سٹیلتھ فالکن ڈیڈگلیف کے ساتھ مشرق وسطیٰ کے آسمانوں کا شکار کر رہا ہے۔

برسوں سے، مشرق وسطیٰ نے اپنی ساکھ کو ایڈوانس پرسسٹنٹ خطرات (APTs) کے لیے ایک زرخیز زمین کے طور پر برقرار رکھا ہے۔ ہائی پروفائل صارفین کے سسٹمز پر مشتبہ سرگرمیوں کی معمول کی نگرانی کے درمیان، کچھ اس خطے میں مقیم، ESET ریسرچ نے ایک انتہائی نفیس اور نامعلوم پچھلے دروازے سے ٹھوکر کھائی جسے ہم نے Deadglyph کا نام دیا ہے۔ ہم نے یہ نام پچھلے دروازے سے ملنے والے نمونوں سے اخذ کیا ہے (جیسے 0xDEADB001میں بھی دکھایا گیا ہے۔ REF _Ref111452440 h ٹیبل 1
)، ہومو کی موجودگی کے ساتھ مل کرگلف حملہ. ہمارے بہترین علم کے مطابق، یہ پہلے سے غیر دستاویزی پچھلے دروازے کا پہلا عوامی تجزیہ ہے، جو ایک ایسے گروپ کے ذریعہ استعمال کیا گیا ہے جو قابل ذکر حد تک نفاست اور مہارت کا مظاہرہ کرتا ہے۔ ہدف بندی اور اضافی شواہد کی بنیاد پر، ہم Deadglyph کو انتہائی اعتماد کے ساتھ اسٹیلتھ فالکن APT گروپ سے منسوب کرتے ہیں۔

ڈیڈگلیف کا فن تعمیر غیر معمولی ہے جیسا کہ اس پر مشتمل ہے۔ تعاون کرنے والے اجزاء - ایک مقامی x64 بائنری، دوسرا .NET اسمبلی۔ یہ مجموعہ غیر معمولی ہے کیونکہ میلویئر اپنے اجزاء کے لیے عام طور پر صرف ایک پروگرامنگ زبان استعمال کرتا ہے۔ یہ فرق ان دو اجزاء کی الگ الگ ترقی کی نشاندہی کر سکتا ہے جبکہ وہ الگ الگ پروگرامنگ زبانوں کی منفرد خصوصیات سے بھی فائدہ اٹھاتے ہیں جنہیں وہ استعمال کرتے ہیں۔ تجزیہ کو روکنے کے لیے مختلف زبانوں کا بھی استعمال کیا جا سکتا ہے، کیونکہ مخلوط کوڈ کو نیویگیٹ کرنا اور ڈیبگ کرنا زیادہ مشکل ہے۔

روایتی بیک ڈور کمانڈز بیک ڈور بائنری میں لاگو نہیں ہوتے ہیں۔ اس کے بجائے، وہ متحرک طور پر کمانڈ اینڈ کنٹرول (C&C) سرور سے اضافی ماڈیولز کی شکل میں موصول ہوتے ہیں۔ اس بیک ڈور میں پتہ لگانے سے بچنے کے لیے کئی صلاحیتیں بھی موجود ہیں۔

اس بلاگ پوسٹ میں، ہم Deadglyph کو قریب سے دیکھتے ہیں اور اس بیک ڈور، اس کے مقصد، اور ہمیں حاصل کردہ کچھ اضافی اجزاء کا تکنیکی تجزیہ فراہم کرتے ہیں۔ ہم Deadglyph کے بارے میں اپنے نتائج بھی پیش کر رہے ہیں۔ LABScon 2023 کانفرنس

بلاگ پوسٹ کے اہم نکات:

• ESET ریسرچ نے غیر معمولی فن تعمیر کے ساتھ ایک جدید ترین بیک ڈور دریافت کیا جسے ہم نے Deadglyph کا نام دیا ہے۔
• اہم اجزاء کو مشین کے لیے مخصوص کلید کا استعمال کرتے ہوئے انکرپٹ کیا جاتا ہے۔
• روایتی بیک ڈور کمانڈز کو اس کے C&C سرور سے موصول ہونے والے اضافی ماڈیولز کے ذریعے لاگو کیا جاتا ہے۔
• ہم نے بہت سے ماڈیولز میں سے تین حاصل کیے - پروسیس کریٹر، فائل ریڈر، اور انفارمیشن کلیکٹر۔
• ہم Deadglyph کو اسٹیلتھ فالکن گروپ سے منسوب کرتے ہیں۔
• مزید برآں، ہمیں ایک متعلقہ شیل کوڈ ڈاؤنلوڈر ملا۔ ہم فرض کرتے ہیں کہ اسے ممکنہ طور پر Deadglyph کی تنصیب کے لیے استعمال کیا جا سکتا ہے۔

تجزیہ شدہ دراندازی کا شکار مشرق وسطیٰ میں ایک سرکاری ادارہ ہے جس سے جاسوسی کے مقاصد کے لیے سمجھوتہ کیا گیا تھا۔ وائرس ٹوٹل پر پایا جانے والا ایک متعلقہ نمونہ بھی اس خطے سے، خاص طور پر قطر سے فائل اسکیننگ پلیٹ فارم پر اپ لوڈ کیا گیا تھا۔ ھدف بنائے گئے علاقے کو نقشے پر دکھایا گیا ہے۔ REF _Ref143614671 h اعداد و شمار 1
.

سٹیلتھ فالکن (پروجیکٹ ریوین یا فروٹی آرمر کے نام سے بھی جانا جاتا ہے) متحدہ عرب امارات سے منسلک ایک خطرہ گروپ ہے MITER کے مطابق. 2012 سے سرگرم، اسٹیلتھ فالکن مشرق وسطیٰ میں سیاسی کارکنوں، صحافیوں اور منحرف لوگوں کو نشانہ بنانے کے لیے جانا جاتا ہے۔ یہ سب سے پہلے دریافت اور بیان کیا گیا تھا سٹیزن لیب، جس نے ایک شائع کیا۔ تجزیہ 2016 میں اسپائی ویئر حملوں کی مہم۔

جنوری 2019 میں، رائٹرز نے ایک شائع کیا۔ تحقیقاتی رپورٹ پروجیکٹ ریوین پر، ایک پہل جو مبینہ طور پر NSA کے سابق کارکنوں کو ملازمت دیتی ہے اور اسٹیلتھ فالکن جیسے ہی اہداف کو نشانہ بناتی ہے۔ ان دونوں رپورٹوں کی بنیاد پر ایک ہی اہداف اور حملوں کا حوالہ دیتے ہوئے ایمنسٹی انٹرنیشنل نتیجہ اخذ کیا ہے (میں دکھایا گیا ہے) REF _Ref144978712 h اعداد و شمار 2
) کہ اسٹیلتھ فالکن اور پروجیکٹ ریوین دراصل ایک ہی گروپ ہیں۔

ستمبر 2019 میں، ہم شائع شدہ تحقیق بیک ڈور پر، اسٹیلتھ فالکن سے منسوب، جس نے ایک غیر معمولی تکنیک کا استعمال کیا، پس منظر انٹیلجنٹ ٹرانسمیشن سروس، C&C مواصلات کے لیے۔ اب ہم اپنے گہرائی سے تجزیہ کا نتیجہ ظاہر کرتے ہیں کہ ممکنہ طور پر اسٹیلتھ فالکن کے جاسوسی ٹول سیٹ میں سب سے نیا اضافہ کیا ہے۔

