ಸೈಬರ್ ಗುಂಪು OceanLotus (APT32 ಮತ್ತು APT-C-00) ಇತ್ತೀಚೆಗೆ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಶೋಷಣೆಗಳಲ್ಲಿ ಒಂದನ್ನು ಹೇಗೆ ಬಳಸಿದೆ ಎಂಬುದನ್ನು ಈ ಪೋಸ್ಟ್ನಲ್ಲಿ ನಾವು ನಿಮಗೆ ತಿಳಿಸುತ್ತೇವೆ. , ಮೈಕ್ರೋಸಾಫ್ಟ್ ಆಫೀಸ್ನಲ್ಲಿ ಮೆಮೊರಿ ಭ್ರಷ್ಟತೆಯ ದೋಷಗಳು ಮತ್ತು ಗುಂಪಿನ ಮಾಲ್ವೇರ್ ಒಂದು ಜಾಡನ್ನು ಬಿಡದೆಯೇ ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸಿಸ್ಟಮ್ಗಳಲ್ಲಿ ಹೇಗೆ ನಿರಂತರತೆಯನ್ನು ಸಾಧಿಸುತ್ತದೆ. ಮುಂದೆ, 2019 ರ ಆರಂಭದಿಂದಲೂ, ಕೋಡ್ ಅನ್ನು ರನ್ ಮಾಡಲು ಗುಂಪು ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ ಆರ್ಕೈವ್ಗಳನ್ನು ಹೇಗೆ ಬಳಸುತ್ತಿದೆ ಎಂಬುದನ್ನು ನಾವು ವಿವರಿಸುತ್ತೇವೆ.
OceanLotus ಸೈಬರ್ ಬೇಹುಗಾರಿಕೆಯಲ್ಲಿ ಪರಿಣತಿಯನ್ನು ಹೊಂದಿದೆ, ಆದ್ಯತೆಯ ಗುರಿಗಳು ಆಗ್ನೇಯ ಏಷ್ಯಾದ ದೇಶಗಳಾಗಿವೆ. ದಾಳಿಕೋರರು ಹಿಂಬಾಗಿಲನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಮನವೊಲಿಸಲು ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳ ಗಮನವನ್ನು ಸೆಳೆಯುವ ದಾಖಲೆಗಳನ್ನು ನಕಲಿ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಪರಿಕರಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವಲ್ಲಿ ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದಾರೆ. ಹನಿಪಾಟ್ಗಳನ್ನು ರಚಿಸಲು ಬಳಸುವ ವಿಧಾನಗಳು "ಡಬಲ್-ವಿಸ್ತರಣೆ" ಫೈಲ್ಗಳು, ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ ಆರ್ಕೈವ್ಗಳು, ಮ್ಯಾಕ್ರೋಗಳೊಂದಿಗೆ ಡಾಕ್ಯುಮೆಂಟ್ಗಳು, ತಿಳಿದಿರುವ ಶೋಷಣೆಗಳವರೆಗೆ ದಾಳಿಯಾದ್ಯಂತ ಬದಲಾಗುತ್ತವೆ.
ಮೈಕ್ರೋಸಾಫ್ಟ್ ಸಮೀಕರಣ ಸಂಪಾದಕದಲ್ಲಿ ಶೋಷಣೆಯನ್ನು ಬಳಸುವುದು
2018 ರ ಮಧ್ಯದಲ್ಲಿ, OceanLotus CVE-2017-11882 ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಅಭಿಯಾನವನ್ನು ನಡೆಸಿತು. ಸೈಬರ್ ಗುಂಪಿನ ದುರುದ್ದೇಶಪೂರಿತ ದಾಖಲೆಗಳಲ್ಲಿ ಒಂದನ್ನು 360 ಥ್ರೆಟ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಸೆಂಟರ್ನ ತಜ್ಞರು ವಿಶ್ಲೇಷಿಸಿದ್ದಾರೆ (), ಶೋಷಣೆಯ ವಿವರವಾದ ವಿವರಣೆಯನ್ನು ಒಳಗೊಂಡಂತೆ. ಕೆಳಗಿನ ಪೋಸ್ಟ್ ಅಂತಹ ದುರುದ್ದೇಶಪೂರಿತ ಡಾಕ್ಯುಮೆಂಟ್ನ ಅವಲೋಕನವನ್ನು ಒಳಗೊಂಡಿದೆ.
