Home → Zagrożenia → Kroniki Hellsinga: Imperium kontratakuje
Jednym z najbardziej aktywnych ugrupowań APT w Azji, szczególnie w obszarze Morza Południowochińskiego, jest “Naikon”. Naikon odgrywa główną rolę w naszej historii, jednak w tym raporcie skupimy się na zupełnie innym ugrupowaniu cyberprzestępczym; takim które zwróciło naszą uwagę, gdy wzięło odwet za atak Naikona.
Grupa Naikon jest znana ze swojego backdoora o nazwie RARSTONE, opisanego szczegółowo przez naszych kolegów z Trend Micro. Nazwa Naikon pochodzi z niestandardowego ciągu agenta użytkownika, “NOKIAN95/WEB”, zlokalizowanego wewnątrz backdoora:
Ciąg NOKIAN wewnątrz backdoora grupy Naikon
Ugrupowanie Naikon jest aktywne głównie w państwach takich jak Filipiny, Malezja, Kambodża, Indonezja, Wietnam, Birma, Singapur oraz Nepal, gdzie uderza w różnorodne cele w niezwykle oportunistyczny sposób. Prawdopodobnie jedna z największych operacji ugrupowania Naikon została przeprowadzona w marcu 2014 r. tuż po zaginięciu lotu MH370, które miało miejsce 8 marca. 11 marca grupa Naikon przeprowadzała aktywnie ataki na większość państw zaangażowanych w poszukiwanie MH370. Cele były niezwykle zróżnicowane, obejmowały jednak instytucje posiadające dostęp do informacji dotyczących zaginięcia MH370, takie jak:
Ugrupowanie Naikon wykorzystywało w atakach głównie spersonalizowane dokumenty typu spear-phishing, przy czym charakterystyczny dla tego ugrupowania backdoor był dostarczany przy pomocy exploitów CVE-2012-0158.
Chociaż wiele z tych ataków było udanych, co najmniej jednemu z celów nie podobało się, że jest atakowany, i zamiast otworzyć dokument zdecydował się na całkiem inne działanie.
Nasze pytanie – co powinieneś zrobić w przypadku otrzymania podejrzanego dokumentu od kogoś, kogo nie znasz lub znasz bardzo słabo? Wybierz jedną odpowiedź:
Z naszego doświadczenia wynika, że większość osób wybrałoby wariant 2,3 lub 4. Bardzo niewiele osób otworzyłoby dokument, a jeszcze mniej zdecydowałoby się sprawdzić osobę atakującą i zweryfikować jego historię.
Tak jednak stało się, gdy jeden z celów ataków spear-phishingowych przeprowadzonych przez ugrupowanie Naikon otrzymał podejrzany e-mail. Zamiast otworzyć dokument lub zrobić to na jakiejś mało znanej platformie postanowił sprawdzić e-mail u źródła.
Cel ataków ugrupowania Naikon prosi o potwierdzenie wysłania e-maila
W e-mailu powyżej cel ataku kwestionuje autentyczność wiadomości wysłanej w ramach ataku spear-phishing przeprowadzonego przez ugrupowanie Naikon.
Osoba atakująca w ogóle nie dała się zmylić i dobrze obeznana z wewnętrzną strukturą agencji rządowej celu odpowiedziała, że pracuje dla sekretariatu i została poproszona o wysłanie tej wiadomości przez zarząd organizacji:
Członek ugrupowania Naikon odpowiada celowi ataku
Odpowiedź jest napisana słabym angielskim i wskazuje, że atakujący prawdopodobnie nie jest tak biegły w tym języku jak ofiara. Widząc taką odpowiedź, cel najwidoczniej postanowił nie otwierać dokumentu. Co więcej zdecydował się pójść o krok dalej i spróbować dowiedzieć się czegoś więcej o osobie atakującej.
Niedługo po pierwszej wymianie korespondencji cel wysłał osobie atakującej następujący e-mail:
Załącznik znajduje się w chronionym hasłem archiwum RAR, przez co może bezpiecznie obejść skanery szkodliwego oprogramowania powiązane z darmowym kontem e-mail wykorzystywanym przez osoby atakujące. Wewnątrz archiwum znajdują się dwa pliki PDF oraz jeden plik SCR:

Ku naszemu zdziwieniu, plik SCR okazał się backdoorem stworzonym specjalnie dla oszustów z ugrupowania Naikon.