ڈیڈگلیف بیک ڈور

ڈیڈگلیف کی لوڈنگ چین متعدد اجزاء پر مشتمل ہے، جیسا کہ اس میں واضح کیا گیا ہے۔ REF _Ref144978760 h اعداد و شمار 3
. ابتدائی جزو ایک رجسٹری شیل کوڈ لوڈر ہے، جو رجسٹری سے شیل کوڈ لوڈ کرتا ہے۔ یہ نکالا ہوا شیل کوڈ، بدلے میں، بیک ڈور کے مقامی x64 حصے کو لوڈ کرتا ہے - ایگزیکیٹر۔ ایگزیکیوٹر بعد میں بیک ڈور کا .NET حصہ - آرکیسٹریٹر لوڈ کرتا ہے۔ خاص طور پر، فائل کے طور پر سسٹم کی ڈسک پر واحد جزو ابتدائی جزو ہے، جو ایک ڈائنامک لنک لائبریری (DLL) کی شکل میں ہے۔ بقیہ اجزاء کو بائنری رجسٹری ویلیو کے اندر خفیہ اور محفوظ کیا جاتا ہے۔

اگرچہ ابتدائی سمجھوتہ کرنے والے ویکٹر کا صحیح طریقہ ابھی طے نہیں ہوا ہے، ہمارا شبہ یہ ہے کہ انسٹالر جزو مزید اجزاء کی تعیناتی اور نظام کے اندر استقامت قائم کرنے میں ملوث ہے۔

اس حصے کے باقی حصے میں، ہم ہر ایک جزو کا تجزیہ کرتے ہیں۔

رجسٹری شیل کوڈ لوڈر

ڈیڈگلیف کا ابتدائی جزو ایک چھوٹا ڈی ایل ایل ہے جس کا نام ایک برآمد کیا گیا ہے۔ 1. یہ جزو استعمال کرتے ہوئے برقرار ہے۔ ونڈوز مینجمنٹ انسٹرومینٹیشن (WMI) ایونٹ سبسکرپشن اور رجسٹری شیل کوڈ لوڈر کے طور پر کام کرتا ہے۔ یہ کمانڈ لائن کے ذریعے عمل میں لایا جاتا ہے۔ rundll32 C:WINDOWSSystem32pbrtl.dll,#1.

رجسٹری شیل کوڈ لوڈر RC4 کا استعمال کرتے ہوئے، ونڈوز رجسٹری میں محفوظ کردہ انکرپٹڈ شیل کوڈ کے راستے کو ڈکرپٹ کرکے اپنا کام شروع کرتا ہے۔ ہمیں شک ہے کہ ہر شکار کے لیے راستہ منفرد ہے۔ یہاں تجزیہ کردہ کیس میں، رجسٹری کا راستہ یہ تھا:

SoftwareClassesCLSID{5abc7f42-1112-5099-b082-ce8d65ba0c47}cAbRGHLg

روٹ رجسٹری کلید یا تو ہے۔ hklm or HKCUاس بات پر منحصر ہے کہ آیا موجودہ عمل اعلیٰ مراعات کے ساتھ چل رہا ہے یا نہیں۔ اسی منطق کو مزید اجزاء میں پایا جا سکتا ہے.

اس کے بعد، لوڈر مشین کے لیے مخصوص RC4 کلید حاصل کرتا ہے جس سے حاصل کردہ UUID سسٹم کا استعمال کرتا ہے۔ خام SMBIOS فرم ویئر ٹیبل. اس کلید کا استعمال کرتے ہوئے، یہ شیل کوڈ کو لوڈ، ڈیکرپٹ اور پھر عمل میں لاتا ہے۔ اس بات کو اجاگر کرنا ضروری ہے کہ یہ کلیدی اخذ کرنے کا طریقہ اس بات کو یقینی بناتا ہے کہ اگر لوڈر کو کسی دوسرے کمپیوٹر پر عمل میں لایا جاتا ہے تو مناسب ڈکرپشن نہیں ہوگا۔

دلچسپ بات یہ ہے کہ لوڈر کو اس میں جھنڈے کے ذریعے بھی ترتیب دیا جا سکتا ہے۔ ڈیٹا شیل کوڈ کو ڈکرپٹ کرنے کے لیے ہارڈ کوڈ والی کلید استعمال کرنے کے لیے، مشین کے لیے مخصوص کی بجائے۔

ہم نے مائیکروسافٹ کارپوریشن کی نقل کرتے ہوئے ایک ہوموگلیف حملہ دیکھا VERSIONINFO اس اور دیگر PE اجزاء کا وسیلہ۔ یہ طریقہ مختلف یونیکوڈ حروف کو استعمال کرتا ہے جو کہ بصری طور پر ایک جیسے دکھائی دیتے ہیں، لیکن اس صورت میں اصل حروف سے مماثل نہیں، خاص طور پر یونانی کیپیٹل لیٹر سان (U+03FA, Ϻ) اور سیریلک سمال لیٹر O (U+043E, о) Ϻآئی سی آرоsоft Corpоرتیоn.

رجسٹری شیل کوڈ

دو حصوں پر مشتمل، رجسٹری شیل کوڈ ایک ڈکرپشن روٹین اور ایک انکرپٹڈ باڈی پر مشتمل ہے۔ سب سے پہلے، ڈکرپشن روٹین انکرپٹڈ باڈی کے ہر بائٹ کو ایک ایک کرکے بائیں طرف گھماتا ہے (ROL 0x01)۔ اس کے بعد، کنٹرول اس ڈکرپٹ جسم کو منتقل کر دیا جاتا ہے. ڈیکرپٹ شدہ باڈی پی ای لوڈر اور پی ای فائل پر مشتمل ہوتی ہے، بعد میں ایگزیکیوٹر ہوتا ہے، جو بیک ڈور کے مقامی حصے کی نمائندگی کرتا ہے۔ یہ لوڈر متعلقہ PE فائل کو پارس کرنے اور لوڈ کرنے کا ذمہ دار ہے۔

پھانسی دینے والا

Executor Deadglyph بیک ڈور کا مقامی x64 حصہ ہے، جو درج ذیل کام کرتا ہے:

• اس کی ترتیب کو لوڈ کرتا ہے،
• .NET رن ٹائم کو شروع کرتا ہے،
• بیک ڈور (آرکیسٹریٹر) کے ایمبیڈڈ .NET حصے کو لوڈ کرتا ہے، اور
• آرکیسٹریٹر کے لیے لائبریری کے طور پر کام کرتا ہے۔

سب سے پہلے، دو ڈیفالٹ کنفیگریشنز ایمبیڈڈ ہیں۔ ڈیٹا سیکشن AES سے ڈکرپٹڈ ہیں۔ کنفیگریشنز مختلف پیرامیٹرز کو گھیرے ہوئے ہیں، بشمول انکرپشن کیز، سیفٹی اور ایویژن سیٹنگز، اور اس کے بعد کے اجزاء کا انٹری پوائنٹ۔

ابتدائی عمل کے دوران، وہ دو ڈیفالٹ کنفیگریشنز ونڈوز رجسٹری میں محفوظ کی جاتی ہیں، جہاں سے وہ بعد کے رن پر لوڈ ہوتی ہیں، جس سے اپ ڈیٹس کو لاگو کیا جا سکتا ہے۔ ہر ترتیب کے لیے رجسٹری کا راستہ درج ذیل فارمیٹ کے ساتھ تیار کیا جاتا ہے:

{HKCU|HKLM}سافٹ ویئر کلاس سی ایل ایس آئی ڈی{ }(پہلے سے طے شدہ)

ایک تیار کردہ GUID ہے، جو ہر شکار کے لیے منفرد ہے۔

اس کے بعد، .NET رن ٹائم شروع کیا جاتا ہے، پھر Executor RC4- بیک ڈور کے .NET حصے کو ڈیکرپٹ کرتا ہے جسے آرکیسٹریٹر کہا جاتا ہے۔ آرکیسٹریٹر کے اندر واقع ہے۔ .rsrc ایگزیکیوٹر کا سیکشن۔ کنفیگریشن آرکیسٹریٹر کے ایگزیکیوشن کے طریقہ کو بطور انٹری پوائنٹ بتاتی ہے۔ مزید برآں، آرکیسٹریٹر کے ذریعہ ایگزیکیوٹر کے افعال تک رسائی کو آسان بنانے کے لیے ایک الگ ڈھانچہ فراہم کیا گیا ہے۔

آرکیسٹریٹر کو شروع کرنے کے بعد، ایگزیکیوٹر آرکیسٹریٹر کے لیے معاون لائبریری کے طور پر کام کرتا ہے۔ ایگزیکیوٹر بہت سے دلچسپ افعال پر مشتمل ہے۔ ہم ان میں سے کچھ کو مندرجہ ذیل حصے میں بیان کرتے ہیں، آرکیسٹریٹر کے ذریعہ ان کے استعمال اور مزید بھری ہوئی ماڈیولز کے تناظر میں۔

آرکسٹریٹر

.NET میں لکھا گیا، آرکیسٹریٹر Deadglyph بیک ڈور کا بنیادی جزو ہے۔ اس جزو کے بنیادی کردار میں C&C سرور کے ساتھ مواصلت قائم کرنا اور حکموں پر عمل درآمد شامل ہے، جو اکثر ایگزیکیوٹر کے درمیانی کردار کے ذریعے سہولت فراہم کرتے ہیں۔ پچھلے اجزاء کے برعکس، آرکیسٹریٹر مبہم ہے، .NET ری ایکٹر کو ملازمت دے رہا ہے۔ اندرونی طور پر، پچھلے دروازے کے طور پر کہا جاتا ہے ایجنٹجو کہ مختلف پوسٹ ایکسپلائیٹیشن فریم ورک میں کلائنٹ کے حصے کا ایک عام نام ہے۔

ابتدا

آرکیسٹریٹر سب سے پہلے اپنی کنفیگریشن اور دو ایمبیڈڈ ماڈیول لوڈ کرتا ہے، ہر ایک کے ساتھ وسائل سے اپنی ترتیب کا سیٹ ہوتا ہے۔ یہ وسائل ہیں۔ ڈیفلیٹ کمپریسڈ اور یئایس خفیہ کردہ ان کا حوالہ ایک ایسی ID کے ذریعے دیا جاتا ہے جسے SHA-1 وسائل کے نام میں ہیش کیا جاتا ہے۔ ان وسائل کا ایک جائزہ میں دیا گیا ہے۔ REF _Ref111452440 h ٹیبل 1
.

ٹیبل 1. آرکیسٹریٹر کے وسائل

وسائل کا نام	ID (اعشاریہ)	ID (ہیکس)	Description
43ed9a3ad74ed7ab74c345a876b6be19039d4c8c	2570286865	0x99337711	آرکیسٹریٹر کی ترتیب۔
3a215912708eab6f56af953d748fbfc38e3bb468	3740250113	0xDEEFB001	نیٹ ورک ماڈیول۔
42fb165bc9cf614996027a9fcb261d65fd513527	3740250369	0xDEEFB101	نیٹ ورک ماڈیول کنفیگریشن۔
e204cdcf96d9f94f9c19dbe385e635d00caaf49d	3735924737	0xDEADB001	ٹائمر ماڈیول۔
abd2db754795272c21407efd5080c8a705a7d151	3735924993	0xDEADB101	ٹائمر ماڈیول کنفیگریشن۔

آرکیسٹریٹر اور ایمبیڈڈ ماڈیولز کی ترتیب XML فارمیٹ میں محفوظ ہے۔ آرکیسٹریٹر کی ترتیب کی ایک مثال میں دکھایا گیا ہے۔ REF _Ref111452611 h
اعداد و شمار 4
.

آرکیسٹریٹر کنفیگریشن اندراجات کی تفصیل اس میں دکھائی گئی ہے۔ REF _Ref111452782 h ٹیبل 2
.

ٹیبل 2۔ آرکیسٹریٹر کنفیگریشن اندراجات

وسائل کے اجزاء کے لوڈ ہونے کے بعد، مختلف کاموں کو انجام دینے کے لیے متعدد تھریڈز بنائے جاتے ہیں۔ ان تھریڈز میں سے ایک ماحول کی جانچ کے لیے ذمہ دار ہے، ایک فنکشن جو ایگزیکیوٹر کے اندر لاگو ہوتا ہے۔ ایک اور دھاگہ C&C سرور کے ساتھ متواتر مواصلت قائم کرنے کے لیے وقف ہے، جس سے کمانڈز کی بازیافت کو ممکن بنایا جا سکتا ہے۔ آخر میں، تین تھریڈز کا ایک سیٹ موصول ہونے والے کمانڈز کو انجام دینے اور بعد ازاں کسی بھی پیدا شدہ آؤٹ پٹ کو واپس C&C سرور پر منتقل کرنے کے لیے استعمال کیا جاتا ہے۔

ماحول کی جانچ کرنے والا دھاگہ ناپسندیدہ افراد کی شناخت کے لیے چلنے والے عمل کی نگرانی کرتا ہے۔ یہ تھریڈ عمل کے ناموں کی دو الگ فہرستوں کے ساتھ کام کرتا ہے۔ اگر پہلی فہرست میں کسی عمل کا پتہ چل جاتا ہے، تو C&C کمیونیکیشن اور کمانڈ پر عمل درآمد اس وقت تک روک دیا جاتا ہے جب تک کہ ناپسندیدہ عمل مزید موجود نہ ہو۔ اگر دوسری فہرست میں کسی بھی عمل کے لیے کوئی مماثلت ہے، تو بیک ڈور فوری طور پر بند ہو جاتا ہے اور خود کو ان انسٹال کر دیتا ہے۔

تجزیہ کردہ مثال میں کسی بھی فہرست کو ترتیب نہیں دیا گیا تھا، لہذا ہم نہیں جانتے کہ عام طور پر کن عملوں کی جانچ پڑتال کی جا سکتی ہے؛ ہمیں یقین ہے کہ شاید اس کا مقصد تجزیہ کے ٹولز سے بچنا ہے جو مشکوک سرگرمی کا پتہ لگاسکتے ہیں اور پچھلے دروازے کی دریافت کا باعث بن سکتے ہیں۔

