Скрытия процесса в Диспетчере задач Windows | Страница 3 | xaker.name
Совсем недавно мы наткнулись на два интересных образца вредоносных программ. Наряду с тем, что вредоносы распространялись в виде документов MS Word с эксплойтом «на борту», их структура предполагала модульность, а степень выявления антивирусными продуктами была невысока в связи с достаточно высоким уровнем обфускации [1] за счет многоразового шифрования. Мы решили взяться за изучение этого malware, а результат изложить в этой статье.
Так выглядели два файла, попавшие в наше поле зрения:
Reported for TRMSCD3L Licence expired.doc
Police report remit expired Licence.doc
Очень часто, исходя из названия, можно дедуктивно догадаться, «кем» и кому предназначен тот или иной вредоносный файл (к примеру: «Договор.doc», «Рахунок на оплату.doc» – для бухгалтеров, «Приказ НБУ №159.doc» – банкам, «Списки захопл. в зоні АТО.doc» – военным, и т.д.). В нашем случае мы можем только догадываться, так как:
— слово «Licence» – написано с ошибкой; — слова «Licence expired» и «expired Licence» говорят о том, что тематика может касаться срока действия какой-то лицензии;
— строка «TRMSCD3L», если поискать в Google, вообще ассоциируется со SWIFT CODE банка TRUST MERCHANT BANK SARL, находящегося в Демократической республике Конго (г. Лубумбаши).
В общем, в данном случае понять трудно. Видимо, атакующий очень хорошо знал жертву, так как при именовании вредоносных файлов указал целый набор едва связных посылов.
Как правило, изучение вредоносных программ осуществляется с помощью динамического (если возможно) и статического анализа. В статье опишем результаты изучения файла «Reported for TRMSCD3L Licence expired.doc».
Базовый динамический анализ
При открытии файла с помощью MS Word происходит эксплуатация уязвимости (если Вы на своем ПК не обновляли MS Word с 2012 года) и на компьютере создается файл c произвольным именем:
Path: C:Users%USERNAME%AppDataLocalMicrosoftWindows FileName: yoymbgp.exe Md5: 11b6a2ea17d18c09cc274731f05e89b5
Помимо этого, с целью обеспечения выживаемости, файл добавляется в автозагрузку (рис. 1), для чего в реестр вносятся соответствующие изменения (имя значения также является произвольным):
RegKey Data: C:Users%USERNAME% AppDataLocalMicrosoftWindows yoymbgp.exe RegKey Data Type: REG_SZ RegKey Value Name: atk17n5rAA RegKey Name: HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
Рис. 1
Хоть это и примитивно, но мы советуем посматривать в автозагрузку вашего ПК и не допускать присутствия там неведомых вам программ. Чтобы проверить автозагрузку можно воспользоваться как штатным функционалом вашей операционной системы (в командной строке: regedit, msconfig), так и сторонним программным обеспечением.
На следующем этапе вредоносная программа запускает легитимные процессы svchost.exe и внедряет в них вредоносный код, с целью его последующей расшифровки. Эта процедура повторяется несколько раз (вначале статьи мы упоминали о многоразовом шифровании). Также, на этом этапе осуществляется взаимодействие между зараженным компьютером и сервером управления, откуда вредонос скачивает модули. Пример такого сетевого взаимодействия:
HTTP GET-запросы: hxxp:// 95.211.204.14:80/m/228131.zip hxxp:// 95.211.204.14:80/m/721118.zip hxxp:// 95.211.204.14:80/m/958232.zip hxxp:// 95.211.204.14:80/m/855787.zip hxxp:// 95.211.204.14:80/m/5594516.zip HTTP POST-запросы: hxxp://95.211.204.14:443/$rdgate?ACTION=HELLO hxxp://95.211.204.14:443/$rdgate?ACTION=START&ID=877A74B0199241848C931A962ADC55EB hxxp://95.211.204.
14:80/test.php hxxp://95.211.204.
14:80/f9S52tseWPcDGvbEY+EbYJ4RhUnZm=AUM9a6oYAcOAV1yFsXJvsCWAbvctbESCEjhquFuqiNqF7U+LXCZNvRPI=hTC33NJIGDdksedqqxnxIzDdajIAODy2BOlYTeX6UDngpU1N65nY4namu0clLOMcuLqKCUnhRFOwgl8tn4sYTWZ4ZIEBePs0AkMG5Y1QEiqWBx=V51N3X1MY4u9Oebs8jnhHPwdJ2Twszc7yDt8YAQTWRHPgkAgjNCdrlGsnyxumtfn7tQVwg3fxRlnshF=YQsjXY0HpwxJZ5Qm7==F8bU9xCPHq6muMltO7J1cbO+JGVLNLQ7WqIkT5EEi
Статический анализ
Данный образец вредоносной программы был изрядно запакован – прежде чем приступить к его детальному изучению нам пришлось снять три «слоя» обфускации:
[binary_layer1.exe][6197736aec27686e6f63e75cac0a6d] [binary_layer2.exe][6c7441ec1b630fd299d8196367aefeea] [binary_layer3.exe][9347cb20a1ec90c61e1ff8ded379fc81]
Последующее изучение проводилось в отношении распакованного образца «binary_layer3.exe». При запуске вредоносной программы первым делом она осуществляет проверку на предмет наличия на зараженном ПК необходимых модулей («check_payload_plugin»), и, при отсутствии, инициирует их скачивание с сети Интернет. Специально для скачивания создается отдельный поток по адресу 0x00419A60 (мы его назвали «create_thread_3»).