ಮೊದಲ ಹಂತದ
ಡಾಕ್ಯುಮೆಂಟ್ FW Report on demonstration of former CNRP in Republic of Korea.doc (SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3) ಮೇಲಿನ ಅಧ್ಯಯನದಲ್ಲಿ ಉಲ್ಲೇಖಿಸಿರುವಂತೆಯೇ ಇರುತ್ತದೆ. ಇದು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ ಏಕೆಂದರೆ ಇದು ಕಾಂಬೋಡಿಯನ್ ರಾಜಕೀಯದಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಬಳಕೆದಾರರನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿದೆ (CNRP - ಕಾಂಬೋಡಿಯಾ ನ್ಯಾಷನಲ್ ರೆಸ್ಕ್ಯೂ ಪಾರ್ಟಿ, 2017 ರ ಕೊನೆಯಲ್ಲಿ ಕರಗಿದೆ). .doc ವಿಸ್ತರಣೆಯ ಹೊರತಾಗಿಯೂ, ಡಾಕ್ಯುಮೆಂಟ್ RTF ಸ್ವರೂಪದಲ್ಲಿದೆ (ಕೆಳಗಿನ ಚಿತ್ರವನ್ನು ನೋಡಿ), ಕಸದ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ ಮತ್ತು ವಿರೂಪಗೊಂಡಿದೆ.
ಚಿತ್ರ 1. RTF ನಲ್ಲಿ "ಕಸ"
ಅಸಮರ್ಪಕ ಅಂಶಗಳಿದ್ದರೂ ಸಹ, Word ಈ RTF ಫೈಲ್ ಅನ್ನು ಯಶಸ್ವಿಯಾಗಿ ತೆರೆಯುತ್ತದೆ. ನೀವು ಚಿತ್ರ 2 ರಲ್ಲಿ ನೋಡುವಂತೆ, 0xC00 ಆಫ್ಸೆಟ್ನಲ್ಲಿ EQNOLEFILEHDR ರಚನೆ ಇದೆ, ಅದರ ನಂತರ MTEF ಹೆಡರ್, ಮತ್ತು ನಂತರ ಫಾಂಟ್ಗಾಗಿ MTEF ನಮೂದು (ಚಿತ್ರ 3).
ಚಿತ್ರ 2. ಫಾಂಟ್ ನಮೂದು ಮೌಲ್ಯಗಳು
ಚಿತ್ರ 3.
ಕ್ಷೇತ್ರದಲ್ಲಿ ಉಕ್ಕಿ ಹರಿಯುವ ಸಾಧ್ಯತೆ ಇದೆ ಹೆಸರು, ಏಕೆಂದರೆ ನಕಲು ಮಾಡುವ ಮೊದಲು ಅದರ ಗಾತ್ರವನ್ನು ಪರಿಶೀಲಿಸಲಾಗುವುದಿಲ್ಲ. ತುಂಬಾ ಉದ್ದವಾದ ಹೆಸರು ದುರ್ಬಲತೆಯನ್ನು ಪ್ರಚೋದಿಸುತ್ತದೆ. ಆರ್ಟಿಎಫ್ ಫೈಲ್ನ ವಿಷಯಗಳಿಂದ ನೀವು ನೋಡುವಂತೆ (ಚಿತ್ರ 0 ರಲ್ಲಿ 26xC2 ಅನ್ನು ಆಫ್ಸೆಟ್ ಮಾಡಿ), ಬಫರ್ ಅನ್ನು ಶೆಲ್ಕೋಡ್ನಿಂದ ತುಂಬಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅದರ ನಂತರ ಡಮ್ಮಿ ಕಮಾಂಡ್ (0x90) ಮತ್ತು ವಿಳಾಸ ಹಿಂತಿರುಗಿ 0x402114. ವಿಳಾಸವು ಸಂವಾದದ ಅಂಶವಾಗಿದೆ EQNEDT32.exe, ಸೂಚನೆಗಳನ್ನು ಸೂಚಿಸುತ್ತದೆ RET. ಇದು ಕ್ಷೇತ್ರದ ಪ್ರಾರಂಭಕ್ಕೆ EIP ಸೂಚಿಸುವಂತೆ ಮಾಡುತ್ತದೆ ಹೆಸರುಶೆಲ್ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಚಿತ್ರ 4. ಶೋಷಣೆ ಶೆಲ್ಕೋಡ್ನ ಆರಂಭ
ವಿಳಾಸ 0x45BD3C ಪ್ರಸ್ತುತ ಲೋಡ್ ಮಾಡಲಾದ ರಚನೆಗೆ ಪಾಯಿಂಟರ್ ಅನ್ನು ತಲುಪುವವರೆಗೆ ಡಿರೆಫರೆನ್ಸ್ ಮಾಡಲಾದ ವೇರಿಯಬಲ್ ಅನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ MTEFData. ಉಳಿದ ಶೆಲ್ಕೋಡ್ ಇಲ್ಲಿದೆ.
