ذكاء البرامج الضارة

التحليل الفني للسارق الأبدي

November 25, 2022

دقيقة

جدول المحتوى

مثال H2

المؤلف: ميهارديب سينغ ساوهني
المحرر: سوشيتا كاتيرا

ملخص

الهدف

الهدف من هذا التقرير هو إعطاء فهم واضح لأعمال Eternity Stealer من خلال تقديم شرح أساسي لتقنياتها وأساليبها.

سارق الخلود

تمت كتابة هذا السارق بلغة C # وهو قادر على سرقة البيانات من العديد من التطبيقات المعروفة. يمكن استخدام هذه البيانات المسروقة من تلقاء نفسها لاختراق حسابات المستخدمين أو يمكن استخدامها بالتنسيق مع عمليات الاستغلال الأخرى. يظهر التأثير الرئيسي الذي يسببه هذا السارق في الكم الهائل من معلومات تحديد الهوية الشخصية المسروقة من المستخدمين المصابين.

التحليل الثابت الأساسي

ينتج عن تحليل السلاسل السريعة والتحليل القابل للتنفيذ المحمول (PE) على العينة بضع تلميحات. تمت ملاحظة سلاسل مثل mscoree.dll والسلاسل التي تحتوي على كلمة السارق فيها. يُظهر تحليل PE أن التوقيع على الملف القابل للتنفيذ هو.NET، مما يشير إلى أن هذا على الأرجح سارق مكتوب بلغة C #.

Strings pointing towards a C# Stealer — سلاسل تشير إلى سارق C #

PE analysis pointing towards a C# Stealer — تحليل PE يشير إلى سارق C #

يُظهر التحليل الإضافي أن معظم أسماء الوظائف غامضة. عند إلقاء نظرة على الوظيفة الرئيسية، هناك المزيد من التشويش والضوضاء، ومع ذلك، فإن SSD و DS هما وظيفتان واضحتان، ويبدو أنهما مستخدمتان على نطاق واسع في جميع أنحاء الكود.

Obfuscation used in the Main function — التشويش المستخدم في الوظيفة الرئيسية

التشويش

تستخدم وظائف SSD و DS التشويش لإبطاء عملية التحليل. تأخذ وظيفة SSD الحجج المشفرة بـ AES من وظيفة DS وتقوم بترميزها بشكل أكبر. يتم ترميز السلاسل الغامضة في Base64.

عند إزالة التشويش على السلسلة، تم استنتاج أن ممثل التهديد يقوم بإنشاء ارتباط لغرض استخراج البيانات. يتم استخدام المعلمات التالية في رابط الاتصال:

Deobfuscated parameters — المعلمات المزالة

البارامتراتوصفPWDS كلمات المرور البطاقات المسروقة بطاقات الائتمان المسروقة محافظ WLTS الملفات المسروقة الملفات المسروقة معلومات المستخدم المسروقة معلومات المستخدم المسروقة معلومات الكمبيوتر المسروقة معلومات IP من واجهة برمجة تطبيقات طرف ثالث تسترد الدولة الدولة من طرف ثالث تسترد واجهة برمجة التطبيقات المدينة من جهة خارجية API تحدد قيمتها إلى القيمة الافتراضية (الوظيفة غامضة) الدومينات معلومات المجال المسروقة معلومات الدليل النشط

سرقة البيانات

بعد تهيئة المعالجات لأنواع مختلفة من البيانات المسروقة، تتم تهيئة المصفوفة باستخدام وظيفة Create (). هذه نقطة مهمة في الكود لأن وظيفة Create () تقوم بإنشاء مثيل للبيانات المسروقة من قبل السارق وإنشاء مصفوفة لها. سيتم استهلاك هذه المصفوفة بواسطة وظيفة مسؤولة عن دفع البيانات إلى C2.

Create() function and a part of its contents — وظيفة create () وجزء من محتوياتها

توجد العديد من طرق السرقة في الوظيفة، كل منها خاص ببرنامج أو تطبيق معين. يمتلك سارق Eternity القدرة على سرقة البيانات من تطبيقات متعددة، بما في ذلك Discord و Telegram و Google Chrome و NordVPN.