مواصلات

آرکیسٹریٹر C&C کمیونیکیشن کے لیے دو ایمبیڈڈ ماڈیولز - ٹائمر اور نیٹ ورک استعمال کرتا ہے۔ آرکیسٹریٹر کی طرح، یہ ماڈیولز .NET ری ایکٹر کے ساتھ مبہم ہیں۔ دونوں ماڈیولز کی ترتیب آرکیسٹریٹر کے ذریعے فراہم کی جاتی ہے۔ آرکیسٹریٹر کے اندر، ماڈیولز کے لیے ایک پیش سیٹ کنفیگریشن شامل ہے۔ اختیاری طور پر، آرکیسٹریٹر رجسٹری سے ایک اپ ڈیٹ کنفیگریشن ورژن بھی لوڈ کر سکتا ہے:

{HKCU|HKLM}سافٹ ویئر کلاس سی ایل ایس آئی ڈی{ }

بیک ڈور مواصلات سے متعلق ایک دلچسپ حفاظتی اقدام پر مشتمل ہے۔ اگر بیک ڈور C&C سرور کے ساتھ پہلے سے طے شدہ حد سے تجاوز کرتے ہوئے رابطہ قائم کرنے سے قاصر ہے، ایگزیکیوٹر کے اندر کنفیگر کیا گیا ہے، تو خود ان انسٹالیشن میکانزم کو متحرک کیا جاتا ہے۔ اس وقت کی حد گھنٹوں میں بتائی گئی ہے اور جانچ شدہ کیس میں ایک گھنٹہ مقرر کی گئی تھی۔

یہ نقطہ نظر دو گنا مقصد کی خدمت کرتا ہے. ایک طرف، یہ ناقابل رسائی سرور کی طرف فالتو نیٹ ورک کی درخواستوں کی نسل کو روکتا ہے۔ دوسری طرف، اگر آپریٹرز بیک ڈور پر کنٹرول کھو دیتے ہیں تو یہ بعد میں پتہ لگانے کے امکانات کو کم کر دیتا ہے۔

ٹائمر ماڈیول

یہ چھوٹا ماڈیول مخصوص کال بیک کو قابل ترتیب وقفہ پر انجام دیتا ہے۔ اسے آرکیسٹریٹر نیٹ ورک ماڈیول کے ساتھ مل کر C&C سرور کے ساتھ وقتاً فوقتاً بات چیت کرنے کے لیے استعمال کرتا ہے۔ نیٹ ورک لاگز میں قابل شناخت نمونوں کی تخلیق کو روکنے کے لیے، ترتیب میں بیان کردہ فیصد کی بنیاد پر، عملدرآمد کا وقفہ بے ترتیب ہونے سے مشروط ہے۔ تجزیہ کردہ مثال میں، وقفہ پانچ منٹ پر مقرر کیا گیا تھا، جس میں بے ترتیب پن کے لیے ±20% تغیر متعارف کرایا گیا تھا۔

متواتر مواصلات میں قابل شناخت نیٹ ورک پیٹرن سے بچنے کا ایک اور طریقہ C&C سرور کو بھیجی جانے والی درخواستوں کی نسل میں پایا جا سکتا ہے۔ ایگزیکیوٹر میں لاگو کیا گیا یہ طریقہ کار، درخواستوں کے اندر مختلف لمبائی کی پیڈنگ کو شامل کرتا ہے، جس میں بے ترتیب بائٹس شامل ہیں، جس کے نتیجے میں متنوع سائز کی درخواستیں آتی ہیں۔

نیٹ ورک ماڈیول

نیٹ ورک ماڈیول اپنی ترتیب میں بیان کردہ C&C سرورز کے ساتھ مواصلات کو نافذ کرتا ہے۔ یہ HTTP(S) POST درخواستوں کا استعمال کرتے ہوئے C&C سرور کو ڈیٹا بھیج سکتا ہے۔ خاص طور پر، یہ پراکسی کنفیگریشن کی تفصیلات حاصل کرنے کے لیے کئی میکانزم پیش کرتا ہے۔ یہ خصوصیت ایسے ماحول پر توجہ مرکوز کرنے کی تجویز کرتی ہے جہاں براہ راست انٹرنیٹ تک رسائی دستیاب نہیں ہے۔

ڈکرپٹڈ (اور خوبصورت) ترتیب کی ایک مثال میں دکھایا گیا ہے۔ REF _Ref144978805 h اعداد و شمار 5
.

کنفیگریشن اندراجات میں نیٹ ورک کمیونیکیشنز - C&C URLs، HTTP یوزر-ایجنٹ، اور اختیاری طور پر ایک پراکسی کنفیگریشن سے متعلق تفصیلات ہوتی ہیں۔

C&C سرور کے ساتھ بات چیت کرتے وقت، HTTPS کے نیچے خفیہ کردہ مواد کے ساتھ ایک حسب ضرورت بائنری پروٹوکول استعمال کیا جاتا ہے۔

حکم دیتا ہے

آرکیسٹریٹر C&C سرور سے کاموں کی شکل میں کمانڈ وصول کرتا ہے، جو عمل درآمد کے لیے قطار میں لگے ہوتے ہیں۔ تین قسم کے کام ہوتے ہیں:

• آرکیسٹریٹر کے کام،
• ایگزیکیوٹر کے کام، اور
• ٹاسک اپ لوڈ کریں۔

پہلی دو قسمیں C&C سرور سے موصول ہوتی ہیں اور تیسری کمانڈ اور غلطیوں کے آؤٹ پٹ کو اپ لوڈ کرنے کے لیے اندرونی طور پر بنائی جاتی ہے۔

آرکیسٹریٹر کے کام

آرکیسٹریٹر کے کام نیٹ ورک اور ٹائمر ماڈیولز کی ترتیب کو منظم کرنے اور زیر التواء کاموں کو منسوخ کرنے کی صلاحیت پیش کرتے ہیں۔ آرکیسٹریٹر کے کاموں کا جائزہ اس میں دکھایا گیا ہے۔ REF _Ref111101783 h ٹیبل 3
.

ٹیبل 3۔ آرکیسٹریٹر کے کام

ایگزیکیوٹر کے کام

ایگزیکیوٹر ٹاسک بیک ڈور کو منظم کرنے اور اضافی ماڈیولز کو انجام دینے کی صلاحیت پیش کرتے ہیں۔ یہ قابل ذکر ہے کہ روایتی بیک ڈور فعالیت خود بائنری میں فطری طور پر موجود نہیں ہے۔ اس کے بجائے، یہ فنکشنز C&C سرور سے PE فائلوں یا شیل کوڈ کی صورت میں حاصل کیے جاتے ہیں۔ پچھلے دروازے کی صلاحیت کی مکمل حد ان اضافی ماڈیولز کے بغیر نامعلوم رہتی ہے، جو اس کی حقیقی صلاحیتوں کو مؤثر طریقے سے کھول دیتے ہیں۔ ماڈیول کے کاموں کا ایک جائزہ اس میں دکھایا گیا ہے۔ REF _Ref117677179 h ٹیبل 4
، جس میں چند شناخت شدہ ماڈیولز کے بارے میں تفصیلات شامل ہیں۔ اسی طرح، REF _Ref117677188 h ٹیبل 5
ایگزیکیوٹر سے وابستہ انتظامی کاموں کا ایک جائزہ فراہم کرتا ہے۔