ತೆರೆದ ಡಾಕ್ಯುಮೆಂಟ್ನಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾದ ಶೆಲ್ಕೋಡ್ನ ಎರಡನೇ ತುಣುಕನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು ಶೆಲ್ಕೋಡ್ನ ಉದ್ದೇಶವಾಗಿದೆ. ಮೂಲ ಶೆಲ್ಕೋಡ್ ಮೊದಲು ಎಲ್ಲಾ ಸಿಸ್ಟಮ್ ಡಿಸ್ಕ್ರಿಪ್ಟರ್ಗಳ ಮೇಲೆ ಪುನರಾವರ್ತಿಸುವ ಮೂಲಕ ತೆರೆದ ಡಾಕ್ಯುಮೆಂಟ್ನ ಫೈಲ್ ಡಿಸ್ಕ್ರಿಪ್ಟರ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ (NtQuerySystemInformation ಒಂದು ವಾದದೊಂದಿಗೆ SystemExtendedHandleInformation) ಮತ್ತು ಅವು ಹೊಂದಿಕೆಯಾಗುತ್ತವೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ ಪಿಐಡಿ ವಿವರಣೆ ಮತ್ತು ಪಿಐಡಿ ಪ್ರಕ್ರಿಯೆ WinWord ಮತ್ತು ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ಪ್ರವೇಶ ಮುಖವಾಡದೊಂದಿಗೆ ತೆರೆಯಲಾಗಿದೆಯೇ - 0x12019F.
ಸರಿಯಾದ ಹ್ಯಾಂಡಲ್ ಕಂಡುಬಂದಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಲು (ಮತ್ತು ಮತ್ತೊಂದು ತೆರೆದ ಡಾಕ್ಯುಮೆಂಟ್ಗೆ ಹ್ಯಾಂಡಲ್ ಅಲ್ಲ), ಫೈಲ್ನ ವಿಷಯಗಳನ್ನು ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ CreateFileMapping, ಮತ್ತು ಶೆಲ್ಕೋಡ್ ಡಾಕ್ಯುಮೆಂಟ್ನ ಕೊನೆಯ ನಾಲ್ಕು ಬೈಟ್ಗಳು ಹೊಂದಿಕೆಯಾಗುತ್ತದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ "yyyy"(ಮೊಟ್ಟೆ ಬೇಟೆಯ ವಿಧಾನ). ಒಮ್ಮೆ ಹೊಂದಾಣಿಕೆ ಕಂಡುಬಂದರೆ, ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ತಾತ್ಕಾಲಿಕ ಫೋಲ್ಡರ್ಗೆ ನಕಲಿಸಲಾಗುತ್ತದೆ (GetTempPath) ಹೇಗೆ ole.dll. ನಂತರ ಡಾಕ್ಯುಮೆಂಟ್ನ ಕೊನೆಯ 12 ಬೈಟ್ಗಳನ್ನು ಓದಲಾಗುತ್ತದೆ.
ಚಿತ್ರ 5. ಡಾಕ್ಯುಮೆಂಟ್ ಮಾರ್ಕರ್ಗಳ ಅಂತ್ಯ
ಮಾರ್ಕರ್ಗಳ ನಡುವೆ 32-ಬಿಟ್ ಮೌಲ್ಯ AABBCCDD и yyyy ಮುಂದಿನ ಶೆಲ್ಕೋಡ್ನ ಆಫ್ಸೆಟ್ ಆಗಿದೆ. ಇದನ್ನು ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಕರೆಯಲಾಗುತ್ತದೆ CreateThread. ಈ ಹಿಂದೆ ಓಷನ್ಲೋಟಸ್ ಗುಂಪು ಬಳಸಿದ ಅದೇ ಶೆಲ್ಕೋಡ್ ಅನ್ನು ಹೊರತೆಗೆಯಲಾಗಿದೆ. , ನಾವು ಮಾರ್ಚ್ 2018 ರಲ್ಲಿ ಬಿಡುಗಡೆ ಮಾಡಿದ್ದೇವೆ, ಇದು ಇನ್ನೂ ಎರಡನೇ ಹಂತದ ಡಂಪ್ಗಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ಎರಡನೇ ಹಂತ
ಘಟಕಗಳನ್ನು ತೆಗೆದುಹಾಕುವುದು
ಫೈಲ್ ಮತ್ತು ಡೈರೆಕ್ಟರಿ ಹೆಸರುಗಳನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಆಯ್ಕೆ ಮಾಡಲಾಗುತ್ತದೆ. ಕೋಡ್ ಯಾದೃಚ್ಛಿಕವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಅಥವಾ DLL ಫೈಲ್ನ ಹೆಸರನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತದೆ C:Windowssystem32. ನಂತರ ಅದು ತನ್ನ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ವಿನಂತಿಯನ್ನು ಮಾಡುತ್ತದೆ ಮತ್ತು ಕ್ಷೇತ್ರವನ್ನು ಹಿಂಪಡೆಯುತ್ತದೆ FileDescription ಫೋಲ್ಡರ್ ಹೆಸರಾಗಿ ಬಳಸಲು. ಇದು ಕೆಲಸ ಮಾಡದಿದ್ದರೆ, ಕೋಡ್ ಯಾದೃಚ್ಛಿಕವಾಗಿ ಡೈರೆಕ್ಟರಿಗಳಿಂದ ಫೋಲ್ಡರ್ ಹೆಸರನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತದೆ %ProgramFiles% ಅಥವಾ C:Windows (GetWindowsDirectoryW ನಿಂದ). ಇದು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಫೈಲ್ಗಳೊಂದಿಗೆ ಸಂಘರ್ಷಗೊಳ್ಳಬಹುದಾದ ಹೆಸರನ್ನು ಬಳಸುವುದನ್ನು ತಪ್ಪಿಸುತ್ತದೆ ಮತ್ತು ಅದು ಈ ಕೆಳಗಿನ ಪದಗಳನ್ನು ಹೊಂದಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ: windows, Microsoft, desktop, system, system32 ಅಥವಾ syswow64. ಡೈರೆಕ್ಟರಿ ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿದ್ದರೆ, "NLS_{6 ಅಕ್ಷರಗಳು}" ಅನ್ನು ಹೆಸರಿಗೆ ಸೇರಿಸಲಾಗುತ್ತದೆ.
