Как стать автором
Обновить

Анализ sms-бота для Android. Часть I

Блог компании Pentestit Информационная безопасность *Реверс-инжиниринг *

Анализ sms-бота для Android. Часть I.


image

Введение
Разбор smsBot (Android) с целью выявления принципа работы и интересного функционала.
Бот реализован для платформы Android, алгоритм вскрытия приложения таков:
  • Скачиваем APK-файл;
  • Извлекаем файл манифеста;
  • Декомпилируем приложение в читаемый исходный или байт-код;
  • Анализируем манифест и код.

Инструментарий:
  • Apktool – Используем для того, чтобы вытащить манифест и ресурсы;
  • Dex2jar – Декомпилируем APK-файл в байт-код;
  • Jd-gui – Байт-код переводим в читабельный код.


Читать дальше →
Всего голосов 29: ↑23 и ↓6 +17
Просмотры 22K
Комментарии 10

Явка провалена: выводим AgentTesla на чистую воду. Часть 2

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *

Мы продолжаем серию статей, посвященных анализу вредоносного программного обеспечения. В первой части мы рассказывали, как Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, провел детальный анализ файла, полученного по почте одной из европейских компаний, и обнаружил там шпионскую программу AgentTesla. В этой статье Илья приводит результаты поэтапного анализа основного модуля AgentTesla.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 8.8K
Комментарии 0

Явка провалена: выводим AgentTesla на чистую воду. Часть 3

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *


Этой статьей мы завершаем цикл публикаций, посвященных анализу вредоносного программного обеспечения. В первой части мы провели детальный анализ зараженного файла, который получила по почте одна европейская компания, и обнаружили там шпионскую программу AgentTesla. Во второй части описали результаты поэтапного анализа основного модуля AgentTesla.

Сегодня Илья Померанцев, специалист по анализу вредоносного кода CERT Group-IB, расскажет о первом этапе анализа ВПО — полуавтоматической распаковке сэмплов AgentTesla на примере трех мини-кейсов из практики специалистов CERT Group-IB.
Читать дальше →
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.4K
Комментарии 0

Вскрываем ProLock: анализ действий операторов нового вымогателя по матрице MITRE ATT&CK

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *


Успех атак вирусов-шифровальщиков на организации по всему миру побуждает все больше новых злоумышленников «вступить в игру». Один из таких новых игроков — группа, использующая шифровальщик ProLock. Он появился в марте 2020 года как преемник программы PwndLocker, которая начала работать с конца 2019 года. Атаки шифровальщика ProLock, прежде всего, нацелены на финансовые и медицинские организации, государственные учреждения и сектор розничной торговли. Недавно операторы ProLock успешно атаковали одного из крупнейших производителей банкоматов — компанию Diebold Nixdorf.

В этом посте Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB, рассказывает об основных тактиках, техниках и процедурах (TTPs), используемых операторами ProLock. В конце статьи — сопоставление с матрицей MITRE ATT&CK, публичной базой данных, в которой собраны тактики целевых атак, применяемые различными киберпреступными группами.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 2K
Комментарии 1

Loki 1.8: досье на молодой и подающий надежды Data Stealer

Блог компании Group-IB Информационная безопасность *IT-инфраструктура *Реверс-инжиниринг *Исследования и прогнозы в IT *


В середине июня борьба с коронавирусом в Казахстане была в самом разгаре. Встревоженные ростом числа заболевших (тогда заразился даже бывший президент Нурсултан Назарбаев), местные власти решились вновь позакрывать все торгово-развлекательные центры, сетевые магазины, рынки и базары. И в этот момент ситуацией воспользовались киберпреступники, отправившие по российским и международным компаниям вредоносную рассылку.

Опасные письма, замаскированную под обращение министра здравоохранения Республики Казахстан, перехватила система Threat Detection System (TDS) Group-IB. Во вложении письма находились документы, при запуске которых на компьютер устанавливалась вредоносная программа из семейства Loki PWS (Password Stealer), предназначенная для кражи логинов и паролей с зараженного компьютера. В дальнейшем злоумышленники могут использовать их для получения доступа к почтовым аккаунтам для финансового мошенничества, шпионажа или продать на хакерских форумах.

В этой статье Никита Карпов, аналитик CERT-GIB, рассматривает экземпляр одного из самых популярных сейчас Data Stealer’ов — Loki.
Читать дальше →
Рейтинг 0
Просмотры 3.2K
Комментарии 0

Крошка Енот: как операторы JS-сниффера FakeSecurity распространяли стилер Raccoon

Блог компании Group-IB Информационная безопасность *


Летом 2020 года специалисты Group-IB обратили внимание на необычную кампанию по распространению стилера Raccoon. Сам стилер хорошо известен: он умеет собирать системную информацию, данные учетных записей в браузерах, данные банковских карт, а также ищет информацию о крипто-кошельках.