جدول 4۔ ایگزیکیوٹر کے کام – ماڈیولز

قسم	Description
0x؟؟–0x63	نامعلوم
0x64	فائل ریڈر
0x65	نامعلوم
0x66	نامعلوم
0x67	نامعلوم
0x68	نامعلوم
0x69	عمل تخلیق کار
0x6A۔	نامعلوم
0x6B	نامعلوم
0x6C۔	معلومات جمع کرنے والا
0x6D۔	نامعلوم
0x6E	نامعلوم

جدول 5۔ ایگزیکیوٹر کے کام - انتظام

قسم	Description
0x6F-0x76	نافذ نہیں کیا گیا
0x77	ایگزیکیوٹر کنفیگریشن سیٹ کریں۔
0x78	ایگزیکٹو کنفیگریشن حاصل کریں۔
0x79-0x7C	نافذ نہیں کیا گیا
0x7D۔	اپ ڈیٹ کریں
0x7E	چھوڑو
0x7F	انسٹال کریں

کمانڈ جو ایگزیکیوٹر کنفیگریشن کو سیٹ کرتی ہے اسے تبدیل کر سکتی ہے:

• ناپسندیدہ عمل کی فہرستیں،
• C&C کمیونیکیشن کی ناکامی کی ٹائم تھریشولڈ، اور
• اضافی ماڈیولز کے نفاذ کے لیے وقت کی حد۔

ماڈیولز

ہم C&C سرور سے تین منفرد ماڈیول حاصل کرنے میں کامیاب ہوئے، ہر ایک مختلف ایگزیکیوٹر ٹاسک کی قسم کے مطابق، جیسا کہ اس میں دکھایا گیا ہے۔ REF _Ref117677179 h ٹیبل 4 08D0C9EA79F9BACE118C8200AA004BA90B02000000080000000E0000005F005200650066003100310037003600370037003100370039000000
. دستیاب معلومات کی بنیاد پر، ہمارا اندازہ ہے کہ کل نو سے چودہ ماڈیول ہیں۔ چونکہ ماڈیول درحقیقت بیک ڈور کمانڈز ہیں، اس لیے ان کے پاس ایک بنیادی آپریشن ہے اور پھر اختیاری طور پر اپنا آؤٹ پٹ واپس کرنا ہے۔ ہم نے جو ماڈیول حاصل کیے ہیں وہ ایک بے نام برآمد کے ساتھ DLL ہیں (آرڈینل 1)، جس میں وہ ضروری API فنکشنز کو حل کرتے ہیں اور مین فنکشن کو کال کرتے ہیں۔

جب عملدرآمد کیا جاتا ہے تو، ماڈیولز کو API ریزولوشن فنکشن فراہم کیا جاتا ہے، جو Windows APIs اور کسٹم Executor APIs کو حل کر سکتا ہے۔ Windows APIs کا حوالہ DWORD ہیش کے ذریعے دیا جاتا ہے، جسے API اور اس کے DLL کے نام سے شمار کیا جاتا ہے۔ Executor API فنکشن کا حوالہ دیتے ہوئے چھوٹی ہیش ویلیوز (<41) کو خصوصی طور پر سمجھا جاتا ہے۔ Executor API میں کل 39 فنکشنز شامل ہیں جو ماڈیولز تک قابل رسائی ہیں۔ یہ افعال مختلف کارروائیوں سے متعلق ہیں، بشمول:

• فائل آپریشنز،
• خفیہ کاری اور ہیشنگ،
• کمپریشن،
• پیئ لوڈنگ،
• ٹوکن کی نقالی تک رسائی، اور
• افادیت.

اس حصے کے بقیہ حصے میں، ہم ان ماڈیولز کی وضاحت کرتے ہیں جو ہم نے حاصل کیے ہیں۔

عمل تخلیق کار

ماڈیول 0x69 مخصوص کمانڈ لائن کو ایک نئے عمل کے طور پر انجام دیتا ہے اور نتیجہ آرکیسٹریٹر کو واپس فراہم کرتا ہے۔ یہ عمل ایک مختلف صارف کے تحت بنایا جا سکتا ہے، اور اس پر عمل درآمد کا وقت محدود ہو سکتا ہے۔ خاص طور پر، ایک غیر معمولی جاب API اس ماڈیول کی فعالیت میں استعمال ہوتا ہے۔

یہ ماڈیول کمانڈ لائن کے ساتھ پیش کیا گیا تھا۔ cmd.exe /c ٹاسک لسٹ /v.

ہم فرض کرتے ہیں کہ یہ ایک غیر فعال کمانڈ کے طور پر کام کرتا ہے جو خود بخود جاری ہوتا ہے، جب کہ آپریٹرز سمجھوتہ شدہ کمپیوٹر پر کچھ دلچسپ ہونے کا انتظار کرتے ہیں۔

معلومات جمع کرنے والا

ماڈیول 0x6C۔ WMI سوالات کے ذریعے کمپیوٹر کے بارے میں وسیع معلومات جمع کرتا ہے اور اسے آرکیسٹریٹر کو واپس بھیج دیتا ہے۔ درج ذیل کے بارے میں معلومات اکٹھی کی جاتی ہیں۔

• آپریٹنگ سسٹم،
• نیٹ ورک ایڈاپٹرز،
• انسٹال کردہ سافٹ ویئر،
• ڈرائیوز ،
• خدمات،
• ڈرائیور ،
• عمل،
• صارفین،
• ماحولیاتی متغیرات، اور
• سیکورٹی سافٹ ویئر.

فائل ریڈر

ماڈیول 0x64 مخصوص فائل کو پڑھتا ہے اور مواد کو آرکیسٹریٹر کو واپس بھیج دیتا ہے۔ اختیاری طور پر، یہ پڑھنے کے بعد فائل کو حذف کر سکتا ہے۔

ہم نے دیکھا کہ یہ ماڈیول متاثرہ کی آؤٹ لک ڈیٹا فائل کو بازیافت کرنے کے لیے استعمال ہوتا ہے۔

c:صارفین AppDataLocalMicrosoftOutlookoutlook.ost.

شیل کوڈ ڈاؤنلوڈر کے ساتھ سلسلہ

Deadglyph کی چھان بین کے دوران، ہمیں ایک مشکوک CPL فائل کا سامنا ہوا جس پر ایک میعاد ختم ہونے والے سرٹیفکیٹ کے ساتھ دستخط کیے گئے تھے اور ٹائم اسٹیمپ کے ساتھ کوئی جوابی دستخط نہیں تھا، جسے قطر سے VirusTotal پر اپ لوڈ کیا گیا تھا۔ قریب سے جانچنے پر، یہ واضح ہو گیا کہ یہ سی پی ایل فائل ایک ملٹی سٹیج شیل کوڈ ڈاؤنلوڈر کے طور پر کام کرتی ہے، جس میں ڈیڈگلیف کے ساتھ مخصوص کوڈ کی مماثلت ہے۔ لوڈنگ چین کو اس میں دکھایا گیا ہے۔ REF _Ref143693067 h اعداد و شمار 6
.

