Что такое файл facefoduninstaller
Обновлено: 21.11.2024
Несколько месяцев назад платформа защиты конечных точек enSilo заблокировала вредоносную полезную нагрузку, работающую в законных процессах Microsoft Windows. Более глубокий анализ показал, что злоумышленник злоупотребил порядком поиска DLL, чтобы загрузить собственную вредоносную DLL. Некоторые образцы в среде совпадают с описанными в недавней публикации FireEye о новых инструментах и методах FIN7, в частности BOOSTWRITE. Сравнение остальных образцов с BOOSTWRITE показало, что они имеют общую кодовую базу и содержат бэкдор Carbanak.
Оскорбленная цель
Операционная система Windows использует стандартный метод поиска необходимых библиотек DLL для загрузки в программу. Злоумышленники могут использовать это поведение, чтобы заставить программу загрузить вредоносную библиотеку DLL. Этот метод известен как перехват порядка поиска DLL (или установка двоичных файлов).
Злоупотребляющим приложением в данном случае является FaceFodUninstaller.exe. Он существует в чистой установке ОС, начиная с Windows 10 RS4 (1803), в папке «%WINDR%\System32\WinBioPlugIns». Исполняемый файл зависит от winbio.dll, который обычно находится в родительском каталоге («%WINDR%\System32»).
Что делает этот исполняемый файл еще более привлекательным в глазах злоумышленника, так это тот факт, что он запускается из встроенной запланированной задачи с именем FODCleanupTask, тем самым сводя к минимуму место на машине и уменьшая шансы на обнаружение еще выше. Это свидетельствует о постоянных технологических исследованиях группы.
БИОЗАГРУЗКА
Имя файла загрузчика — WinBio.dll (обратите внимание на символы в верхнем регистре), злоумышленник помещает его вместе с исполняемым файлом в ту же папку («WinBioPlugIns»), Таким образом, используется порядок поиска DLL по умолчанию. Поскольку путь к файлу находится под %WINDIR%, это означает, что для его установки злоумышленнику необходимо иметь повышенные привилегии на компьютере жертвы, такие как администратор или СИСТЕМА аккаунт.
Как и BOOSTWRITE, этот загрузчик также был разработан на C++. Он экспортирует только одну функцию, которую импортирует FaceFodUninstaller.exe.
Образцы предназначены для 64-разрядной ОС и были скомпилированы в марте и июле 2019 года. BOOSTWRITE предназначен для 32-разрядных машин и был скомпилирован (и подписан) в мае 2019 года. Согласно предыдущим отчетам группы, они не фальсифицируют метки времени компиляции двоичных файлов.
Когда DLL запускается, она проверяет количество аргументов командной строки процесса, чтобы решить, как действовать. Когда исполняемый файл запускается планировщиком задач, он не имеет аргументов командной строки, и вредоносная программа работает следующим образом:
- Создает файл журнала в %TEMP%\~bio . Журналы являются текстовыми и не шифруются.
- Снова запускается как дочерний процесс с одним аргументом командной строки, состоящим из 32 случайных букв верхнего регистра.
- Устанавливает постоянство, используя COM-объекты для доступа к планировщику задач. Вредоносная программа проверяет, включена ли задача, добавляет триггер для ее запуска через 30 секунд после загрузки Windows и не ждет состояния бездействия.
При вызове WinBioGetEnrolledFactors вредоносное ПО загружает исходную winbio.dll и вызывает исходную функцию.
Рабочий процесс загружает и выполняет в памяти DLL полезной нагрузки. Он начинается с создания файла журнала в %TEMP%\~wrk. Затем он проверяет, работает ли в данный момент только один экземпляр, создавая именованный мьютекс на основе переменных окружения следующим образом:
В BIOLOAD также встроена зашифрованная DLL-библиотека полезной нагрузки. В отличие от BOOSTWRITE, он не поддерживает несколько полезных нагрузок. Кроме того, для расшифровки полезной нагрузки он использует простое расшифрование XOR, а не шифр ChaCha, и не обращается к удаленному серверу для получения ключа. Вместо этого BIOLOAD создается специально для каждой машины, которую он заражает, поскольку он использует имя машины для правильного получения ключа дешифрования.
Длина ключа составляет 16 байт и также встроена в загрузчик. Часть ключа перезаписывается результатом MurmurHash3 на ключе с использованием контрольной суммы CRC32 имени компьютера в качестве начального значения. Это затрудняет обнаружение песочницами и мешает исследователям анализировать полезную нагрузку, когда соответствующий контекст отсутствует.
Реализация загрузчика PE такая же, как и в BOOSTWRITE. Формат имени файла журнала также аналогичен.
Бэкдор Carbanak
Как уже упоминалось, полезной нагрузкой этого загрузчика является бэкдор Carbanak. Образцы, которые мы извлекли из BIOLOAD, представляют собой более новые сборки бэкдора, датированные январем и апрелем 2019 года, согласно их отметкам времени.
