Kemgbe njedebe nke afọ gara aga, anyị malitere ịchụso mkpọsa ọjọọ ọhụrụ iji kesaa Trojan ụlọ akụ. Ndị mwakpo ahụ lekwasịrị anya na imebi ụlọ ọrụ Russia, ya bụ ndị ọrụ ụlọ ọrụ. Mgbasa ozi obi ọjọọ ahụ nọ na-arụ ọrụ ma ọ dịkarịa ala otu afọ na, na mgbakwunye na Trojan ụlọ akụ, ndị mwakpo ahụ malitere iji ngwa ngwa ndị ọzọ dị iche iche. Ndị a gụnyere ngwungwu pụrụ iche ejiri , na spyware, nke a na-agbanwe dị ka ngwa ngwa Yandex Punto nke amaara nke ọma. Ozugbo ndị mwakpo ahụ jisiri ike mebie kọmpụta onye ahụ, ha wụnyere azụ azụ wee tinye Trojan ụlọ akụ.
Maka malware ha, ndị mwakpo ahụ jiri ọtụtụ asambodo dijitalụ bara uru (n'oge ahụ) yana ụzọ pụrụ iche iji gafere ngwaahịa AV. Mgbasa ozi obi ọjọọ ahụ lekwasịrị anya n'ọtụtụ ụlọ akụ Russia ma nwee mmasị pụrụ iche n'ihi na ndị mwakpo ahụ na-eji usoro a na-ejikarị eme ihe na mwakpo ezubere iche, ya bụ ọgụ na-enweghị mkpali naanị site na aghụghọ ego. Anyị nwere ike ịhụ myirịta ụfọdụ dị n'etiti mkpọsa obi ọjọọ a na nnukwu ihe omume nke enwetara nnukwu mgbasa ozi na mbụ. Anyị na-ekwu maka otu ndị omempụ cyber nke jiri Trojan ụlọ akụ /.
Ndị mwakpo ahụ tinyere malware naanị na kọmpụta ndị jiri asụsụ Rọshịa na Windows (localization) na ndabara. Isi ihe nkesa nke Trojan bụ akwụkwọ Okwu nwere nrigbu. , nke ezigara dịka mgbakwunye na akwụkwọ ahụ. nseta ihuenyo dị n'okpuru na-egosi ọdịdị akwụkwọ adịgboroja dị otú ahụ. Akwụkwọ nke mbụ bụ "Invoice No. 522375-FLORL-14-115.doc", na nke abụọ "kontrakt87.doc", ọ bụ akwụkwọ nkwekọrịta maka ịnye ọrụ mgbasa ozi site na onye na-arụ ọrụ ekwentị Megafon.
Osikapa. 1. Akwụkwọ phishing.
Osikapa. 2. Mgbanwe ọzọ nke akwụkwọ phishing.
Eziokwu ndị a na-egosi na ndị mwakpo ahụ na-elekwasị anya n'azụmahịa Russia:
- nkesa malware site na iji akwụkwọ adịgboroja na isiokwu akọwapụtara;
- atụmatụ nke ndị na-awakpo na ngwa ọjọọ ha na-eji;
- njikọ na ngwa azụmahịa na ụfọdụ modul executable;
- aha ngalaba ọjọọ ejiri mee mkpọsa a.
Ngwá ọrụ sọftụwia pụrụ iche nke ndị na-awakpo na-etinye na sistemu arụrụ arụ na-enye ha ohere ijikwa sistemu dịpụrụ adịpụ ma nyochaa ọrụ onye ọrụ. Iji rụọ ọrụ ndị a, ha na-arụnye a backdoor ma gbalịa nweta paswọọdụ akaụntụ Windows ma ọ bụ mepụta akaụntụ ọhụrụ. Ndị na-awakpo ahụ na-amalitekwa ọrụ nke keylogger (keylogger), onye na-ezu ohi klipbọọdụ Windows, na ngwanrọ pụrụ iche maka iji smart kaadị arụ ọrụ. Otu a nwara imebi kọmpụta ndị ọzọ nọ n'otu netwọkụ mpaghara dị ka kọmpụta onye ahụ metụtara.
