Txij li thaum kawg ntawm lub xyoo tas los, peb tau pib taug qab qhov phiaj xwm phem tshiab los faib cov tuam txhab lag luam Trojan. Cov neeg tawm tsam tau tsom mus rau kev cuam tshuam cov tuam txhab Lavxias, piv txwv li cov neeg siv khoom lag luam. Cov phiaj xwm siab phem tau ua haujlwm tsawg kawg ib xyoos thiab, ntxiv rau cov tuam txhab lag luam Trojan, cov neeg tawm tsam tau siv ntau lwm yam cuab yeej software. Cov no muaj xws li ib tug tshwj xeeb loader ntim siv , thiab spyware, uas yog disguised raws li tus paub zoo Yandex Punto software. Thaum cov neeg tawm tsam tau tswj hwm kev cuam tshuam rau tus neeg raug tsim txom lub computer, lawv nruab ib lub nraub qaum thiab tom qab ntawd lub txhab nyiaj Trojan.
Rau lawv cov malware, cov neeg tawm tsam tau siv ntau yam siv tau (thaum lub sijhawm ntawd) cov ntawv pov thawj digital thiab txoj hauv kev tshwj xeeb los hla cov khoom AV. Cov phiaj xwm phem tau tsom mus rau ntau lub tsev txhab nyiaj Lavxias thiab muaj kev txaus siab tshwj xeeb vim tias cov neeg tawm tsam siv cov txheej txheem uas feem ntau siv rau hauv kev tawm tsam, piv txwv li kev tawm tsam uas tsis yog kev txhawb siab los ntawm kev dag ntxias nyiaj txiag. Peb tuaj yeem nco ntsoov qee qhov zoo sib xws ntawm qhov kev sib tw siab phem no thiab qhov xwm txheej loj uas tau txais kev tshaj tawm zoo dhau los. Peb tab tom tham txog ib pawg cybercriminal uas siv lub txhab nyiaj Trojan /.
Cov neeg tawm tsam tau teeb tsa malware nkaus xwb ntawm cov khoos phis tawj uas siv cov lus Lavxias hauv Windows (localization) los ntawm lub neej ntawd. Lub ntsiab faib vector ntawm Trojan yog Lo Lus cov ntaub ntawv nrog kev siv. , uas tau xa ua ib qho txuas rau daim ntawv. Cov screenshots hauv qab no qhia txog qhov pom ntawm cov ntaub ntawv cuav. Thawj daim ntawv muaj cai "Invoice No. 522375-FLORL-14-115.doc", thiab thib ob "kontrakt87.doc", nws yog ib daim ntawv cog lus rau kev muab kev pabcuam kev sib txuas lus los ntawm tus neeg teb xov tooj txawb Megafon.
Rice. 1. Phishing document.
Rice. 2. Lwm qhov kev hloov kho ntawm cov ntaub ntawv phishing.
Cov lus tseeb hauv qab no qhia tias cov neeg tawm tsam tau tsom mus rau cov lag luam Lavxias:
- kev faib tawm ntawm malware siv cov ntaub ntawv cuav ntawm lub ntsiab lus;
- kev tawm tsam ntawm cov neeg tawm tsam thiab cov cuab yeej phem uas lawv siv;
- txuas mus rau kev lag luam daim ntawv thov nyob rau hauv ib co executable modules;
- cov npe ntawm cov npe phem uas tau siv hauv qhov kev sib tw no.
Cov cuab yeej software tshwj xeeb uas cov neeg tawm tsam nruab rau ntawm lub kaw lus tsis txaus ntseeg tso cai rau lawv kom tau txais cov chaw taws teeb tswj ntawm lub kaw lus thiab saib xyuas cov neeg siv kev ua haujlwm. Txhawm rau ua cov haujlwm no, lawv nruab ib lub backdoor thiab tseem sim kom tau txais Windows account password lossis tsim ib tus account tshiab. Cov neeg tawm tsam kuj siv rau cov kev pabcuam ntawm keylogger (keylogger), lub Windows clipboard stealer, thiab software tshwj xeeb rau kev ua haujlwm nrog cov npav ntse. Cov pab pawg no tau sim cuam tshuam lwm lub khoos phis tawj uas nyob hauv tib lub network hauv zos li tus neeg raug tsim txom lub computer.