Одним примечательным дополнением является то, что он проверяет, работает ли на машине другой антивирус (AV), кроме Kaspersky, AVG и TrendMicro. Однако результат не влияет на работу бэкдора, в отличие от ранее обнаруженных антивирусов.
Заключительные мысли
Это первый публичный пример FaceFodUninstaller.exe используется злоумышленником как хост-процесс.
Общая кодовая база с последними инструментами, относящимися к FIN7, вместе с теми же методами и бэкдором позволяет отнести этот новый загрузчик к группе киберпреступников. Временные метки вместе с более простыми функциями предполагают, что BIOLOAD является предшествующей итерацией BOOSTWRITE.
Поскольку загрузчик создается специально для каждой целевой машины и требует прав администратора для развертывания, он предполагает, что группа собирает информацию о сетях своих целей.
Решения
Эта вредоносная программа использует распространенный, но незаметный и эффективный метод выполнения своей полезной нагрузки в контексте законных процессов.
Для обнаружения такого вредоносного поведения должны быть приняты меры противодействия. Недавно приобретенный FortiEDR — решение Endpoint Detection and Response, интегрированное в брандмауэры FortiGate, FortiSIEM и FortiSandbox — обнаруживает и блокирует такое поведение после заражения, чтобы помочь службам реагирования на инциденты быстро устранять такие угрозы и реагировать на них.
FortiClient обнаруживает и блокирует IOC, перечисленные ниже как W64/Inject.B!tr.spy и W64/Carbanak.A2EB!tr.
Кроме того, в рамках нашего членства в Альянсе киберугроз сведения об этой угрозе передавались в режиме реального времени другим членам Альянса, чтобы улучшить защиту клиентов.
WinBio.dll (ключ и полезные данные очищены) SHA256
Карбанак SHA256
Подробнее о FortiGuard Labs и портфолио FortiGuard Security Services. Подпишитесь на нашу еженедельную сводку об угрозах FortiGuard.
Узнайте о службе FortiGuard Security Rating Service, которая предоставляет аудит безопасности и рекомендации.
Далее подтвердите версию файла и выберите нужную ссылку для скачивания.
нажмите «Загрузить», чтобы перейти на страницу загрузки.
• Не можете найти нужную версию файла?
• Загруженный файл нельзя использовать из-за нестабильной сети?
Вы можете попробовать использовать этот поиск файлов. Метод очень прост. Введите имя файла, и вы найдете множество версий этого файла. Выберите версию файла, которую необходимо загрузить, этот инструмент автоматически загрузит для вас полный файл. Щелкните здесь. Загрузить средство поиска файлов
Ваш адрес электронной почты не будет опубликован. Обязательные поля отмечены *
[2022-03-07]
ALLEN SINGER говорит: ВНЕЗАПНО ПРОПАЛ WIFI НА ОДНОМ ИЗ 3 КОМПЬЮТЕРОВ. ИКОНКА WIFI НА ПАНЕЛИ ЗАДАЧ ИСЧЕЗЛА. ПРИ ПЕРЕЗАГРУЗКЕ, .
Ответ: Я чувствую, что это не обязательно файл потерян, также может быть, что информация о конфигурации драйвера … просмотреть >>>
[2022-02-28]
Венди говорит: Скринсейверы существовали, чтобы ЭЛТ-мониторы не выгорали, если их оставить включенными на длительное время.
Ответ: Да, скринсейверы предназначены именно для этого. Но не беспокойтесь об этой проблеме сейчас, потому что многие …view >>>
[2022-02-26]
Treena говорит: Добрый день, я пытался найти файл .8bf для Corel Paint Shop Pro 2022 для Windows 11 и я.
Ответ: Извините, насколько я знаю, этот файл еще не совместим с Windows 11. Я предлагаю вам использовать этот софт …view >>>
[2022-02-22]
Liz Charpleix say: Я просто хотела поблагодарить вас за то, что вы предоставили мне решение моей проблемы, связанной с невозможностью s .
Ответ: Спасибо, надеюсь, у вас все хорошо. Кроме того, вам лучше сделать резервную копию текущей системы. Что касается …посмотреть >>>
[2022-02-04]
wesonga говорит: как обновить мои окна, пожалуйста, помогите, это сторонний компьютер
Ответ: Возможно, вы отключили службу автоматического обновления системы. Если вы хотите, чтобы система обновлялась автоматически … см. >>>
[2022-02-02]
Jesus Duran Fernandez говорит: привет, это Иисус из Испании, и мне нужна утилита msgfmt или exe. Не могли бы вы сообщить pro .
Ответ: Здравствуйте, здесь нет установочного пакета для этого программного обеспечения, вы можете найти этот установочный пакет … просмотреть >>>
Читайте также: