Professional Documents
Culture Documents
ლაბორატორიული სამუშაო - მეთოდური მითითებები Wireshark-სთვის - Ursnif-ის ინფექციების გამოკვლევა v3
ლაბორატორიული სამუშაო - მეთოდური მითითებები Wireshark-სთვის - Ursnif-ის ინფექციების გამოკვლევა v3
სურათი №1. ბლოკ-სქემა, რომელიც მიღებულია ერთ-ერთი ყველაზე ცნობილი Ursnif-ის გავრცელების
კამპანიიდან
სურათი №2. ვინდოუსის რეესტრის განახლებების მაგალითი, რომელიც გამოწვეულია Ursnif-ის ნიმუშებით,
HTTPS ინფექციის შემდგომი ტრაფიკით ან მის გარეშე.
სურათი №4. HTTP GET მოთხოვნის მაგალითი, რომელიც გამოწვეულია ჩვენი პირველი Ursnif მაგალითით
სურათი №5. pcap ფაილი, ჩვენი მეორე მაგალითისთვის, რომელიც გაფილტრულია Wireshark პროგრამაში
სურათი №6. პირველი HTTP GET მოთხოვნა პასუხად აბრუნებს ორობით ფაილს Ursnif-სთვის
ჩვენი პირველი მაგალითისაგან განსხვავებით, მეორე pcap ფაილში Ursnif ქმნის HTTPS
ტრაფიკს, მას შემდეგ რაც ის გამაგრდება ინფიცირებულ ვინდოუს ჰოსტში. HTTPS
ტრაფიკის სწრაფი დათვალიერებისთვის გამოიყენეთ basic ვებ ფილტრი, რომელიც
აღწერილია მეთოდური მითითებები Wireshark-სთვის - ფილტრის ფორმულირებების
ჩვენება - ლაბორატორიული სამუშაოში. ყურადღება მიაქციეთ HTTPS ტრაფიკს
prodrigo29lbkf20[.]com მისამართისკენ, როგორც ნაჩვენებია მერვე სურათზე.
როგორც მეცხრე სურათზეა ნაჩვენები, ჩვენ ჩამოვშალეთ Secure Sockets Layer (დაცულ
მაერთებელთა შრე) სტრიქონი, ფრეიმის დეტალების ფანჯარაში. Wireshark 3.0 ან უფრო
ახალ ვერსიაში ეს სტრიქონი ნაჩვენებია, როგორც Transport Layer Security (ტრანსპორტის
შრის უსაფრთხოება). შემდეგ ჩვენ ჩამოვშალეთTLSv1.2 Record Layer: Handshake Protocol:
Certificate სახელით მარკირებული სტრიქონი. ამის შემდგომ ჩამოვშალეთ Handshake
Protocol: Certificate სახელით მარკირებული სტრიქონი.
სტრიქონების ჩამოშლას ვაგრძელებთ მანამდე, სანამ არ ვიპოვით გზას სერტიფიკატის
გამცემის მონაცემებამდე მისასვლელად, როგორც ნაჩვენებია მეათე სურათზე.
• Certificate: 30820260308201c9a003020102020900c692c94106d77dfc...
• signedCertificate
rdnSequence
სტრიქონის ქვეშ მოცემული ცალკეული ელემენტები აჩვენებს
სერტიფიკატის გამცემის თვისებებს (properties). ისინი ავლენენ შემდეგ მახასიათებლებს:
• countryName=XX
• stateOrProvinceName=1
• localityName=1
• organizationName=1
• organizationalUnitName=1
• commonName=*
სურათი №13. მესამე pcap ფაილის გაფილტვრა ვებ ტრაფიკისთვის Wireshark პროგრამაში
სურათი №17. Wireshark პროგრამაში გამოყენებული ფილტრი, რომელიც უჩვენებს ინფიცირებული ვინდოუს
ჰოსტის მცდელობებს Ursnif-თან დაკავშირებულ დომენებთან, სანამ ის მიაღწევს 200 OK შეტყობინებას HTTP
ტრაფიკში.