Peb ESET LiveGrid telemetry system, uas tso cai rau peb taug qab malware faib cov txheeb cais sai, muab peb cov kev txheeb xyuas thaj chaw nthuav dav ntawm kev faib cov malware siv los ntawm cov neeg tawm tsam hauv cov phiaj xwm hais.
Rice. 3. Kev txheeb cais ntawm thaj chaw faib khoom siv malware siv hauv kev sib tw ua phem no.
Txhim kho malware
Tom qab ib tus neeg siv qhib cov ntaub ntawv tsis zoo nrog kev siv rau ntawm lub cev tsis muaj zog, lub pob tshwj xeeb rub tawm siv NSIS yuav raug rub tawm thiab tua nyob ntawd. Thaum pib ntawm nws txoj haujlwm, qhov kev zov me nyuam tshawb xyuas qhov chaw ib puag ncig Windows rau qhov muaj cov debuggers nyob ntawd lossis khiav hauv cov ntsiab lus ntawm lub tshuab virtual. Nws kuj kuaj xyuas qhov chaw nyob ntawm Windows thiab seb tus neeg siv puas tau mus xyuas cov URLs hauv qab no hauv cov lus hauv browser. APIs yog siv rau qhov no FindFirst/NextUrlCacheEntry thiab SoftwareMicrosoftInternet ExplorerTypedURLs sau npe yuam sij.
Lub bootloader kuaj xyuas qhov muaj cov ntawv thov hauv qab no ntawm lub system.
Cov npe ntawm cov txheej txheem yog qhov zoo nkauj tiag tiag thiab, raws li koj tuaj yeem pom, nws suav nrog tsis yog daim ntawv thov nyiaj txiag nkaus xwb. Piv txwv li, ib daim ntawv ua tiav hu ua "scardsvr.exe" yog hais txog software rau kev ua haujlwm nrog cov ntawv ntse (Microsoft SmartCard nyeem ntawv). Lub txhab nyiaj Trojan nws tus kheej suav nrog kev muaj peev xwm ua haujlwm nrog cov npav ntse.
Rice. 4. Daim duab dav dav ntawm cov txheej txheem kev teeb tsa malware.
Yog tias tag nrho cov kev kuaj xyuas tiav tiav, lub loader rub tawm cov ntaub ntawv tshwj xeeb (archive) los ntawm cov chaw taws teeb chaw taws teeb, uas muaj tag nrho cov kev ua phem ua phem tau siv los ntawm cov neeg tawm tsam. Nws yog qhov nthuav kom nco ntsoov tias nyob ntawm kev ua tiav ntawm cov kev txheeb xyuas saum toj no, cov ntaub ntawv rub tawm los ntawm cov chaw taws teeb C&C server yuav txawv. Lub archive tej zaum yuav los yog tsis ua phem. Yog tias tsis ua phem, nws nruab Windows Live Toolbar rau tus neeg siv. Feem ntau yuav, cov neeg tawm tsam tau siv cov cuab yeej zoo sib xws los dag ntxias cov ntaub ntawv tsis siv neeg tshawb xyuas cov tshuab thiab cov tshuab virtual uas cov ntaub ntawv tsis txaus ntseeg raug tua.
Cov ntaub ntawv rub tawm los ntawm NSIS downloader yog 7z archive uas muaj ntau yam malware modules. Cov duab hauv qab no qhia tag nrho cov txheej txheem kev teeb tsa ntawm cov malware no thiab nws cov modules ntau yam.
Rice. 5. Cov txheej txheem dav dav ntawm yuav ua li cas malware ua haujlwm.
Txawm hais tias cov khoom siv thauj khoom ua haujlwm sib txawv rau cov neeg tawm tsam, lawv tau ntim tib yam thiab ntau ntawm lawv tau kos npe nrog daim ntawv pov thawj digital siv tau. Peb pom plaub daim ntawv pov thawj uas cov neeg tawm tsam tau siv txij thaum pib ntawm kev sib tw. Tom qab peb qhov kev tsis txaus siab, cov ntawv pov thawj no tau raug tshem tawm. Nws yog qhov nthuav kom nco ntsoov tias txhua daim ntawv pov thawj tau muab rau cov tuam txhab sau npe hauv Moscow.
