsoft.
استخدم برامج وممارسات قوية لمكافحة البرامج الضارة.

‍

نظرة عامة على التحليل والحملة

كلاود سيكيحتوي فريق معلومات التهديدات التابع لـ Microsoft Defender على مُعطل لمكافحة الفيروسات (AV) اسمه Healer.exe . تم العثور على الملف التنفيذي على الفرز.، والعلامة التي قدمتها Tria.ge لهذا الملف التنفيذي هي المعالج.

*علامة المعالج التي شوهدت في عينات أمادي وريدلاين*

‍

بعد مزيد من التحقيق في الملف القابل للتنفيذ. وقد وجد أن هذا الملف القابل للتنفيذ هو جزء من حملة Amadey Botnet المستمرة متعددة المراحل، والتي تُسقط أيضًا أداة Redline infostealer سيئة السمعة على الأنظمة المستهدفة. ومع ذلك، لا يبدأ الهجوم بهذا الملف القابل للتنفيذ.

‍

نظرة عامة على الحملة

*نظرة عامة على مراحل الهجوم (الحالات الأكثر شيوعًا)*

‍

المرحلة 1: يتم نشر Dropper رقم 1 (.EXE) على النظام، وقد اثنين من الأصدقاء السابقين مضمنة في نفسها. يسقط الملحقين التنفيذيين على النظام.

المرحلة 2: يعمل Dropper no. 2 (.EXE) بمثابة قطارة لملفين آخرين للتنفيذ؛ Healer.exe (مُعطل ميكروسوفت ديفندر) و خط أحمر إنفوستيلر.

المرحلة 3: يقوم جهاز الإسقاط رقم 3 (.EXE) بإسقاط أمادي قابل للتنفيذ وينفذها على النظام

‍

تجدر الإشارة إلى وجود اختلافات طفيفة من حملة إلى أخرى (على سبيل المثال، يتم استخدام قطارة إضافية واحدة في إحدى المراحل، أو ترتيب إسقاط ملف مختلف)، لكن تدفق الهجوم لا يزال متشابهًا جدًا. تتبع الحملة النموذجية المستخدمة للتحليل الفني ترتيبًا مختلفًا لإسقاط الملفات.

‍

التحليل الفني

المرحلة 1 - قطارة رقم 1 (قطرة المرحلة الثانية)

تبدأ الحملة بنشر قطارة رقم 1 على النظام المستهدف. غالبًا ما يكون هذا الملف قابلاً للتنفيذ PE32 C ++، بالاسم الأصلي WEXTRACT.EXE.MUI. يوضح وصف الملف أن هذا الملف هو»مستخرج ذاتي للخزانة Win32«، مما يشير إلى أن هذا البرنامج الثنائي قد يحتوي على ثنائيات مضمنة ضمن موارده. تنص حقوق الطبع والنشر أيضًا على أن هذا الملف مملوك لشركة Microsoft.

‍

‍

إن إلقاء نظرة على قسم الموارد في هذا الملف القابل للتنفيذ يؤكد شكوكنا في الثنائيات المضمنة. يمكننا أن نرى أن الملف الثنائي يحتوي على ملف الخزانة (.CAB) داخل القسم. تنسيق ملف Microsoft Cabinet هو تنسيق ملف أرشيف يستخدم لتخزين الملفات المضغوطة داخل نفسه. يمكننا أيضًا أن نرى أن قسم.rsrc يحتل 91.41 بالمائة من حجم الملف.

‍

‍

يمكننا أن نرى أن ملف الخزانة يحتوي على ملفين تنفيذيين يتم تخزينهما داخل الأرشيف.

‍

‍

نقوم بترتيب تنفيذ تلك الملفات من خلال النظر إلى «تشغيل البرنامج» و «برنامج ما بعد التشغيل» سمات. الاسم القابل للتنفيذ المحدد في «تشغيل البرنامج» سيتم تنفيذه أولاً، وبعد ذلك الاسم القابل للتنفيذ المحدد في «برنامج ما بعد التشغيل» سيتم تنفيذه.