ಸಂಪನ್ಮೂಲ 0x102 ವಿಶ್ಲೇಷಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಫೈಲ್ಗಳನ್ನು ಡಂಪ್ ಮಾಡಲಾಗುತ್ತದೆ %ProgramFiles% ಅಥವಾ %AppData%, ಯಾದೃಚ್ಛಿಕವಾಗಿ ಆಯ್ಕೆಮಾಡಿದ ಫೋಲ್ಡರ್ಗೆ. ಅದೇ ಮೌಲ್ಯಗಳನ್ನು ಹೊಂದಲು ಸೃಷ್ಟಿ ಸಮಯವನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ kernel32.dll.
ಉದಾಹರಣೆಗೆ, ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ಮೂಲಕ ರಚಿಸಲಾದ ಫೈಲ್ಗಳ ಫೋಲ್ಡರ್ ಮತ್ತು ಪಟ್ಟಿ ಇಲ್ಲಿದೆ C:Windowssystem32TCPSVCS.exe ಡೇಟಾ ಮೂಲವಾಗಿ.
ಚಿತ್ರ 6. ವಿವಿಧ ಘಟಕಗಳನ್ನು ಹೊರತೆಗೆಯುವುದು
ಸಂಪನ್ಮೂಲ ರಚನೆ 0x102 ಡ್ರಾಪ್ಪರ್ನಲ್ಲಿ ಸಾಕಷ್ಟು ಸಂಕೀರ್ಣವಾಗಿದೆ. ಸಂಕ್ಷಿಪ್ತವಾಗಿ, ಇದು ಒಳಗೊಂಡಿದೆ:
- ಫೈಲ್ ಹೆಸರುಗಳು
- ಫೈಲ್ ಗಾತ್ರ ಮತ್ತು ವಿಷಯ
- ಕಂಪ್ರೆಷನ್ ಫಾರ್ಮ್ಯಾಟ್ (COMPRESSION_FORMAT_LZNT1, ಕಾರ್ಯದಿಂದ ಬಳಸಲಾಗುತ್ತದೆ RtlDecompressBuffer)
ಮೊದಲ ಫೈಲ್ ಅನ್ನು ಮರುಹೊಂದಿಸಲಾಗಿದೆ TCPSVCS.exe, ಇದು ಕಾನೂನುಬದ್ಧವಾಗಿದೆ AcroTranscoder.exe (ಈ ಪ್ರಕಾರ FileDescription, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3).
ಕೆಲವು DLL ಫೈಲ್ಗಳು 11 MB ಗಿಂತ ದೊಡ್ಡದಾಗಿರುವುದನ್ನು ನೀವು ಗಮನಿಸಿರಬಹುದು. ಏಕೆಂದರೆ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ನಲ್ಲಿ ಯಾದೃಚ್ಛಿಕ ದತ್ತಾಂಶದ ದೊಡ್ಡ ಪಕ್ಕದ ಬಫರ್ ಅನ್ನು ಇರಿಸಲಾಗುತ್ತದೆ. ಕೆಲವು ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳಿಂದ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಪ್ಪಿಸಲು ಇದು ಒಂದು ಮಾರ್ಗವಾಗಿದೆ.
