স্টিলথ ফ্যালকন ডেডগ্লিফের সাথে মধ্যপ্রাচ্যের আকাশে শিকার করছে

বছরের পর বছর ধরে, মধ্যপ্রাচ্য উন্নত ক্রমাগত হুমকির (এপিটি) জন্য একটি উর্বর ভূমি হিসাবে তার খ্যাতি বজায় রেখেছে। হাই-প্রোফাইল গ্রাহকদের সিস্টেমে সন্দেহজনক কার্যকলাপের নিয়মিত পর্যবেক্ষণের মধ্যে, এই অঞ্চলে ভিত্তিক কিছু, ESET গবেষণা একটি অত্যন্ত পরিশীলিত এবং অজানা ব্যাকডোরে হোঁচট খেয়েছে যার নাম আমরা ডেডগ্লাইফ দিয়েছি। আমরা পিছনের দরজায় পাওয়া নিদর্শনগুলি থেকে নামটি নিয়েছি (যেমন 0xমৃতB001, এছাড়াও দেখানো হয়েছে REF _Ref111452440 জ টেবিল 1
), একটি হোমো উপস্থিতি সঙ্গে মিলিতগ্লিফ আক্রমণ আমাদের সর্বোত্তম জ্ঞান অনুসারে, এটি এই পূর্বে অনথিভুক্ত ব্যাকডোরের প্রথম সর্বজনীন বিশ্লেষণ, একটি গোষ্ঠী দ্বারা ব্যবহৃত যা একটি উল্লেখযোগ্য মাত্রার পরিশীলিততা এবং দক্ষতা প্রদর্শন করে৷ টার্গেটিং এবং অতিরিক্ত প্রমাণের উপর ভিত্তি করে, আমরা স্টিলথ ফ্যালকন এপিটি গ্রুপকে উচ্চ আত্মবিশ্বাসের সাথে ডেডগ্লিফকে দায়ী করি।

ডেডগ্লিফের স্থাপত্যটি অস্বাভাবিক কারণ এটি গঠিত সহযোগী উপাদান - একটি নেটিভ x64 বাইনারি, অন্যটি একটি .NET সমাবেশ। এই সংমিশ্রণটি অস্বাভাবিক কারণ ম্যালওয়্যার সাধারণত তার উপাদানগুলির জন্য শুধুমাত্র একটি প্রোগ্রামিং ভাষা ব্যবহার করে। এই পার্থক্যটি এই দুটি উপাদানের পৃথক উন্নয়ন নির্দেশ করতে পারে যখন তারা ব্যবহার করে স্বতন্ত্র প্রোগ্রামিং ভাষার অনন্য বৈশিষ্ট্যগুলির সুবিধা গ্রহণ করে। বিশ্লেষণকে বাধাগ্রস্ত করার জন্য বিভিন্ন ভাষাও ব্যবহার করা যেতে পারে, কারণ মিশ্র কোড নেভিগেট এবং ডিবাগ করা আরও কঠিন।

প্রথাগত ব্যাকডোর কমান্ডগুলি ব্যাকডোর বাইনারিতে প্রয়োগ করা হয় না; পরিবর্তে, তারা গতিশীলভাবে অতিরিক্ত মডিউল আকারে কমান্ড এবং নিয়ন্ত্রণ (C&C) সার্ভার থেকে এটি দ্বারা প্রাপ্ত হয়। শনাক্ত হওয়া এড়াতে এই ব্যাকডোরে বেশ কিছু ক্ষমতা রয়েছে।

এই ব্লগপোস্টে, আমরা ডেডগ্লিফকে ঘনিষ্ঠভাবে দেখি এবং এই ব্যাকডোর, এর উদ্দেশ্য এবং আমরা যে অতিরিক্ত উপাদান পেয়েছি তার একটি প্রযুক্তিগত বিশ্লেষণ প্রদান করি। আমরা ডেডগ্লাইফ সম্পর্কে আমাদের ফলাফলগুলিও উপস্থাপন করছি LABScon 2023 সম্মেলনে।

ব্লগপোস্টের মূল পয়েন্ট:

• ESET গবেষণা অস্বাভাবিক স্থাপত্য সহ একটি পরিশীলিত ব্যাকডোর আবিষ্কার করেছে যেটিকে আমরা ডেডগ্লিফ নাম দিয়েছি।
• প্রধান উপাদানগুলি একটি মেশিন-নির্দিষ্ট কী ব্যবহার করে এনক্রিপ্ট করা হয়।
• প্রথাগত ব্যাকডোর কমান্ডগুলি এর C&C সার্ভার থেকে প্রাপ্ত অতিরিক্ত মডিউলগুলির মাধ্যমে প্রয়োগ করা হয়।
• আমরা অনেক মডিউলের মধ্যে তিনটি পেয়েছি - প্রক্রিয়া নির্মাতা, ফাইল রিডার এবং তথ্য সংগ্রাহক।
• আমরা ডেডগ্লাইফকে স্টিলথ ফ্যালকন গ্রুপের জন্য দায়ী করি।
• উপরন্তু, আমরা একটি সম্পর্কিত শেলকোড ডাউনলোডার পেয়েছি; আমরা অনুমান করি যে এটি সম্ভাব্য ডেডগ্লিফ ইনস্টল করার জন্য ব্যবহার করা যেতে পারে।

বিশ্লেষিত অনুপ্রবেশের শিকার হল মধ্যপ্রাচ্যের একটি সরকারী সংস্থা যা গুপ্তচরবৃত্তির উদ্দেশ্যে আপস করা হয়েছিল। VirusTotal-এ পাওয়া একটি সম্পর্কিত নমুনা এই অঞ্চল থেকে, বিশেষ করে কাতার থেকে ফাইল-স্ক্যানিং প্ল্যাটফর্মে আপলোড করা হয়েছিল। টার্গেট করা অঞ্চলটি মানচিত্রে দেখানো হয়েছে৷ REF _Ref143614671 জ ব্যক্তিত্ব 1
.

স্টিলথ ফ্যালকন (প্রজেক্ট রেভেন বা ফ্রুটিআর্মর নামেও পরিচিত) সংযুক্ত আরব আমিরাতের সাথে যুক্ত একটি হুমকি গোষ্ঠী MITER অনুযায়ী. 2012 সাল থেকে সক্রিয়, স্টিলথ ফ্যালকন মধ্যপ্রাচ্যে রাজনৈতিক কর্মী, সাংবাদিক এবং ভিন্নমতাবলম্বীদের টার্গেট করতে পরিচিত। এটি প্রথম দ্বারা আবিষ্কৃত এবং বর্ণনা করা হয়েছিল নাগরিক ল্যাব, যা একটি প্রকাশিত বিশ্লেষণ 2016 সালে স্পাইওয়্যার আক্রমণের একটি প্রচারণা।

জানুয়ারী 2019 এ, রয়টার্স একটি প্রকাশ করেছে অনুসন্ধানী রিপোর্ট প্রোজেক্ট রেভেন-এ, একটি উদ্যোগ যা প্রাক্তন এনএসএ অপারেটিভদের নিয়োগ করে এবং স্টিলথ ফ্যালকনের মতো একই ধরনের লক্ষ্যগুলিকে লক্ষ্য করে। এই দুটি প্রতিবেদনের ভিত্তিতে একই লক্ষ্যবস্তু ও হামলার কথা উল্লেখ করে অ্যামনেস্টি ইন্টারন্যাশনাল শেষ হয়েছে (এ দেখানো হয়েছে REF _Ref144978712 জ ব্যক্তিত্ব 2
) যে স্টিলথ ফ্যালকন এবং প্রজেক্ট রেভেন আসলে একই গ্রুপ।