Рис. 2
Условием выполнение потока 2 («create_thread_2») является наличие в реестре скачанных и записанных в реестр модулей вредоносной программы (рис. 3-4):
RagKey Name: HKCUSoftwareGoogleUpdateetworksecure
Рис. 3
Рис. 4
Пример состояния реестра после скачивания необходимых модулей приведен на рис. 5. Все скачанные модули хранятся в реестре в зашифрованном виде. Имена ключей в реестре также являются произвольными.
Рис. 5
Некоторые артефакты сетевого взаимодействия зараженного ПК и сервера управления (IP-адрес сервера управления, а также URL, используемый для отправки HTTP-запроса):
Рис. 6
Рассмотрим более детально последовательность действий, выполняемых потоком 2, так как именно он играет ключевую роль в расшифровке вредоносных модулей. Потоком 2 последовательно осуществляется составление списка модулей (рис. 7), расшифровка и проверка их имен (рис. 8). Ключ для расшифровки каждого модуля уникален и является изменяемым значением (рис. 9).
Рис. 7
Рис. 8
Рис. 9
После успешной расшифровки данных, записанных под непонятными именами в реестр, получаем читаемый и говорящий сам за себя список модулей.
Bot_Engine.bin
PONY_STEALER.bin
REMOTE_DESKTOP_SERVICE.bin
SECURITY.bin
VNC_HIDE_DESKTOP.bin
Алгоритм расшифровки модулей может быть описан таким псевдокодом:
Переменные:
enc_byte зашифрованный байт dec_byte расшифрованный байт HIBYTE извлекает старший байт из данного 16-разрядного значения LOBYTE извлекает младший байт из данного 16-разрядного значения HIWORD извлекает старшое слово из данного 32-разрядного значения LOWORD извлекает младшее слово из данного 32-разрядного значения _DWORD двойное слово (4 байта) _WORD слово (2 байта) key ключ, состоящий из 6 байт size размер зашифрованного массива
Псевдокод:
v0 := *(_DWORD*) key; v1 := *(_WORD*) (key + 4); for (i := 0; i < size; i++) { dec_byte := enc_byte HIBYTE(v1); v1 := HIWORD(v0) + LOWORD(v0) * (uint8)(LOBYTE(v1) + dec_byte); ++enc_byte; ++dec_byte; —size; }
Рассмотрим полученные модули по порядку.
Bot_Engine.bin
Этот модуль должен быть запущен под названием svchost.exe или explorer.exe, иначе он заблаговременно закончит свое исполнение. Пример проверки имени процесса представлен на рис. 10.
Рис. 10-1
Рис. 10-2
Основным предназначением модуля является запуск других модулей. Пример создания потоков для других модулей отображен на рис. 11.
Рис. 11
PONY_STEALER.bin Этот модуль представляет собою не что иное, как одноименную вредоносную программу Pony, функционал которой предусматривает хищение логинов, паролей, кошельков криптовалют. На момент исследования административная панель сервера управления Pony находилась по адресу:
http://95.211.204.14/test.php
REMOTE_DESKTOP_SERVICE.bin Модуль, обеспечивающий скрытый удаленный доступ к компьютеру жертвы посредством протокола RDP и создания обратного соединения (back-connect). Адрес для обратного соединения:
95.211.204.14:443
SECURITY.bin
Данный модуль обеспечивал проверку фактов присутствия на компьютере антивирусного программного обеспечения и других, обеспечивающих безопасность компьютера, программ (рис. 12).
Рис. 12
VNC_HIDE_DESKTOP.bin Модуль, обеспечивающий скрытый удаленный доступ к компьютеру жертвы посредством протокола VNC и создания обратного соединения (back-connect). Адрес для обратного соединения:
95.211.204.14:8098
Вместо заключения.
Данная статья создавалась с целью демонстрации, на примере актуальных атак, возможностей, тактик и техник заинтересованных лиц по получению скрытого доступа к компьютеру исследуемого объекта, а также для повышения уровня всеобщей осведомленности в вопросах информационной безопасности.
Рассмотренная в статье атака была зафиксирована в первой декаде октября, исходя из чего, мы допускаем, что актуальность приведенных индикаторов компрометации (IP-адреса, в частности) может быть под вопросом.
Следует отметить, что согласно данным Passive DNS (грубо говоря – истории соответствия доменных имен и IP-адресов) в первом квартале 2014 года IP-адрес 95.211.204.14 соответствовал доменному имени severodvinsk-bux.ru, которое принадлежит веб-сайту, специализирующемуся на рекламе. Это может означать ровным счетом ничего (так как прошло больше года, да и сайт сей меняет «айпишники» как перчатки), но, для полноты картины, мы добавили эту частичку информации.