‍

‍

يتم إسقاط الملفات التنفيذية في دليل تم إنشاؤه حديثًا في C:\Users\ [اسم المستخدم]\ بيانات التطبيق\ محلي\ درجة الحرارة\ بطريقة مشابهة لتلك الموضحة أدناه.

‍

‍

المرحلة 2 - القطارة رقم 2 (المعالج وأمادي)

على عكس الرسم التخطيطي المشترك في نظرة عامة على الحملة، ستكون الملفات المرتبطة بهذه الحملة المستخدمة للتحليل الفني هي أولاً Amadey و Healer.exe باستخدام قطارة رقم 2. تعمل قطارة المرحلة الثانية أيضًا بنفس الطريقة التي تعمل بها قطارة المرحلة الأولى، من حيث أنها تستخدم خزانة لإسقاط الملفات التنفيذية الخاصة بها.

‍

*نفس اسم الملف والوصف مثل القطارة الأولى*

‍

‍

يتم إسقاط الملفات التنفيذية في نفس المسار ضمن دليل مختلف. تم تنفيذ الملف أولاً (في هذه الحالة) g8262924.exe) عبارة عن قطارة لـ أمادي، ويسقطه في دليل جديد مخزن في المسار C:\Users\ [اسم المستخدم]\ بيانات التطبيق\ درجة الحرارة\. Healer.exe يتم تنفيذه بعد أمادي.

‍

أمادي

Amadey هي عائلة الروبوتات التي تسمح لممثل التهديد بالوصول الكامل إلى النظام المستهدف. تمتلك Amadey لوحة C2 الخاصة بها ووحدة Infostealer المدمجة ووحدة اعتراض معاملات العملات المشفرة. يأتي الملف التنفيذي في شكل ثنائي PE32 C ++.

‍

عند التنفيذ، يتم تشكيل سلسلة عمليات طويلة. في الأساس، تبدأ Amadey بـ:

إنشاء إدخال سجل بدء التشغيل لجعله يعمل على تشغيل Amadey في كل مرة يقوم فيها المستخدم بتسجيل الدخول.
إنشاء مهمة مجدولة تقوم بتشغيل ثنائي Amadey كل دقيقة باستخدام الأمر «C:\Windows\System32\schtasks.exe» /إنشاء الدقيقة /SC /MO 1 /TN amadey.exe /TR «C:\Users\ [اسم المستخدم]\ بيانات التطبيق\ المحلي\ درجة الحرارة\ 5eb6b96734\ amadey.exe» /F.
تغيير حقوق اسم المستخدم «Test»، مما يجعله لا يمكن الكتابة إلى ثنائي Amadey أو حذفه، ولكن قراءته فقط. الأمر المستخدم هو CALS» mnolyk.exe» /« الاختبار:» /E.

‍

بعد ذلك، يبدأ Amadey الاتصال بخادم C2 عن طريق إرسال طلب HTTP POST. يحتوي هذا الطلب على معلومات حول الهدف الحالي. معلومات مثل تفاصيل تعريف Amadey Bot، ومعلومات الكمبيوتر ونظام التشغيل المستهدفة، واسم المستخدم المستهدف، وما إلى ذلك.

‍

‍

بعد إجراء الاتصال بخادم C2 بنجاح، يقوم Amadey بجلب اثنين من ملفات DLL الضارة من خادم C2، وهما cred64.dll و clip64.dll. يقوم بذلك عن طريق بدء طلب HTTP GET.

‍

*مثال على قيام Amadey بتنزيل clip64.dll من خادم C2*

‍

ستحاول Cred64.dll، وحدة infostealer المضمنة، سرقة بيانات الاعتماد المحفوظة من المتصفحات والمعلومات من محافظ العملات المشفرة. تتضمن بعض التطبيقات المستهدفة جوجل كروم ومايكروسوفت إيدج وأوبرا وإلكترم ومونيرو ولايتكوين. يتم تصفية البيانات باستخدام طلبات HTTP POST.