اس کی ابتدائی شکل میں، جو پہلے مرحلے کے طور پر کام کرتا ہے، اس فائل میں ایک ہونے کی توقع ہے۔ .cpl ایکسٹینشن (کنٹرول پینل فائل) اور اس کا مقصد ڈبل کلک ایکشن کے ذریعے عمل میں لانا ہے۔ اس طریقے سے عمل درآمد پر، ایمبیڈڈ شیل کوڈ XOR ڈکرپشن سے گزرتا ہے، اور چلنے والے عمل کو بعد میں انجیکشن کے لیے موزوں میزبان عمل کی شناخت کے لیے چیک کیا جاتا ہے۔

If avp.exe (کاسپرسکی اینڈ پوائنٹ سیکیورٹی پروسیس) چل رہا ہے، %windir%system32UserAccountBroker.exe استعمال کیا جاتا ہے. دوسری صورت میں، ڈیفالٹ براؤزر استعمال کیا جاتا ہے. پھر، یہ میزبان عمل کو معطل حالت میں بناتا ہے، شیل کوڈ کو اس کے مرکزی دھاگے کو ہائی جیک کرکے انجیکشن لگاتا ہے، اور تھریڈ کو دوبارہ شروع کرتا ہے۔

دوسرا مرحلہ، شیل کوڈ، دو حصوں پر مشتمل ہے۔ شیل کوڈ کا پہلا حصہ API ہیشز کو حل کرتا ہے، اسی منفرد ہیش کیلکولیشن تکنیک کا استعمال کرتے ہوئے جسے Deadglyph میں استعمال کیا جاتا ہے، اور عمل کے ناموں کے ساتھ تاروں کو ڈیکرپٹ کرتا ہے۔ یہ اوور رائٹنگ اور بعد ازاں پہلے مرحلے کی فائل کو مٹانے کا کام خود سے حذف کرنے والا تھریڈ شروع کرتا ہے۔ اس کے بعد، شیل کوڈ سیکیورٹی حل کو نشانہ بناتے ہوئے، موجودہ فعال عمل کا معائنہ کرنے کے لیے آگے بڑھتا ہے۔

اگر کسی مخصوص عمل کا پتہ چل جاتا ہے تو، شیل کوڈ سب سے کم ترجیح کے ساتھ سلیپر تھریڈ بناتا ہے (THREAD_PRIORITY_IDLE) اور اسے اپنے آپریشن کو ختم کرنے سے پہلے 60 سیکنڈ تک فعال رہنے کی اجازت دیتا ہے۔ یہ وقفہ ممکنہ طور پر حفاظتی حل کے ذریعے استعمال کیے جانے والے کچھ پتہ لگانے کے طریقہ کار سے بچنے کے لیے احتیاطی اقدام کے طور پر لاگو کیا گیا ہے۔ آخر میں، شیل کوڈ اپنے کوڈ کے دوسرے حصے پر عمل درآمد کرنے کے لیے آگے بڑھتا ہے۔

شیل کوڈ کا دوسرا حصہ اسٹیج تھری کے ساتھ ایمبیڈڈ پی ای فائل لوڈ کرتا ہے اور اس کی ایکسپورٹ کو آرڈینل نمبر کے ساتھ کال کرتا ہے۔ 1.

تیسرا مرحلہ، ایک DLL، ایک .NET لوڈر کے طور پر کام کرتا ہے اور اس میں پے لوڈ ہوتا ہے۔ .rsrc سیکشن پر ایک اقتصادی کینڈر سکین کر لیں۔

پے لوڈ لوڈ کرنے کے لیے، .NET رن ٹائم شروع کیا جاتا ہے۔ .NET کی شروعات کے دوران، دو دلچسپ تکنیکوں کو انجام دیا جاتا ہے، بظاہر ونڈوز سے بچنے کا مقصد اینٹی میل ویئر اسکین انٹرفیس (AMSI) اسکیننگ:

• .NET لوڈر عارضی طور پر ہکس کرتا ہے۔ GetModuleHandleW بھری ہوئی میں درآمد کریں clr.dll، کال کرتے وقت ICorRuntimeHost ::شروع کریں۔. جب ہک واپسی کی قیمت کے ساتھ چھیڑ چھاڑ کرتا ہے۔ GetModuleHandleW کے ساتھ بلایا جاتا ہے خالی. یہ بغیر کسی حصے کے ڈمی PE پر پوائنٹر لوٹاتا ہے۔
• یہ پھر ٹھیک طریقے سے پیچ کرتا ہے۔ AmsiInitialize میں نام کی تار درآمد کریں۔ .rdata بھری ہوئی سیکشن clr.dll کرنے کے لئے aMSIinitialize.

چوتھا مرحلہ ایک .NET اسمبلی ہے، جو ConfuserEx کے ساتھ مبہم ہے، جو شیل کوڈ ڈاؤنلوڈر کے طور پر کام کرتا ہے۔ سب سے پہلے، یہ اپنے وسائل سے اپنی ترتیب کو XML فارمیٹ میں XOR-ڈیکرپٹ کرتا ہے۔ نکالی گئی ترتیب کا ایک خوبصورت ورژن پیش کیا گیا ہے۔ REF _Ref143695453 h اعداد و شمار 7
. کنفیگریشن اندراجات میں نیٹ ورک کمیونیکیشن اور بلاک لسٹ شدہ عمل سے متعلق تفصیلات ہوتی ہیں۔

آگے بڑھنے سے پہلے، یہ کنفیگریشن سے بلاک لسٹ شدہ عملوں کی فہرست کے خلاف چلتے ہوئے عمل کو چیک کرتا ہے۔ اگر ایک مماثلت کا پتہ چل جاتا ہے، تو پھانسی روک دی جاتی ہے۔ یہ نوٹ کرنا ضروری ہے کہ تجزیہ کردہ مثال میں، یہ بلاک لسٹ ترتیب نہیں دی گئی تھی۔

اس کے بعد، یہ کنفیگریشن (یو آر ایل، یوزر-ایجنٹ، اور اختیاری طور پر پراکسی) میں مخصوص پیرامیٹرز کا استعمال کرتے ہوئے، کچھ شیل کوڈ بازیافت کرنے کے لیے سی اینڈ سی سرور کو ایک HTTP GET درخواست بھیجتا ہے۔ افسوس کے ساتھ، ہماری تحقیقات کے دوران ہم C&C سرور سے کوئی شیل کوڈ حاصل کرنے میں ناکام رہے۔ بہر حال، ہم قیاس کرتے ہیں کہ جو مواد بازیافت کیا جا رہا ہے وہ ممکنہ طور پر Deadglyph کے انسٹالر کے طور پر کام کر سکتا ہے۔

اس کے بعد، بازیافت شدہ شیل کوڈ کو نئے بنائے گئے تھریڈ کے اندر عمل میں لایا جاتا ہے۔ شیل کوڈ تھریڈ کے مکمل ہونے تک انتظار کرنے کے بعد، شیل کوڈ ڈاؤنلوڈر ڈائریکٹری میں موجود تمام فائلوں کو ہٹا دیتا ہے۔ %WINDIR%ServiceProfilesLocalServiceAppDataLocalTempTfsStoreTfs_DAV.

