مقدمة
LummaStealer، الذي يشار إليه أيضًا باسم LumMac2، هو برنامج ضار لسرقة المعلومات تم تطويره باستخدام لغة C ويتم توزيعه عبر نموذج البرامج الضارة كخدمة (MaaS). منذ أغسطس 2022، تمت ملاحظتها في المنتديات الناطقة باللغة الروسية، وهي تستهدف المعلومات الحساسة مثل محافظ العملات المشفرة وملحقات 2FaBrowser وبيانات اعتماد النظام. إنه قادر على سحب البيانات إلى خادم الأوامر والتحكم (C2) باستخدام طلبات HTTP POST ويدعم تسليم الحمولة عبر EXE و DLL و PowerShell.
ملخص التقرير
يهدف هذا التقرير إلى تشريح Lumma Stealer والكشف عن وظائفها للمساعدة في استراتيجيات التخفيف من التهديدات والوقاية منها. سوف نستكشف سلوكها وطرق نشرها وتقنيات التشفير وأنشطة ما بعد الإصابة لاكتساب رؤى قيمة لمحترفي الأمن السيبراني والباحثين.
عينة البرامج الضارة:
تم الحصول على عينة البرامج الضارة من قاعدة بيانات Malware Bazaar. يُطلق على ملف التهديد اسم f37c412bd47fc18d4c153664b116ea18c7d251eb8cdd0af8f130010958a93353.exe. يكشف التحليل الإضافي، كما هو موضح في الرسم البياني أدناه، أن الملف عبارة عن ملف قابل للتنفيذ بحجم 32 بت مكتوب بلغة برمجة Go. بالإضافة إلى ذلك، تم تحديد أن الثنائيات داخل الملف القابل للتنفيذ ليست معبأة، كما هو موضح باللون الأصفر أدناه.
تعرض هذه الصورة خصائص ملف التهديد مثل البت واللغة ومعلومات فك الحزمة.
ملاحظة
يمكن أن تكون الملفات التنفيذية أو الثنائيات المعبأة أكثر صعوبة في التحليل لأنها تشوش السلاسل، مما يجعلها غير قابلة للقراءة. غالبًا ما تُستخدم هذه التقنية للتهرب من الاكتشاف أثناء تحليل البرامج الضارة.
تحليل البرامج الضارة الثابتة
فحص الكود الثنائي أو الكود المصدري للبرامج الضارة لتحديد الخصائص والأنماط والسلوكيات دون تنفيذها.
فايل هاش
استخراج المجاميع الاختبارية SHA256 و MD5 للملفات القابلة للتنفيذ ثم الرجوع إلى هذه التجزئات باستخدام Virus Total لأخذ البصمات. تم ذلك على واجهة سطر أوامر FlareVM أو أمر تشغيل cmder أو عبر Pestudio.
تجزئات الملفات
شا256: f37c412bd47 fc18d4c15364b116ea18c7d251eb8cdd0af8f130010958a93353
إم دي 5: 5fb5e099087ca0db68f8d58ae7555949
سمعة Virustotal لقيمة التجزئة التي تم الحصول عليها
قامت درجة عالية من 53 منصة لمعلومات التهديدات بوضع علامة على عمليات التجزئة على أنها ضارة، وهذا يوضح أيضًا أن الملف القابل للتنفيذ ضار
تحليل السلسلة
يساعد تحليل السلسلة في الكشف عن المكونات الرئيسية مثل وظائف API وطلبات HTTP و DlUsage. يوفر هذا نظرة ثاقبة لسلوك البرامج الضارة، مثل تفاعل النظام ونشاط الشبكة وتبعياتها للتنفيذ. تم تحقيق ذلك باستخدام توزيعة remnux للكشف عن السلاسل أو على FlareVM عن طريق تشغيل الأمر floss عبر أمر cmder run.
سلوك الملف الضار
ملخص السلوك:
مكافحة التحليل/مكافحة التصحيح: مظللة باللون الأصفر
· معلومات استعلام التحقق من مصحح الأخطاء: التحقق من البرامج الضارة لوجود مصحح أخطاء.
