IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

YAU – Parte 10 – Rimozione di Ursnif

11/02/2021

yau

In questo articolo vedremo come rimuovere Ursnif dal computer di una vittima.

L’analisi fin ora fatta ci ha permesso di determinare quale meccanismo di persistenza usi Ursnif e quindi ci dà modo di rimuoverlo.

YET ANOTHER URSNIF

Questo è il decimo di una seria di articoli, tutti raggruppati qui.

Indice

Parte 1, Le e-mail e il documento Excel
Parte 2, Le macro
Parte 3, Il packer
Parte 4, Primo stadio e la sezione bss
Parte 5, Ancora il primo stadio e i “JJ chunk”
Parte 6, Il secondo stadio e i primi IoC
Parte 7, Il secondo stadio, seed, GUID e privilegi
Parte 8, Il secondo stadio, configurazione e download
Parte 9, Il secondo stadio, salvataggio dei moduli e persistenza
Parte 10, Rimozione di Ursnif <–
Parte 11, Il client, inizializzazione e configurazione
Parte 12, Il client, da powershell ad explorer.exe ai browser
Parte 13, Il client, comandi e trasmissione al C2
Parte 14, Il C2, panoramica
Parte 15, Il C2, i sorgenti e l’architettura
Parte 16, Il C2, vulnerabilità
Parte 17, OSINT e resoconto finale


Istruzione per la rimozione

  1. Aprire il registro di sistema.
  2. Controllare la presenza delle seguenti chiavi e rimuoverle:
    HKEY_LOCAL_MACHINE\Software\AppDataLow\Software\Microsoft\{rndGUID}\Client32
    HKEY_LOCAL_MACHINE\Software\AppDataLow\Software\Microsoft\{rndGUID}\Client64
    HKEY_USERS\{SID}\Software\AppDataLow\Software\Microsoft\{rndGUID}\Client32
    HKEY_USERS\{SID}\Software\AppDataLow\Software\Microsoft\{rndGUID}\Client64
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\{name}

Dove {rndGUID} è il GUID generato da Ursnif. Per evitare di rigenerarlo è possibile controllare tutte le chiavi che hanno la forma di un GUID.
Analogamente {SID} è il SID del primo utente non builtin, anche qui è possibile controllare tutti i SID presenti.
Infine {name} è un nome casuale generato da Ursnif, questa chiave contiene un comando mshta, quindi facilmente riconoscibile.

Taggato  yau