آخر میں، یہ 20 سیکنڈ کے وقفے کے بعد خود کو حذف کرنے کی کوشش کرتا ہے، اس کے بعد کی کمانڈ کو استعمال کرتے ہوئے، اس کے آپریشن کو ختم کرنے اور باہر نکلنے سے پہلے:

cmd.exe انتخاب /CY /N /DY /T 20 اور Del /f /q

اس سلسلہ میں یہ خود حذف کرنا معنی نہیں رکھتا۔ یہ اس حقیقت کی وجہ سے ہے کہ شیل کوڈ ڈاؤنلوڈر کو انجیکشن لگنے کے بعد براؤزر یا سسٹم کے عمل کے اندر عمل میں لایا جاتا ہے، بجائے اس کے کہ ایک آزاد ایگزیکیوٹیبل کے طور پر کام کیا جائے۔ مزید یہ کہ ابتدائی فائل پہلے ہی دوسرے مرحلے سے ڈیلیٹ کر دی گئی تھی۔ اس مشاہدے سے پتہ چلتا ہے کہ شیل کوڈ ڈاؤنلوڈر اس سلسلہ کا ایک خصوصی پے لوڈ نہیں ہوسکتا ہے اور اسے دوسرے کاموں میں بھی الگ سے استعمال کیا جاسکتا ہے۔

نتیجہ

ہم نے اسٹیلتھ فالکن گروپ کے زیر استعمال ایک جدید ترین بیک ڈور دریافت اور تجزیہ کیا ہے جسے ہم نے Deadglyph کا نام دیا ہے۔ اس کا ایک غیر معمولی فن تعمیر ہے، اور اس کی بیک ڈور صلاحیتیں اس کے C&C کے ذریعہ اضافی ماڈیولز کی شکل میں فراہم کی گئی ہیں۔ ہم ان میں سے تین ماڈیولز حاصل کرنے میں کامیاب ہو گئے، جس سے ڈیڈگلیف کی مکمل صلاحیتوں کا ایک حصہ دریافت ہوا۔

خاص طور پر، Deadglyph کئی طرح کے انسداد کا پتہ لگانے کے طریقہ کار کا حامل ہے، بشمول سسٹم کے عمل کی مسلسل نگرانی اور بے ترتیب نیٹ ورک پیٹرن کا نفاذ۔ مزید برآں، بیک ڈور بعض صورتوں میں اس کے پتہ لگانے کے امکانات کو کم کرنے کے لیے خود کو ان انسٹال کرنے کے قابل ہے۔

مزید برآں، ہماری تحقیقات نے ہمیں VirusTotal پر ایک زبردست ملٹی اسٹیج شیل کوڈ ڈاؤنلوڈر چین کی دریافت کی طرف لے جایا۔ ہمیں شبہ ہے کہ اس ڈاؤنلوڈر چین کا ممکنہ طور پر ڈیڈگلیف کی تنصیب کے عمل میں فائدہ اٹھایا گیا ہے۔

WeLiveSecurity پر شائع ہونے والی ہماری تحقیق کے بارے میں کسی بھی استفسار کے لیے، براہ کرم ہم سے رابطہ کریں۔ ਧਮਕੀینٹیل@eset.com.
ESET ریسرچ نجی APT انٹیلی جنس رپورٹس اور ڈیٹا فیڈز پیش کرتا ہے۔ اس سروس کے بارے میں کسی بھی استفسار کے لیے، ملاحظہ کریں۔ ای ایس ای ٹی تھریٹ انٹیلی جنس صفحہ.

آئی او سیز

فائلوں

ان شاء 1	فائل کا نام	کھوج	Description
C40F1F46D230A85F702DAA38CFA18D60481EA6C2	pbrtl.dll	Win64/Deadglyph.A	رجسٹری شیل کوڈ لوڈر۔
740D308565E215EB9B235CC5B720142428F540DB	N / A	Win64/Deadglyph.A	ڈیڈگلیف بیک ڈور - ایگزیکیوٹر۔
1805568D8362A379AF09FD70D3406C6B654F189F	N / A	MSIL/Deadglyph.A	ڈیڈگلیف بیک ڈور - آرکیسٹریٹر۔
9CB373B2643C2B7F93862D2682A0D2150C7AEC7E	N / A	MSIL/Deadglyph.A	آرکیسٹریٹر نیٹ ورک ماڈیول۔
F47CB40F6C2B303308D9D705F8CAD707B9C39FA5	N / A	MSIL/Deadglyph.A	آرکیسٹریٹر ٹائمر ماڈیول۔
3D4D9C9F2A5ACEFF9E45538F5EBE723ACAF83E32	N / A	Win64/Deadglyph.A.gen	عمل تخلیق کار ماڈیول۔
3D2ACCEA98DBDF95F0543B7C1E8A055020E74960	N / A	Win64/Deadglyph.A	فائل ریڈر ماڈیول۔
4E3018E4FD27587BD1C566930AE24442769D16F0	N / A	Win64/Deadglyph.A	معلومات جمع کرنے والا ماڈیول۔
7F728D490ED6EA64A7644049914A7F2A0E563969	N / A	Win64/Injector.MD	شیل کوڈ ڈاؤنلوڈر چین کا پہلا مرحلہ۔

سرٹیفکیٹس

سیریل نمبر	00F0FB1390F5340CD2572451D95DB1D92D
انگوٹھا نشان	DB3614DAF58D041F96A5B916281EA0DC97AA0C29
موضوع CN	آر ایچ ایم لمیٹڈ
موضوع O	آر ایچ ایم لمیٹڈ
موضوع ایل	سینٹ البانس
موضوع ایس	Hertfordshire
موضوع سی	GB
دوستوں کوارسال کریں	rhm@rhmlimited[.]co.uk
سے درست	2021-03-16 00:00:00
اس تاریخ تک کارآمد ہ	2022-03-16 23:59:59

C&C سرورز

IP	ڈومین	پہلی بار دیکھا	تبصرہ
185.25.50[.]60	chessandlinkss[.]com	2021-08-25	ڈیڈگلیف سی اینڈ سی سرور۔
135.125.78[.]187	easymathpath[.]com	2021-09-11	ڈیڈگلیف سی اینڈ سی سرور۔
45.14.227[.]55	joinushealth[.]com	2022-05-29	شیل کوڈ ڈاؤنلوڈر C&C سرور۔