‍

تقوم Clip64.dll، وهي الوحدة المسؤولة عن اعتراض معاملات العملات المشفرة، بسرقة العملة المشفرة من ضحاياها عن طريق استبدال عنوان محفظة المستلم المقصود بعنوان محفظة الفاعل المهدد. يتم ذلك عن طريق استبدال أي شيء مخزن في الحافظة بعنوان المحفظة هذا.

‍

يُنظر إلى Amadey أيضًا على أنه يُستخدم كأداة تنزيل للبرامج الضارة. من المعروف أن الجهات الفاعلة في مجال التهديد تنشر العديد من عائلات Infostealer الشهيرة مثل Vidar و Redline، إلى جانب أنواع أخرى من البرامج الضارة التي تستخدم Amadey.

‍

Healer.exe (تعطيل ميكروسوفت ديفندر)

انشر إعدام Amadey في هذه الحملة، الثنائية الثانية (في هذه الحالة، h6920491.exe) يتم تنفيذه على النظام. الملف عبارة عن تجميع PE32.NET، وهو يحمل الاسم الأصلي Healer.exe مع وصف المعالج.

‍

‍

من خلال إجراء تغييرات على إدخالات التسجيل، يؤدي هذا إلى تعطيل دائم تعطيل ميكروسوفت ديفندر وإجراءات مكافحة برامج التجسس الخاصة بها، إلى جانب تعطيل التحديثات التلقائية لـ Windows، بحيث لا يحصل الهدف على أحدث تصحيحات الأمان، ولا تتم إعادة تشغيله بشكل غير متوقع.

‍

‍

*المستخدم غير قادر على إجراء تغييرات على إعدادات Defender*

‍

تغييرات التسجيل الهامة

Registry Path	Value	Meaning
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features\TamperProtection	0	Allows the executable to make changes to Microsoft Defender settings through registry or other means.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\DisableAntiSpyware	1	Disable Microsoft Antivirus.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviourMonitoring	1	Disable real-time behavior monitoring.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection	1	Disable Microsoft Office antivirus protection.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableOnAccessProtection	1	Disable monitoring of file activity on the system.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring	1	Disable real-time monitoring.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScanOnRealtimeEnable	1	Disable real-time process scanning.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender Security Center\Notifications\DisableNotifications	1	Disable Microsoft Defender notifications.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AUOptions	2	Disable Windows Automatic Updates.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\AutoInstallMinorUpdates	0	Disables the automatic installation of minor updates.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoUpdate	1	Disable automatic update.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU\NoAutoRebootWithLoggedOnUsers	1	Disable automatic reboot when users are logged on.

في معظم حالات هذه الحملة التي تمت ملاحظتها، يتم تنفيذ Healer.exe قبل نشر Amadey/Redline. وهذا أمر منطقي أيضًا، نظرًا لأن ممثل التهديد قد يرغب في تعطيل الإجراءات الأمنية من أجل ضمان نشر وتنفيذ المراحل الأخرى بشكل لا تشوبه شائبة.

حقيقة أنه في هذه الحالة، يتم نشر Healer بعد Amadey تقودنا إلى الاعتقاد بأن هذا قد يكون خطأ ارتكبه ممثل التهديد المرتبط بهذه الحملة المحددة.

‍

المرحلة 3 - قطارة رقم 1 (دروبس ريدلاين)

أخيرًا، تم إسقاط الملف الثاني بواسطة قطارة المرحلة الأولى (في هذه الحالة، j3096141.exe) يتم تنفيذه. هذا هو البديل من ريدلاين إنفوستيلر. يأتي في شكل تجميع PE32.NET، ولديه القدرة على حفظ بيانات الاعتماد المحفوظة وملفات تعريف الارتباط وغيرها من المعلومات من العديد من المتصفحات الشائعة ومحافظ العملات المشفرة.