· وحدة تحكم استثناء مصحح الأخطاء CTRL/مجموعة استثناءات مصحح الأخطاء CONSOLECTRL: معالجة الاستثناءات للتهرب من تصحيح الأخطاء.
· سياق التحكم في الموضوع: معالجة سياقات الخيط لتجنب الاكتشاف.
· ستيف فيكتور: استخدام معالجة الاستثناءات المنظمة (SEH) للتحكم في كيفية معالجة الاستثناءات أثناء تصحيح الأخطاء.
XOR: مظللة باللون الأخضر
· يتم استخدام Xorencryption لإخفاء البيانات وإخفاء المعلومات الحساسة مثل الحمولات أو بيانات التكوين.
حقن العمليات وإنشاء الخدمة: مظللة باللون الأصفر
· حقن الخيط: إدخال رمز في مساحة العنوان لعملية أخرى للحفاظ على التحكم.
· إنشاء خدمة: إنشاء خدمات ضارة للامتيازات المستمرة والمحتملة المتصاعدة.
إمكانيات الشبكات: مظللة باللون الأخضر
· مخزون بيانات الشبكة: الاتصال عبر UDP، ربما للقيادة والتحكم (C2) أو استخراج البيانات.
· الاستماع إلى شبكة tcp: الاستماع لاتصالات TCP الواردة، ربما للوصول عن بُعد.
· مقبس شبكة tcp: إنشاء اتصالات TCP الصادرة، مرة أخرى لـ C2 أو جهاز التحكم عن بعد.
· نظام أسماء النطاقات للشبكة: اتصال DNS، والذي يمكن استخدامه لـ C2 أو استخراج البيانات أو نفق DNS.
تصعيد الامتيازات: مظللة باللون الأحمر
· تعطيل القسم: تعطيل منع تنفيذ البيانات (DEP) كجزء من تقنيات تصعيد الامتيازات.
· تصعيد السعر: تصعيد الامتياز العام، باستخدام طرق مختلفة للحصول على وصول أعلى إلى النظام.
· رمز الفوز: التلاعب برموز أمان Windows لتصعيد الامتيازات.
الثبات: مظللة باللون الأصفر
· وين موتكس: التحقق من كتم الصوت أو إنشائه لمنع تشغيل مثيلات متعددة من البرامج الضارة وضمان استمرارها.
· سجل الفوز: تعديل السجل للحفاظ على الثبات والبدء في تشغيل النظام.
· تشغيل ملفات winfiles: إجراء عمليات الملفات للحفاظ على استمراريتها أو وظائفها على النظام.
يوضح هذا التخطيط كيفية ارتباط كل سلوك أو وظيفة بالتكتيكات والتقنيات المحددة التي تستخدمها البرامج الضارة. يشير نمط السلوك هذا إلى أن البرامج الضارة مصممة على الأرجح لتظل مخفية وتحافظ على الوصول طويل المدى إلى النظام وتتواصل مع الخوادم البعيدة لعمليات الأوامر والتحكم.
نقطة توقف محتملة للبرامج الضارة
مكافحة التصحيح والتحكم في التنفيذ: من الخط الأصفر المتقاطع
· يكشف CreateThread و GetThreadContext و waitfor SingleObject و Exit Process كيف يمكن للملف التنفيذي إدارة سلاسل الرسائل وتغيير التنفيذ ومزامنة المهام.
حقن الذاكرة والكود: من الخط الأخضر المتقاطع
· تعد VirtualAlloc و VirtualFree و LoadLibraryExw و LoadLibraryW و GetProcAddress ضرورية لاكتشاف تخصيص الذاكرة وإدخال العمليات والمكتبات المحملة ديناميكيًا، والتي غالبًا ما تستخدم لإخفاء التعليمات البرمجية الضارة.
الوصول إلى الملفات والنظام: من الخط الأحمر المتقاطع
· يُظهر WriteFile و GetSystemDirectorYA و CloseHandle كيفية تفاعل البرامج الضارة مع الملفات والوصول إلى أدلة النظام ومعالجة التنظيف أو الاستمرار.
