ذكاء البرامج الضارة

تحليل فني متعمق لبرامج Colibri Loader الضارة

March 10, 2022

دقيقة

جدول المحتوى

مثال H2

في 27 أغسطس 2021، اكتشف باحثو الأمن السيبراني أداة تحميل برامج ضارة تسمى Colibri يتم بيعها في منتدى روسي سري. يدعي الممثلون أن أداة التحميل خفية ويمكن استخدامها لاستهداف أنظمة Windows وإسقاط برامج ضارة أخرى على النظام المصاب.

ميزات برنامج تحميل Colibri الضار

تتضمن ميزات اللودر، كما هو موضح في الإعلان، ما يلي:

اللودر مكتوب بلغة C/ ASM.
يعمل على أنظمة تشغيل Windows بما في ذلك خوادم Windows.
لا يحتوي المُحمل على تبعيات، مما يشير إلى أن أداة التحميل تعمل دون الاعتماد على كيانات أخرى من النظام.
لا يحتوي المُحمل على IAT (جدول عناوين الاستيراد) الذي يحتوي على وظائف WinAPI المستخدمة.
يحتوي محمل Colibri على قسمين فقط في هيكل PE وهما «.text» (قسم الكود) و «.reloc» (قسم النقل).
يتم تشفير جميع السلاسل الموجودة في أداة التحميل بالإضافة إلى قناة الاتصال بين خادم C2 والمحمل.

Threat actor’s post on the cybercrime forum about the Colibri Malware Loader — *مشاركة ممثل التهديد في منتدى الجرائم الإلكترونية* *حول أداة تحميل البرامج الضارة من Colibri*

مشاركة ممثل التهديد في منتدى الجرائم الإلكترونية

التحليل الفني لـ كوليبري

تفريغ اللودر

يأتي محمل Colibri معبأ في ملف ثلاثي قابل للتنفيذ. باستخدام x64dbg (مصحح الأخطاء) ووضع نقاط التوقف على الوظيفة نظام تشغيل افتراضي تمكنا من استخراج الحمولة الفعلية لودر Colibri.

عينة معبأة74c4f24e9c025d55c4d8ac8b91fce3عينة كوليبري غير المعبأة58 قدمًا و 16 قدمًا و 42 مترًا و 378 قدمًا و 4 أقدام و 87 ديسيبل 0 و 8 بوصة 6 قدمًا و 9 سم 8

كود التعديل الذاتي في البرامج الضارة

من خلال اختبار الحمولة المستخرجة باستخدام PEStudio، يتضح أن الحمولة تحتوي على قسمين فقط، . نص (قسم الكود) و .reloc (قسم النقل). تظهر نتائج مسح الحمولة أيضًا وجود قسم تعديل ذاتي في الكود. هذا يعني أن الحمولة قادرة على حل الأجزاء الأخرى من الكود بشكل ديناميكي والتي لا يمكن الوصول إليها من خلال التحليل الثابت للحمولة.

من خلال تشغيل الحمولة في مصحح أخطاء IDA، سنتمكن من حل قسم كود التعديل الذاتي للحمولة.

Two sections that exist in the payload, besides the self-modifying property — *قسمان موجودان في الحمولة، إلى جانب خاصية التعديل الذاتي*

Dynamically resolved code section — *قسم التعليمات البرمجية الذي تم حله ديناميكيًا*

حل IAT الديناميكي

لتجنب الاكتشاف بواسطة AVs بشكل ثابت، يقوم مؤلف الحمولة بتجزئة جميع وظائف WinAPI، متجاهلاً جدول عناوين الاستيراد (IAT)، الذي يساعد في التعرف على نشاط البرامج الضارة بشكل ثابت. تقوم الحمولة بحل أسماء الوظائف ديناميكيًا باستخدام عمليات XOR و Shift. بعد حل اسم الوظيفة، يتم تخزين عنوان الوظيفة في سجل eax ويتم إنشاء وظيفة استدعاء.