‍

يمكنك قراءة المزيد حول Redline Infostealer في تقرير التحليل الفني الخاص بنا هنا.

‍

‍

مؤشرات التسوية (IOCs)

SHA256

80fed7cd4c7d7cb0c05fe128ced6ab2b9b3d7f03edcf5ef532c8236f00ee7376

d8e9b2d3afd0eab91f94e1a1a1a0a97aa2974225f4f086a66e76dbf4b705a800

1d51e0964268b35afb43320513ad9837ec6b1c0bd0e56065ead5d99b385967b5

850cd190aaeebcf1505674d97f51756f325e650320eaf76785d954223a9bee38

6cbcf0bb90ae767a8c554cdfa90723e6b1127e98cfa19a2259dd57813d27e116

8020580744f6861a611e99ba17e92751499e4b0f013d66a103fb38c5f256bbb2

021ae2fadbc8bc4e83013de03902e6e97c2815ab821adaa58037e562a6b2357b

aab1460440bee10e2efec9b5c83ea20ed85e7a17d4ed3b4a19341148255d54b1

54ce28a037eea87448e65bc25f8d3a38ddd4b4679516cc59899b77150aa46fcc

0cca99711baf600eb030bbfcf279faf74c564084e733df3d9e98bea3e4e2f45f

ad1d5475d737c09e3c48f7996cd407c992c1bb5601bcc6c6287eb80cde3d852b

d40d2bfa9fcbf980f76ce224ab6037ebd2b081cb518fa65b8e208f84bc155e41

cdd4072239d8a62bf134e9884ef2829d831efaf3f6f7f71b7266af29df145dd0

10ee53988bcfbb4bb9c8928ea96c4268bd64b9dfd1f28c6233185e695434d2f8

3492ed949b0d1cbd720eae940d122d6a791df098506c24517da0cc149089f405

35E5DF856FEE7AAB059E2B80D3A2FC9207CBE3882B3626FAB11F34EA3383F043

4E1377F9874F333DCB0B1B758E3131949E667FC39AADF3091E4E3B7CDBAEEF1D

91FDA0FD32F0E8FD120E767235C58C189F6CC3119D06A813E1C642AB95F28C10

4E1377F9874F333DCB0B1B758E3131949E667FC39AADF3091E4E3B7CDBAEEF1D

850CD190AAEEBCF1505674D97F51756F325E650320EAF76785D954223A9BEE38

IPv4
224.0.0.252
77.91.68.3
77.91.68.68
193.233.20.7
62.204.41.5
62.204.41.251
193.233.20.11

URLs

http://77.91.68.3/home/love/Plugins/cred64.dll

http://77.91.68.3/home/love/index.php

http://77.91.68.3/home/love/Plugins/clip64.dll

http://62.204.41.5/Bu58Ngs/Plugins/cred64.dll

http://62.204.41.5/Bu58Ngs/Plugins/clip64.dll

http://62.204.41.5/Bu58Ngs/index.php

‍

قواعد يارا

أمادي


rule win_amadey_a9f4 {

    meta:
        author                    = "Johannes Bader"
        date                      = "2022-11-17"
        description               = "matches unpacked Amadey samples"
        hash_md5                  = "25cfcfdb6d73d9cfd88a5247d4038727"
        hash_sha1                 = "912d1ef61750bc622ee069cdeed2adbfe208c54d"
        hash_sha256               = "03effd3f94517b08061db014de12f8bf01166a04e93adc2f240a6616bb3bd29a"
        malpedia_family           = "win.amadey"
        tlp                       = "TLP:WHITE"
        version                   = "v1.0"
        yarahub_author_email      = "yara@bin.re"
        yarahub_author_twitter    = "@viql"
        yarahub_license           = "CC BY-SA 4.0"
        yarahub_reference_md5     = "25cfcfdb6d73d9cfd88a5247d4038727"
        yarahub_rule_matching_tlp = "TLP:WHITE"
        yarahub_rule_sharing_tlp  = "TLP:WHITE"
        yarahub_uuid              = "a9f41cd4-3f67-42fc-b310-e9b251c95fe4"

