Mai ka hopena o ka makahiki i hala, ua hoʻomaka mākou e ʻimi i kahi hoʻolaha hoʻomāinoino hou e kahele ʻana i kahi Trojan panakō. Hoʻopili ka poʻe hoʻouka i ka hoʻololi ʻana i nā hui Lūkini, ʻo ia hoʻi nā mea hoʻohana ʻoihana. Ua hoʻoikaika ʻia ka hoʻolaha ʻino no ka liʻiliʻi o hoʻokahi makahiki a, ma kahi o ka Trojan banking, ua hoʻohana ka poʻe hoʻouka i ka hoʻohana ʻana i nā mea pono lako polokalamu ʻē aʻe. Hoʻopili kēia i kahi mea hoʻouka kūikawā i hoʻohana ʻia , a me ka spyware, i hoʻokaʻawale ʻia e like me ka lako polokalamu Yandex Punto pono kaulana. I ka manawa i hiki ai i nā mea hoʻouka ke hoʻololi i ka kamepiula o ka mea i pepehi ʻia, hoʻokomo lākou i kahi backdoor a laila he Trojan banking.
No kā lākou malware, ua hoʻohana ka poʻe hoʻouka i kekahi mau palapala kikohoʻe kūpono (i kēlā manawa) a me nā ala kūikawā e kāpae i nā huahana AV. ʻO ka hoʻouka kaua ʻino i hoʻopaʻa ʻia i kahi helu nui o nā panakō Lūkini a he mea hoihoi loa ia no ka mea ua hoʻohana nā mea hoʻouka i nā ʻano hana i hoʻohana pinepine ʻia i nā hoʻouka kaua ʻana, ʻo ia hoʻi nā hoʻouka ʻana ʻaʻole i hoʻoikaika ʻia e ka hoʻopunipuni kālā. Hiki iā mākou ke hoʻomaopopo i kekahi mau mea like ma waena o kēia hoʻolaha ʻino a me kahi hanana nui i loaʻa i ka hoʻolaha nui ma mua. Ke kamaʻilio nei mākou e pili ana i kahi hui cybercriminal i hoʻohana i kahi Trojan banking /.
Ua hoʻokomo ka poʻe hoʻouka i nā polokalamu ma nā kamepiula wale nō i hoʻohana i ka ʻōlelo Lūkini ma Windows (localization) ma ka paʻamau. ʻO ka mea hoʻolaha nui o ka Trojan he palapala Word me kahi hoʻohana. , i hoʻouna ʻia ma ke ʻano he hoʻopili i ka palapala. Hōʻike nā kiʻi ma lalo i ke ʻano o ia mau palapala hoʻopunipuni. ʻO ka palapala mua i kapa ʻia ʻo "Invoice No. 522375-FLORL-14-115.doc", a ʻo ka lua "kontrakt87.doc", he kope ia o ka ʻaelike no ka hoʻolako ʻana i nā lawelawe kelepona e ka mea hoʻohana kelepona ʻo Megafon.
Laiki. 1. Palapala phishing.
Laiki. 2. Hoʻololi hou i ka palapala phishing.
Hōʻike kēia mau ʻike e pili ana nā mea hoʻouka i nā ʻoihana Lūkini:
- ka hāʻawi ʻana i ka polokalamu malware me ka hoʻohana ʻana i nā palapala hoʻopunipuni ma ke kumuhana i kuhikuhi ʻia;
- nā hana a nā mea hoʻouka kaua a me nā mea hana ʻino a lākou e hoʻohana ai;
- nā loulou i nā noi ʻoihana ma kekahi mau modula hiki ke hoʻokō ʻia;
- nā inoa o nā kāʻei kapu ʻino i hoʻohana ʻia ma kēia hoʻolaha.
ʻO nā lako polokalamu kūikawā i hoʻokomo ʻia e nā mea hoʻouka ma kahi ʻōnaehana i hoʻopaʻa ʻia e ʻae iā lākou e loaʻa ka mana mamao o ka ʻōnaehana a nānā i ka hana o ka mea hoʻohana. No ka hana ʻana i kēia mau hana, hoʻokomo lākou i kahi backdoor a hoʻāʻo hoʻi e kiʻi i ka ʻōlelo huna moʻokāki Windows a i ʻole hana i kahi moʻokāki hou. Hoʻohana pū nā mea hoʻouka i nā lawelawe o kahi keylogger (keylogger), kahi mea ʻaihue Windows clipboard, a me nā polokalamu kūikawā no ka hana ʻana me nā kāleka akamai. Ua hoʻāʻo kēia hui e hoʻololi i nā kamepiula ʻē aʻe ma ka pūnaewele kūloko like me ka kamepiula o ka mea i pepehi ʻia.