ನಿರಂತರತೆಯನ್ನು ಖಾತ್ರಿಪಡಿಸುವುದು
ಸಂಪನ್ಮೂಲ 0x101 ಡ್ರಾಪ್ಪರ್ನಲ್ಲಿ ಎರಡು 32-ಬಿಟ್ ಪೂರ್ಣಾಂಕಗಳನ್ನು ಹೊಂದಿರುತ್ತದೆ ಅದು ಹೇಗೆ ನಿರಂತರತೆಯನ್ನು ಒದಗಿಸಬೇಕು ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಮೊದಲನೆಯ ಮೌಲ್ಯವು ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳಿಲ್ಲದೆ ಮಾಲ್ವೇರ್ ಹೇಗೆ ಮುಂದುವರಿಯುತ್ತದೆ ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ.
ಕೋಷ್ಟಕ 1. ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳಿಲ್ಲದ ನಿರಂತರ ಕಾರ್ಯವಿಧಾನ
ಎರಡನೇ ಪೂರ್ಣಾಂಕದ ಮೌಲ್ಯವು ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಮಾಲ್ವೇರ್ ಹೇಗೆ ನಿರಂತರತೆಯನ್ನು ಸಾಧಿಸಬೇಕು ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ.
ಕೋಷ್ಟಕ 2. ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ನಿರಂತರ ಕಾರ್ಯವಿಧಾನ
ಸೇವೆಯ ಹೆಸರು ವಿಸ್ತರಣೆಯಿಲ್ಲದ ಫೈಲ್ ಹೆಸರು; ಪ್ರದರ್ಶನದ ಹೆಸರು ಫೋಲ್ಡರ್ನ ಹೆಸರಾಗಿದೆ, ಆದರೆ ಅದು ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿದ್ದರೆ, ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಅದಕ್ಕೆ ಸೇರಿಸಲಾಗುತ್ತದೆRevision 1” (ಬಳಕೆಯಾಗದ ಹೆಸರು ಕಂಡುಬರುವವರೆಗೆ ಸಂಖ್ಯೆಯು ಹೆಚ್ಚಾಗುತ್ತದೆ). ಸೇವೆಯ ಮೂಲಕ ನಿರಂತರತೆಯು ದೃಢವಾಗಿದೆ ಎಂದು ನಿರ್ವಾಹಕರು ಖಚಿತಪಡಿಸಿಕೊಂಡಿದ್ದಾರೆ - ವೈಫಲ್ಯದ ಸಂದರ್ಭದಲ್ಲಿ, ಸೇವೆಯನ್ನು 1 ಸೆಕೆಂಡಿನ ನಂತರ ಮರುಪ್ರಾರಂಭಿಸಬೇಕು. ನಂತರ ಮೌಲ್ಯ WOW64 ಹೊಸ ಸೇವೆಯ ನೋಂದಾವಣೆ ಕೀಲಿಯನ್ನು 4 ಕ್ಕೆ ಹೊಂದಿಸಲಾಗಿದೆ, ಇದು 32-ಬಿಟ್ ಸೇವೆ ಎಂದು ಸೂಚಿಸುತ್ತದೆ.
ಹಲವಾರು COM ಇಂಟರ್ಫೇಸ್ಗಳ ಮೂಲಕ ನಿಗದಿತ ಕಾರ್ಯವನ್ನು ರಚಿಸಲಾಗಿದೆ: ITaskScheduler, ITask, ITaskTrigger, IPersistFile и ITaskScheduler. ಮೂಲಭೂತವಾಗಿ, ಮಾಲ್ವೇರ್ ಗುಪ್ತ ಕಾರ್ಯವನ್ನು ರಚಿಸುತ್ತದೆ, ಪ್ರಸ್ತುತ ಬಳಕೆದಾರ ಅಥವಾ ನಿರ್ವಾಹಕರ ಮಾಹಿತಿಯೊಂದಿಗೆ ಖಾತೆಯ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿಸುತ್ತದೆ ಮತ್ತು ನಂತರ ಟ್ರಿಗ್ಗರ್ ಅನ್ನು ಹೊಂದಿಸುತ್ತದೆ.
ಇದು 24 ಗಂಟೆಗಳ ಅವಧಿಯ ದೈನಂದಿನ ಕಾರ್ಯವಾಗಿದೆ ಮತ್ತು 10 ನಿಮಿಷಗಳ ಎರಡು ಮರಣದಂಡನೆಗಳ ನಡುವಿನ ಮಧ್ಯಂತರಗಳು, ಅಂದರೆ ಇದು ನಿರಂತರವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಬಿಟ್
ನಮ್ಮ ಉದಾಹರಣೆಯಲ್ಲಿ, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ TCPSVCS.exe (AcroTranscoder.exe) ಅದರೊಂದಿಗೆ ಮರುಹೊಂದಿಸಲಾದ DLL ಗಳನ್ನು ಲೋಡ್ ಮಾಡುವ ಕಾನೂನುಬದ್ಧ ಸಾಫ್ಟ್ವೇರ್ ಆಗಿದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಇದು ಆಸಕ್ತಿ ಹೊಂದಿದೆ Flash Video Extension.dll.