    strings:
        $pdb  = "\\Amadey\\Release\\Amadey.pdb"
        /*  Amadey uses multiple hex strings to decrypt the strings, C2 traffic
            and as identification. The preceeding string 'stoi ...' is added to
            improve performance.
        */
        $keys = /stoi argument out of range\x00\x00[a-f0-9]{32}\x00{1,16}[a-f0-9]{32}\x00{1,4}[a-f0-9]{6}\x00{1,4}[a-f0-9]{32}\x00/

    condition:
        uint16(0) == 0x5A4D and
        (
            $pdb or $keys
        )
}


rule win_amadey_auto {

meta:
author = "Felix Bilstein - yara-signator at cocacoding dot com"
date = "2023-07-11"
version = "1"
description = "Detects win.amadey."
info = "autogenerated rule brought to you by yara-signator"
tool = "yara-signator v0.6.0"
signator_config = "callsandjumps;datarefs;binvalue"
malpedia_reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.amadey"
malpedia_rule_date = "20230705"
malpedia_hash = "42d0574f4405bd7d2b154d321d345acb18834a41"
malpedia_version = "20230715"
malpedia_license = "CC BY-SA 4.0"
malpedia_sharing = "TLP:WHITE"

/* DISCLAIMER
* The strings used in this rule have been automatically selected from the
* disassembly of memory dumps and unpacked files, using YARA-Signator.
* The code and documentation is published here:
* https://github.com/fxb-cocacoding/yara-signator
* As Malpedia is used as data source, please note that for a given
* number of families, only single samples are documented.
* This likely impacts the degree of generalization these rules will offer.
* Take the described generation method also into consideration when you
* apply the rules in your use cases and assign them confidence levels.
*/

strings:
$sequence_0 = { 8945f4 837df408 744f 8d85e8fdffff 890424 e8???????? c70424???????? }
// n = 7, score = 700
//   8945f4               | mov                 dword ptr [ebp - 0xc], eax
//   837df408             | cmp                 dword ptr [ebp - 0xc], 8
//   744f                 | je                  0x51
//   8d85e8fdffff         | lea                 eax, [ebp - 0x218]
//   890424               | mov                 dword ptr [esp], eax
//   e8????????           |                     
//   c70424????????       |                     

$sequence_1 = { c745fc00000000 e8???????? 84c0 750c c7042401000000 e8???????? e8???????? }
// n = 7, score = 700
//   c745fc00000000       | mov                 dword ptr [ebp - 4], 0
//   e8????????           |                     
//   84c0                 | test                al, al
//   750c                 | jne                 0xe
//   c7042401000000       | mov                 dword ptr [esp], 1
//   e8????????           |                     
//   e8????????           |                     

$sequence_2 = { 89442404 891424 e8???????? 85c0 7510 8b45fc 40 }
// n = 7, score = 700
//   89442404             | mov                 dword ptr [esp + 4], eax
//   891424               | mov                 dword ptr [esp], edx
//   e8????????           |                     
//   85c0                 | test                eax, eax
//   7510                 | jne                 0x12
//   8b45fc               | mov                 eax, dword ptr [ebp - 4]
//   40                   | inc                 eax

$sequence_3 = { 890424 e8???????? c7042400000000 e8???????? 81c424040000 }
// n = 5, score = 700
//   890424               | mov                 dword ptr [esp], eax
//   e8????????           |                     
//   c7042400000000       | mov                 dword ptr [esp], 0
//   e8????????           |                     
//   81c424040000         | add                 esp, 0x424