Rice. 6. Daim ntawv pov thawj digital uas tau siv los kos npe rau malware.
Cov lus hauv qab no qhia txog cov ntawv pov thawj digital uas cov neeg tawm tsam siv hauv qhov kev sib tw phem no.
Yuav luag tag nrho cov kev phem modules siv los ntawm attackers muaj ib tug zoo tib yam txheej txheem installation. Lawv yog tus kheej rho tawm 7zip archives uas yog tus password tiv thaiv.
Rice. 7. Fragment ntawm cov ntaub ntawv install.cmd batch.
Cov ntaub ntawv batch .cmd yog lub luag haujlwm rau kev txhim kho malware ntawm lub kaw lus thiab tso tawm ntau yam cuab yeej tawm tsam. Yog tias kev ua tiav yuav tsum tsis muaj txoj cai tswj hwm, cov cai tsis zoo siv ntau txoj hauv kev kom tau txais lawv (thov dhau UAC). Txhawm rau siv thawj txoj hauv kev, ob daim ntawv ua tiav hu ua l1.exe thiab cc1.exe yog siv, uas tshwj xeeb hauv kev hla UAC siv cov Carberp qhov chaw code. Lwm txoj hauv kev yog ua raws li kev siv CVE-2013-3660 qhov tsis zoo. Txhua malware module uas yuav tsum tau muaj cai nce ntxiv muaj ob qho tib si 32-ntsis thiab 64-ntsis version ntawm kev siv.
Thaum taug qab qhov phiaj xwm no, peb tau txheeb xyuas ntau cov ntaub ntawv khaws cia los ntawm tus downloader. Cov ntsiab lus ntawm cov ntaub ntawv sib txawv, lub ntsiab lus cov neeg tawm tsam tuaj yeem hloov kho cov qauv tsis zoo rau ntau lub hom phiaj.
Cov neeg siv kev sib haum xeeb
Raws li peb tau hais los saum no, cov neeg tawm tsam siv cov cuab yeej tshwj xeeb los cuam tshuam cov neeg siv lub computer. Cov cuab yeej no suav nrog cov kev pab cuam nrog cov ntaub ntawv ua tau npe mimi.exe thiab xtm.exe. Lawv pab cov neeg tawm tsam tswj hwm tus neeg raug tsim txom lub khoos phis tawj thiab tshwj xeeb hauv kev ua haujlwm hauv qab no: tau txais / rov qab cov password rau Windows account, ua kom RDP cov kev pabcuam, tsim ib tus account tshiab hauv OS.
Lub mimi.exe executable muaj xws li hloov kho version ntawm ib tug paub zoo qhib qhov cuab tam . Cov cuab yeej no tso cai rau koj kom tau txais Windows tus neeg siv tus lej password. Cov neeg tawm tsam tshem tawm ib feem ntawm Mimikatz uas yog lub luag haujlwm rau cov neeg siv kev sib cuam tshuam. Cov cai ua tiav kuj tau hloov kho kom thaum pib, Mimikatz khiav nrog txoj cai:: debug thiab sekurlsa:logonPasswords cov lus txib.
Lwm cov ntaub ntawv executable, xtm.exe, tso tawm cov ntawv tshwj xeeb uas tso cai rau RDP kev pabcuam hauv lub kaw lus, sim tsim ib tus lej tshiab hauv OS, thiab tseem hloov pauv cov kev teeb tsa kom tso cai rau ntau tus neeg siv tib lub sijhawm txuas mus rau lub khoos phis tawj cuam tshuam ntawm RDP. Pom tseeb, cov kauj ruam no yog qhov tsim nyog kom tau txais kev tswj hwm tag nrho ntawm kev cuam tshuam.
Rice. 8. Cov lus txib ua los ntawm xtm.exe ntawm lub kaw lus.
Cov neeg tawm tsam siv lwm cov ntaub ntawv raug hu ua impack.exe, uas yog siv los nruab software tshwj xeeb ntawm lub kaw lus. Cov software no hu ua LiteManager thiab yog siv los ntawm cov neeg tawm tsam ua lub nraub qaum.