Сюрприз оказался в другом. Никита Ростовцев, аналитик Group-IB Threat Intelligence & Attribution, рассказывает, как в ходе исследования удалось восстановить хронологию вредоносной кампании, установить связи с другими элементами инфраструктуры злоумышленников. Забегая вперед, отметим, что «енот» оказался прикормленным уже известной нам группой.
Читать дальше →
Всего голосов 3: ↑3 и ↓0 +3
Просмотры 2.7K
Комментарии 1

Обновки AgentTesla: командный центр в Telegram, TorProxy, стилер паролей и другие новые фичи

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

Недавно мы писали про протектор, который скрывает вредоносную программу AgentTesla, заслуженного пенсионера на рынке вредоносного ПО. Однако AgentTesla и не думает уходить со сцены, своей популярностью он обязан в том числе постоянной поддержке продукта разработчиками — в этом году авторы AgentTesla снова обновили свой стилер. Илья Померанцев, руководитель группы исследований и разработки CERT-GIB, рассказывает о новых возможностях AgentTesla.
Читать дальше →
Всего голосов 4: ↑4 и ↓0 +4
Просмотры 2.2K
Комментарии 0

К вам ползет Snake: разбираем новый кейлоггер

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

В конце прошлого года в руки аналитикам CERT-GIB попал любопытный образец ВПО — Snake Keylogger. Хотя справедливости ради заметим, что изучаемый объект являлся скорее стилером, так как KeyLogger — лишь часть его функционала, отвечающего за логгирование нажатий клавиш на клавиатуре. "Пойман" был данный экземпляр не в чистом виде, а уже зашифрованным криптером Cassandra, о котором мы писали недавно. При первом взгляде на Snake Keylogger казалось, что он находится на стадии бета-теста, так как многие функции были неактивны и записи из конфигурационного файла нигде не использовались. Что оказалось на самом деле, как устроена эта вредоносная программа, как она проникает на устройство жертвы и какие механизмы защиты использует, рассказывает Алексей Чехов, аналитик CERT-GIB.

Читать далее
Всего голосов 8: ↑7 и ↓1 +6
Просмотры 5.2K
Комментарии 2

Анализ вредоносных программ. Интересные трюки

Информационная безопасность *Реверс-инжиниринг *
Из песочницы
✏️ Технотекст 2021

Решил сделать серию публикаций про интересные трюки и оригинальные идеи, выявленные при анализе вредоносных программ, а также и про подходы, которые использовались при анализе. Надеюсь, что публикации будет интересными, а возможности и желания хватит на большую серию, а там уже увидим…

В качестве первой публикации решил выбрать одну из любимых находок, которая попалась мне в октябре 2016 года. Речь идет об одной из первых реализаций интересной техники закрепления с помощью WMI "Event Triggered Execution: Windows Management Instrumentation Event Subscription" (T1546.003).

Читать далее
Всего голосов 29: ↑29 и ↓0 +29
Просмотры 12K
Комментарии 16

Средства автоматизации анализа вредоносных программ

Информационная безопасность *Реверс-инжиниринг *

На примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy. Демонстрируются их возможности по расшифровке конфигурационных данных, деобфускации строк и вызовов функций API для проведения дальнейшего статического анализа.

Читать далее
Всего голосов 13: ↑13 и ↓0 +13
Просмотры 3.5K
Комментарии 6

Средства автоматизации анализа вредоносных программ

Информационная безопасность *Реверс-инжиниринг *

На примере программы-вымогателя REvil рассматривается использование при анализе вредосного программного обеспечения таких средств автоматизации, как Python, IDAPython, x64bgpy.

Во 2-ой части статьи демонстрируются возможности IDAPython по деобфускации строк для дальнейшего статического анализа.

Читать далее
Всего голосов 7: ↑7 и ↓0 +7
Просмотры 2.2K
Комментарии 0

Как анализировать вредоносное ПО с помощью x64dbg

Блог компании Varonis Systems Информационная безопасность *Антивирусная защита *
Перевод

Это четвертая и заключительная статья в серии публикаций, посвященных x64dbg. В этой статье мы воспользуемся полученными знаниями, чтобы продемонстрировать некоторые методы, которые можно использовать при реверс-инжиниринге вредоносного ПО.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 4.9K
Комментарии 0

Средства автоматизации анализа вредоносных программ

Информационная безопасность *Реверс-инжиниринг *

Заключительная часть статьи, посвященной средствам автоматизации анализа вредоносных программ. В этой части рассматриваются способы деобфускации вызовов функций API на примере программ-вымогателей REvil и BlackMatter.

Читать далее
Всего голосов 5: ↑5 и ↓0 +5
Просмотры 1.6K
Комментарии 4

Обзор правил YARA: изучение инструмента исследования вредоносного ПО

Блог компании Varonis Systems Информационная безопасность *Антивирусная защита *
Перевод

Правила YARA используются для классификации и идентификации образцов вредоносных программ путем создания описаний их семейств на основе текстовых или двоичных шаблонов.

Читать далее
Рейтинг 0
Просмотры 4.8K
Комментарии 0

Очень темные дела: BlackMatter и его жертвы

Блог компании Group-IB Информационная безопасность *Реверс-инжиниринг *Исследования и прогнозы в IT *IT-компании

Сегодня преступная группа BlackMatter объявила о закрытии своей партнерской программы из-за "давления со стороны властей". Однако, это не значит, что операторы и их партнеры прекратят атаки. Скорее всего, они присоединятся к другим программам RaaS или, как это случалось ранее, после ребрендинга вновь возьмутся за старое. Помните, как августе, в нашей первой статье о BlackMatter мы говорили о том, что новый вымогатель появился сразу после исчезновения из публичного поля двух самых активных и агрессивных преступных группировок – DarkSide и REvil, атаковавших такие крупные компании, как Toshiba, JBS S.A., Colonial Pipeline и Kaseya. Но, если летом у исследователей еще были вопросы, кто стоит за новой программой-вымогателем, то сейчас ни у кого не осталось сомнений, что BlackMatter является продолжателем дела DarkSide, и если новичок еще не затмил своего прародителя, то это лишь вопрос времени.

Читать далее
Всего голосов 8: ↑8 и ↓0 +8
Просмотры 3.7K
Комментарии 3