Co maszyna robi z cerberus.dll?

Moduł Cerberus Wciąż trwają badania nad tą metodą. Oprogramowanie, które utworzyłeś na swoim urządzeniu, jest katalogiem głównym procesów niesystemowych, takich jak cerberus.dll. Możliwe, że na komputerze nastąpiła fragmentacja i nagromadziły się nieprawidłowe wpisy, ponieważ większość programów przechowuje dane na dysku twardym iw rejestrze urządzenia, co może mieć wpływ na wydajność komputera. W Menedżerze zadań Windows możesz zobaczyć, co powoduje, że proces modułu Cerberus wykorzystuje procesor, pamięć, dysk i sieć. Przytrzymaj klawisze Ctrl + Shift + Esc w tym samym czasie, aby przejść do Menedżera zadań. Te trzy przyciski znajdują się po lewej stronie klawiatury.

Nazwa: CSAP.jpg
Wyświetleń: 245

Rozmiar: 17.5 Kb

Cerberus.dll to plik wykonywalny przechowywany na dysku twardym komputera. W tym pliku znajduje się kod maszynowy. Polecenia przechowywane w cerberus.dll będą wykonywane na twoim komputerze po aktywacji programu Cerberus Module na twoim komputerze. W tym celu plik jest ładowany do pamięci głównej (RAM) i jest tam uruchamiany jako proces modułu Cerberusa (nazywany również zadaniem). Czy w przypadku cerberus.dll obciąża procesor?

Takie podejście nie jest uważane za wymagające dużej mocy obliczeniowej. Uruchomienie zbyt wielu procesów na komputerze może jednak wpłynąć na wydajność komputera. Możesz użyć narzędzia konfiguracji systemu Microsoft (MSConfig) lub Menedżera zadań Windows, aby ręcznie zlokalizować i wyłączyć procesy inicjowane podczas rozruchu, aby zminimalizować przeciążenie systemu. Aby dowiedzieć się, które procesy i programy najwięcej zapisują / odczytują na dysku twardym, wysyłają najwięcej danych do Internetu lub wykorzystują najwięcej pamięci, skorzystaj z Monitora zasobów systemu Windows. Kliknij kombinację klawiszy Windows + R, aby uzyskać dostęp do Monitora zasobów, a następnie wprowadź „Resmon”. Dlaczego cerberus.dll dostarczył mi błędy?

Program wykonujący operację powoduje większość problemów z cerberusem. Aktualizacja lub odinstalowanie tego programu to najpewniejszy sposób naprawienia tych błędów. Dlatego prosimy o przejrzenie nowej aktualizacji modułu Cerberus na stronie internetowej. Zamierzamy dzisiaj przejrzeć kolejną próbkę PDF zawierającą kształt XDP. Różnica między tym przykładem a moim poprzednim artykułem polega na tym, że będzie mniej o deobfuskacji JavaScript, a więcej o sztuczkach antyanalizy. To jest ścieżka do próbki złośliwego oprogramowania, jeśli chcesz skorzystać z praktycznego udziału w badaniu (hasło: zainfekowane29A). Pamiętaj, aby zaktualizować Profiler do najnowszej wersji 2.6.2!

Otwórzmy archiwum za pomocą Zip. Pierwszą rzeczą, jaką znajdujemy, jest nieprawidłowe nazwanie pliku jako CFBF. Zostalibyśmy poproszeni o wybranie odpowiedniego formatu pliku, gdybyśmy mieli dostęp do pliku bezpośrednio z systemu plików. Ale w związku z tym przechodzimy tylko do zdekompresowanego strumienia w archiwum Zip (lub pliku CFBF, to nie ma znaczenia), umieszczamy kursor na początku pliku i wciskamy Ctrl + E. W hierarchii wybieramy format PDF, a następnie otwieramy nowo wygenerowany plik osadzony. Patrząc na opis, stwierdzimy, że strumień nie zdekompresował się, ponieważ osiągnął limit pamięci. Podpowiedź narzędzia informuje nas na podstawie ustawień, że możemy dostosować ten limit. Dlatego na pasku narzędzi naciśnij „Przejdź do raportu”. Doprowadzi nas do głównych drzwi. Stamtąd możemy przejść do ustawień i podnieść limit. W naszej sytuacji wystarcza 100 MB, ponieważ strumień, który nie został zdekompresowany, ma około 90 MB. Kliknij ikonę Zapisz ustawienia, kliknij przycisk Skanuj urządzenie, a następnie wróć do naszego rejestru.