সেপ্টেম্বর 2019 এ, আমরা প্রকাশিত গবেষণা একটি ব্যাকডোরে, স্টিলথ ফ্যালকনকে দায়ী করা হয়েছে, যা একটি অস্বাভাবিক কৌশল ব্যবহার করেছে, পট, C&C যোগাযোগের জন্য। আমরা এখন স্টিলথ ফ্যালকনের গুপ্তচরবৃত্তি টুলসেটের নতুন সংযোজন কী তা নিয়ে আমাদের গভীর বিশ্লেষণের ফলাফল প্রকাশ করছি।

ডেডগ্লিফ পিছনের দরজা

ডেডগ্লিফের লোডিং চেইন একাধিক উপাদান নিয়ে গঠিত, যেমনটি চিত্রিত হয়েছে REF _Ref144978760 জ ব্যক্তিত্ব 3
. প্রাথমিক উপাদানটি একটি রেজিস্ট্রি শেলকোড লোডার, যা রেজিস্ট্রি থেকে শেলকোড লোড করে। এই নিষ্কাশিত শেলকোড, ঘুরে, ব্যাকডোরের নেটিভ x64 অংশটি লোড করে - এক্সিকিউটর। নির্বাহক পরবর্তীতে ব্যাকডোরের .NET অংশটি লোড করে – অর্কেস্ট্রেটর। উল্লেখযোগ্যভাবে, একটি ফাইল হিসাবে সিস্টেমের ডিস্কের একমাত্র উপাদান হল প্রাথমিক উপাদান, যা একটি ডায়নামিক লিঙ্ক লাইব্রেরি (DLL) আকারে রয়েছে। অবশিষ্ট উপাদান এনক্রিপ্ট করা হয় এবং একটি বাইনারি রেজিস্ট্রি মানের মধ্যে সংরক্ষণ করা হয়।

যদিও প্রাথমিক সমঝোতা ভেক্টরের সুনির্দিষ্ট পদ্ধতি এখনও নির্ধারণ করা হয়নি, আমাদের সন্দেহ হল যে একটি ইনস্টলার উপাদান আরও উপাদান স্থাপনে এবং সিস্টেমের মধ্যে অধ্যবসায় স্থাপনে জড়িত।

এই বিভাগের বাকি অংশে, আমরা প্রতিটি উপাদান বিশ্লেষণ করি।

রেজিস্ট্রি শেলকোড লোডার

ডেডগ্লিফের প্রাথমিক উপাদান হল একটি ক্ষুদ্র DLL যার নাম একক রপ্তানি সহ 1. এই উপাদানটি ব্যবহার করে চলতে থাকে উইন্ডোজ ম্যানেজমেন্ট ইনস্ট্রুমেন্টেশন (WMI) ইভেন্ট সাবস্ক্রিপশন এবং একটি রেজিস্ট্রি শেলকোড লোডার হিসাবে কাজ করে। এটি কমান্ড লাইনের মাধ্যমে কার্যকর করা হয় rundll32 C:WINDOWSSystem32pbrtl.dll,#1.

রেজিস্ট্রি শেলকোড লোডার RC4 ব্যবহার করে উইন্ডোজ রেজিস্ট্রির মধ্যে সংরক্ষিত এনক্রিপ্ট করা শেলকোডের পাথ ডিক্রিপ্ট করে তার কাজ শুরু করে। আমরা সন্দেহ করি যে পথটি প্রতিটি শিকারের জন্য অনন্য; এখানে বিশ্লেষণ করা ক্ষেত্রে, রেজিস্ট্রি পথটি ছিল:

SoftwareClassesCLSID{5abc7f42-1112-5099-b082-ce8d65ba0c47}cAbRGHLg

রুট রেজিস্ট্রি কী হয় এইচকেএলএম or এইচকেসিইউ, বর্তমান প্রক্রিয়া উন্নত সুবিধার সাথে চলছে কিনা তার উপর নির্ভর করে। একই যুক্তি আরও উপাদান পাওয়া যাবে.

এটি অনুসরণ করে, লোডার একটি মেশিন-নির্দিষ্ট RC4 কী প্রাপ্ত করে সিস্টেম UUID ব্যবহার করে কাঁচা SMBIOS ফার্মওয়্যার টেবিল. এই কী ব্যবহার করে, এটি লোড করে, ডিক্রিপ্ট করে এবং তারপর শেলকোড কার্যকর করে। এটা হাইলাইট করা গুরুত্বপূর্ণ যে এই কী ডেরিভেশন পদ্ধতি নিশ্চিত করে যে সঠিক ডিক্রিপশন ঘটবে না যদি লোডার অন্য কম্পিউটারে কার্যকর করা হয়।

মজার বিষয় হল, লোডারটিকে একটি পতাকা দ্বারাও কনফিগার করা যেতে পারে .ডেটা মেশিন-নির্দিষ্টের পরিবর্তে শেলকোড ডিক্রিপ্ট করার জন্য একটি হার্ডকোডেড কী ব্যবহার করার জন্য বিভাগ।

আমরা মাইক্রোসফ্ট কর্পোরেশনের অনুকরণে একটি হোমোগ্লিফ আক্রমণ দেখেছি ভার্সন তথ্য এই এবং অন্যান্য PE উপাদানের সম্পদ। এই পদ্ধতিতে স্বতন্ত্র ইউনিকোড অক্ষর ব্যবহার করা হয়েছে যা দৃশ্যত একই রকম দেখায়, কিন্তু এই ক্ষেত্রে অভিন্ন নয়, মূল অক্ষরের সাথে, বিশেষ করে গ্রীক ক্যাপিটাল লেটার সান (U+03FA, Ϻ) এবং সিরিলিক ছোট বর্ণ O (U+043E, о) Ϻআইসিআরоsоft Corpоরতিоn.

রেজিস্ট্রি শেলকোড

দুটি অংশ নিয়ে গঠিত, রেজিস্ট্রি শেলকোড একটি ডিক্রিপশন রুটিন এবং একটি এনক্রিপ্ট করা বডি নিয়ে গঠিত। প্রথমত, ডিক্রিপশন রুটিন এনক্রিপ্ট করা বডির প্রতিটি বাইটকে একটি করে বাম দিকে ঘোরায় (ROL 0x01) পরবর্তীকালে, নিয়ন্ত্রণ এই ডিক্রিপ্ট করা শরীরে স্থানান্তরিত হয়। ডিক্রিপ্ট করা বডিতে একটি PE লোডার এবং একটি PE ফাইল থাকে, পরেরটি হল এক্সিকিউটর, যা ব্যাকডোরের নেটিভ অংশকে প্রতিনিধিত্ব করে। এই লোডার সংশ্লিষ্ট PE ফাইল পার্সিং এবং লোড করার জন্য দায়ী।

নির্বাহক

এক্সিকিউটর হল ডেডগ্লিফ ব্যাকডোরের নেটিভ x64 অংশ, যা নিম্নলিখিতগুলি করে:

• এর কনফিগারেশন লোড করে,
• .NET রানটাইম শুরু করে,
• ব্যাকডোরের এমবেডেড .NET অংশ লোড করে (অর্কেস্ট্রেটর), এবং
• অর্কেস্ট্রেটরের জন্য একটি লাইব্রেরি হিসাবে কাজ করে।

প্রথমত, দুটি ডিফল্ট কনফিগারেশন এম্বেড করা হয়েছে .ডেটা বিভাগ AES-ডিক্রিপ্ট করা হয়। কনফিগারেশনগুলি এনক্রিপশন কী, নিরাপত্তা এবং ফাঁকি সেটিংস এবং পরবর্তী কম্পোনেন্টের এন্ট্রি পয়েন্ট সহ বিভিন্ন পরামিতি অন্তর্ভুক্ত করে।