MITER ATT&CK تکنیک

یہ میز استعمال کرتے ہوئے بنایا گیا تھا۔ ورژن 13 MITER ATT&CK فریم ورک کا۔

حربہ	ID	نام	Description
وسائل کی ترقی	T1583.001	انفراسٹرکچر حاصل کریں: ڈومینز	اسٹیلتھ فالکن نے C&C سرورز اور کوڈ پر دستخط کرنے والا سرٹیفکیٹ حاصل کرنے کے لیے ڈومین رجسٹر کیے ہیں۔
	T1583.003	انفراسٹرکچر حاصل کریں: ورچوئل پرائیویٹ سرور	سٹیلتھ فالکن نے C&C سرورز کے لیے VPS ہوسٹنگ فراہم کنندگان کا استعمال کیا ہے۔
	T1587.001	صلاحیتوں کو تیار کریں: میلویئر	سٹیلتھ فالکن نے حسب ضرورت میلویئر تیار کیا ہے، بشمول کسٹم لوڈرز اور ڈیڈگلیف بیک ڈور۔
	T1588.003	صلاحیتیں حاصل کریں: کوڈ پر دستخط کرنے والے سرٹیفکیٹ	سٹیلتھ فالکن نے کوڈ پر دستخط کرنے والا سرٹیفکیٹ حاصل کر لیا ہے۔
پھانسی	T1047	ونڈوز مینجمنٹ انسٹرومینٹیشن	Deadglyph اپنی لوڈنگ چین کو انجام دینے کے لیے WMI کا استعمال کرتا ہے۔
	T1059.003	کمانڈ اور اسکرپٹنگ ترجمان: ونڈوز کمانڈ شیل	شیل کوڈ ڈاؤنلوڈر استعمال کرتا ہے۔ cmd.exe خود کو حذف کرنے کے لیے۔
	T1106	آبائی API	ڈیڈگلیف ماڈیول استعمال کرتا ہے۔ CreateProcessW اور CreateProcessAsUserW عمل درآمد کے لیے API افعال۔
	T1204.002	صارف پر عملدرآمد: نقصان دہ فائل	شیل کوڈ ڈاؤنلوڈر چین کے لیے صارف کو ڈبل کلک کرنے اور اس پر عمل درآمد کرنے کی ضرورت ہوتی ہے۔
مسلسل	T1546.003	ایونٹ ٹریگرڈ ایگزیکیوشن: ونڈوز مینجمنٹ انسٹرومینٹیشن ایونٹ سبسکرپشن	ابتدائی ڈیڈگلیف لوڈر WMI ایونٹ سبسکرپشن کا استعمال کرتے ہوئے برقرار ہے۔
دفاعی چوری	T1027	مبہم فائلیں یا معلومات	Deadglyph اجزاء کو خفیہ کیا گیا ہے۔ ڈیڈگلیف آرکیسٹریٹر اور ایمبیڈڈ ماڈیولز .NET ری ایکٹر کے ساتھ مبہم ہیں۔ شیل کوڈ ڈاؤنلوڈر ConfuserEx کے ساتھ مبہم ہے۔
	T1070.004	اشارے کو ہٹانا: فائل کو حذف کرنا	Deadglyph خود کو ان انسٹال کر سکتا ہے۔ شیل کوڈ ڈاؤنلوڈر چین خود کو حذف کر دیتا ہے اور WebDAV کیشے میں موجود فائلوں کو حذف کر دیتا ہے۔
	T1112	رجسٹری میں ترمیم کریں۔	Deadglyph رجسٹری میں اپنی کنفیگریشن اور انکرپٹڈ پے لوڈ کو اسٹور کرتا ہے۔
	T1134	ٹوکن ہیرا پھیری تک رسائی حاصل کریں۔	Deadglyph دوسرے صارف کی نقالی کر سکتا ہے۔
	T1140	فائلوں یا معلومات کو ڈیوبفسکیٹ/ڈی کوڈ کریں۔	Deadglyph خفیہ کردہ تاروں کو ڈکرپٹ کرتا ہے۔ شیل کوڈ ڈاؤنلوڈر چین اپنے اجزاء اور کنفیگریشنز کو ڈکرپٹ کرتا ہے۔
	T1218.011	سسٹم بائنری پراکسی ایگزیکیوشن: Rundll32	ابتدائی ڈیڈگلیف لوڈر کا استعمال کرتے ہوئے عمل میں لایا جاتا ہے۔ rundll32.exe.
	T1480.001	ایگزیکیوشن گارڈریلز: ماحولیاتی کلید	Deadglyph کو سسٹم UUID سے اخذ کردہ مشین کے لیے مخصوص کلید کا استعمال کرتے ہوئے انکرپٹ کیا جاتا ہے۔
	T1562.001	کمزور دفاع: ٹولز کو غیر فعال یا ترمیم کریں۔	شیل کوڈ ڈاؤنلوڈر پیچ کرکے AMSI اسکیننگ سے گریز کرتا ہے۔ clr.dll یاد میں
	T1620	عکاس کوڈ لوڈ ہو رہا ہے۔	Deadglyph اپنی مرضی کے مطابق PE لوڈر کا استعمال کرتے ہوئے اپنے ماڈیولز کو عکاسی سے لوڈ کرتا ہے۔
ڈسکوری	T1007	سسٹم سروس کی دریافت	A Deadglyph ماڈیول WMI استفسار کا استعمال کرتے ہوئے خدمات کو دریافت کرتا ہے۔ Win32_Service سے * منتخب کریں۔
	T1012	استفسار رجسٹری	شیل کوڈ ڈاؤنلوڈر چین پہلے سے طے شدہ براؤزر کے لیے رجسٹری سے استفسار کرتا ہے۔
	T1016	سسٹم نیٹ ورک کنفیگریشن ڈسکوری	ایک Deadglyph ماڈیول WMI سوالات کا استعمال کرتے ہوئے نیٹ ورک اڈاپٹر دریافت کرتا ہے۔ Win32_NetworkAdapter سے * منتخب کریں۔ اور Win32_NetworkAdapterConfiguration سے * منتخب کریں جہاں InterfaceIndex=%d.
	T1033	سسٹم کے مالک/صارف کی دریافت	ایک Deadglyph ماڈیول WMI استفسار کے ساتھ صارفین کو دریافت کرتا ہے۔ Win32_UserAccount سے * منتخب کریں۔.
	T1057	عمل دریافت	ایک Deadglyph ماڈیول WMI استفسار کا استعمال کرتے ہوئے عمل کو دریافت کرتا ہے۔ Win32_Process سے * منتخب کریں۔.
	T1082	سسٹم انفارمیشن ڈسکوری	ایک Deadglyph ماڈیول WMI استفسارات کا استعمال کرتے ہوئے سسٹم کی معلومات جیسے OS ورژن، ڈرائیوز، ماحولیاتی متغیرات، اور ڈرائیوروں کو دریافت کرتا ہے۔
	T1518	سافٹ ویئر ڈسکوری	ایک Deadglyph ماڈیول WMI استفسار کا استعمال کرتے ہوئے انسٹال کردہ سافٹ ویئر دریافت کرتا ہے۔ Win32_Product سے * منتخب کریں۔.
	T1518.001	سافٹ ویئر ڈسکوری: سیکیورٹی سافٹ ویئر ڈسکوری	ایک Deadglyph ماڈیول WMI سوالات کا استعمال کرتے ہوئے حفاظتی سافٹ ویئر دریافت کرتا ہے۔ اینٹی وائرس پروڈکٹ سے * منتخب کریں۔, اینٹی سپائی ویئر پروڈکٹ سے * منتخب کریں۔ اور فائر وال پروڈکٹ سے * منتخب کریں۔. شیل کوڈ ڈاؤنلوڈر چین سیکیورٹی کے حل کے لیے چلنے والے عمل کو چیک کرتا ہے۔
جمعکاری	T1005	لوکل سسٹم سے ڈیٹا	Deadglyph میں فائلوں کو پڑھنے کے لیے ایک ماڈیول ہے۔
کمانڈ اور کنٹرول	T1071.001	ایپلیکیشن لیئر پروٹوکول: ویب پروٹوکول	Deadglyph اور شیل کوڈ ڈاؤنلوڈر HTTP پروٹوکول کے ذریعے C&C سرور کے ساتھ بات چیت کرتے ہیں۔
	T1090	پراکسی	ڈیڈگلیف اور شیل کوڈ ڈاؤنلوڈر سی اینڈ سی مواصلات کے لیے HTTP پراکسی استعمال کر سکتے ہیں۔
	T1573.001	خفیہ کردہ چینل: ہم آہنگ خفیہ نگاری	Deadglyph C&C مواصلات کو خفیہ کرنے کے لیے AES کا استعمال کرتا ہے۔
جلاوطنی	T1041	C2 چینل کے اوپر Exfiltration	Deadglyph exfiltration کے لیے C&C چینل استعمال کرتا ہے۔

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
• پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
• پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://www.welivesecurity.com/en/eset-research/stealth-falcon-preying-middle-eastern-skies-deadglyph/