Отдел реагирования на инциденты CyS Centrum
Использованные материалы:
[1] https://ru.wikipedia.org/wiki/Обфускация
Что за процесс Atieclxx.exe, и как от него избавиться?
Достаточно часто пользователи всех уровней подготовки обращаются к «Диспетчеру задач» и видят в нем огромное количество запущенных процессов и служб. Некоторые из них многим не знакомы. К тому же эти компоненты грузят процессор и оперативную память практически до ста процентов. Одна из таких служб – Atieclxx.exe. Что за процесс перед нами, далее предлагается рассмотреть. Кроме основного вопроса, посмотрим, что можно сделать, чтобы снизить потребление системных ресурсов, как избавиться от самого процесса.
Что за процесс — Atieclxx.exe?
Многие пользователи, видя незнакомые процессы, чрезмерно нагружающие систему, почему-то думают, что перед ними вирусный апплет. Сразу хочется сказать, что описываемая служба к угрозам не имеет абсолютно никакого отношения. Но что это за процесс?
Atieclxx.exe является программным компонентом, который связан с конфигурацией видеопамяти, установленного в системе графического адаптера от ATI. Его можно назвать своеобразным интерпретатором внешних событий. Но в активном состоянии эта служба находится не постоянно. Она включается на полную мощность только в те моменты, когда при большом количестве запущенных программ, использующих ресурсы видеокарты, собственной памяти адаптера (VRAM) не хватает, а сама служба «заимствует» часть оперативной памяти.
В некотором смысле это напоминает работу виртуальной памяти в самих Windows-системах, когда при нехватке оперативного объема, используется часть жесткого диска. Но основной принцип работы в нашем случае несколько отличается, поскольку, как уже понятно, свободное пространство винчестера изначально не используется (разве что при нехватке ОЗУ).
Почему служба нагружает ресурсы?
Но почему же тогда при активации этого процесса нагрузка возрастает просто неимоверно? Пояснить это можно на простом примере. Пользователь запускает ресурсоемкую игру, параллельно слушает музыку с использованием программного плеера, но тут срочно требуется отредактировать текстовый документ в офисном редакторе Word. Он открывает документ, а редактор зависает.
Причина проста: приоритет использования видео- и оперативной памяти остается за мультимедиа и игрой, которые и так уже «съели» большую часть ресурсов, поэтому на Word запаса памяти просто не остается. Завершение активного процесса Atieclxx.exe в «Диспетчере задач» приводит к тому, «вылетает» также и игра.
Но что можно сделать, чтобы избежать подобных конфликтов?
Можно ли удалить Atieclxx.exe?
Если рассматривать именно удаление этого программного компонента, то действительно, деинсталлировать его можно из раздела программ и компонентов «Панели управления» или воспользоваться программами-деинсталляторами.
Однако большинство специалистов делать этого не рекомендует (особенно в случае малого объема выделенной памяти у самого графического адаптера), поскольку ресурсов для запуска приложений, использующих объем видеопамяти, превышающий доступный, не останется. Иными словами, пропадает тот самый мост, который обеспечивает обращение к оперативной памяти.
Что за процесс Atieclxx.exe, немного разобрались. Теперь давайте посмотрим, что можно сделать для снижения нагрузки без удаления искомого апплета.
Для начала следует проверить раздел автозагрузки (программа, кстати сказать, стартует вместе с системой, что вызывает дополнительную нагрузку на ресурсы). Службу нужно отключить. В версиях системы ниже восьмой для доступа используется команда msconfig, в модификациях выше этот раздел находится непосредственно в «Диспетчере задач». Только отключать следует компонент Catalyst Control Center. После изменения конфигурации систему нужно перезагрузить в обязательном порядке.
Теперь еще один взгляд на этот исполняемый компонент. Что за процесс Atieclxx.exe, понятно. Но стоит обратить внимание на то, что именно основная служба (а не процесс) может выполняться и в фоновом режиме. Для ее деактивации нужно использовать соответствующий раздел служб (services.msc), найти искомый элемент, войти в редактирование опций, соответствующей кнопкой остановить выполнение службы и выставить тип запуска на отключенный.
Краткий итог
Вот и все, что касается данной службы. Напоследок остается добавить, что по большому счету процесс и одноименную службу, отвечающую за работу компонента Atieclxx.exe, в Windows 7 и выше лучше просто отключить, а не удалять. В случае необходимости эти элементы можно будет без проблем активировать заново (когда понадобится запустить ресурсоемкую игру или мультимедийное приложение, требующее постоянного обращения к видеопамяти).
Дорогие читатели, если вы увидели ошибку или опечатку в статье «Famitrfc exe что за процесс», помогите нам ее исправить! Выделите ошибку и нажмите одновременно клавиши «Ctrl» и «Enter». Мы получим ваше сообщение и внесём исправления в ближайшее время.