Powtórzmy teraz procedurę, aby załadować osadzony plik jako plik PDF i tym razem nie otrzymamy ostrzeżenia: Możemy również wybrać błędnie nazwany osadzony plik CFBF tylko ze względu na czystość i kliknąć „Usuń”, aby go usunąć z badania. Przegląd mówi nam, że plik PDF zawiera interaktywny formularz i że w rzeczywistości możemy już zobaczyć XDP jako element podrzędny pliku PDF. Możemy zacząć bezpośrednio od analizy XFA, ale cofnijmy się o sekundę, aby zbadać sztuczkę zastosowaną przez to złośliwe oprogramowanie, aby przerwać automatyczną analizę. XFA jest uwzględniony w pozycji 1.0 formatu PDF. Przejdźmy do części strumienia obiektu (turkus) za pomocą myszy, a następnie otwórz menu kontekstowe i kliknij „Zakresy-> Wybierz ciągły zakres” (alternatywnie Ctrl + Alt + A). Spowoduje to wybranie strumieniowych danych obiektu.

Nazwa: EURUSDM30_WMIFor30.jpg
Wyświetleń: 190

Rozmiar: 14.3 Kb

Teraz naciśnij Ctrl + T, aby wywołać philtres i dodać philtre unpack / zlib. Jeśli klikniemy teraz „Podgląd”, stwierdzimy, że zgłaszany jest błąd. Strumień jest nadal dekompresowany, ale identyfikowany jest również błąd. Jest to jedna ze sztuczek wykorzystywanych przez to złośliwe oprogramowanie do przerwania automatycznej analizy: na samym końcu strumień ZLib jest uszkodzony. Otwórzmy teraz XFA. Od razu widzimy kolejną prostą sztuczkę, aby oszukać identyfikację XDP: bajt nowej linii na początku. Niedawno została wydana wersja 2.6 Profiler, a wśród ulepszeń dodano obsługę XDP. Oto definicja Wikipedii dla tych, którzy nie znają XPD:

W zamierzeniu ma być uzupełnieniem pliku PDF opartego na XML. Umożliwia łączenie treści PDF i / lub narzędzi Adobe XML Forms Architecture (XFA) w kontenerze XML. XDP jest zgodny ze standardem XML w wersji 1.0. XDP może być samodzielnym dokumentem lub może być po kolei umieszczony w dokumencie PDF. XDP zapewnia mechanizm pakowania wewnątrz otaczającego kontenera XML dla składników formularza. XDP, wraz z typem XML i szczegółami szablonu, może również spakować plik PDF. Skorzystam więc z okazji i wyświetlę rewers zabawnego pliku PDF ze wszystkimi dodatkami. Otwórzmy plik PDF zawierający podejrzenia. Plik PDF, ponieważ zawiera kilka wątpliwych funkcji, jest już mocno oznaczony przez Profiler. Jeśli spojrzymy na obiekt 8 pliku PDF, tylko z ciekawości, możemy stwierdzić, że dane XDP zawierają fałszywe słowo kluczowe endstream, aby oszukać parsery rozwiązania bezpieczeństwa. Jak widać, ze względu na znaki ucieczki XML jest on całkowicie nieczytelny. Nawet to nie jest dla nas istotne, ponieważ jest to automatycznie wykonywane przez parser Profiler XML, ponownie wart uwagi. Więc otwórzmy bezpośrednio osadzone dziecko XDP i zobaczymy ładnie wcięty XML, który jest czytelny. Widzimy, że XML zawiera kod JavaScript, ale zostaliśmy powiadomieni przez Profiler.

Po prostu naciśnijmy alert. Nie można odczytać kodu. Wybierzmy więc komponent JavaScript, a następnie wciśnij Ctrl + R-> JavaScript upiększ. Kod, mimo że jest zaciemniony, jest bardzo łatwy do zrozumienia. Pobiera wartość bezpośrednio z XDP, przetwarza ją i nazywa eval. Znaczenie tego jest następujące: w tym momencie możemy po prostu nacisnąć Ctrl + R-> Debuguj / Wykonaj JavaScript i uzyskać odpowiedź wykonania. Otrzymamy następujący kod:

Nazwa: unnamed.jpg
Wyświetleń: 194

Rozmiar: 52.0 Kb

Zasadniczo to, co robi, to użycie tablicy do sprysku sterty. W oparciu o wersję programu Adobe Reader ma to wpływ na ładunek. Wersja jest pobierana po wywołaniu funkcji _l5. Mogliśmy teraz bezpośrednio analizować tylko ładunki _l1 lub _l2, ale tylko po to, aby upewnić się, że pozwolę na utworzenie części kodu w sprayu. Więc odpowiednio zmieniłem kod i właściwie uniknąłem rozpylania wielu szczegółów. Widzimy, że początek (zaznaczona część) wygląda jak kod ROP, jeśli spojrzymy na ładunek. Pomińmy więc ROP, aby uniknąć wyszukiwania gadżetów w pamięci, ponieważ najprawdopodobniej po prostu przeskoczy do rzeczywistego kodu powłoki.