প্রাথমিক সঞ্চালনের সময়, এই দুটি ডিফল্ট কনফিগারেশন উইন্ডোজ রেজিস্ট্রির মধ্যে সংরক্ষণ করা হয়, যেখান থেকে সেগুলি পরবর্তী রানে লোড করা হয়, যা আপডেটের বাস্তবায়ন সক্ষম করে। প্রতিটি কনফিগারেশনের জন্য রেজিস্ট্রি পাথ নিম্নলিখিত বিন্যাসের সাথে তৈরি করা হয়:

{HKCU|HKLM}SoftwareClassesCLSID{ }(ডিফল্ট)

একটি জেনারেটেড GUID, যা প্রতিটি শিকারের জন্য অনন্য।

এটি অনুসরণ করে, .NET রানটাইম শুরু হয়, তারপর নির্বাহক RC4-অর্কেস্ট্রেটর নামে পরিচিত ব্যাকডোরের .NET অংশটিকে ডিক্রিপ্ট করে। অর্কেস্ট্রেটর এর মধ্যে অবস্থিত .rsrc নির্বাহকের বিভাগ। কনফিগারেশন একটি এন্ট্রি পয়েন্ট হিসাবে অর্কেস্ট্রেটরের নির্বাহের পদ্ধতি নির্দিষ্ট করে। অধিকন্তু, অর্কেস্ট্রেটর দ্বারা নির্বাহকের কার্যাবলীর অ্যাক্সেসযোগ্যতার সুবিধার্থে একটি স্বতন্ত্র কাঠামো প্রদান করা হয়।

অর্কেস্ট্রেটর চালু করার পরে, নির্বাহক অর্কেস্ট্রেটরের জন্য একটি সমর্থন লাইব্রেরি হিসাবে কাজ করে। এক্সিকিউটর অনেক আকর্ষণীয় ফাংশন রয়েছে; অর্কেস্ট্রেটর এবং আরও লোড করা মডিউলগুলির দ্বারা তাদের ব্যবহারের প্রসঙ্গে আমরা নিম্নলিখিত বিভাগে তাদের কিছু বর্ণনা করি।

Orchestrator

.NET-এ লেখা, অর্কেস্ট্রেটর হল ডেডগ্লিফ ব্যাকডোরের প্রধান উপাদান। এই উপাদানটির প্রাথমিক ভূমিকার মধ্যে রয়েছে C&C সার্ভারের সাথে যোগাযোগ স্থাপন এবং কমান্ড কার্যকর করা, যা প্রায়শই নির্বাহকের মধ্যস্থতাকারী ভূমিকার মাধ্যমে সহজতর করা হয়। পূর্ববর্তী উপাদানগুলির বিপরীতে, অর্কেস্ট্রেটর অস্পষ্ট, .NET চুল্লি নিযুক্ত করে। অভ্যন্তরীণভাবে, ব্যাকডোর হিসাবে উল্লেখ করা হয় প্রতিনিধি, যা বিভিন্ন পোস্ট-শোষণ কাঠামোতে ক্লায়েন্ট অংশের জন্য একটি সাধারণ নাম।

আরম্ভ

অর্কেস্ট্রেটর প্রথমে তার কনফিগারেশন এবং দুটি এমবেডেড মডিউল লোড করে, প্রতিটির সাথে তার নিজস্ব কনফিগারেশনের সেট, সম্পদ থেকে। এই সম্পদ হল নি: সৃত হত্তয়া সংকুচিত এবং AES এনক্রিপ্ট করা এগুলিকে একটি আইডি দ্বারা উল্লেখ করা হয়েছে যা SHA-1 একটি সম্পদের নামে হ্যাশ করা হয়েছে৷ এই সম্পদগুলির একটি ওভারভিউ দেওয়া হয় REF _Ref111452440 জ টেবিল 1
.

সারণি 1. অর্কেস্ট্রেটর সম্পদ

সম্পদের নাম	আইডি (দশমিক)	আইডি (হেক্স)	বিবরণ
43ed9a3ad74ed7ab74c345a876b6be19039d4c8c	2570286865	0x99337711	অর্কেস্ট্রেটর কনফিগারেশন।
3a215912708eab6f56af953d748fbfc38e3bb468	3740250113	0xDEEFB001	নেটওয়ার্ক মডিউল।
42fb165bc9cf614996027a9fcb261d65fd513527	3740250369	0xDEEFB101	নেটওয়ার্ক মডিউল কনফিগারেশন।
e204cdcf96d9f94f9c19dbe385e635d00caaf49d	3735924737	0xDEADB001	টাইমার মডিউল।
abd2db754795272c21407efd5080c8a705a7d151	3735924993	0xDEADB101	টাইমার মডিউল কনফিগারেশন।

অর্কেস্ট্রেটর এবং এমবেডেড মডিউলগুলির কনফিগারেশন XML ফর্ম্যাটে সংরক্ষণ করা হয়। একটি অর্কেস্ট্রেটর কনফিগারেশনের একটি উদাহরণ দেখানো হয়েছে REF _Ref111452611 জ
ব্যক্তিত্ব 4
.

অর্কেস্ট্রেটর কনফিগারেশন এন্ট্রিগুলির বিবরণ দেখানো হয়েছে REF _Ref111452782 জ টেবিল 2
.

সারণি 2. অর্কেস্ট্রেটর কনফিগারেশন এন্ট্রি

রিসোর্স উপাদানগুলি লোড হওয়ার পরে, স্বতন্ত্র কাজগুলি সম্পাদন করার জন্য একাধিক থ্রেড তৈরি করা হয়। এই থ্রেডগুলির মধ্যে একটি পরিবেশ পরীক্ষা পরিচালনার জন্য দায়ী, এটি নির্বাহকের মধ্যে প্রয়োগ করা একটি ফাংশন। আরেকটি থ্রেড C&C সার্ভারের সাথে পর্যায়ক্রমিক যোগাযোগ স্থাপনের জন্য নিবেদিত, কমান্ড পুনরুদ্ধার সক্ষম করে। সবশেষে, তিনটি থ্রেডের একটি সেট প্রাপ্ত কমান্ড কার্যকর করার উদ্দেশ্যে নিযুক্ত করা হয় এবং পরবর্তীতে যেকোন উৎপন্ন আউটপুটকে C&C সার্ভারে ফেরত পাঠানো হয়।

এনভায়রনমেন্ট-চেকিং থ্রেড অবাঞ্ছিতদের শনাক্ত করার জন্য চলমান প্রক্রিয়াগুলি নিরীক্ষণ করে। এই থ্রেডটি প্রক্রিয়ার নামের দুটি স্বতন্ত্র তালিকার সাথে কাজ করে। প্রথম তালিকায় একটি প্রক্রিয়া সনাক্ত করা হলে, অবাঞ্ছিত প্রক্রিয়াটি আর বিদ্যমান না হওয়া পর্যন্ত C&C যোগাযোগ এবং কমান্ড এক্সিকিউশন স্থগিত করা হয়। যদি দ্বিতীয় তালিকায় কোনো প্রক্রিয়ার জন্য একটি মিল থাকে, তাহলে ব্যাকডোর অবিলম্বে প্রস্থান করে এবং নিজেই আনইনস্টল করে।

বিশ্লেষিত দৃষ্টান্তে কোনো তালিকাই কনফিগার করা হয়নি, তাই আমরা জানি না কোন প্রক্রিয়ার জন্য সাধারণত পরীক্ষা করা যেতে পারে; আমরা বিশ্বাস করি এটি সম্ভবত বিশ্লেষণ সরঞ্জামগুলি এড়াতে যা সন্দেহজনক কার্যকলাপ সনাক্ত করতে পারে এবং পিছনের দরজা আবিষ্কার করতে পারে৷