$sequence_4 = { e8???????? 8945f4 837df40a 0f842e010000 }
            // n = 4, score = 700
            //   e8????????           |                     
            //   8945f4               | mov                 dword ptr [ebp - 0xc], eax
            //   837df40a             | cmp                 dword ptr [ebp - 0xc], 0xa
            //   0f842e010000         | je                  0x134

        $sequence_5 = { e8???????? c7442404???????? 8b4508 890424 e8???????? 85c0 7e75 }
            // n = 7, score = 700
            //   e8????????           |                     
            //   c7442404????????     |                     
            //   8b4508               | mov                 eax, dword ptr [ebp + 8]
            //   890424               | mov                 dword ptr [esp], eax
            //   e8????????           |                     
            //   85c0                 | test                eax, eax
            //   7e75                 | jle                 0x77

        $sequence_6 = { 890424 e8???????? c7042401000000 e8???????? 89442404 8d85e8fbffff 890424 }
            // n = 7, score = 700
            //   890424               | mov                 dword ptr [esp], eax
            //   e8????????           |                     
            //   c7042401000000       | mov                 dword ptr [esp], 1
            //   e8????????           |                     
            //   89442404             | mov                 dword ptr [esp + 4], eax
            //   8d85e8fbffff         | lea                 eax, [ebp - 0x418]
            //   890424               | mov                 dword ptr [esp], eax

        $sequence_7 = { e8???????? 8b4508 c60000 c9 }
            // n = 4, score = 700
            //   e8????????           |                     
            //   8b4508               | mov                 eax, dword ptr [ebp + 8]
            //   c60000               | mov                 byte ptr [eax], 0
            //   c9                   | leave               

        $sequence_8 = { 68???????? e8???????? 8d4dcc e8???????? 83c418 }
            // n = 5, score = 500
            //   68????????           |                     
            //   e8????????           |                     
            //   8d4dcc               | lea                 ecx, [ebp - 0x34]
            //   e8????????           |                     
            //   83c418               | add                 esp, 0x18

        $sequence_9 = { 83fa10 722f 8b8d78feffff 42 8bc1 81fa00100000 7214 }
            // n = 7, score = 500
            //   83fa10               | cmp                 edx, 0x10
            //   722f                 | jb                  0x31
            //   8b8d78feffff         | mov                 ecx, dword ptr [ebp - 0x188]
            //   42                   | inc                 edx
            //   8bc1                 | mov                 eax, ecx
            //   81fa00100000         | cmp                 edx, 0x1000
            //   7214                 | jb                  0x16

        $sequence_10 = { 52 51 e8???????? 83c408 8b955cfeffff }
            // n = 5, score = 400
            //   52                   | push                edx
            //   51                   | push                ecx
            //   e8????????           |                     
            //   83c408               | add                 esp, 8
            //   8b955cfeffff         | mov                 edx, dword ptr [ebp - 0x1a4]

        $sequence_11 = { 50 68???????? 83ec18 8bcc 68???????? }
            // n = 5, score = 400
            //   50                   | push                eax
            //   68????????           |                     
            //   83ec18               | sub                 esp, 0x18
            //   8bcc                 | mov                 ecx, esp
            //   68????????           |                     

        $sequence_12 = { 8b7dfc 8d4201 3bcb 7ccb 837e1410 }
            // n = 5, score = 400
            //   8b7dfc               | mov                 edi, dword ptr [ebp - 4]
            //   8d4201               | lea                 eax, [edx + 1]
            //   3bcb                 | cmp                 ecx, ebx
            //   7ccb                 | jl                  0xffffffcd
            //   837e1410             | cmp                 dword ptr [esi + 0x14], 0x10
-- contd--

 ---contd----
        $sequence_13 = { 83c408 8b554c c7453000000000 c745340f000000 c6452000 83fa10 0f8204ffffff }
            // n = 7, score = 400
            //   83c408               | add                 esp, 8
            //   8b554c               | mov                 edx, dword ptr [ebp + 0x4c]
            //   c7453000000000       | mov                 dword ptr [ebp + 0x30], 0
            //   c745340f000000       | mov                 dword ptr [ebp + 0x34], 0xf
            //   c6452000             | mov                 byte ptr [ebp + 0x20], 0
            //   83fa10               | cmp                 edx, 0x10
            //   0f8204ffffff         | jb                  0xffffff0a