ಅದರ ಕಾರ್ಯ DLLMain ಕೇವಲ ಮತ್ತೊಂದು ಕಾರ್ಯವನ್ನು ಕರೆಯುತ್ತದೆ. ಕೆಲವು ಅಸ್ಪಷ್ಟ ಮುನ್ಸೂಚನೆಗಳು ಇವೆ:
ಚಿತ್ರ 7. ಅಸ್ಪಷ್ಟ ಭವಿಷ್ಯ
ಈ ತಪ್ಪುದಾರಿಗೆಳೆಯುವ ಪರಿಶೀಲನೆಗಳ ನಂತರ, ಕೋಡ್ ವಿಭಾಗವನ್ನು ಪಡೆಯುತ್ತದೆ .text ಫೈಲ್ TCPSVCS.exe, ಅದರ ರಕ್ಷಣೆಯನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ PAGE_EXECUTE_READWRITE ಮತ್ತು ನಕಲಿ ಸೂಚನೆಗಳನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಅದನ್ನು ಪುನಃ ಬರೆಯುತ್ತದೆ:
ಚಿತ್ರ 8. ಸೂಚನೆಗಳ ಅನುಕ್ರಮ
ಕಾರ್ಯದ ವಿಳಾಸಕ್ಕೆ ಕೊನೆಯಲ್ಲಿ FLVCore::Uninitialize(void), ರಫ್ತು ಮಾಡಲಾಗಿದೆ Flash Video Extension.dll, ಸೂಚನೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ CALL. ಇದರರ್ಥ ದುರುದ್ದೇಶಪೂರಿತ DLL ಅನ್ನು ಲೋಡ್ ಮಾಡಿದ ನಂತರ, ರನ್ಟೈಮ್ ಕರೆ ಮಾಡಿದಾಗ WinMain в TCPSVCS.exe, ಸೂಚನಾ ಪಾಯಿಂಟರ್ NOP ಗೆ ಸೂಚಿಸುತ್ತದೆ, ಕಾರಣವಾಗುತ್ತದೆ FLVCore::Uninitialize(void), ಮುಂದಿನ ಹಂತ.
ಕಾರ್ಯವು ಸರಳವಾಗಿ ಪ್ರಾರಂಭವಾಗುವ ಮ್ಯೂಟೆಕ್ಸ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ {181C8480-A975-411C-AB0A-630DB8B0A221}ಪ್ರಸ್ತುತ ಬಳಕೆದಾರಹೆಸರು ಅನುಸರಿಸುತ್ತದೆ. ಇದು ನಂತರ ಡಂಪ್ ಮಾಡಿದ *.db3 ಫೈಲ್ ಅನ್ನು ಓದುತ್ತದೆ, ಇದು ಸ್ಥಾನ-ಸ್ವತಂತ್ರ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ಮತ್ತು ಬಳಸುತ್ತದೆ CreateThread ವಿಷಯವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು.
*.db3 ಫೈಲ್ನ ವಿಷಯಗಳು OceanLotus ಗುಂಪು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸುವ ಶೆಲ್ಕೋಡ್ ಆಗಿದೆ. ನಾವು ಪ್ರಕಟಿಸಿದ ಎಮ್ಯುಲೇಟರ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಅದರ ಪೇಲೋಡ್ ಅನ್ನು ಮತ್ತೊಮ್ಮೆ ಯಶಸ್ವಿಯಾಗಿ ಅನ್ಪ್ಯಾಕ್ ಮಾಡಿದ್ದೇವೆ .