Rice. 9. LiteManager interface.
Ib zaug ntsia ntawm tus neeg siv lub kaw lus, LiteManager tso cai rau cov neeg tawm tsam ncaj qha mus rau qhov system thiab tswj nws nyob deb. Cov software no muaj cov kab lus hais tshwj xeeb rau nws qhov kev teeb tsa zais, tsim cov cai tshwj xeeb firewall, thiab tso nws cov module. Tag nrho cov parameter yog siv los ntawm cov neeg tawm tsam.
Qhov kawg module ntawm lub pob malware siv los ntawm cov neeg tawm tsam yog lub txhab nyiaj malware program (banker) nrog cov ntaub ntawv ua tiav lub npe pn_pack.exe. Nws tshwj xeeb hauv kev soj ntsuam ntawm tus neeg siv thiab yog lub luag haujlwm rau kev cuam tshuam nrog C&C server. Tus banker tau pib siv Yandex Punto software raug cai. Punto yog siv los ntawm cov neeg tawm tsam los tua cov tsev qiv ntawv siab phem DLL (DLL Sab-Loading method). Lub malware nws tus kheej tuaj yeem ua cov haujlwm hauv qab no:
- taug qab cov keyboard keystrokes thiab cov ntsiab lus ntawm cov ntawv teev cia rau lawv cov kev xa mus tom ntej mus rau cov chaw taws teeb tswj;
- sau txhua daim npav ntse uas muaj nyob hauv qhov system;
- cuam ββtshuam nrog rau tej thaj chaw deb C&C server.
Lub malware module, uas yog lub luag haujlwm rau kev ua txhua yam haujlwm no, yog lub tsev qiv ntawv DLL encrypted. Nws yog decrypted thiab loaded rau hauv nco thaum Punto tua. Txhawm rau ua cov haujlwm saum toj no, DLL executable code pib peb threads.
Qhov tseeb tias cov neeg tawm tsam xaiv Punto software rau lawv lub hom phiaj tsis yog qhov xav tsis thoob: qee lub rooj sib tham hauv Lavxias tau qhib cov ncauj lus kom ntxaws txog cov ncauj lus xws li siv qhov tsis zoo hauv software tsim nyog los cuam tshuam cov neeg siv.
Lub tsev qiv ntawv siab phem siv RC4 algorithm los encrypt nws cov hlua, nrog rau thaum muaj kev sib cuam tshuam hauv network nrog C&C server. Nws hu rau tus neeg rau zaub mov txhua ob feeb thiab xa mus rau qhov ntawd tag nrho cov ntaub ntawv uas tau sau rau ntawm qhov kev cuam tshuam hauv lub sijhawm no.
Rice. 10. Fragment ntawm network kev sib cuam tshuam ntawm bot thiab lub server.
Hauv qab no yog qee cov lus qhia C&C server uas lub tsev qiv ntawv tuaj yeem tau txais.
Hauv kev teb rau tau txais cov lus qhia los ntawm C&C server, tus malware teb nrog cov xwm txheej code. Nws yog qhov nthuav kom nco ntsoov tias txhua tus banker modules uas peb tau txheeb xyuas (qhov tsis ntev los no tshaj plaws nrog rau hnub muab tso ua ke ntawm Lub Ib Hlis 18th) muaj cov hlua "TEST_BOTNET", uas tau xa hauv txhua cov lus rau C&C server.
xaus
Txhawm rau cuam tshuam cov neeg siv khoom lag luam, cov neeg tawm tsam ntawm thawj theem cuam tshuam ib tus neeg ua haujlwm ntawm lub tuam txhab los ntawm kev xa cov lus phishing nrog kev siv. Tom ntej no, thaum lub malware tau teeb tsa rau ntawm lub system, lawv yuav siv cov cuab yeej software uas yuav pab lawv nthuav dav lawv txoj cai ntawm lub kaw lus thiab ua cov haujlwm ntxiv rau nws: cuam tshuam lwm lub khoos phis tawj ntawm lub tuam txhab network thiab neeg soj xyuas ntawm tus neeg siv, nrog rau. banking muas uas nws ua.
Tau qhov twg los: www.hab.com