CVE-2022-7954

#ParsedReport #ChatGPT #Translated Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

Статья служит введением к первой части серии из четырех частей, в которой подробно описывается методология, используемая командой Sekoia по обнаружению и исследованию угроз (TDR) для автоматизации извлечения конфигурации вредоносного ПО. В нем описан систематический подход к идентификации и обработке данных конфигурации из различных образцов вредоносных ПО, включая .NET вредоносное ПО, и использование Capstone для дизассемблирования, демонстрирующий универсальность метода в различных семействах.

Ключевым компонентом этой методологии является Assemblyline, платформа анализа вредоносного ПО с открытым исходным кодом, разработанная Канадским центром кибербезопасности (CCCS). Assemblyline организует процесс анализа вредоносного ПО в несколько служб, причем конкретная служба ориентирована на извлечение конфигурации, которая идентифицирует такие элементы, как домены C2 (Command and Control), IP-адреса, URL-адреса URL-адресов и криптографические материалы в образцах вредоносного ПО. Платформа позволяет интегрироваться с другими системами через API, облегчая автоматическую отправку образцов вредоносного ПО, полученных из honeypots, платформ обмена вредоносным ПО или мониторинга open directory в Assemblyline для анализа.

Служба ConfigExtractor играет жизненно важную роль в этом рабочем процессе, используя библиотеку ConfigExtractor на Python для извлечения конфигураций вредоносного ПО. Он поддерживает различные платформы извлечения, при этом команда TDR использует MACO для своих экстракторов. Компонент обновления постоянно извлекает новые экстракторы из частного репозитория Git и устанавливает необходимые зависимости, чтобы не отставать от появляющихся семейств вредоносных ПО. Сервис также интегрирует общедоступные репозитории для расширения своих возможностей извлечения.

Сосредоточив внимание на конкретном варианте вредоносного ПО под названием Kaiji, который написан на Go и в первую очередь нацелен на системы Linux и устройства Интернета вещей, в статье обсуждается его способ действия, включая первоначальное распространение посредством атак методом перебора SSH и использование таких уязвимостей, как CVE-2022-7954 и CVE-2023-1389. Анализ включал в себя выполнение статического анализа образца вредоносного ПО, чтобы понять его внутреннюю структуру и то, как оно получает доступ к конфигурациям C2. Примечательно, что было замечено, что двоичный файл не запутан, что упрощает обратное проектирование.

В процессе извлечения конфигурации C2 используется подробный метод, который включает итерацию по извлеченным строкам и использование регулярных выражений для идентификации конкретных конфигураций. Процесс фокусируется на строках с префиксом "use ParseCertificate", декодировании любых найденных значений Base64 и синтаксическом анализе полученных данных для извлечения сведений о C2 и порту. Этот структурированный подход иллюстрирует стремление команды TDR автоматизировать извлечение ценной информации из вредоносного ПО, тем самым расширяя их возможности обнаружения угроз.