Plik “Directory of ... Mar 31, 2014.scr” (md5: 198fc1af5cd278091f36645a77c18ffa) pobiera czysty dokument zawierający komunikat o błędzie oraz moduł backdoora (md5: 588f41b1f34b29529bc117346355113f). Backdoor łączy się z serwerem kontroli zlokalizowanym pod adresem philippinenews[.]mooo[.]com.
Backdoor może wykonywać następujące działania:
Byliśmy zaskoczeni takim przebiegiem sytuacji i postanowiliśmy przyjrzeć się bliżej backdoorowi, tj. ugrupowaniu “Hellsing” (o którym napiszemy później).
Szkodliwe oprogramowanie wykorzystane przez osobę, w którą został wymierzony atak, posiada następujący rozkład geograficzny, według danych pochodzących z systemu KSN:
Ponadto zarejestrowaliśmy ataki na podmioty związane z ASEAN.
Cyberprzestępca atakuje swoje cele przy użyciu wiadomości e-mail typu spear-phishing zawierających archiwa, w których znajduje się szkodliwe oprogramowanie podobne do tego wykorzystywanego przeciwko grupie Naikon. Zaobserwowaliśmy między innymi następujące nazwy załączników:
W atakach zaobserwowaliśmy archiwa RAR, ZIP oraz 7ZIP – chronione hasłem archiwa 7ZIP zostały prawdopodobnie wprowadzone jako sposób na obejście najnowszych funkcji bezpieczeństwa w serwisie Gmail, które blokują archiwa chronione hasłem zawierające pliki wykonywalne.
Każdy backdoor zawiera wewnątrz serwer kontroli jak również numer wersji oraz identyfikator ofiary lub kampanii. Poniżej przedstawiamy kilka przykładów:
|
MD5 |
Data |
C&C |
ID kampanii |
|
2682a1246199a18967c98cb32191230c |
31.03.2014 |
freebsd.extrimtur[.]com |
1.6.1_MOTAC |
|
31b3cc60dbecb653ae972db9e57e14ec |
31.03.2014 |
freebsd.extrimtur[.]com |
1.6.1_MOTAC |
|
4dbfd37fd851daebdae7f009adec3cbd |
08.11.2013 |
articles.whynotad[.]com |
1.5_articles. com-nsc |
|
015915bbfcda1b2b884db87262970a11 |
19.02.2014 |
guaranteed9.strangled[.]net |
1.5_guarant |
|
3a40e0deb14f821516eadaed24301335 |
31.03.2014 |
hosts.mysaol[.]com |
1.6.1_imi;simple |
|
73396bacd33cde4c8cb699bcf11d9f56 |
08.11.2013 |
web01.crabdance[.]com |
1.5_op_laptop |
|
7c0be4e6aee5bc5960baa57c6a93f420 |
08.11.2013 |
hosts.mysaol[.]com |
1.5_MMEA |
|
bff9c356e20a49bbcb12547c8d483352 |
02.04.2014 |
imgs09.homenet[.]org |
1.6.1_It |
|
c0e85b34697c8561452a149a0b123435 |
02.04.2014 |
imgs09.homenet[.]org |
1.6.1_It |
|
f13deac7d2c1a971f98c9365b071db92 |
08.11.2013 |
hosts.mysaol[.]com |
1.5_MMEA |
|
f74ccb013edd82b25fd1726b17b670e5 |
12.05.2014 |
second.photo-frame[.]com |
1.6.2s_Ab |
Identyfikatory kampanii mogą nawiązywać do organizacji atakowanych przez określone kompilacje tego szkodnika APT. Przykładowe rozwinięcia tych inicjałów:
Co ciekawe, wydaje się, że niektóre elementy infrastruktury wykorzystywanej przez osoby atakujące częściowo pokrywają się (chociaż jest między nimi różnica jednego roku) z tymi stosowanymi przez grupę zidentyfikowaną wewnętrznie w Kaspersky Lab jako PlayfullDragon (znaną również jako “GREF”); z kolei inne aspekty infrastruktury są zbieżne z infrastrukturą specyficzną dla grupy znanej jako Mirage lub Vixen Panda.