        $sequence_14 = { 68e8030000 ff15???????? 8b551c 83fa10 7228 8b4d08 }
            // n = 6, score = 400
            //   68e8030000           | push                0x3e8
            //   ff15????????         |                     
            //   8b551c               | mov                 edx, dword ptr [ebp + 0x1c]
            //   83fa10               | cmp                 edx, 0x10
            //   7228                 | jb                  0x2a
            //   8b4d08               | mov                 ecx, dword ptr [ebp + 8]

        $sequence_15 = { 83fa10 722f 8b8d60feffff 42 }
            // n = 4, score = 400
            //   83fa10               | cmp                 edx, 0x10
            //   722f                 | jb                  0x31
            //   8b8d60feffff         | mov                 ecx, dword ptr [ebp - 0x1a0]
            //   42                   | inc                 edx

        $sequence_16 = { 68???????? e8???????? 8d4db4 e8???????? 83c418 }
            // n = 5, score = 400
            //   68????????           |                     
            //   e8????????           |                     
            //   8d4db4               | lea                 ecx, [ebp - 0x4c]
            //   e8????????           |                     
            //   83c418               | add                 esp, 0x18

        $sequence_17 = { c78514feffff0f000000 c68500feffff00 83fa10 722f 8b8de8fdffff 42 }
            // n = 6, score = 300
            //   c78514feffff0f000000     | mov    dword ptr [ebp - 0x1ec], 0xf
            //   c68500feffff00       | mov                 byte ptr [ebp - 0x200], 0
            //   83fa10               | cmp                 edx, 0x10
            //   722f                 | jb                  0x31
            //   8b8de8fdffff         | mov                 ecx, dword ptr [ebp - 0x218]
            //   42                   | inc                 edx

        $sequence_18 = { 83c408 8b95fcfdffff c78510feffff00000000 c78514feffff0f000000 c68500feffff00 83fa10 }
            // n = 6, score = 300
            //   83c408               | add                 esp, 8
            //   8b95fcfdffff         | mov                 edx, dword ptr [ebp - 0x204]
            //   c78510feffff00000000     | mov    dword ptr [ebp - 0x1f0], 0
            //   c78514feffff0f000000     | mov    dword ptr [ebp - 0x1ec], 0xf
            //   c68500feffff00       | mov                 byte ptr [ebp - 0x200], 0
            //   83fa10               | cmp                 edx, 0x10

    condition:
        7 of them and filesize < 520192
}

}

ريدلاين

‍


rule detect_Redline_Stealer {
     meta:
        date = "2023-06-06"
        author ="Varp0s"
        yarahub_reference_md5     = "554d25724c8f6f53af8721d0ef6b6f42"
        yarahub_uuid = "671d6f32-8236-46b5-80e3-057192936607"
        yarahub_license =  "CC0 1.0"
        yarahub_rule_matching_tlp =  "TLP:WHITE"
        yarahub_rule_sharing_tlp =  "TLP:WHITE"
        tlp = "WHITE"

    strings:

        $req0 = {72 75 6E 64 6C 6C 33 32 2E 65 78 65 20 25 73 61} 
        $req1 = {43 6F 6E 74 72 6F 6C 20 50 61 6E 65 6C 5C 44 65}
        $req2 = {77 65 78 74 72 61 63 74 2E 70 64 62 00} 
        $req3 = {49 58 50 25 30 33 64 2E 54 4D 50 00}
        $req4 = {54 4D 50 34 33 35 31 24 2E 54 4D 50 00}
        $req5 = {43 6F 6D 6D 61 6E 64 2E 63 6F 6D 20 2F 63 20 25} 
        $req6 = {55 50 44 46 49 4C 45 25 6C 75 00}