Sistemụ telemetry ESET LiveGrid anyị, nke na-enye anyị ohere ịgbaso ọnụ ọgụgụ nkesa malware ngwa ngwa, nyere anyị ọnụ ọgụgụ mpaghara na-atọ ụtọ na nkesa malware nke ndị mwakpo na-eji na mkpọsa a kpọtụrụ aha.
Osikapa. 3. Statistics na mpaghara nkesa malware eji na nke a obi mkpọsa.
Ịwụnye malware
Mgbe onye ọrụ mepechara akwụkwọ ọjọọ yana nrigbu na sistemụ adịghị ike, a ga-ebudata ma gbuo ihe nbudata pụrụ iche ejiri NSIS mee. Na mmalite nke ọrụ ya, mmemme ahụ na-enyocha gburugburu Windows maka ọnụnọ nke ndị debugger n'ebe ahụ ma ọ bụ maka ịgba ọsọ na ọnọdụ nke igwe mebere. Ọ na-enyochakwa ọnọdụ nke Windows na ma onye ọrụ ọ gara na URL ndị edepụtara n'okpuru na tebụl na ihe nchọgharị ahụ. A na-eji API maka nke a Chọta Mbụ/Ntinye URL Cache na SoftwareMicrosoftInternet ExplorerTypedURLs igodo ndekọ.
The bootloader na-elele maka ọnụnọ nke ngwa ndị a na sistemụ.
Ndepụta nke usoro na-adọrọ mmasị n'ezie na, dịka ị nwere ike ịhụ, ọ na-agụnye ọ bụghị naanị ngwa ụlọ akụ. Dịka ọmụmaatụ, faịlụ executable aha ya bụ "sardsvr.exe" na-ezo aka na ngwanrọ maka ịrụ ọrụ na kaadị smart (Microsoft SmartCard reader). Trojan ụlọ akụ n'onwe ya gụnyere ikike iji kaadị smart rụọ ọrụ.
Osikapa. 4. General eserese nke malware nwụnye usoro.
Ọ bụrụ na emechara nyocha niile nke ọma, onye na-ebu ibu na-ebudata faịlụ pụrụ iche (nchekwa) site na sava dịpụrụ adịpụ, nke nwere modul niile arụrụ arụrụ arụ nke ndị mwakpo na-eji. Ọ bụ ihe na-adọrọ mmasị ịmara na dabere na mmezu nke ndenye ego ndị a dị n'elu, ebe nchekwa ebudatara na sava C&C dịpụrụ adịpụ nwere ike ịdị iche. Ebe nchekwa ahụ nwere ike ma ọ bụ ọ gaghị adị njọ. Ọ bụrụ na ọ bụghị obi ọjọọ, ọ na-etinye Windows Live Toolbar maka onye ọrụ. O yikarịrị, ndị mwakpo ahụ mere ụdị aghụghọ ahụ iji ghọgbuo sistemụ nyocha faịlụ akpaka na igwe mebere nke a na-egbu faịlụ ndị na-enyo enyo.
Faịlụ nke onye nbudata NSIS budata bụ ebe nchekwa 7z nwere modul malware dị iche iche. Ihe onyonyo dị n'okpuru na-egosi usoro nrụnye niile nke malware na modul ya dị iche iche.
Osikapa. 5. General atụmatụ nke otú malware si arụ ọrụ.
Ọ bụ ezie na modul ndị ahụ eburula ibu na-arụ ọrụ dị iche iche maka ndị mwakpo ahụ, a na-achịkọta ha n'otu aka ahụ yana ọtụtụ n'ime ha ejiri asambodo dijitalụ dị irè bịanyere aka na ya. Anyị chọtara asambodo anọ dị otú ahụ nke ndị mwakpo ahụ ji malite mmalite mkpọsa ahụ. Site na mkpesa anyị, a kagburu asambodo ndị a. Ọ bụ ihe na-adọrọ mmasị ịmara na e nyere akwụkwọ ikike niile na ụlọ ọrụ ndị debanyere aha na Moscow.
Osikapa. 6. Akwụkwọ dijitalụ nke ejiri banye malware.
Tebụlụ na-esote na-achọpụta asambodo dijitalụ nke ndị mwakpo ahụ ji mee mkpọsa ọjọọ a.
Ihe fọrọ nke nta ka ọ bụrụ modul ọjọọ niile nke ndị mwakpo na-eji nwere usoro nrụnye yiri ya. Ha bụ ebe nchekwa 7zip na-ewepụta onwe ha nke echekwara paswọọdụ.
Osikapa. 7. Iberibe nke install.cmd ogbe faịlụ.
Faịlụ .cmd bụ batch maka ịwụnye malware na sistemụ wee malite ngwa ọgụ dị iche iche. Ọ bụrụ na ogbugbu chọrọ ikike nchịkwa efu, koodu ọjọọ na-eji ọtụtụ ụzọ nweta ha (ịgabiga UAC). Iji mejuputa usoro nke mbụ, a na-eji faịlụ abụọ enwere ike ịkpọ l1.exe na cc1.exe, ndị ọkachamara na-agafe UAC site na iji Koodu isi mmalite Carberp. Ụzọ ọzọ dabere na iji adịghị ike CVE-2013-3660 eme ihe. Modul malware ọ bụla nke chọrọ nkwalite ihe ùgwù nwere ma ụdị 32-bit na 64-bit nke irigbu.
Ka anyị na-enyocha mkpọsa a, anyị nyochara ọtụtụ ebe nchekwa nke onye nbudata bugoro. Ọdịnaya nke ebe nchekwa ahụ dịgasị iche iche, nke pụtara na ndị na-awakpo nwere ike imegharị modul ọjọọ maka ebumnuche dị iche iche.
Nkwekọrịta onye ọrụ
Dị ka anyị kwuru n'elu, ndị na-awakpo na-eji ngwá ọrụ pụrụ iche mebie kọmputa ndị ọrụ. Ngwa ndị a gụnyere mmemme nwere aha faịlụ executable mimi.exe na xtm.exe. Ha na-enyere ndị na-awakpo aka ịchịkwa kọmpụta onye ahụ na-ahụ maka ịrụ ọrụ ndị a: ịnweta / weghachite okwuntughe maka akaụntụ Windows, na-eme ka ọrụ RDP rụọ ọrụ, ịmepụta akaụntụ ọhụrụ na OS.
Mimi.exe executable gụnyere ụdị ngwa ọrụ mepere emepe ama ama . Ngwá ọrụ a na-enye gị ohere ịnweta okwuntughe akaụntụ onye ọrụ Windows. Ndị mwakpo ahụ wepụrụ akụkụ ahụ na Mimikatz nke na-ahụ maka mmekọrịta onye ọrụ. Agbanwekwara koodu arụrụ arụ ọrụ nke mere na mgbe ewepụtara ya, Mimikatz ga-eji ihe ùgwù :: debug na iwu sekurlsa:logonPasswords.
Faịlụ ọzọ enwere ike ime, xtm.exe, na-ebupụta edemede pụrụ iche nke na-enyere ọrụ RDP aka na sistemụ ahụ, nwaa imepụta akaụntụ ọhụrụ na OS, ma gbanwee ntọala sistemụ ka ọtụtụ ndị ọrụ nwee ike jikọọ na kọmpụta mebiri emebi site na RDP. N'ụzọ doro anya, usoro ndị a dị mkpa iji nweta njikwa zuru oke nke usoro ahụ mebiri emebi.
Osikapa. 8. Iwu nke xtm.exe mere na sistemụ.
Ndị na-awakpo na-eji faịlụ ọzọ nwere ike ime nke a na-akpọ impack.exe, nke a na-eji wụnye ngwanrọ pụrụ iche na sistemụ. A na-akpọ sọftụwia a LiteManager ma ndị mwakpo na-eji ya dị ka ọnụ ụzọ azụ.