ʻO kā mākou ʻōnaehana telemetry ESET LiveGrid, ka mea e hiki ai iā mākou ke nānā wikiwiki i nā helu helu hoʻoili malware, hāʻawi iā mākou i nā helu helu ʻāina hoihoi e pili ana i ka hoʻolaha ʻana i ka malware i hoʻohana ʻia e nā mea hoʻouka i ka hoʻolaha i ʻōlelo ʻia.
Laiki. 3. Heluhelu e pili ana i ka hoʻolaha ʻāina o nā polokalamu kiloʻino i hoʻohana ʻia ma kēia hoʻolaha ʻino.
Ke hoʻouka nei i nā polokalamu kiloʻino
Ma hope o ka wehe ʻana o ka mea hoʻohana i kahi palapala hōʻino me ka hoʻohana ʻana i kahi ʻōnaehana nāwaliwali, e hoʻoiho ʻia kahi mea hoʻoiho kūikawā i hoʻohana ʻia me NSIS a hoʻokō ʻia ma laila. I ka hoʻomaka ʻana o kāna hana, nānā ka papahana i ka ʻenehana Windows no ka hele ʻana o nā debuggers ma laila a i ʻole no ka holo ʻana i ka pōʻaiapili o kahi mīkini virtual. E nānā pū i ka localization o Windows a inā paha ua kipa ka mea hoʻohana i nā URL i helu ʻia ma lalo o ka papa ma ka polokalamu kele pūnaewele. Hoʻohana ʻia nā API no kēia Loaʻa Mua/NextUrlCacheEntry a me ke kī kākau inoa SoftwareMicrosoftInternet ExplorerTypedURLs.
Nānā ka bootloader i ka loaʻa ʻana o kēia mau noi ma ka ʻōnaehana.
ʻO ka papa inoa o nā kaʻina hana he mea kupanaha maoli a, e like me kāu e ʻike ai, ʻaʻole ia wale nō nā noi panakō. No ka laʻana, ʻo kahi faila hoʻokō i kapa ʻia ʻo "scardsvr.exe" pili i ka polokalamu no ka hana ʻana me nā kāleka akamai (Microsoft SmartCard reader). Aia ka Trojan banking i ka hiki ke hana me nā kāleka akamai.
Laiki. 4. Kiʻikuhi maʻamau o ke kaʻina hoʻokomo malware.
Inā hoʻopau maikaʻi ʻia nā mākaʻikaʻi āpau, hoʻoiho ka mea hoʻoili i kahi faila kūikawā (archive) mai ke kikowaena mamao, aia nā modula hoʻokō hewa a pau i hoʻohana ʻia e nā mea hoʻouka. He mea ʻoluʻolu ke hoʻomaopopo ʻia ma muli o ka hoʻokō ʻana i nā loiloi ma luna, ʻokoʻa paha nā waihona i hoʻoiho ʻia mai ka kikowaena C&C mamao. He ʻino paha ka waihona. Inā ʻaʻole ʻino, hoʻokomo ʻo ia i ka Windows Live Toolbar no ka mea hoʻohana. ʻO ka mea maʻamau, ua hoʻohana nā mea hoʻouka i nā hoʻopunipuni like e hoʻopunipuni i nā ʻōnaehana loiloi faila a me nā mīkini virtual kahi e hoʻokō ʻia ai nā faila kānalua.
ʻO ka faila i hoʻoiho ʻia e ka mea hoʻoiho NSIS he waihona 7z i loaʻa i nā modula malware like ʻole. Hōʻike ke kiʻi ma lalo i ke kaʻina hana holoʻokoʻa o kēia polokalamu malware a me kāna mau modula like ʻole.
Laiki. 5. Hoʻolālā maʻamau o ka hana ʻana o ka polokalamu malware.
ʻOiai ʻo nā modula i hoʻouka ʻia e lawelawe i nā kumu like ʻole no ka poʻe hoʻouka ʻia, ua hoʻopili like ʻia lākou a ua kau inoa ʻia ka hapa nui o lākou me nā palapala kikohoʻe kūpono. Ua loaʻa iā mākou ʻehā mau palapala hōʻoia i hoʻohana ʻia e nā mea hoʻouka mai ka hoʻomaka ʻana o ka hoʻolaha. Ma hope o kā mākou hoʻopiʻi, ua hoʻopau ʻia kēia mau palapala. He meaʻoluʻolu e hoʻomaopopo ua hāʻawiʻia nā palapala hōʻoia i nā hui i hoʻopaʻa inoaʻia ma Moscow.