              
    condition:
        all of them
}  






rule detect_Redline_Stealer_V2 {
     meta:
        date = "2023-06-06"
        author ="Varp0s"
        yarahub_reference_md5     = "554d25724c8f6f53af8921d0ef6b6f42"
        yarahub_uuid = "e20669f7-da89-41f6-abeb-c3b5a770530e"
        yarahub_license =  "CC0 1.0"
        yarahub_rule_matching_tlp =  "TLP:WHITE"
        yarahub_rule_sharing_tlp =  "TLP:WHITE"
        tlp = "WHITE"
    strings:

        $req0 = {41 00 75 00 74 00 68 00 6F 00 72 00 69 00 7A} 
        $req1 = {6E 00 65 00 74 00 2E 00 74 00 63 00 70 00 3A 00}
        $req3 = {44 00 65 00 63 00 63 00 69 00 65 00 00 00}
        $req4 = {61 00 6D 00 6B 00 6D 00 6A 00 6A 00 6D 00 6D 00}
        $req5 = {31 00 36 00 33 00 2E 00 31 00 32 00 33 00 2E 00}
        $req6 = {59 00 61 00 6E 00 64 00 65 00 78 00 5C 00 59 00}
        $req7 = {31 00 2A 00 2E 00 31 00 6C 00 31 00 64 00 31 00}

              
    condition:
        3 of them 
}

‍

Healer.exe


import "pe"

rule detect_Healer_Defender_Disabler {
    meta:
        date = "2023-07-25"
        author = "Mehardeep Singh Sawhney"
        description = "Rule to detect Healer Microsoft Defender disabler"
        tlp = "WHITE"

    strings:
        $string1 = "Program.DisableService(\"WinDefend\");"
        $string2 = "Program.RegistryEdit(\"SOFTWARE\\\\Microsoft\\\\Windows Defender\\\\Features\", \"TamperProtection\", \"0\");"
        $string3 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\", \"DisableAntiSpyware\", \"1\");"
        $string4 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\\\\Real-Time Protection\", \"DisableBehaviorMonitoring\", \"1\");"
        $string5 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\\\\Real-Time Protection\", \"DisableIOAVProtection\", \"1\");"
        $string6 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\\\\Real-Time Protection\", \"DisableOnAccessProtection\", \"1\");"
        $string7 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\\\\Real-Time Protection\", \"DisableRealtimeMonitoring\", \"1\");"
        $string8 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender\\\\Real-Time Protection\", \"DisableScanOnRealtimeEnable\", \"1\");"
        $string9 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows Defender Security Center\\\\Notifications\", \"DisableNotifications\", \"1\");"
        $string10 = "Program.DisableService(\"wuauserv\");"
        $string11 = "Program.DisableService(\"WaaSMedicSvc\");"
        $string12 = "Program.DisableService(\"UsoSvc\");"
        $string13 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\\\\AU\", \"AUOptions\", \"2\");"
        $string14 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\\\\AU\", \"AutoInstallMinorUpdates\", \"0\");"
        $string15 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\\\\AU\", \"NoAutoUpdate\", \"1\");"
        $string16 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\\\\AU\", \"NoAutoRebootWithLoggedOnUsers\", \"1\");"
        $string17 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\\\\AU\", \"UseWUServer\", \"1\");"
        $string18 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\", \"DoNotConnectToWindowsUpdateInternetLocations\", \"1\");"
        $string19 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\", \"WUStatusServer\", \"server.wsus\");"
        $string20 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\", \"WUServer\", \"server.wsus\");"
        $string21 = "Program.RegistryEdit(\"SOFTWARE\\\\Policies\\\\Microsoft\\\\Windows\\\\WindowsUpdate\", \"UpdateServiceUrlAlternate\", \"server.wsus\");"

    condition:
        all of them and pe.is_dotnet
}

‍