لقطة شاشة لعناوين IP لخادم C2 ومخططات عناوين URL المرجعية الخاصة به التي تم اكتشافها من تحليل السلسلة
عنوان IP
5.4.32.5
2.5.4.62
4.52.5.4
72.5.4.82
3.3.3.3
رابط
· عنوان URL الأول (http://Expiresversiongo)appears) غير صحيح، مما قد يشير إلى محاولة التهرب من الاكتشاف. إذا قامت البرامج الضارة بإنشاء عنوان URL أو تعديله ديناميكيًا، فقد تحاول التعتيم على البنية التحتية الفعلية لـ C2 لتجنب اكتشافها بواسطة أدوات الأمان.
· عنوان URL الثاني (http://www.w3.org/2001/XMLSchema-instance) هو مرجع قياسي لمخططات XML كدليل على كيفية اتصال البرامج الضارة بالتهيئة أو إدارتها من خادم C2 الخاص بها.
تحليل ديناميكي للبرامج الضارة
التحليل المستند إلى الشبكة والمضيف: تنفيذ البرامج الضارة داخل بيئة خاضعة للرقابة، لمراقبة سلوكها في الوقت الفعلي. فحص الأنشطة والسلوكيات وتكوينات نقاط النهاية الفردية.
عند تنفيذ البرنامج الضار، تم إنشاء ملف تنفيذي ضار يسمى Bitlockertogo.exe على مسار ملف تسجيل windows كما تم اكتشافه من محرك الأقراص C: أدناه.
ملف Bitlocker الذي تم إنشاؤه في محرك الأقراص C:
يتنكر الملف التنفيذي BitLockerToGo.exe كبرنامج شرعي للنوافذ لتجنب الاكتشاف. يُظهر المزيد من التحقيق في ذاكرة العملية الخاصة بـ BitlockerToGo.exe أنها تمتلك وظيفة الاتصال بخوادم أو مجال C2 الضار كما هو موضح في الرسم البياني أدناه.
تم العثور على بعض مؤشرات الاختراق (المجال الضار) في ملف BitLockerToGo القابل للتنفيذ
علاوة على ذلك، فإن سمعة المجال https://keennylrwmqlw.shop/api يُظهر أنه تم وضع علامة عليه كبرنامج ضار لـ lumma stealer
سمعة أحد المجالات التي تم العثور عليها من الملف
يمكن للملف التنفيذي إجراء تعديلات التسجيل على النظام المتأثر كما لوحظ من حالات مختلفة من النظام أثناء عملية التحليل كما هو موضح من لقطات الشاشة أدناه.
تعديلات مفاتيح التسجيل
تم تعديل بعض مفاتيح التسجيل
كما لوحظ، كان هناك 21 سجلاً معدلاً نتج عن الجهاز المحلي HKLM وأنشطة UserShku.
ملخص أنشطة تعديل السجل
1. في HKLM (HKEY_LOCAL_MACHINE)، تتضمن التعديلات التي يتم إجراؤها على السجل إدخالات تتعقب أوقات بدء التشغيل الخاصة بمعرفات الأمان ضمن IdentityCRL، وتسجيل الأنشطة المتعلقة بالصوت في المجلة الصوتية، وتحديث إعدادات الإشعارات والتفضيلات، والإشارة إلى ملفات تعريف المستخدمين لمراقبة عمليات تسجيل الدخول وأنشطة الوصول.
2. في جامعة هونغ كونغ (مستخدمو HKEY_USERS)، تتضمن تعديلات السجل تتبع تفاعلات المستخدم في نموذج بيانات النشاط، وإدارة تسليم المحتوى والاشتراكات في Content Delivery Manager، ومراقبة نشاط المستخدم في UserAssist، والتعامل مع إدارة التطبيقات أو مصادقة المستخدم عبر المكون الإضافي AAD Broker، الذي يحتمل أن يكون مرتبطًا بالخدمات السحابية.
الخاتمة
يشمل تحليل البرامج الضارة كلاً من الأساليب الثابتة والديناميكية لفهم أنماطها السلوكية. تعرض البرامج الضارة تقنيات مكافحة التصحيح، ومعالجة الذاكرة، والتشفير، وحقن العمليات، والاتصال بالشبكة، وتصعيد الامتيازات، وكلها تهدف إلى تجنب الاكتشاف والحفاظ على الثبات واستخراج البيانات أو تنفيذ الأوامر من خادم بعيد.