التطبيقات المستهدفة من قبل Eternity Stealerمديرو بيانات الاعتمادويندوز فولت، مدير بيانات الاعتماد، كي باس، نورد باس، 1 باسورد، روبوفورمتطبيقات الألعاب والبثستيم، تويتش، OBSتطبيقات بروتوكول نقل الملفاتفايل زيلا، ويندوز إس سي بي، كوريفتب، سنوفلاكتطبيقات VPNنورد في بي إن، إيرث في بي إن، ويندسكريب في بي إن، أزيرف في بي إنتطبيقات المراسلة والبريد الإلكترونيتيليجرام، ديسكورد، بيدجين، أوتلوك، فوكسميل، ميل بيرد، فايبر، واتس آب، سيجنال، رامبو بوكسمحافظباينانس، مونيرو، بيتكوين كور، داش كوين كور، لايتكوين كور، إليكروم، إكسودوس، أتوميك، تون واليت، جاكسس، كوينومي، دايدالوس، زد كاش، جواردا، واسابي، بت واردنالمتصفحاتجوجل كروم، فايرفوكس

مديرو بيانات الاعتماد

لدى Eternity Stealer وظائف محددة مسؤولة عن سرقة أوراق الاعتماد من مديري بيانات الاعتماد. إحدى هذه الوظائف هي EnumerateCredentials ().

خزينة نظام التشغيل Windows

Windows Vault عبارة عن آلية تخزين محمية يستخدمها Windows لتخزين كلمات المرور من المتصفحات ومعلومات النظام وما إلى ذلك، ويستخدم السارق الوظائف المضمنة للوصول إلى بيانات الاعتماد المخزنة في Windows Vault. يتم استخدام وظائف مختلفة مثل VaultGetItem_win7 () و VaultGetItem_win8 () لإصدارات مختلفة من ويندوز. يقوم السارق بتعداد جميع الخزائن عن طريق استدعاء vaultenumerateVaults ().

Windows Vault enumeration — تعداد Windows Vault

مدير بيانات الاعتماد

Credential Manager هي آلية تخزين محمية أخرى تُستخدم في الإصدارات الأحدث نسبيًا من Windows. يسمح للمستخدم بعرض وإدارة بيانات الاعتماد المخزنة، مثل كلمات المرور المستخدمة لمصادقة موقع الويب. على غرار Windows Vault، يحتوي برنامج Credential Manager على وظائف مضمنة خاصة به للتعداد. يتم استخدام إحدى الوظائف، CredeNumerate، من قبل السارق لتعداد مجموعات بيانات الاعتماد الخاصة بالمستخدم. نظرًا لعدم وجود مجموعة تصفية، تقوم الدالة بإرجاع جميع بيانات الاعتماد. يقوم السارق أيضًا بإنشاء وظيفة readCredential () لتحليل البيانات بناءً على الظروف.

Credential Manager Enumeration — تعداد مدير بيانات الاعتماد

تطبيقات الألعاب والبث

إن جهاز Eternity Stealer قادر على سرقة البيانات من العديد من تطبيقات الألعاب والبث، بما في ذلك Steam و Twitch و OBS.

منصة ألعاب ستيم

Steam هو تطبيق ألعاب شائع يتيح للمستخدمين شراء الألعاب ومجموعة متنوعة من العناصر داخل اللعبة من خلال ميزة المجتمع الخاصة به. يبحث السارق عن امتدادات ملفات معينة في دليل Steam. يمكن استخدام ملفات ssfn لتجاوز خدمة Steam Guard من Steam، المسؤولة عن المصادقة الثنائية، بشرط أن يكون لدى المهاجم بيانات اعتماد المستخدم. كما أنه يسرق الملفات بامتداد.vdf، وهي ملفات خاصة باللعبة تحتوي على بيانات وصفية ومعلومات متعلقة باللعبة مثل العناصر داخل اللعبة التي يملكها المستخدم.

Steam Data Enumeration — تعداد بيانات Steam

وظائف

OBS هو تطبيق شائع لتسجيل الشاشة والبث المباشر. يقوم السارق بتصفية البيانات مثل معلومات الملف الشخصي ومعلومات قاعدة البيانات وما إلى ذلك من التطبيق.

Stealer making entries for OBS data — السارق يقوم بعمل إدخالات لبيانات OBS

تطبيقات بروتوكول نقل الملفات

يقوم سارق الخلود باستخراج بيانات الاعتماد من العديد من تطبيقات FTP، مثل WinSCP وFileZilla وCoreFTP.

وين إس سي بي

WinSCP هو عميل FTP مفتوح المصدر. يمكن تخزين بيانات الاعتماد من WinSCP بتنسيق مشفر، يستطيع السارق فك تشفيره.

Decryption routine created by the Stealer — روتين فك التشفير الذي تم إنشاؤه بواسطة Stealer

بروتوكول نقل الملفات الأساسي

CoreFTP هو عميل FTP مجاني يخزن كلمات المرور بتنسيق مشفر. يحتوي السارق على وظيفة لفك تشفير كلمات المرور.

