Часть 4: Анализ сетевой активности
При анализе сетевой активности нашего вредоносного ПО выявились несколько интересных запросов.
Первый тип запроса осуществляется четыре раза и направлен на URL https://ip-api.com/line/?fields=hosting. Этот сервис возвращает информацию о том, связан ли указанный IP-адрес с хостингом (например, принадлежит ли он дата-центру или хостинг-провайдеру). Это необходимо для проверки, не запускается ли малварь в песочнице, такой как VirusTotal. Если ответ — True, вредонос отказывается запускаться.
Разобравшись в логике запросов, становится ясно, почему их четыре:
Первый запрос выполняется при открытии файла Explorer.exe (RuntimeDecryptor).
Второй запрос происходит, когда Explorer.exe выполняет из памяти свой второй исполняемый модуль — a.exe (CelestialClient).
Третий запрос выполняется после того, как малварь клонирует себя в свою рабочую директорию и перезапускается под именем RuntimeBroker.exe (RuntimeDecryptor).
Четвертый запрос — тоже самое, что и во втором пункте, вредонос выполняет из памяти свой второй исполняемый модуль — a.exe (CelestialClient).
Следующая сетевая активность связана непосредственно с работой вредоноса. Пятый запрос осуществляет обмен ClientHello/ServerHello с сайтом Pastebin, после чего шестой запрос направлен на URL https://pastebin.com/raw/vJWAQNcE.
Проанализировав шестой запрос, я обнаружил интересный адрес host:port —
j-triumph.gl.at.ply.gg:29599, который используется для подключения малвари к компьютеру злоумышленника создавшего билд. Этот адрес предоставлен хостинг-провайдером playit.gg, который позволяет запускать игровые сервера на собственном компьютере через их инфраструктуру.
Замечу, что с провайдером playit.gg можно связаться по адресу abuse@playit.gg и сообщить о злоупотреблении их серверами. Например, о том, что кто-то использует их сервис для развертывания сервера вредоносного ПО. В этом случае, провайдер может удалить такой сервер.
Last updated