Na przykład jeden z backdoorów Xslcmd grupy PlayfillDragon opisany przez naszych kolegów z FireEye (md5: 6c3be96b65a7db4662ccaae34d6e72cc) łączy się z cdi.indiadigest[.]in:53. Jedna z analizowanych przez nas próbek stworzonych przez ugrupowanie Hellsing (md5: 0cbefd8cd4b9a36c791d926f84f10b7b) łączy się z serwerem kontroli pod adresem webmm[.]indiadigest[.]in. Chociaż nazwa domeny nie jest taka sama, domena najwyższego poziomu sugeruje, że obie te grupy są w jakiś sposób powiązane ze sobą. Kilka innych subdomen C&S pod adresem “indiadigest[.]in” obejmuje:
Inna zaobserwowana przez nas zbieżność dotyczy kampanii APT występującej pod nazwą Cycldek lub Goblin Panda. Niektóre z próbek ugrupowania Hellsing, które przeanalizowaliśmy w tej operacji (np. md5: a91c9a2b1bc4020514c6c49c5ff84298), komunikuje się z serwerem webb[.]huntingtomingalls[.]com przy użyciu protokołu typowego dla backdoorów Cycldek (binup.asp/textup.asp/online.asp).
Wygląda na to, że twórca z ugrupowania Hellsing rozpoczął od źródeł Cycldek i współpracował z operatorami z innych grup APT. Mimo to kod jest wystarczająco odmienny, aby mógł zostać zaklasyfikowany jako oddzielna operacja.
A zatem, skąd wzięła się nazwa Hellsing? Jedna z przeanalizowanych przez nas próbek (md5: 036e021e1b7f61cddfd294f791de7ea2) wygląda, jakby została skompilowana w pośpiechu, a osoba atakująca zapomniała usunąć informacji debugowania. Jak widać, nazwa projektu to Hellsing, a szkodliwe oprogramowanie nazywa się “msger”:

Naturalnie, Hellsing posiada wiele różnych znaczeń, w tym może nawiązywać do sławnego doktora z powieści Dracula Brama Stokera. Jednak według Wikipedii, “Hellsing (ヘルシング Herushingu) to również japońska seria mangi napisana i ilustrowana przez Kouta Hirano. Po raz pierwszy ukazała się w Young King Ours w 1997 r., została natomiast zakończona we wrześniu 2008 r”.
Seria Hellsing relacjonuje zmagania tajemniczej i sekretnej organizacji Hellsing, która walczy z wampirami, upiorami oraz innymi nadprzyrodzonymi wrogami; w tym sensie jest to prawdopodobnie odpowiednia nazwa dla tej grupy.
Oprócz szkodliwego oprogramowania Hellsing/msger zidentyfikowaliśmy próbki trojana drugiej generacji, które osoby atakujące najwyraźniej określają jako “xweber”:
Sądząc po sygnaturach czasowych kompilacji “Xweber” stanowi nowszego trojana. Wszystkie próbki “msger”, jakie widzieliśmy, zostały prawdopodobnie skompilowane w 2012 r. Próbki “Xweber” pochodzą z 2013 i 2014 r., co sugeruje, że w którymś momencie w 2013 r. projekt związany ze szkodliwym oprogramowaniem “msger” uzyskał nową nazwę i/lub został zintegrowany z “Xweber”.
Podczas naszego badania zaobserwowaliśmy, że w kampanii ataków APT Hellsing wykorzystywane są zarówno backdoory “Xweber” jak i “msger”, jak również inne narzędzia o nazwie “xrat”, “clare”, “irene” and “xKat”.
Jak tylko osoby atakujące z ugrupowania Hellsing włamią się do komputera, rozmieszczają tam inne narzędzia, które mogą być wykorzystywane do gromadzenia dalszych informacji dotyczących ofiary lub innych działań. Jednym z takich narzędzi jest “test.exe”:
|
Nazwa |
test.exe |
|
Rozmiar |
45,568 bajtów |
|
MD5 |
14309b52f5a3df8cb0eb5b6dae9ce4da |
|
Typ |
Plik wykonywalny Win32 PE i386 |
Narzędzie to jest wykorzystywane do zbierania informacji i testowania dostępnych serwerów proxy. Co ciekawe, zawiera również ścieżkę debugowania Hellsing:

Innym narzędziem ataku zastosowanym w środowisku ofiary był sterownik systemu plików o nazwie “diskfilter.sys”, chociaż jego wewnętrzna nazwa brzmi “xrat.sys”. Sterownik ten jest niepodpisany i został skompilowany dla 32-bitowych systemów Windows. Wykorzystywany krótko w 2013 r., został następnie zarzucony przez osoby atakujące, prawdopodobnie ze względu na wymagania związane z podpisywaniem sterownika w systemie Windows 7:

Kolejne narzędzie wykorzystywane przez osoby atakujące nosi nazwę “xKat”:
|
Nazwa |
xkat.exe |
|
Rozmiar |
78,848 bajtów |
|
MD5 |
621e4c293313e8638fb8f725c0ae9d0f |
|
Typ |
Plik wykonywalny Win32 PE i386 |
Jest to rozbudowane narzędzie służące do usuwania plików i zatrzymywania procesów, które wykorzystuje sterownik (Dbgv.sys) w celu wykonania operacji. Osoby atakujące wykorzystywały je do zatrzymywania i usuwania szkodliwego oprogramowania należącego do konkurencji.