যোগাযোগ

অর্কেস্ট্রেটর C&C যোগাযোগের জন্য দুটি এমবেডেড মডিউল ব্যবহার করে – টাইমার এবং নেটওয়ার্ক। অর্কেস্ট্রেটরের মতো, এই মডিউলগুলি .NET রিঅ্যাক্টরের সাথে অস্পষ্ট। উভয় মডিউলের কনফিগারেশন অর্কেস্ট্রেটর দ্বারা সরবরাহ করা হয়। অর্কেস্ট্রেটরের মধ্যে, মডিউলগুলির জন্য একটি প্রিসেট কনফিগারেশন অন্তর্ভুক্ত করা হয়েছে; ঐচ্ছিকভাবে, অর্কেস্ট্রেটর রেজিস্ট্রি থেকে একটি আপডেট কনফিগারেশন সংস্করণও লোড করতে পারে:

{HKCU|HKLM}SoftwareClassesCLSID{ }

ব্যাকডোরে যোগাযোগের সাথে সম্পর্কিত একটি আকর্ষণীয় নিরাপত্তা পরিমাপ রয়েছে। ব্যাকডোর যদি এক্সিকিউটরের মধ্যে কনফিগার করা একটি পূর্বনির্ধারিত থ্রেশহোল্ড অতিক্রম করার সময়কালের জন্য C&C সার্ভারের সাথে যোগাযোগ স্থাপন করতে অক্ষম হয়, তাহলে একটি স্ব-আনইন্সটলেশন মেকানিজম ট্রিগার হয়। এই সময়ের থ্রেশহোল্ড ঘন্টার মধ্যে নির্দিষ্ট করা হয়েছে এবং পরীক্ষিত ক্ষেত্রে এক ঘন্টা সেট করা হয়েছে।

এই পদ্ধতি একটি দ্বিগুণ উদ্দেশ্য পরিবেশন করে। একদিকে, এটি একটি দুর্গম সার্ভারের দিকে অপ্রয়োজনীয় নেটওয়ার্ক অনুরোধগুলি তৈরি করতে বাধা দেয়। অন্যদিকে, অপারেটররা পিছনের দরজার উপর নিয়ন্ত্রণ হারিয়ে ফেললে এটি পরবর্তী সনাক্তকরণের সম্ভাবনা হ্রাস করে।

টাইমার মডিউল

এই ছোট মডিউলটি একটি কনফিগারযোগ্য ব্যবধানে নির্দিষ্ট কলব্যাক চালায়। এটি অর্কেস্ট্রেটর দ্বারা নেটওয়ার্ক মডিউলের সংমিশ্রণে C&C সার্ভারের সাথে পর্যায়ক্রমে যোগাযোগ করার জন্য ব্যবহার করা হয়। নেটওয়ার্ক লগগুলিতে সনাক্তযোগ্য প্যাটার্ন তৈরি রোধ করার জন্য, কনফিগারেশনে নির্দিষ্ট শতাংশের উপর ভিত্তি করে এক্সিকিউশন ব্যবধান র্যান্ডমাইজেশনের সাপেক্ষে। বিশ্লেষিত উদাহরণে, ব্যবধানটি পাঁচ মিনিটে সেট করা হয়েছিল, এলোমেলোতার জন্য একটি ±20% প্রকরণ চালু করা হয়েছিল।

পর্যায়ক্রমিক যোগাযোগে সনাক্তযোগ্য নেটওয়ার্ক প্যাটার্ন এড়াতে আরেকটি পদ্ধতি পাওয়া যেতে পারে C&C সার্ভারে পাঠানো অনুরোধের প্রজন্মের মধ্যে। এক্সিকিউটরে প্রয়োগ করা এই প্রক্রিয়াটি বিভিন্ন দৈর্ঘ্যের প্যাডিং অন্তর্ভুক্ত করে, যা এলোমেলো বাইটের সমন্বয়ে গঠিত, অনুরোধের মধ্যে, যার ফলে বিভিন্ন আকারের অনুরোধ হয়।

নেটওয়ার্ক মডিউল

নেটওয়ার্ক মডিউল তার কনফিগারেশনে নির্দিষ্ট করা C&C সার্ভারের সাথে যোগাযোগ প্রয়োগ করে। এটি HTTP(S) POST অনুরোধগুলি ব্যবহার করে একটি C&C সার্ভারে ডেটা পাঠাতে পারে। উল্লেখযোগ্যভাবে, এটি প্রক্সি কনফিগারেশনের বিশদ বিবরণ অর্জনের জন্য বিভিন্ন প্রক্রিয়া সরবরাহ করে। এই বৈশিষ্ট্যটি এমন পরিবেশে সম্ভাব্য ফোকাস করার পরামর্শ দেয় যেখানে সরাসরি ইন্টারনেট অ্যাক্সেস পাওয়া যায় না।

একটি ডিক্রিপ্ট করা (এবং সুন্দর) কনফিগারেশনের একটি উদাহরণ দেখানো হয়েছে REF _Ref144978805 জ ব্যক্তিত্ব 5
.

কনফিগারেশন এন্ট্রিতে নেটওয়ার্ক যোগাযোগের সাথে সম্পর্কিত বিশদ বিবরণ রয়েছে - C&C URL, HTTP ব্যবহারকারী-এজেন্ট এবং ঐচ্ছিকভাবে একটি প্রক্সি কনফিগারেশন।

C&C সার্ভারের সাথে যোগাযোগ করার সময়, HTTPS-এর নীচে এনক্রিপ্ট করা সামগ্রী সহ একটি কাস্টম বাইনারি প্রোটোকল ব্যবহার করা হয়।

কমান্ড

অর্কেস্ট্রেটর C&C সার্ভার থেকে টাস্ক আকারে কমান্ড গ্রহণ করে, যা সম্পাদনের জন্য সারিবদ্ধ থাকে। তিন ধরনের কাজ প্রক্রিয়া করা হয়:

• অর্কেস্ট্রেটরের কাজ,
• নির্বাহক কাজ, এবং
• আপলোড টাস্ক.

প্রথম দুই ধরনের C&C সার্ভার থেকে প্রাপ্ত হয় এবং তৃতীয়টি কমান্ড এবং ত্রুটির আউটপুট আপলোড করার জন্য অভ্যন্তরীণভাবে তৈরি করা হয়।

অর্কেস্ট্রেটরের কাজ

অর্কেস্ট্রেটর কাজগুলি নেটওয়ার্ক এবং টাইমার মডিউলগুলির কনফিগারেশন পরিচালনা করার এবং মুলতুবি থাকা কাজগুলি বাতিল করার ক্ষমতা প্রদান করে। অর্কেস্ট্রেটরের কাজের সংক্ষিপ্ত বিবরণ এতে দেখানো হয়েছে REF _Ref111101783 জ টেবিল 3
.

সারণি 3. অর্কেস্ট্রেটরের কাজ

নির্বাহকের কাজ

এক্সিকিউটর টাস্কগুলি ব্যাকডোর পরিচালনা করার এবং অতিরিক্ত মডিউলগুলি চালানোর ক্ষমতা দেয়। এটি উল্লেখযোগ্য যে ঐতিহ্যগত ব্যাকডোর কার্যকারিতা বাইনারি নিজেই অন্তর্নিহিতভাবে উপস্থিত নয়। পরিবর্তে, এই ফাংশনগুলি C&C সার্ভার থেকে PE ফাইল বা শেলকোড আকারে প্রাপ্ত হয়। এই অতিরিক্ত মডিউলগুলি ছাড়া ব্যাকডোরের সম্ভাব্যতার সম্পূর্ণ ব্যাপ্তি অজানা থেকে যায়, যা কার্যকরভাবে এর প্রকৃত ক্ষমতাগুলি আনলক করে। মডিউল কাজগুলির একটি ওভারভিউ দেখানো হয়েছে REF _Ref117677179 জ টেবিল 4
, যা কয়েকটি চিহ্নিত মডিউল সম্পর্কে বিশদ অন্তর্ভুক্ত করে। একইভাবে, REF _Ref117677188 জ টেবিল 5
এক্সিকিউটরের সাথে যুক্ত ব্যবস্থাপনার কাজগুলির একটি ওভারভিউ প্রদান করে।