ಸ್ಕ್ರಿಪ್ಟ್ ಅಂತಿಮ ಹಂತವನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ. ಈ ಘಟಕವು ಹಿಂಬಾಗಿಲು, ನಾವು ಈಗಾಗಲೇ ವಿಶ್ಲೇಷಿಸಿದ್ದೇವೆ . ಇದನ್ನು GUID ಮೂಲಕ ನಿರ್ಧರಿಸಬಹುದು {A96B020F-0000-466F-A96D-A91BBF8EAC96} ಬೈನರಿ ಫೈಲ್. ಮಾಲ್ವೇರ್ ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಇನ್ನೂ PE ಸಂಪನ್ಮೂಲದಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಇದು ಸರಿಸುಮಾರು ಒಂದೇ ರೀತಿಯ ಸಂರಚನೆಯನ್ನು ಹೊಂದಿದೆ, ಆದರೆ C&C ಸರ್ವರ್ಗಳು ಹಿಂದಿನವುಗಳಿಗಿಂತ ಭಿನ್ನವಾಗಿವೆ:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus ತಂಡವು ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಪ್ಪಿಸಲು ವಿಭಿನ್ನ ತಂತ್ರಗಳ ಸಂಯೋಜನೆಯನ್ನು ಮತ್ತೊಮ್ಮೆ ಪ್ರದರ್ಶಿಸುತ್ತದೆ. ಅವರು ಸೋಂಕಿನ ಪ್ರಕ್ರಿಯೆಯ "ಪರಿಷ್ಕರಿಸಿದ" ರೇಖಾಚಿತ್ರದೊಂದಿಗೆ ಮರಳಿದರು. ಯಾದೃಚ್ಛಿಕ ಹೆಸರುಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ಮೂಲಕ ಮತ್ತು ಯಾದೃಚ್ಛಿಕ ಡೇಟಾದೊಂದಿಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದವುಗಳನ್ನು ತುಂಬುವ ಮೂಲಕ, ಅವರು ವಿಶ್ವಾಸಾರ್ಹ IoC ಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತಾರೆ (ಹ್ಯಾಶ್ಗಳು ಮತ್ತು ಫೈಲ್ ಹೆಸರುಗಳ ಆಧಾರದ ಮೇಲೆ). ಇದಲ್ಲದೆ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ DLL ಲೋಡಿಂಗ್ ಬಳಕೆಗೆ ಧನ್ಯವಾದಗಳು, ಆಕ್ರಮಣಕಾರರು ಕಾನೂನುಬದ್ಧ ಬೈನರಿಯನ್ನು ಮಾತ್ರ ತೆಗೆದುಹಾಕಬೇಕಾಗುತ್ತದೆ AcroTranscoder.
ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ ಆರ್ಕೈವ್ಗಳು
RTF ಫೈಲ್ಗಳ ನಂತರ, ಬಳಕೆದಾರರನ್ನು ಮತ್ತಷ್ಟು ಗೊಂದಲಕ್ಕೀಡುಮಾಡಲು ಗುಂಪು ಸಾಮಾನ್ಯ ಡಾಕ್ಯುಮೆಂಟ್ ಐಕಾನ್ಗಳೊಂದಿಗೆ ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ (SFX) ಆರ್ಕೈವ್ಗಳಿಗೆ ಸ್ಥಳಾಂತರಗೊಂಡಿತು. ಬೆದರಿಕೆ ಪುಸ್ತಕವು ಇದರ ಬಗ್ಗೆ ಬರೆದಿದೆ () ಪ್ರಾರಂಭವಾದ ನಂತರ, ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ RAR ಫೈಲ್ಗಳನ್ನು ಕೈಬಿಡಲಾಗುತ್ತದೆ ಮತ್ತು .ocx ವಿಸ್ತರಣೆಯೊಂದಿಗೆ DLL ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ, ಅದರ ಅಂತಿಮ ಪೇಲೋಡ್ ಅನ್ನು ಹಿಂದೆ ದಾಖಲಿಸಲಾಗಿದೆ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll. 2019 ರ ಜನವರಿ ಮಧ್ಯದಿಂದ, OceanLotus ಈ ತಂತ್ರವನ್ನು ಮರುಬಳಕೆ ಮಾಡುತ್ತಿದೆ, ಆದರೆ ಕಾಲಾನಂತರದಲ್ಲಿ ಕೆಲವು ಸಂರಚನೆಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತಿದೆ. ಈ ವಿಭಾಗದಲ್ಲಿ ನಾವು ತಂತ್ರ ಮತ್ತು ಬದಲಾವಣೆಗಳ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತೇವೆ.
ಆಮಿಷವನ್ನು ರಚಿಸುವುದು
ಡಾಕ್ಯುಮೆಂಟ್ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE (SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB) ಮೊದಲ ಬಾರಿಗೆ 2018 ರಲ್ಲಿ ಕಂಡುಬಂದಿದೆ. ಈ SFX ಫೈಲ್ ಅನ್ನು ಬುದ್ಧಿವಂತಿಕೆಯಿಂದ ರಚಿಸಲಾಗಿದೆ - ವಿವರಣೆಯಲ್ಲಿ (ಆವೃತ್ತಿ ಮಾಹಿತಿ) ಇದು JPEG ಚಿತ್ರ ಎಂದು ಹೇಳುತ್ತದೆ. SFX ಸ್ಕ್ರಿಪ್ಟ್ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಚಿತ್ರ 9. SFX ಆದೇಶಗಳು
ಮಾಲ್ವೇರ್ ಮರುಹೊಂದಿಸುತ್ತದೆ {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC), ಹಾಗೆಯೇ ಚಿತ್ರ 2018 thich thong lac.jpg.