სურათი №20. მეოთხე pcap ფაილიდან ამოღებული ტრაფიკი, რომელიც გაფილტრულია Wireshark-ით
სურათი №21. აქტივობა ინფექციიდან მას შემდეგ, რაც Ursnif გამაგრდა სისტემაში
მეოთხე მაგალითი მიყვება ინფიცირების იგივე ნიმუშებს, როგორც ჩვენი მესამე pcap
ფაილი, თუმცა ახლა ასევე გვაქვს HTTPS/SSL/TLS ტრაფიკი
94.140.114[.]6 და 5.61.34[.]51 მისამართებზე, დომენურ სახელთან რაიმე კავშირის გარეშე.
მოცემული წარმოადგენს Dridex პოსტინფექციურ ტრაფიკს.
• countryName=NP
• localityName=Kathmandu
• commonName=ndltman-dsamutb.spiegel
• countryName=MU
• localityName=Port Louis
• commonName=plledsaprell.Byargt9wailen.voting
• რომელი დომენი იქნა გამოყენებული HTTPS ტრაფიკში მას შემდეგ, რაც Ursnif
გამაგრდა ინფიცირებულ ვინდოუს ჰოსტზე?
პასუხი: hxxp://ritalislum[.]com/obedle/zarref.php?l=sopopf8.cab
პასუხი: k55gaisi[.]com
სურათი №26. ვებ ტრაფიკის მოძებნა, Ursnif-ის მიერ გაგზავნილი HTTP GET მოთხოვნებისთვის
ოცდამეექვსე სურათზე ასევე ნაჩვენებია, რომ მომდევნო HTTP GET მოთხოვნა, Ursnif-
სტილის URL-სთვის, გაგზავნილია bon11ljgarry[.]com დომენთან, 15:37 საათზე. ამ
მოთხოვნის HTTP ნაკადი ავლენს გადამისამართებას www.search-error[.]com URL-ზე.
სურათი №28. Ursnif სტილის იმ HTTP GET მოთხოვნების მოძებნა, რომლებიც აბრუნებენ 200 OK პასუხებს
პასუხი: n9maryjanef[.]com
როდესაც Ursnif გამაგრდება სისტემაში, ჩვენ ვეღარ დავინახავთ Ursnif სტილის HTTP
მოთხოვნებს, რომლებიც იწყებიან GET /images/-ით. ამის ნაცვლად, ჩვენ ვიპოვით Ursnif-თან
დაკავშირებულ HTTPS ტრაფიკს. Ursnif სტილის ბოლო HTTP GET მოთხოვნის გაშვებიდან
მალევე, იწყება HTTPS ტრაფიკი 185.118.165[.]109 მისამართის მქონე n9maryjanef[.]com
დომენზე. იხილეთ ოცდამეცხრე სურათი.
პასუხი: hxxps://testedsolutionbe[.]com/wp-content/plugins/apikey/uaasdqweeeeqsd.rar
სურათი №30. URL მისამართის ძებნა ამ Ursnif ინფექციიდან მიღებული მომდევნო მავნე პროგრამისთვის
ამ IP მისამართებიდან ერთ-ერთი არის იგივე, რაც იყო Dridex-ში, ჩვენ მეოთხე pcap
ფაილში, მას აქვს სერტიფიკატის გამცემის იგივე მონაცემები. 185.99.133[.]38 მისამართთან
გაშვებულ Dridex ტრაფიკს აქვს სერტიფიკატის გამცემის იგივე სტილის მონაცემები,
როგორც ეს ნაჩვენებია მეოთხე მაგალითში. არცერთი IP მისამართის ტრაფიკი არ მოიცავს
დომენურ სახელს.
დასკვნა
ამ ლაბორატორიულ სამუშაოში მოცემული იყო Ursnif მავნე პროგრამით ვინდოუსის
ინფიცირების გამოკვლევისთვის საჭირო რჩევები. Ursnif-ის აქტივობებთან დაკავშირებული
მეტი pcap ფაილების მისაღებად გადადით შემდეგ ბმულზე: malware-traffic-analysis.net.