সারণি 4. নির্বাহকের কাজ – মডিউল

আদর্শ	বিবরণ
0x??–0x63	অজানা
0x64	ফাইল রিডার
0x65	অজানা
0x66	অজানা
0x67	অজানা
0x68	অজানা
0x69	প্রক্রিয়া নির্মাতা
0x6A	অজানা
0x6B	অজানা
0x6 সি	তথ্য সংগ্রাহক
0x6D	অজানা
0x6E	অজানা

সারণি 5. নির্বাহকের কাজ - ব্যবস্থাপনা

আদর্শ	বিবরণ
0x6F-0x76	বাস্তবায়িত হয়নি
0x77	এক্সিকিউটর কনফিগারেশন সেট করুন
0x78	এক্সিকিউটর কনফিগারেশন পান
0x79-0x7C	বাস্তবায়িত হয়নি
0x7D	আপডেট
0x7E	অব্যাহতিপ্রাপ্ত
0x7F	আনইনস্টল

যে কমান্ডটি এক্সিকিউটর কনফিগারেশন সেট করে তা পরিবর্তন করতে পারে:

• অবাঞ্ছিত প্রক্রিয়া তালিকা,
• C&C যোগাযোগ ব্যর্থতার সময় থ্রেশহোল্ড, এবং
• অতিরিক্ত মডিউল সম্পাদনের জন্য সময়সীমা।

মডিউল

আমরা C&C সার্ভার থেকে তিনটি অনন্য মডিউল পেতে সক্ষম হয়েছি, প্রতিটি আলাদা এক্সিকিউটর টাস্ক টাইপের সাথে সম্পর্কিত, যেমন দেখানো হয়েছে REF _Ref117677179 জ টেবিল 4 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003100310037003600370037003100370039000000
. উপলব্ধ তথ্যের উপর ভিত্তি করে, আমরা অনুমান করি মোট নয় থেকে চৌদ্দটি মডিউল রয়েছে। যেহেতু মডিউলগুলি প্রকৃতপক্ষে ব্যাকডোর কমান্ড, তাই তাদের একটি মৌলিক ক্রিয়াকলাপ চালানো হয় এবং তারপরে ঐচ্ছিকভাবে তাদের আউটপুট ফেরত দেয়। আমরা যে মডিউলগুলি পেয়েছি তা হল একটি নামহীন রপ্তানি সহ ডিএলএল (অর্ডিনাল 1), যাতে তারা প্রয়োজনীয় API ফাংশনগুলি সমাধান করে এবং প্রধান ফাংশনকে কল করে।

যখন কার্যকর করা হয়, মডিউলগুলিকে একটি API রেজোলিউশন ফাংশন প্রদান করা হয়, যা Windows API এবং কাস্টম এক্সিকিউটর APIগুলিকে সমাধান করতে পারে৷ উইন্ডোজ এপিআই একটি DWORD হ্যাশ দ্বারা উল্লেখ করা হয়, API এর নাম এবং এর DLL থেকে গণনা করা হয়। এক্সিকিউটর API ফাংশন উল্লেখ করে ছোট হ্যাশ মান (<41) বিশেষভাবে বিবেচনা করা হয়। এক্সিকিউটর API-এ মোট 39টি ফাংশন রয়েছে যা মডিউলগুলিতে অ্যাক্সেসযোগ্য। এই ফাংশনগুলি বিভিন্ন ক্রিয়াকলাপের সাথে সম্পর্কিত, যার মধ্যে রয়েছে:

• ফাইল অপারেশন,
• এনক্রিপশন এবং হ্যাশিং,
• সঙ্কোচন,
• PE লোড হচ্ছে,
• অ্যাক্সেস টোকেন ছদ্মবেশ, এবং
• ইউটিলিটি।

এই বিভাগের বাকি অংশে, আমরা প্রাপ্ত মডিউলগুলি বর্ণনা করি।

প্রক্রিয়া নির্মাতা

মডিউল 0x69 একটি নতুন প্রক্রিয়া হিসাবে নির্দিষ্ট কমান্ড লাইন চালায় এবং অর্কেস্ট্রেটরের কাছে ফলস্বরূপ আউটপুট প্রদান করে। প্রক্রিয়াটি একটি ভিন্ন ব্যবহারকারীর অধীনে তৈরি করা যেতে পারে এবং এটি কার্যকর করার সময় সীমিত হতে পারে। উল্লেখযোগ্যভাবে, একটি অস্বাভাবিক কাজের API এই মডিউল এর কার্যকারিতা ব্যবহার করা হয়.

এই মডিউলটি কমান্ড লাইনের সাথে পরিবেশিত হয়েছিল cmd.exe /c টাস্কলিস্ট /v.

আমরা অনুমান করি এটি স্বয়ংক্রিয়ভাবে জারি করা একটি নিষ্ক্রিয় কমান্ড হিসাবে কাজ করে, যখন অপারেটররা আপস করা কম্পিউটারে কিছু আকর্ষণীয় হওয়ার জন্য অপেক্ষা করে।

তথ্য সংগ্রাহক

মডিউল 0x6 সি WMI প্রশ্নের মাধ্যমে কম্পিউটার সম্পর্কে ব্যাপক তথ্য সংগ্রহ করে এবং অর্কেস্ট্রেটরের কাছে ফেরত পাঠায়। নিম্নলিখিত সম্পর্কে তথ্য সংগ্রহ করা হয়:

• অপারেটিং সিস্টেম,
• নেটওয়ার্ক অ্যাডাপ্টার,
• ইনস্টল করা সফ্টওয়্যার,
• চালনা,
• সেবা,
• ড্রাইভার,
• প্রক্রিয়া,
• ব্যবহারকারী,
• পরিবেশ ভেরিয়েবল, এবং
• নিরাপত্তা সফ্টওয়্যার।

ফাইল রিডার

মডিউল 0x64 নির্দিষ্ট ফাইল পড়ে এবং বিষয়বস্তু অর্কেস্ট্রেটরের কাছে ফেরত পাঠায়। ঐচ্ছিকভাবে, এটি পড়ার পরে ফাইলটি মুছে ফেলতে পারে।

আমরা এই মডিউলটি শিকারের Outlook ডেটা ফাইল পুনরুদ্ধার করতে ব্যবহার করা দেখেছি

c: ব্যবহারকারীরা AppDataLocalMicrosoftOutlookoutlook.ost.

শেলকোড ডাউনলোডার সহ চেইন

Deadglyph তদন্ত করার প্রক্রিয়ায়, আমরা একটি মেয়াদোত্তীর্ণ শংসাপত্র সহ স্বাক্ষরিত একটি সন্দেহজনক CPL ফাইলের সম্মুখীন হয়েছি এবং একটি টাইমস্ট্যাম্প সহ কোন পাল্টা স্বাক্ষর নেই, যা কাতার থেকে VirusTotal-এ আপলোড করা হয়েছিল৷ ঘনিষ্ঠভাবে পরীক্ষা করার পরে, এটি স্পষ্ট হয়ে ওঠে যে এই CPL ফাইলটি একটি মাল্টিস্টেজ শেলকোড ডাউনলোডার হিসাবে কাজ করে, ডেডগ্লিফের সাথে কিছু কোডের সাদৃশ্য শেয়ার করে। লোডিং চেইন চিত্রিত করা হয়েছে REF _Ref143693067 জ ব্যক্তিত্ব 6
.

এর প্রাথমিক আকারে, যা প্রথম পর্যায় হিসাবে কাজ করে, এই ফাইলটি একটি থাকার প্রত্যাশা করে .cpl এক্সটেনশন (কন্ট্রোল প্যানেল ফাইল) এবং এটি একটি ডাবল-ক্লিক অ্যাকশনের মাধ্যমে নির্বাহ করা হয়। এই পদ্ধতিতে কার্যকর করার পরে, এমবেডেড শেলকোড XOR ডিক্রিপশনের মধ্য দিয়ে যায়, এবং চলমান প্রক্রিয়াগুলি পরবর্তী ইনজেকশনের জন্য একটি উপযুক্ত হোস্ট প্রক্রিয়া সনাক্ত করতে পরীক্ষা করা হয়।

If avp.exe (একটি ক্যাসপারস্কি এন্ডপয়েন্ট নিরাপত্তা প্রক্রিয়া) চলছে, %windir%system32UserAccountBroker.exe ব্যবহৃত হয়. অন্যথায়, ডিফল্ট ব্রাউজার ব্যবহার করা হয়। তারপর, এটি একটি স্থগিত অবস্থায় হোস্ট প্রক্রিয়া তৈরি করে, এর প্রধান থ্রেড হাইজ্যাক করে শেলকোডকে ইনজেক্ট করে এবং থ্রেডটি পুনরায় চালু করে।

দ্বিতীয় পর্যায়, শেলকোড, দুটি অংশ নিয়ে গঠিত। শেলকোডের প্রথম অংশটি ডেডগ্লাইফে নিযুক্ত একই অনন্য হ্যাশ গণনা কৌশল ব্যবহার করে API হ্যাশগুলি সমাধান করে এবং প্রক্রিয়ার নাম সহ স্ট্রিংগুলিকে ডিক্রিপ্ট করে। এটি একটি স্ব-মুছে ফেলা থ্রেড শুরু করে যা ওভাররাইট করার এবং পরবর্তীতে প্রথম-পর্যায়ের ফাইলটি মুছে ফেলার সাথে কাজ করে। এটি অনুসরণ করে, শেলকোড একটি নিরাপত্তা সমাধান লক্ষ্য করে বর্তমানে সক্রিয় প্রক্রিয়াগুলি পরিদর্শন করতে এগিয়ে যায়।

যদি নির্দিষ্ট প্রক্রিয়াগুলির মধ্যে কোনটি সনাক্ত করা হয়, শেলকোড সর্বনিম্ন অগ্রাধিকার সহ একটি স্লিপার থ্রেড তৈরি করে (THREAD_PRIORITY_IDLE) এবং এটির অপারেশন বন্ধ করার আগে এটিকে 60 সেকেন্ডের জন্য সক্রিয় থাকার অনুমতি দেয়। এই ব্যবধান সম্ভবত নিরাপত্তা সমাধান দ্বারা নিযুক্ত নির্দিষ্ট সনাক্তকরণ প্রক্রিয়া এড়াতে একটি সতর্কতামূলক ব্যবস্থা হিসাবে প্রয়োগ করা হয়েছে। অবশেষে, শেলকোড তার কোডের দ্বিতীয় অংশটি কার্যকর করার জন্য এগিয়ে যায়।

শেলকোডের দ্বিতীয় অংশটি স্টেজ থ্রি সহ একটি এমবেডেড PE ফাইল লোড করে এবং অর্ডিনাল নম্বর সহ এর এক্সপোর্ট কল করে 1.

তৃতীয় পর্যায়, একটি DLL, একটি .NET লোডার হিসাবে কাজ করে এবং এতে পেলোড থাকে .rsrc অধ্যায়.

পেলোড লোড করতে, .NET রানটাইম আরম্ভ করা হয়। .NET প্রারম্ভের সময়, দুটি কৌতূহলী কৌশল সঞ্চালিত হয়, আপাতদৃষ্টিতে উইন্ডোজ এড়ানোর উদ্দেশ্যে অ্যান্টিম্যালওয়্যার স্ক্যান ইন্টারফেস (AMSI) স্ক্যানিং:

• .NET লোডার সাময়িকভাবে হুক করে GetModuleHandleW লোড মধ্যে আমদানি clr.dll, কল করার সময় ICorRuntimeHost::স্টার্ট. হুক রিটার্ন মান সঙ্গে tampers যখন GetModuleHandleW সঙ্গে বলা হয় শূন্য. এটি কোনো বিভাগ ছাড়াই একটি ডামি PE-তে একটি পয়েন্টার প্রদান করে।
• এটি তারপর সূক্ষ্মভাবে প্যাচ অ্যামসি ইনিশিয়ালাইজ করুন তে নাম স্ট্রিং আমদানি করুন .rdata লোডের বিভাগ clr.dll থেকে aMSIiনিষ্ক্রিয় করা.

চতুর্থ পর্যায় হল একটি .NET সমাবেশ, ConfuserEx এর সাথে অস্পষ্ট, যা একটি শেলকোড ডাউনলোডার হিসাবে কাজ করে। প্রথমত, এটি XOR-এর রিসোর্স থেকে XML ফর্ম্যাটে কনফিগারেশন ডিক্রিপ্ট করে। নিষ্কাশিত কনফিগারেশনের একটি সুন্দর সংস্করণ উপস্থাপন করা হয়েছে REF _Ref143695453 জ ব্যক্তিত্ব 7
. কনফিগারেশন এন্ট্রিগুলিতে নেটওয়ার্ক যোগাযোগ এবং ব্লকলিস্ট করা প্রক্রিয়া সম্পর্কিত বিশদ রয়েছে।

এগিয়ে যাওয়ার আগে, এটি কনফিগারেশন থেকে ব্লকলিস্ট করা প্রক্রিয়াগুলির একটি তালিকার বিরুদ্ধে চলমান প্রক্রিয়াগুলি পরীক্ষা করে। যদি একটি মিল সনাক্ত করা হয়, মৃত্যুদন্ড স্থগিত. এটা মনে রাখা গুরুত্বপূর্ণ যে বিশ্লেষণ করা উদাহরণে, এই ব্লকলিস্ট সেট আপ করা হয়নি।

এর পরে, এটি কনফিগারেশনে (ইউআরএল, ইউজার-এজেন্ট এবং ঐচ্ছিকভাবে প্রক্সি) নির্দিষ্ট প্যারামিটার ব্যবহার করে কিছু শেলকোড পুনরুদ্ধার করার জন্য C&C সার্ভারে একটি HTTP GET অনুরোধ পাঠায়। দুঃখজনকভাবে, আমাদের তদন্তের সময় আমরা C&C সার্ভার থেকে কোনো শেলকোড অর্জন করতে পারিনি। তা সত্ত্বেও, আমরা অনুমান করি যে সামগ্রী পুনরুদ্ধার করা হচ্ছে ডেডগ্লিফের জন্য ইনস্টলার হিসাবে কাজ করতে পারে।

এটি অনুসরণ করে, পুনরুদ্ধার করা শেলকোডটি একটি নতুন তৈরি থ্রেডের মধ্যে কার্যকর করা হয়। শেলকোড থ্রেড এক্সিকিউশন শেষ না হওয়া পর্যন্ত অপেক্ষা করার পরে, শেলকোড ডাউনলোডার ডিরেক্টরিতে থাকা সমস্ত ফাইল সরিয়ে দেয় %WINDIR%ServiceProfilesLocalServiceAppDataLocalTempTfsStoreTfs_DAV.