تطبيقات VPN

نورد في بي إن

NordVPN هو مزود خدمة VPN معروف. يقوم سارق Eternity بفك تشفير بيانات الاعتماد المسروقة وفك تشفيرها.

تطبيقات المراسلة والبريد الإلكتروني

برقية

Telegram هو تطبيق مراسلة شائع. يتم تصفية الملفات والبيانات التي تكشف عن معلومات Telegram الحساسة، مثل تفاصيل الجلسة.

Telegram data stolen by the Stealer — بيانات تيليجرام التي سرقها السارق

نظرة مستقبلية

Outlook هو تطبيق شائع لإدارة البريد الإلكتروني والمعلومات من Microsoft. يقوم السارق بفك تشفير العديد من كلمات المرور المسروقة التي تم جمعها من Outlook عن طريق الوصول إلى المعلومات الهامة من مفاتيح التسجيل.

Data stolen from registry keys — البيانات المسروقة من مفاتيح التسجيل

محافظ

يسرق سارق Eternity البيانات من محافظ العملات المشفرة المتعددة.

بيتكوين كور

Bitcoin Core هو نظام ومحفظة لإدارة بلوكتشين مفتوح المصدر. يتم استخراج معلومات البلوكشين والمحفظة من خلال الوصول إلى البيانات من مفاتيح التسجيل.

Stealer accessing registry data — السارق الذي يصل إلى بيانات التسجيل

إلكتروم

Electrum هي محفظة عملات مشفرة شائعة للمستخدمين على دراية جيدة بالعملات المشفرة. يتم استخراج ملفات تكوين Electrum واسترداد أزواج المفاتيح والقيمة.

Stealing data from directories and retrieving key-value pairs — سرقة البيانات من الأدلة واسترداد أزواج المفاتيح والقيم

المتصفحات

يحصل السارق على أنواع مختلفة من البيانات من المتصفحات الشائعة، مثل كلمات المرور وتفاصيل بطاقة الائتمان وما إلى ذلك.

جوجل كروم

يتم اختراق أنواع مختلفة من البيانات المحفوظة من Chrome، بما في ذلك كلمات المرور وتفاصيل بطاقة الائتمان وتفاصيل الملء التلقائي. يتم استخراج كلمات المرور من خلال تعداد معلومات جلسة مستخدم المجال، والتي تحتوي على معلومات MasterKey. يتم استخدام هذا بعد ذلك لفك تشفير كلمات المرور.

Stealing MasterKey — سرقة المفتاح الرئيسي

Using MasteKey to decrypt passwords — استخدام MasteKey لفك تشفير كلمات المرور

فيرفكس

السارق قادر على سرقة وفك تشفير كلمات المرور المسروقة من Firefox.

كلمات مرور الواي فاي

يقوم سارق Eternity بتصفية كلمات مرور الشبكة من خلال تنفيذ أمرين بسيطين من netsh، يوفرهما Windows.

تعداد الدليل النشط

يقوم سارق الخلود بتعداد معلومات Active Directory. يستخدم فئة ManagementObject لتشغيل استعلام WMI لتعداد معلومات المجال. يتم استخدام هذه المعلومات لتحديد ما إذا كان الجهاز المصاب ينتمي إلى مجال أم لا.

Command used to enumerate Active Directory information — الأمر المستخدم لتعداد معلومات Active Directory

فايل جرابر

يحتوي السارق على وظيفة الاستيلاء على الملفات. إنه يعطي الأولوية للملفات ذات الامتداد.txt ويصنفها على أنها مهمة.

File grabber prioritizing .txt files — ملتقط الملفات يعطي الأولوية لملفات.txt

تفاصيل الموقع

يقوم السارق بتخزين معلومات حول موقع الضحية، بما في ذلك المدينة والبلد وعنوان IP. يتم الحصول على البيانات باستخدام موقع ويب ويتم تنسيقها وفقًا لذلك.

Stealer getting and formatting information — السارق: الحصول على المعلومات وتنسيقها

عمليات الشبكة

يتم استخدام عنوان URL محدد لتخزين البيانات المسروقة، مما يشير إلى استخدام خادم C2. تُظهر التحليلات الإضافية للوظيفة الرئيسية أن السارق يقوم بطلبات الويب. يتم تحميل المصفوفة التي تمت تهيئتها مسبقًا مع البيانات المسروقة إلى خادم C2.