Przykłady ścieżek debugowania znajdujących się w binariach:
Ogólnie, przypisanie autorstwa kampanii APT jest bardzo trudnym zadaniem, dlatego wolimy opublikować dane techniczne i pozwolić innym, aby wyciągnęli własne wnioski.
Próbki przypisywane ugrupowaniu Hellsing zostały prawdopodobnie skompilowane w następującym czasie:

Jeśli przyjąć, że praca zaczyna się standardowo około godziny 9 rano, osoba atakująca wydaje się być najaktywniejsza w strefie czasowej GMT+8 lub +9, zakładając model pracy od godziny 9/10 do 18/19.
Ugrupowanie APT Hellsing jest obecnie aktywne w regionie Azji i Pacyfiku, atakując cele znajdujące się głównie na obszarze Morza Południowochińskiego, przeważnie w Malezji, na Filipinach i w Indonezji. Przewaga mniejszych grup polega na tym, że mogą przez dłuższy czas pozostać “poza radarem”, co miało miejsce w omawianym przypadku.
Najciekawszym elementem całej historii jest zaatakowanie grupy Naikon przez ugrupowanie APT Hellsing. W przeszłości odnotowaliśmy już przypadki, gdy ugrupowania APT atakowały siebie nawzajem w sposób niezamierzony, kradnąc książki adresowe swoich ofiar, a następnie generując masowe wysyłki do każdej znajdującej się na takiej liście osoby. Jednak biorąc pod uwagę czas i źródło ataku, rozpatrywany przypadek wydaje się być celowym atakiem jednego ugrupowania APT na inne.
W celu zabezpieczenia się przed atakiem ugrupowania Hellsing zalecamy organizacjom stosowanie następujących podstawowych praktyk bezpieczeństwa:
Produkty firmy Kaspersky Lab wykrywają backdoory wykorzystywane przez grupę Hellsing jako: HEUR:Trojan.Win32.Generic, Trojan-Dropper.Win32.Agent.kbuj, Trojan-Dropper.Win32.Agent.kzqq.
|
015915BBFCDA1B2B884DB87262970A11 036E021E1B7F61CDDFD294F791DE7EA2 04090aca47f5360b84f6a55033544863 055BC765A78DA9CC759D1BA7AC7AC05E 085FAAC21114C844529E11422EF684D1 0BA116AA1704A415812552A815FCD34B 0CBEFD8CD4B9A36C791D926F84F10B7B 0CC5918D426CD836C52207A8332296BC 0dfcbb858bd2d5fb1d33cd69dcd844ae 0F13DEAC7D2C1A971F98C9365B071DB9 0FFE80AF4461C68D6571BEDE9527CF74 13EF0DFE608440EE60449E4300AE9324 14309b52f5a3df8cb0eb5b6dae9ce4da 17EF094043761A917BA129280618C1D3 2682A1246199A18967C98CB32191230C 2CCE768DC3717E86C5D626ED7CE2E0B7 3032F4C7A6E4E807DD7B012FA4B43718 31B3CC60DBECB653AE972DB9E57E14EC 3A40E0DEB14F821516EADAED24301335 3de2a22babb69e480db11c3c15197586 4DBFD37FD851DAEBDAE7F009ADEC3CBD 4F19D5D2C04B6FC05E56C6A48FD9CB50 58670063EC00CAF0D2D17F9D52F0AC95 588f41b1f34b29529bc117346355113f 