SOLDATOV_IN_TELEGRAM Telegram 531
tgoop.com » United States » Солдатов в Телеграм » Telegram web » Post 531
Солдатов в Телеграм
BPL injection

Кто слышал о языке программирования Borland Pascal, наверняка слышал и о его объектно-ориентированном варианте Borland Delphi (ваш покорный слуга имел счастье на них еще и писать, где-то в конце 90-х, и скажу, что Borland Delphi - огонь!). У программ на Delphi есть свои динамически подгружаемые запчасти, реализованные в виде BPL-файлов (BPL - Borland Package Library). Файлы BPL, в целом, мало отлчаются от DLL, и даже file выдаст, что это DLL:
 % file vcl120.bpl  
vcl120.bpl: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
 %


Ну разве что только strings выдаст особенности:
% strings vcl120.bpl| grep -i Delphi | wc 
      88      88    8117
 %


Однако, среди приложений на Delphi есть те, которые подгружают такие BPL-файлы. И для таких приложений можно эксплуатировать BPL injection. Идея ровно такая же, как и в случае с DLL: вредоносный BPL зкгружается легитимным исполняемым файлом.

Одним из таких легитимных бинарей является 8aed681ad8d660257c10d2f0e85ae673184055a341901643f27afc38e5ef8473 (A2D70FBAB5181A509369D96B682FC641). Его реальное имя rtthlp.exe, описание: IObit RttHlp, однако мы в инцидентах его встречали под разными именами: set-up.exe, setup.exe, install.exe и пр. В этих же инцидентах мы фиксировали и использованием BPL injection, и в одном из первых расследований вышли на статью от Kroll, где описывается BPL-инжект ровно в наблюдаемый нами бинарь A2D70FBAB5181A509369D96B682FC641. Инжектилось вот это - 3cbd60759ca91f846fe69e067cbef15f481e3a0be31b756ee434b54df668b7d2 (92650FCDC20ED3CBEBB6378B45C2E67D), имя - vcl120.bpl, вердикт KES - Trojan.Win32.Loader.npf. Окончательное назначение инструмента, где одним из компонентов был вредоносный BPL, - инфостилер, то была не человекоуправляемая атака (в MDR был инцидент критичности Medium), наблюдали не в РФ.

Несмотря на то, что Borland это, как будто, из прошлого, BPL injection - это из настоящего и будущего. Соответствующей подтехники Hijack Execution Flow еще нет, но Kroll пишут, что подали заявку.

В заключение хочу поблагодарить нашего аналитика D*, который в рамках нашего процесса Periodic Retro Hunting в свое время нашел такой инцидент, по мотивам которого позже наделали хантов.

#MDR
Kroll
Kroll's Cyber Threat Intelligence team recently uncovered a complex infection chain involving many layers of obfuscation being…
🔥9👍3
www.tgoop.com/soldatov_in_telegram/531
3.26K views



tgoop.com/soldatov_in_telegram/531
Create:
Last Update:

BPL injection

Кто слышал о языке программирования Borland Pascal, наверняка слышал и о его объектно-ориентированном варианте Borland Delphi (ваш покорный слуга имел счастье на них еще и писать, где-то в конце 90-х, и скажу, что Borland Delphi - огонь!). У программ на Delphi есть свои динамически подгружаемые запчасти, реализованные в виде BPL-файлов (BPL - Borland Package Library). Файлы BPL, в целом, мало отлчаются от DLL, и даже file выдаст, что это DLL:

 % file vcl120.bpl  
vcl120.bpl: PE32 executable (DLL) (GUI) Intel 80386, for MS Windows
 %


Ну разве что только strings выдаст особенности:
% strings vcl120.bpl| grep -i Delphi | wc 
      88      88    8117
 %


Однако, среди приложений на Delphi есть те, которые подгружают такие BPL-файлы. И для таких приложений можно эксплуатировать BPL injection. Идея ровно такая же, как и в случае с DLL: вредоносный BPL зкгружается легитимным исполняемым файлом.

Одним из таких легитимных бинарей является 8aed681ad8d660257c10d2f0e85ae673184055a341901643f27afc38e5ef8473 (A2D70FBAB5181A509369D96B682FC641). Его реальное имя rtthlp.exe, описание: IObit RttHlp, однако мы в инцидентах его встречали под разными именами: set-up.exe, setup.exe, install.exe и пр. В этих же инцидентах мы фиксировали и использованием BPL injection, и в одном из первых расследований вышли на статью от Kroll, где описывается BPL-инжект ровно в наблюдаемый нами бинарь A2D70FBAB5181A509369D96B682FC641. Инжектилось вот это - 3cbd60759ca91f846fe69e067cbef15f481e3a0be31b756ee434b54df668b7d2 (92650FCDC20ED3CBEBB6378B45C2E67D), имя - vcl120.bpl, вердикт KES - Trojan.Win32.Loader.npf. Окончательное назначение инструмента, где одним из компонентов был вредоносный BPL, - инфостилер, то была не человекоуправляемая атака (в MDR был инцидент критичности Medium), наблюдали не в РФ.

Несмотря на то, что Borland это, как будто, из прошлого, BPL injection - это из настоящего и будущего. Соответствующей подтехники Hijack Execution Flow еще нет, но Kroll пишут, что подали заявку.

В заключение хочу поблагодарить нашего аналитика D*, который в рамках нашего процесса Periodic Retro Hunting в свое время нашел такой инцидент, по мотивам которого позже наделали хантов.

#MDR

BY Солдатов в Телеграм




Share with your friend now:
tgoop.com/soldatov_in_telegram/531

View MORE
Open in Telegram


Telegram News

Date: |

Today, we will address Telegram channels and how to use them for maximum benefit. Deputy District Judge Peter Hui sentenced computer technician Ng Man-ho on Thursday, a month after the 27-year-old, who ran a Telegram group called SUCK Channel, was found guilty of seven charges of conspiring to incite others to commit illegal acts during the 2019 extradition bill protests and subsequent months. The group’s featured image is of a Pepe frog yelling, often referred to as the “REEEEEEE” meme. Pepe the Frog was created back in 2005 by Matt Furie and has since become an internet symbol for meme culture and “degen” culture. How to create a business channel on Telegram? (Tutorial) Add the logo from your device. Adjust the visible area of your image. Congratulations! Now your Telegram channel has a face Click “Save”.!
from us


BPL injection

 Солдатов в Телеграм TG
web: 531
Солдатов в Телеграм.Telegram web
Солдатов в Телеграм Telegram TG Channel
Telegram Updated:
Telegram Солдатов в Телеграм
FROM American