Osikapa. 9. LiteManager interface.
Ozugbo etinyere na sistemụ onye ọrụ, LiteManager na-enye ndị na-awakpo ohere jikọọ na sistemụ ahụ ozugbo wee jikwaa ya ozugbo. Akụrụngwa a nwere parampat ahịrị iwu pụrụ iche maka nrụnye ya zoro ezo, imepụta iwu firewall pụrụ iche, yana ịmalite modul ya. Ndị na-awakpo na-eji paramita niile.
Modul ikpeazụ nke ngwungwu malware nke ndị na-awakpo na-eji bụ mmemme ụlọ akụ malware (onye ọrụ banki) nwere aha faịlụ pn_pack.exe nwere ike ime ya. Ọ bụ ọkachamara n'iledo onye ọrụ na ọ na-ahụ maka imekọrịta ihe na sava C&C. A na-ewepụta onye na-ahụ maka ụlọ akụ site na iji ngwanrọ Yandex Punto ziri ezi. Ndị mwakpo na-eji Punto wepụta ọba akwụkwọ DLL ọjọọ (Ụzọ Loading Side-DLL). malware n'onwe ya nwere ike ịrụ ọrụ ndị a:
- soro igodo igodo na ihe dị n'ime bọọdụ ahụ maka nnyefe ha na-esote na sava dịpụrụ adịpụ;
- depụta kaadị smart niile dị na sistemụ ahụ;
- gị na sava C&C dịpụrụ adịpụ mekọrịta.
Modul malware, nke na-ahụ maka ịrụ ọrụ ndị a niile, bụ ọba akwụkwọ DLL ezoro ezo. A na-ewepụ ya ma tinye ya na ebe nchekwa n'oge a na-egbu Punto. Iji rụọ ọrụ ndị a dị n'elu, koodu mmebe DLL na-amalite eri atọ.
Eziokwu ahụ bụ na ndị na-awakpo ahọrọ ngwa Punto maka ebumnuche ha abụghị ihe ijuanya: ụfọdụ nzukọ ndị Russia na-enye ozi zuru ezu n'ihu ọha na isiokwu ndị dị ka iji ntụpọ na ngwanrọ ziri ezi na-emebi ndị ọrụ.
Ọbá akwụkwọ ọjọọ ahụ na-eji RC4 algọridim iji zoo eriri ya, yana n'oge mmekọrịta netwọk na sava C&C. Ọ na-akpọtụrụ ihe nkesa ahụ kwa nkeji abụọ ma na-ebufe ebe ahụ data niile anakọtara na sistemụ mebiri emebi n'oge oge a.
Osikapa. 10. Iberibe nke netwọk mmekọrịta n'etiti bot na ihe nkesa.
N'okpuru bụ ụfọdụ ntụziaka nkesa C&C nke ọbá akwụkwọ nwere ike ịnweta.
Na nzaghachi na ịnweta ntuziaka sitere na sava C&C, malware na-eji koodu ọkwa azaghachi. Ọ bụ ihe na-adọrọ mmasị ịmara na modul ndị ọrụ ụlọ akụ niile anyị nyochara (nke kachasị ọhụrụ nwere ụbọchị nchịkọta nke Jenụwarị 18) nwere eriri "TEST_BOTNET", nke ezigara na ozi ọ bụla na sava C&C.
nkwubi
Iji mebie ndị ọrụ ụlọ ọrụ, ndị na-awakpo na ọkwa mbụ na-emebi otu onye ọrụ nke ụlọ ọrụ ahụ site na izipu ozi phishing na iji nrigbu. Na-esote, ozugbo etinyere malware na sistemụ ahụ, ha ga-eji ngwa sọftụwia ga-enyere ha aka ịbawanye ikike ha na sistemụ ma rụọ ọrụ ndị ọzọ na ya: mebie kọmpụta ndị ọzọ na netwọkụ ụlọ ọrụ na inyocha onye ọrụ, yana azụmahịa ụlọ akụ ọ na-eme.
isi: www.habr.com