Laiki. 6. Palapala kikohoʻe i hoʻohana ʻia e hoʻopaʻa inoa i ka malware.
Hōʻike ka papa ma lalo nei i nā palapala kikohoʻe i hoʻohana ʻia e ka poʻe hoʻouka kaua i kēia hoʻolaha ʻino.
ʻAneʻane like nā modula ʻino i hoʻohana ʻia e nā mea hoʻouka. Lawe lākou iā lākou iho i nā waihona 7zip i mālama ʻia i ka ʻōlelo huna.
Laiki. 7. He ʻāpana o ka waihona pūʻulu install.cmd.
Aia ke kuleana o ka waihona .cmd no ka hoʻokomo ʻana i nā polokalamu ʻino ma ka ʻōnaehana a me ka hoʻomaka ʻana i nā mea hana hoʻouka kaua. Inā makemake ka hoʻokō i nā kuleana hoʻokele nalo, hoʻohana ka code malicious i kekahi mau ala e loaʻa ai iā lākou (bypassing UAC). No ka hoʻokō ʻana i ke ʻano mua, hoʻohana ʻia ʻelua mau faila i kapa ʻia ʻo l1.exe a me cc1.exe, ka mea kūikawā i ka haʻalele ʻana i ka UAC me ka hoʻohana ʻana i ka Kāhea kumu kumu Carberp. Hoʻokumu ʻia kahi ala ʻē aʻe ma ka hoʻohana ʻana i ka palupalu CVE-2013-3660. Loaʻa i kēlā me kēia module malware e koi ana i ka piʻi ʻana o ka pono i kahi mana 32-bit a me 64-bit o ka hoʻohana.
I ka hahai ʻana i kēia hoʻolaha, ua nānā mākou i kekahi mau waihona i hoʻoili ʻia e ka mea hoʻoiho. Ua ʻokoʻa nā ʻike o ka waihona, ʻo ia hoʻi, hiki i nā mea hoʻouka ke hoʻololi i nā modula ʻino no nā kumu like ʻole.
Kuʻikahi ka mea hoʻohana
E like me kā mākou i ʻōlelo ai ma luna, hoʻohana nā mea hoʻouka i nā mea hana kūikawā e hoʻololi i nā kamepiula o nā mea hoʻohana. Aia kēia mau mea hana i nā polokalamu me nā inoa faila hiki ke hoʻokō ʻia mimi.exe a me xtm.exe. Kōkua lākou i ka poʻe hoʻouka kaua e hoʻomalu i ka kamepiula o ka mea i hoʻopaʻi ʻia a loea i ka hana ʻana i kēia mau hana: loaʻa / hoʻihoʻi i nā ʻōlelo huna no nā moʻokāki Windows, hiki i ka lawelawe RDP, hana i kahi moʻokāki hou i ka OS.
ʻO ka mimi.exe hiki ke hoʻokō ʻia me kahi mana i hoʻololi ʻia o kahi hāmeʻa kumu wehe kaulana . Hāʻawi kēia mea hana iā ʻoe e kiʻi i nā ʻōlelo huna mooolelo hoʻohana Windows. Hoʻopau ka poʻe hoʻouka i ka ʻāpana mai Mimikatz nona ke kuleana no ka pilina mea hoʻohana. Ua hoʻololi ʻia ka code executable a i ka wā i hoʻokuʻu ʻia ai, e holo ana ʻo Mimikatz me nā kauoha::debug a me sekurlsa:logonPasswords.
ʻO kekahi faila hoʻokō, xtm.exe, hoʻokuʻu i nā palapala kūikawā e hiki ai i ka lawelawe RDP i ka ʻōnaehana, e hoʻāʻo e hana i kahi moʻokāki hou i ka OS, a hoʻololi pū i nā hoʻonohonoho ʻōnaehana e hiki ai i nā mea hoʻohana ke hoʻopili i ka kamepiula i hoʻopaʻa ʻia ma o RDP. ʻIke loa, pono kēia mau ʻanuʻu no ka loaʻa ʻana o ka mana piha o ka ʻōnaehana compromised.
Laiki. 8. Nā kauoha i hoʻokō ʻia e xtm.exe ma ka ʻōnaehana.
Hoʻohana nā mea hoʻouka i kahi faila hoʻokō ʻē aʻe i kapa ʻia ʻo impack.exe, i hoʻohana ʻia e hoʻokomo i nā polokalamu kūikawā ma ka ʻōnaehana. Kapa ʻia kēia polokalamu ʻo LiteManager a hoʻohana ʻia e nā mea hoʻouka ma ke ʻano he backdoor.
Laiki. 9. LiteManager interface.
Ke kau ʻia ma ka ʻōnaehana o ka mea hoʻohana, hiki i ka LiteManager ke hoʻopili pololei i nā mea hoʻouka i kēlā ʻōnaehana a hoʻokele mamao iā ia. Aia kēia polokalamu i nā palena laina kauoha kūikawā no kona hoʻokomo huna ʻana, ka hana ʻana i nā lula firewall kūikawā, a me ka hoʻomaka ʻana i kāna module. Hoʻohana ʻia nā ʻāpana āpau e nā mea hoʻouka.
ʻO ka module hope loa o ka pūʻolo malware i hoʻohana ʻia e ka poʻe hoʻouka ʻia he polokalamu polokalamu malware banking (banker) me ka inoa faila pn_pack.exe. He loea ʻo ia i ka mākaʻikaʻi ʻana i ka mea hoʻohana a nona ke kuleana no ka launa pū ʻana me ke kikowaena C&C. Hoʻokuʻu ʻia ka mea panakō me ka hoʻohana ʻana i ka lako polokalamu Yandex Punto. Hoʻohana ʻia ʻo Punto e nā mea hoʻouka e hoʻomaka i nā hale waihona puke DLL maikaʻi (DLL Side-Loading method). Hiki i ka malware ke hana i nā hana penei:
- e hoʻopaʻa i nā kī kī kīpē a me nā ʻike o ka clipboard no kā lākou hoʻouna ʻana i kahi kikowaena mamao;
- papa inoa i nā kāleka akamai a pau i loko o ka ʻōnaehana;
- e launa pū me kahi kikowaena C&C mamao.
ʻO ka module malware, nona ke kuleana no ka hana ʻana i kēia mau hana āpau, he waihona DLL i hoʻopili ʻia. Hoʻopili ʻia a hoʻouka ʻia i ka hoʻomanaʻo i ka wā o ka hoʻokō ʻana o Punto. No ka hana ʻana i nā hana i luna, hoʻomaka ka code executable DLL i ʻekolu mau kaula.
ʻO ka ʻoiaʻiʻo o ka poʻe hoʻouka kaua i koho i ka polokalamu Punto no kā lākou kumu, ʻaʻole ia he mea kupanaha: hāʻawi ākea kekahi mau ʻaha kūkā Lūkini i ka ʻike kikoʻī e pili ana i nā kumuhana e like me ka hoʻohana ʻana i nā hemahema i nā polokalamu kūpono e hoʻololi i nā mea hoʻohana.
Hoʻohana ka hale waihona ʻino i ka RC4 algorithm e hoʻopili ai i kāna mau kaula, a me ka wā o ka launa pū ʻana me ka server C&C. Hoʻopili ʻo ia i ke kikowaena i kēlā me kēia ʻelua mau minuke a hoʻouna i laila i nā ʻikepili a pau i hōʻiliʻili ʻia ma ka ʻōnaehana hoʻohālikelike i kēia manawa.
Laiki. 10. He ʻāpana o ka pilina pūnaewele ma waena o ka bot a me ke kikowaena.
Aia ma lalo kekahi o nā kuhikuhi kikowaena C&C i hiki i ka waihona ke loaʻa.
I ka pane ʻana i ka loaʻa ʻana o nā ʻōlelo aʻoaʻo mai ke kikowaena C&C, pane ka polokalamu malware me kahi code kūlana. He mea maikaʻi e hoʻomaopopo i nā modules banker a pau a mākou i loiloi ai (ʻo ka mea hou loa me ka lā hoʻohui o Ianuali 18th) aia ke kaula "TEST_BOTNET", i hoʻouna ʻia i kēlā me kēia memo i ke kikowaena C&C.
hopena
No ka hoʻopaʻapaʻa ʻana i nā mea hoʻohana ʻoihana, ʻo ka poʻe hoʻouka kaua ma ka pae mua e hoʻololi i kekahi limahana o ka ʻoihana ma ka hoʻouna ʻana i kahi leka phishing me kahi hoʻohana. A laila, i ka manawa e hoʻokomo ʻia ai ka malware ma ka ʻōnaehana, e hoʻohana lākou i nā lako polokalamu e kōkua nui iā lākou e hoʻonui nui i ko lākou mana ma ka ʻōnaehana a hana i nā hana hou aku ma luna o ia mea: hoʻololi i nā kamepiula ʻē aʻe ma ka ʻoihana pūnaewele a e kiu i ka mea hoʻohana, a me nā hana panakō āna e hana ai.
Source: www.habr.com