অবশেষে, এটি 20-সেকেন্ডের ব্যবধানের পরে নিজেকে মুছে ফেলার চেষ্টা করে, পরবর্তী কমান্ডটি ব্যবহার করে, এটির অপারেশন শেষ করার এবং প্রস্থান করার আগে:

cmd.exe পছন্দ /CY /N /DY /T 20 এবং Del /f /q

এই শৃঙ্খলে এই আত্ম-মোছার কোন মানে হয় না। এটি এই কারণে যে শেলকোড ডাউনলোডারটি একটি স্বাধীন এক্সিকিউটেবল হিসাবে কাজ করার পরিবর্তে ইনজেকশনের পরে একটি ব্রাউজার বা সিস্টেম প্রক্রিয়ার মধ্যে কার্যকর করা হয়। তদুপরি, প্রাথমিক ফাইলটি ইতিমধ্যে দ্বিতীয় পর্যায়ে মুছে ফেলা হয়েছে। এই পর্যবেক্ষণটি পরামর্শ দেয় যে শেলকোড ডাউনলোডার এই চেইনের একচেটিয়া পেলোড নাও হতে পারে এবং অন্যান্য ক্রিয়াকলাপে আলাদাভাবে ব্যবহার করা যেতে পারে।

উপসংহার

আমরা স্টিলথ ফ্যালকন গ্রুপের দ্বারা ব্যবহৃত একটি অত্যাধুনিক ব্যাকডোর আবিষ্কার এবং বিশ্লেষণ করেছি যাকে আমরা ডেডগ্লাইফ নাম দিয়েছি। এটির একটি অস্বাভাবিক স্থাপত্য রয়েছে এবং এর পিছনের দরজার ক্ষমতাগুলি অতিরিক্ত মডিউলের আকারে এটির C&C দ্বারা সরবরাহ করা হয়। আমরা ডেডগ্লাইফের সম্পূর্ণ ক্ষমতার একটি ভগ্নাংশ উন্মোচন করে এই তিনটি মডিউল পেতে সক্ষম হয়েছি।

উল্লেখযোগ্যভাবে, Deadglyph কাউন্টার-ডিটেকশন মেকানিজমের একটি পরিসর নিয়ে গর্ব করে, যার মধ্যে সিস্টেম প্রক্রিয়ার ক্রমাগত পর্যবেক্ষণ এবং এলোমেলো নেটওয়ার্ক প্যাটার্ন বাস্তবায়ন। তদ্ব্যতীত, ব্যাকডোর নির্দিষ্ট কিছু ক্ষেত্রে এর সনাক্তকরণের সম্ভাবনা কমাতে নিজেকে আনইনস্টল করতে সক্ষম।

উপরন্তু, আমাদের তদন্ত আমাদের VirusTotal-এ একটি বাধ্যতামূলক মাল্টিস্টেজ শেলকোড ডাউনলোডার চেইন আবিষ্কারের দিকে নিয়ে যায়। আমরা সন্দেহ করি যে এই ডাউনলোডার চেইনটি সম্ভবত ডেডগ্লিফের ইনস্টলেশন প্রক্রিয়ার মধ্যে ব্যবহার করা হয়েছে।

WeLiveSecurity-তে প্রকাশিত আমাদের গবেষণার বিষয়ে যেকোনো অনুসন্ধানের জন্য, অনুগ্রহ করে আমাদের সাথে যোগাযোগ করুন এখানে dangerintel@eset.com.
ESET গবেষণা ব্যক্তিগত APT গোয়েন্দা প্রতিবেদন এবং ডেটা ফিড অফার করে। এই পরিষেবা সম্পর্কে কোন অনুসন্ধানের জন্য, দেখুন ESET থ্রেট ইন্টেলিজেন্স পাতা.

আইওসি

নথি পত্র

রয়েছে SHA-1	ফাইলের নাম	সনাক্তকরণ	বিবরণ
C40F1F46D230A85F702DAA38CFA18D60481EA6C2	pbrtl.dll	Win64/Deadglyph.A	রেজিস্ট্রি শেলকোড লোডার।
740D308565E215EB9B235CC5B720142428F540DB	N / A	Win64/Deadglyph.A	ডেডগ্লিফ ব্যাকডোর - নির্বাহক।
1805568D8362A379AF09FD70D3406C6B654F189F	N / A	MSIL/Deadglyph.A	ডেডগ্লিফ ব্যাকডোর – অর্কেস্ট্রেটর।
9CB373B2643C2B7F93862D2682A0D2150C7AEC7E	N / A	MSIL/Deadglyph.A	অর্কেস্ট্রেটর নেটওয়ার্ক মডিউল।
F47CB40F6C2B303308D9D705F8CAD707B9C39FA5	N / A	MSIL/Deadglyph.A	অর্কেস্ট্রেটর টাইমার মডিউল।
3D4D9C9F2A5ACEFF9E45538F5EBE723ACAF83E32	N / A	Win64/Deadglyph.A.gen	প্রক্রিয়া নির্মাতা মডিউল।
3D2ACCEA98DBDF95F0543B7C1E8A055020E74960	N / A	Win64/Deadglyph.A	ফাইল রিডার মডিউল।
4E3018E4FD27587BD1C566930AE24442769D16F0	N / A	Win64/Deadglyph.A	তথ্য সংগ্রহকারী মডিউল।
7F728D490ED6EA64A7644049914A7F2A0E563969	N / A	Win64/Injector.MD	শেলকোড ডাউনলোডার চেইনের প্রথম ধাপ।

সার্টিফিকেট

ক্রমিক সংখ্যা	00F0FB1390F5340CD2572451D95DB1D92D
থাম্বপ্রিন্ট	DB3614DAF58D041F96A5B916281EA0DC97AA0C29
বিষয় CN	আরএইচএম লিমিটেড
বিষয় O	আরএইচএম লিমিটেড
বিষয় এল	সেন্ট অ্যালবান্স
বিষয় এস	হার্টফোর্ডশায়ার
বিষয় গ	GB
ই-মেইল	rhm@rhmlimited[.]co.uk
বৈধ হবে	2021-03-16 00:00:00
বৈধ	2022-03-16 23:59:59

C&C সার্ভার

IP	ডোমেইন	প্রথম দেখা	মন্তব্য
185.25.50[।]60	chessandlinkss[.]com	2021-08-25	Deadglyph C&C সার্ভার।
135.125.78[।]187	easymathpath[.]com	2021-09-11	Deadglyph C&C সার্ভার।
45.14.227[।]55	joinushealth[.]com	2022-05-29	শেলকোড ডাউনলোডার C&C সার্ভার।

