In questo articolo vedremo come rimuovere Ursnif dal computer di una vittima.

L’analisi fin ora fatta ci ha permesso di determinare quale meccanismo di persistenza usi Ursnif e quindi ci dà modo di rimuoverlo.

YET ANOTHER URSNIF

Questo è il decimo di una seria di articoli, tutti raggruppati qui.

Indice

Parte 1, Le e-mail e il documento Excel
Parte 2, Le macro
Parte 3, Il packer
Parte 4, Primo stadio e la sezione bss
Parte 5, Ancora il primo stadio e i “JJ chunk”
Parte 6, Il secondo stadio e i primi IoC
Parte 7, Il secondo stadio, seed, GUID e privilegi
Parte 8, Il secondo stadio, configurazione e download
Parte 9, Il secondo stadio, salvataggio dei moduli e persistenza
Parte 10, Rimozione di Ursnif <–
Parte 11, Il client, inizializzazione e configurazione
Parte 12, Il client, da powershell ad explorer.exe ai browser
Parte 13, Il client, comandi e trasmissione al C2
Parte 14, Il C2, panoramica
Parte 15, Il C2, i sorgenti e l’architettura
Parte 16, Il C2, vulnerabilità
Parte 17, OSINT e resoconto finale

Istruzione per la rimozione

1. Aprire il registro di sistema.
2. Controllare la presenza delle seguenti chiavi e rimuoverle:
   HKEY_LOCAL_MACHINE\Software\AppDataLow\Software\Microsoft\{rndGUID}\Client32
   HKEY_LOCAL_MACHINE\Software\AppDataLow\Software\Microsoft\{rndGUID}\Client64
   HKEY_USERS\{SID}\Software\AppDataLow\Software\Microsoft\{rndGUID}\Client32
   HKEY_USERS\{SID}\Software\AppDataLow\Software\Microsoft\{rndGUID}\Client64
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{name}

Dove {rndGUID} è il GUID generato da Ursnif. Per evitare di rigenerarlo è possibile controllare tutte le chiavi che hanno la forma di un GUID.
Analogamente {SID} è il SID del primo utente non builtin, anche qui è possibile controllare tutti i SID presenti.
Infine {name} è un nome casuale generato da Ursnif, questa chiave contiene un comando mshta, quindi facilmente riconoscibile.