5dec2e81037b2d72320516e86a2bcfbd 5f776a0de913173e878844d023a98f1c 5fc86559ae66dd223265540fd5dfaf3b 621e4c293313e8638fb8f725c0ae9d0f 67E032085DC756BB7123DFE942E5DCA4 73396BACD33CDE4C8CB699BCF11D9F56 824C92E4B27026C113D766C0816428A0 8BEFABB08750548D7BA64717D92B71E0 8E5FD9F8557E0D39787DD205ABFFA973 9317458E0D8484B77C0B9FA914A98230 a23d7b6a81dc0b460294e8be829f564d a642c3dfd7e9dad5dc2a27ac6d8c9868 A6703722C6A1953A8C3807A6FF93D913 aa906567b9feb1af431404d1c55e0241 ac073ad83555f3748d481bcf796e1993 e8770d73d7d8b837df44a55de9adb7d5 fe07da37643ed789c48f85d636abcf66 |
|
122[.]10[.]9[.]73 122[.]9[.]247[.]4 122[.]10[.]9[.]155 122[.]9[.]247[.]4 23[.]88[.]236[.]96 122[.]10[.]26[.]24 a[.]huntingtomingalls[.]com ack[.]philippinenewss[.]com af[.]huntingtomingalls[.]com afc[.]philippinenewss[.]com afnews[.]philippinenewss[.]com articles[.]whynotad[.]com ccid[.]mooo[.]com d6[.]philippinenewss[.]com de[.]philippinenewss[.]com dec[.]huntingtomingalls[.]com df1[.]huntingtomingalls[.]com df2[.]huntingtomingalls[.]com df3[.]huntingtomingalls[.]com df4[.]huntingtomingalls[.]com df5[.]huntingtomingalls[.]com email[.]philippinenewss[.]com email[.]philstarnotice[.]com files[.]philippinenewss[.]com files[.]philstarnotice[.]com freebsd[.]extrimtur[.]com gr[.]philippinenewss[.]com guaranteed9[.]strangled[.]net hosts[.]mysaol[.]com ima03[.]now[.]im img02[.]mooo[.]com imgs09[.]homenet[.]org knl[.]russkoeumea[.]com login[.]philstarnotice[.]com mail[.]philippinenewss[.]com my[.]philippinenewss[.]com na[.]huntingtomingalls[.]com na[.]philstarnotice[.]com new[.]philippinenewss[.]com news[.]huntingtomingalls[.]com news[.]philstarnotice[.]com ng[.]philstarnotice[.]com ns01[.]now[.]im ny[.]huntingtomingalls[.]com ny[.]philstarnotice[.]com philippinenews[.]mooo[.]com philnews[.]twilightparadox[.]com pic[.]philstarnotice[.]com pm[.]philstarnotice[.]com pop[.]philippinenewss[.]com pop[.]philstarnotice[.]com premium9[.]crabdance[.]com second[.]photo-frame[.]com shoping[.]jumpingcrab[.]com so[.]philippinenewss[.]com web[.]huntingtomingalls[.]com web01[.]crabdance[.]com webmm[.]indiadigest[.]in wg[.]philippinenewss[.]com zq[.]philippinenewss[.]com flags13[.]twilightparadox[.]com |
rule apt_hellsing_implantstrings {
meta:
version = "1.0"
filetype = "PE"
author = "Costin Raiu, Kaspersky Lab"
copyright = "Kaspersky Lab"
date = "2015-04-07"
description = "detection for Hellsing implants"
strings:
$mz="MZ"
$a1="the file uploaded failed !"
$a2="ping 127.0.0.1"
$b1="the file downloaded failed !"
$b2="common.asp"
$c="xweber_server.exe"
$d="action="
$debugpath1="d:\\Hellsing\\release\\msger\\" nocase
$debugpath2="d:\\hellsing\\sys\\xrat\\" nocase
$debugpath3="D:\\Hellsing\\release\\exe\\" nocase
$debugpath4="d:\\hellsing\\sys\\xkat\\" nocase
$debugpath5="e:\\Hellsing\\release\\clare" nocase
$debugpath6="e:\\Hellsing\\release\\irene\\" nocase
$debugpath7="d:\\hellsing\\sys\\irene\\" nocase
$e="msger_server.dll"
$f="ServiceMain"
condition:
($mz at 0) and (all of ($a*)) or (all of ($b*)) or ($c and $d) or (any of ($debugpath*)) or ($e and $f) and filesize < 500000
}
rule apt_hellsing_installer {
meta:
version = "1.0"
filetype = "PE"
author = "Costin Raiu, Kaspersky Lab"
copyright = "Kaspersky Lab"
date = "2015-04-07"
description = "detection for Hellsing xweber/msger installers"
strings:
$mz="MZ"
$cmd="cmd.exe /c ping 127.0.0.1 -n 5&cmd.exe /c del /a /f \"%s\""
$a1="xweber_install_uac.exe"
$a2="system32\\cmd.exe" wide
$a4="S11SWFOrVwR9UlpWRVZZWAR0U1aoBHFTUl2oU1Y="
$a5="S11SWFOrVwR9dnFTUgRUVlNHWVdXBFpTVgRdUlpWRVZZWARdUqhZVlpFR1kEUVNSXahTVgRaU1YEUVNSXahTVl1SWwRZValdVFFZUqgQBF1SWlZFVllYBFRTVqg="
$a6="7dqm2ODf5N/Y2N/m6+br3dnZpunl44g="
$a7="vd/m7OXd2ai/5u7a59rr7Ki45drcqMPl5t/c5dqIZw=="
$a8="vd/m7OXd2ai/usPl5qjY2uXp69nZqO7l2qjf5u7a59rr7Kjf5tzr2u7n6euo4+Xm39zl2qju5dqo4+Xm39zl2t/m7ajr19vf2OPr39rj5eaZmqbs5OSI Njl2tyI"
$a9="C:\\Windows\\System32\\sysprep\\sysprep.exe" wide
$a10="%SystemRoot%\\system32\\cmd.exe" wide
$a11="msger_install.dll"
$a12={ 00 65 78 2E 64 6C 6C 00}
condition:
($mz at 0) and ($cmd and (2 of ($a*))) and filesize < 500000
}
rule apt_hellsing_proxytool {
meta:
version = "1.0"
filetype = "PE"
author = "Costin Raiu, Kaspersky Lab"
copyright = "Kaspersky Lab"
date = "2015-04-07"
description = "detection for Hellsing proxy testing tool"
strings:
$mz="MZ"
$a1="PROXY_INFO: automatic proxy url => %s "
$a2="PROXY_INFO: connection type => %d "
$a3="PROXY_INFO: proxy server => %s "
$a4="PROXY_INFO: bypass list => %s "
$a5="InternetQueryOption failed with GetLastError() %d"
$a6="D:\\Hellsing\\release\\exe\\exe\\" nocase
condition:
($mz at 0) and (2 of ($a*)) and filesize < 300000
}
rule apt_hellsing_xkat {
meta:
version = "1.0"
filetype = "PE"
author = "Costin Raiu, Kaspersky Lab"
copyright = "Kaspersky Lab"
date = "2015-04-07"
description = "detection for Hellsing xKat tool"
strings:
$mz="MZ"
$a1="\\Dbgv.sys"
$a2="XKAT_BIN"
$a3="release sys file error."
$a4="driver_load error. "
$a5="driver_create error."
$a6="delete file:%s error."
$a7="delete file:%s ok."
$a8="kill pid:%d error."
$a9="kill pid:%d ok."
$a10="-pid-delete"
$a11="kill and delete pid:%d error."
$a12="kill and delete pid:%d ok."
condition:
($mz at 0) and (6 of ($a*)) and filesize < 300000
}
rule apt_hellsing_msgertype2 {
meta:
version = "1.0"
filetype = "PE"
author = "Costin Raiu, Kaspersky Lab"
copyright = "Kaspersky Lab"
date = "2015-04-07"
description = "detection for Hellsing msger type 2 implants"
strings:
$mz="MZ"
$a1="%s\\system\\%d.txt"
$a2="_msger"
$a3="http://%s/lib/common.asp?action=user_login&uid=%s&lan=%s&host=%s&os=%s&proxy=%s"
$a4="http://%s/data/%s.1000001000"
$a5="/lib/common.asp?action=user_upload&file="
$a6="%02X-%02X-%02X-%02X-%02X-%02X"
condition:
($mz at 0) and (4 of ($a*)) and filesize < 500000
}
rule apt_hellsing_irene {
meta:
version = "1.0"
filetype = "PE"
author = "Costin Raiu, Kaspersky Lab"
copyright = "Kaspersky Lab"
date = "2015-04-07"
description = "detection for Hellsing msger irene installer"
strings:
$mz="MZ"
$a1="\\Drivers\\usbmgr.tmp" wide
$a2="\\Drivers\\usbmgr.sys" wide
$a3="common_loadDriver CreateFile error! "
$a4="common_loadDriver StartService error && GetLastError():%d! "
$a5="irene" wide
$a6="aPLib v0.43 - the smaller the better"
condition:
($mz at 0) and (4 of ($a*)) and filesize < 500000
}
Analizy
Blog