মিটার ATT এবং CK কৌশল

এই টেবিল ব্যবহার করে নির্মিত হয়েছিল 13 সংস্করণ মিটার ATT এবং CK কাঠামোর।

যুদ্ধকৌশল	ID	নাম	বিবরণ
রিসোর্স ডেভলপমেন্ট	T1583.001	অবকাঠামো অর্জন করুন: ডোমেইন	স্টিলথ ফ্যালকন C&C সার্ভারের জন্য এবং একটি কোড সাইনিং সার্টিফিকেট পাওয়ার জন্য ডোমেন নিবন্ধন করেছে।
	T1583.003	পরিকাঠামো অর্জন করুন: ভার্চুয়াল প্রাইভেট সার্ভার	Stealth Falcon C&C সার্ভারের জন্য VPS হোস্টিং প্রদানকারী ব্যবহার করেছে।
	T1587.001	সক্ষমতা বিকাশ: ম্যালওয়্যার	স্টিলথ ফ্যালকন কাস্টম লোডার এবং ডেডগ্লিফ ব্যাকডোর সহ কাস্টম ম্যালওয়্যার তৈরি করেছে।
	T1588.003	প্রাপ্ত ক্ষমতা: কোড সাইনিং সার্টিফিকেট	স্টিলথ ফ্যালকন একটি কোড সাইনিং সার্টিফিকেট পেয়েছে।
ফাঁসি	T1047	উইন্ডোজ ম্যানেজমেন্ট ইন্সট্রুমেন্টেশন	ডেডগ্লিফ তার লোডিং চেইন চালানোর জন্য WMI ব্যবহার করে।
	T1059.003	কমান্ড এবং স্ক্রিপ্টিং ইন্টারপ্রেটার: উইন্ডোজ কমান্ড শেল	শেলকোড ডাউনলোডার ব্যবহার করে cmd.exe নিজেকে মুছে ফেলার জন্য।
	T1106	নেটিভ এপিআই	একটি ডেডগ্লিফ মডিউল ব্যবহার করে CreateProcessW এবং CreateProcessAsUserW সম্পাদনের জন্য API ফাংশন।
	T1204.002	ইউজার এক্সিকিউশন: ক্ষতিকারক ফাইল	শেলকোড ডাউনলোডার চেইনের জন্য ব্যবহারকারীকে এটিকে ডাবল-ক্লিক করতে এবং কার্যকর করতে হবে।
অধ্যবসায়	T1546.003	ইভেন্ট ট্রিগারড এক্সিকিউশন: উইন্ডোজ ম্যানেজমেন্ট ইনস্ট্রুমেন্টেশন ইভেন্ট সাবস্ক্রিপশন	প্রাথমিক ডেডগ্লিফ লোডারটি WMI ইভেন্ট সাবস্ক্রিপশন ব্যবহার করে টিকে থাকে।
প্রতিরক্ষা ফাঁকি	T1027	অস্পষ্ট ফাইল বা তথ্য	Deadglyph উপাদান এনক্রিপ্ট করা হয়. ডেডগ্লিফ অর্কেস্ট্রেটর এবং এমবেডেড মডিউল .NET রিঅ্যাক্টরের সাথে অস্পষ্ট। শেলকোড ডাউনলোডারটি ConfuserEx এর সাথে অস্পষ্ট।
	T1070.004	নির্দেশক অপসারণ: ফাইল মুছে ফেলা	ডেডগ্লিফ নিজেই আনইনস্টল করতে পারে। শেলকোড ডাউনলোডার চেইন নিজেই মুছে দেয় এবং WebDAV ক্যাশে ফাইল মুছে দেয়।
	T1112	রেজিস্ট্রি পরিবর্তন করুন	ডেডগ্লাইফ তার কনফিগারেশন এবং এনক্রিপ্ট করা পেলোড রেজিস্ট্রিতে সঞ্চয় করে।
	T1134	টোকেন ম্যানিপুলেশন অ্যাক্সেস করুন	Deadglyph অন্য ব্যবহারকারীর নকল করতে পারে।
	T1140	Deobfuscate/ডিকোড ফাইল বা তথ্য	ডেডগ্লাইফ এনক্রিপ্ট করা স্ট্রিং ডিক্রিপ্ট করে। শেলকোড ডাউনলোডার চেইন এর উপাদান এবং কনফিগারেশন ডিক্রিপ্ট করে।
	T1218.011	সিস্টেম বাইনারি প্রক্সি এক্সিকিউশন: Rundll32	প্রাথমিক ডেডগ্লাইফ লোডার ব্যবহার করে নির্বাহ করা হয় rundll32.exe.
	T1480.001	এক্সিকিউশন গার্ডেল: এনভায়রনমেন্টাল কিয়িং	Deadglyph সিস্টেম UUID থেকে প্রাপ্ত একটি মেশিন-নির্দিষ্ট কী ব্যবহার করে এনক্রিপ্ট করা হয়।
	T1562.001	দুর্বল প্রতিরক্ষা: অক্ষম বা পরিবর্তন সরঞ্জাম	শেলকোড ডাউনলোডার প্যাচিং দ্বারা AMSI স্ক্যানিং এড়ায় clr.dll স্মৃতিতে .
	T1620	প্রতিফলিত কোড লোড হচ্ছে	Deadglyph প্রতিফলিতভাবে একটি কাস্টম PE লোডার ব্যবহার করে তার মডিউল লোড করে।
আবিষ্কার	T1007	সিস্টেম পরিষেবা আবিষ্কার	A ডেডগ্লাইফ মডিউল WMI ক্যোয়ারী ব্যবহার করে পরিষেবাগুলি আবিষ্কার করে Win32_Service থেকে * নির্বাচন করুন।
	T1012	প্রশ্ন রেজিস্ট্রি	শেলকোড ডাউনলোডার চেইন ডিফল্ট ব্রাউজারের জন্য রেজিস্ট্রি প্রশ্ন করে।
	T1016	সিস্টেম নেটওয়ার্ক কনফিগারেশন আবিষ্কার	একটি Deadglyph মডিউল WMI প্রশ্ন ব্যবহার করে নেটওয়ার্ক অ্যাডাপ্টার আবিষ্কার করে Win32_NetworkAdapter থেকে * নির্বাচন করুন এবং Win32_NetworkAdapter Configuration থেকে * নির্বাচন করুন যেখানে InterfaceIndex=%d.
	T1033	সিস্টেমের মালিক/ব্যবহারকারী আবিষ্কার	একটি Deadglyph মডিউল WMI ক্যোয়ারী সহ ব্যবহারকারীদের আবিষ্কার করে Win32_UserAccount থেকে * নির্বাচন করুন.
	T1057	প্রক্রিয়া আবিষ্কার	একটি Deadglyph মডিউল WMI ক্যোয়ারী ব্যবহার করে প্রক্রিয়া আবিষ্কার করে Win32_Process থেকে * নির্বাচন করুন.
	T1082	সিস্টেম তথ্য আবিষ্কার	একটি ডেডগ্লিফ মডিউল সিস্টেমের তথ্য যেমন OS সংস্করণ, ড্রাইভ, পরিবেশের ভেরিয়েবল এবং WMI ক্যোয়ারী ব্যবহার করে ড্রাইভার আবিষ্কার করে।
	T1518	সফটওয়্যার আবিষ্কার	একটি Deadglyph মডিউল WMI ক্যোয়ারী ব্যবহার করে ইনস্টল করা সফ্টওয়্যার আবিষ্কার করে Win32_Product থেকে * নির্বাচন করুন.
	T1518.001	সফ্টওয়্যার আবিষ্কার: নিরাপত্তা সফ্টওয়্যার আবিষ্কার	একটি Deadglyph মডিউল WMI প্রশ্ন ব্যবহার করে নিরাপত্তা সফ্টওয়্যার আবিষ্কার করে অ্যান্টিভাইরাস পণ্য থেকে * নির্বাচন করুন, এন্টিস্পাইওয়্যার প্রোডাক্ট থেকে * নির্বাচন করুন এবং ফায়ারওয়াল প্রোডাক্ট থেকে * নির্বাচন করুন. শেলকোড ডাউনলোডার চেইন একটি নিরাপত্তা সমাধানের জন্য চলমান প্রক্রিয়াগুলি পরীক্ষা করে।
সংগ্রহ	T1005	স্থানীয় সিস্টেম থেকে ডেটা	Deadglyph ফাইল পড়ার জন্য একটি মডিউল আছে.
কমান্ড এবং কন্ট্রোল	T1071.001	অ্যাপ্লিকেশন লেয়ার প্রোটোকল: ওয়েব প্রোটোকল	ডেডগ্লিফ এবং শেলকোড ডাউনলোডার HTTP প্রোটোকলের মাধ্যমে C&C সার্ভারের সাথে যোগাযোগ করে।
	T1090	প্রক্সি	Deadglyph এবং শেলকোড ডাউনলোডার C&C যোগাযোগের জন্য HTTP প্রক্সি ব্যবহার করতে পারে।
	T1573.001	এনক্রিপ্ট করা চ্যানেল: সিমেট্রিক ক্রিপ্টোগ্রাফি	Deadglyph C&C যোগাযোগ এনক্রিপ্ট করতে AES ব্যবহার করে।
বহিষ্কার	T1041	C2 চ্যানেল ওভার এক্সফিল্ট্রেশন	ডেডগ্লাইফ এক্সফিল্ট্রেশনের জন্য C&C চ্যানেল ব্যবহার করে।

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.welivesecurity.com/en/eset-research/stealth-falcon-preying-middle-eastern-skies-deadglyph/