وهذا يؤكد الدور الحيوي لتدابير الأمن السيبراني القوية في تطوير استراتيجيات وقائية فعالة للتخفيف من المخاطر التي تشكلها مثل هذه التهديدات.
التوصيات
· تثقيف الموظفين حول التعرف على محاولات التصيد الاحتيالي، وخاصة مخاطر تشغيل الأوامر غير المعروفة، والتي قد تؤدي إلى تنفيذ PowerShell وتثبيت البرامج الضارة.
· تأكد من وجود حماية قوية لنقطة النهاية لاكتشاف الهجمات المستندة إلى PowerShell وحظرها. قم بتمكين القائمة البيضاء للتطبيق لمنع تشغيل الملفات التنفيذية غير المصرح بها.
· راقب التغييرات غير العادية في مسارات التسجيل الهامة، خاصة تلك المتعلقة بإعدادات UAC وتكوينات الوكيل.
· راقب بانتظام اتصالات الشبكة الخارجية للتواصل مع عناوين IP الضارة المعروفة أو المجالات المرتبطة بخوادم Lumma C2. يجب وضع علامة على الحالات الشاذة مثل طلبات HTTP POST مع عناوين IP وعناوين URL.
· قواعد جدار الحماية: حظر حركة المرور الصادرة إلى عناوين IP والنطاقات الضارة المحددة في قسم IOCs. ضع في اعتبارك استخدام جدار حماية تطبيق الويب (WAF) لتصفية طلبات HTTP التي يحتمل أن تكون ضارة.
· تأكد من أن جميع الأنظمة، وخاصة تلك التي تعمل بنظام التشغيل Windows 7 إلى 11، يتم تصحيحها بانتظام للتخفيف من نقاط الضعف التي يستغلها Lumma Stealer.
· وضع خطة للاستجابة للحوادث تركز على عزل الأجهزة المخترقة وتحييد التهديدات وجمع الأدلة الجنائية لمزيد من التحليل. تأكد من إجراء نسخ احتياطية منتظمة للتعافي من سرقة البيانات المحتملة أو تهديدات برامج الفدية.
مؤشرات التسوية (IOCs)
تجزئات الملفات:
شا256:
1. f37c412bd47fc18d4c15364b116ea18c7d251eb8cdd0af8f130010958a93353
2. beb2dbeb0987697 f1c440958 bb1c54754958b47eb4def4db40a4a71d3a9a5b3f
3. d323 f2034 ee22 ad7b02394182 f3d52456b3d37b0d1c88a26
4. 1cd1a6c8b63ce8cf1ac0de34237 bcda46f8c613536c7f1e7ad0091420de25
5. f930a52a2107 da490787657629 a889c86714d2fa9dbd7a18ac31866811 ec6e9
6. 1e391c6e0d52e8ae9فات2635f35e6a6a88 de1f264a04f501b31b67a1
7. b833c19e1c47e6110 ac74e5144a328 ديسيبل2bd2fca519b3b2bd51b3b211b32730f0f9b4
8. 3f58ce78300 acd111096 a6460f57d60f57d60497a21d 59712 a4da368c714 c344e6
9. 497 قدم في الدقيقة 8296089 ديسيبل 8 قدم 30 قدم 3 ديسيبل 592 ب 13 ديسيد8 عمق 9 قدم 85 قدم 7 قدم 9091ب 0e2653 قدم 1 قدم في 1 سييد 77482 تيار مستمر
عناوين C2IP:
1. 144.76.173.247
2. 45.9.74.78
3. 77.73.134.68
4. 82.117.255.127
5. 82.118.23.50
6. 5.4.32.5
7. 2.5.4.62
8. 4.52.5.4
9. 72.5.4.82
10. 3.3.3.3
النطاقات/عناوين URL الضارة:
1. hxxps: //هيرويك-جيني-2b372e.netlify.app/يرجى التحقق من هويتي-z.html
2. https://sdkjhfdskjnck.s3 [.] amazonaws.com/human-verify-system.html
3. hxxps: //مناطق الفيديو الجديدة.click/veri.html
4. https://keennylrwmqlw.shop/api
.png)
.png)