اقتل نفسه إذا كانت هناك بالفعل عملية مثيل قيد التشغيل

قبل التشغيل على النظام، تقوم الحمولة بإنشاء موتكس عن طريق استدعاء الوظيفة createMutexw ثم اختبار ما إذا كان هناك مثيل للحمولة يعمل بالفعل على النظام المصاب. في حالة وجود عملية تشغيل حالية للحمولة على النظام، تستدعي الحمولة وظيفة exitProcess وتخرج من التنفيذ. في حالة عدم وجود مثيل للحمولة العاملة على النظام، تستمر الحمولة في التنفيذ وتستدعي النوم تعمل على النوم لمدة 3 ثوانٍ كطريقة بسيطة للتهرب من الحماية.

Check the existence of the payload on the system — *تحقق من وجود الحمولة على النظام*

الاتصال بخادم C2

لجعل التحليل الثابت أكثر صعوبة وتجنب الاكتشاف، قام مؤلف هذا البرنامج الضار بتشفير جميع السلاسل. بعد حل أسماء الوظائف ديناميكيًا واستخدام مصحح الأخطاء، ستحتوي السلاسل المستخرجة من الحمولة على العناصر التالية:

عنوان IP الخاص بخادم C2 80.92.205.102
عنوان URL مع حمولة أخرى ليتم تنزيلها /gate.php

تقوم الحمولة أولاً بتهيئة استخدام وظائف WiniNet عن طريق الاتصال إنترنت مفتوح، ثم يفتح قسم HTTP مع الوظيفة الاتصال بالإنترنت. تقوم الحمولة بإنشاء طلب HTTP عن طريق استدعاء الوظيفة طلب فتح HTTP تحت المعلمات التالية:

نوع الطلب: /احصل على
اسم الكائن الهدف: /gate.php؟ النوع = الفحص ومعرف الهوية = 59045 F4FF04F133112200
إصدار HTTP الذي سيتم استخدامه في الطلب: HTTPS://1.1

بعد ذلك، ترسل الحمولة طلب GET إلى الخادم عن طريق استدعاء الوظيفة HttpSendRequestW. ثم تستدعي الحمولة الوظيفة تتوفر بيانات استعلام الإنترنت لتحديد كمية البيانات المطلوبة. استنادًا إلى نتائج استدعاءات الوظائف السابقة، تقرأ الحمولة البيانات عن طريق استدعاء الوظيفة ملف القراءة على الإنترنت. افتراضنا هو أن الحمولة تتطلب خادم C2 وتقوم بتنزيل حمولة أخرى على النظام.

تستدعي الحمولة الوظيفة سلسلة التشفير إلى الثنائية، لفك تشفير البيانات بعد تنزيل البيانات من خادم C2، مما يشير إلى أنه يمكن تشفير البيانات.

GET request to the C2 server — *احصل على طلب إلى خادم C2*

مؤشرات التسوية — برنامج كوليبري لودر الضار

MD574c4f24e9c025d55c4d8A8b91fce3 58 قدم 16B 42A378F4D87D0E8A6F9C8الملكية الفكرية80.92.205.102رابط80.92.205.102/غايت.php؟ النوع = الفحص ومعرف الهوية = 59045 F4FF04F133112200

الخاتمة

Colibri loader هو نوع من البرامج الضارة التي تُستخدم لتحميل المزيد من أنواع البرامج الضارة إلى النظام المصاب. يحتوي هذا اللودر على تقنيات متعددة تساعد على تجنب الاكتشاف. يتضمن ذلك حذف IAT (جدول عناوين الاستيراد) جنبًا إلى جنب مع السلاسل المشفرة لجعل التحليل أكثر صعوبة. مثل أي برنامج ضار آخر للتحميل، يمكن استخدام Colibri لتثبيت برامج ضارة لسرقة المعلومات والتي قد تؤدي إلى فقدان كبير للمعلومات الحساسة. وبالتالي، يجب أن يكون المستخدمون حذرين من أي ملفات غير معروفة على أنظمتهم.