ಮೋಸದ ಚಿತ್ರವು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಚಿತ್ರ 10. ಡಿಕಾಯ್ ಇಮೇಜ್
SFX ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿನ ಮೊದಲ ಎರಡು ಸಾಲುಗಳು OCX ಫೈಲ್ ಅನ್ನು ಎರಡು ಬಾರಿ ಕರೆಯುವುದನ್ನು ನೀವು ಗಮನಿಸಿರಬಹುದು, ಆದರೆ ಇದು ದೋಷವಲ್ಲ.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX ಫೈಲ್ನ ನಿಯಂತ್ರಣ ಹರಿವು ಇತರ OceanLotus ಘಟಕಗಳಿಗೆ ಹೋಲುತ್ತದೆ - ಅನೇಕ ಆದೇಶ ಅನುಕ್ರಮಗಳು JZ/JNZ и PUSH/RET, ಕಸದ ಕೋಡ್ನೊಂದಿಗೆ ಪರ್ಯಾಯವಾಗಿ.
ಚಿತ್ರ 11. ಅಸ್ಪಷ್ಟ ಕೋಡ್
ಜಂಕ್ ಕೋಡ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಿದ ನಂತರ, ರಫ್ತು ಮಾಡಿ DllRegisterServer, ಎಂದು ಕರೆಯುತ್ತಾರೆ regsvr32.exe, ಕೆಳಗಿನಂತೆ:
ಚಿತ್ರ 12. ಮೂಲ ಅನುಸ್ಥಾಪಕ ಕೋಡ್
ಮೂಲಭೂತವಾಗಿ, ಮೊದಲ ಕರೆಯಲ್ಲಿ DllRegisterServer ರಫ್ತು ರಿಜಿಸ್ಟ್ರಿ ಮೌಲ್ಯವನ್ನು ಹೊಂದಿಸುತ್ತದೆ HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model DLL ನಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಆಫ್ಸೆಟ್ಗಾಗಿ (0x10001DE0).
ಕಾರ್ಯವನ್ನು ಎರಡನೇ ಬಾರಿಗೆ ಕರೆದಾಗ, ಅದು ಅದೇ ಮೌಲ್ಯವನ್ನು ಓದುತ್ತದೆ ಮತ್ತು ಆ ವಿಳಾಸದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳ್ಳುತ್ತದೆ. ಇಲ್ಲಿಂದ RAM ನಲ್ಲಿ ಸಂಪನ್ಮೂಲ ಮತ್ತು ಅನೇಕ ಕ್ರಿಯೆಗಳನ್ನು ಓದಲಾಗುತ್ತದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ.
ಶೆಲ್ಕೋಡ್ ಹಿಂದಿನ OceanLotus ಪ್ರಚಾರಗಳಲ್ಲಿ ಬಳಸಿದ ಅದೇ PE ಲೋಡರ್ ಆಗಿದೆ. ಇದನ್ನು ಬಳಸಿ ಅನುಕರಿಸಬಹುದು . ಕೊನೆಯಲ್ಲಿ ಅವನು ಮರುಹೊಂದಿಸುತ್ತಾನೆ db293b825dcc419ba7dc2c49fa2757ee.dll, ಅದನ್ನು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ DllEntry.
DLL ತನ್ನ ಸಂಪನ್ಮೂಲದ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ, ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ (AES-256-CBC) ಮತ್ತು ಡಿಕಂಪ್ರೆಸ್ ಮಾಡುತ್ತದೆ (LZMA). ಸಂಪನ್ಮೂಲವು ಡಿಕಂಪೈಲ್ ಮಾಡಲು ಸುಲಭವಾದ ನಿರ್ದಿಷ್ಟ ಸ್ವರೂಪವನ್ನು ಹೊಂದಿದೆ.
ಚಿತ್ರ 13. ಅನುಸ್ಥಾಪಕ ಸಂರಚನಾ ರಚನೆ (KaitaiStruct Visualizer)
ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ - ಸವಲತ್ತು ಮಟ್ಟವನ್ನು ಅವಲಂಬಿಸಿ, ಬೈನರಿ ಡೇಟಾವನ್ನು ಬರೆಯಲಾಗುತ್ತದೆ %appdata%IntellogsBackgroundUploadTask.cpl ಅಥವಾ %windir%System32BackgroundUploadTask.cpl (ಅಥವಾ SysWOW64 64-ಬಿಟ್ ವ್ಯವಸ್ಥೆಗಳಿಗಾಗಿ).
ಹೆಸರಿನೊಂದಿಗೆ ಕಾರ್ಯವನ್ನು ರಚಿಸುವ ಮೂಲಕ ಮತ್ತಷ್ಟು ನಿರಂತರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲಾಗುತ್ತದೆ BackgroundUploadTask[junk].jobಅಲ್ಲಿ [junk] ಬೈಟ್ಗಳ ಗುಂಪನ್ನು ಪ್ರತಿನಿಧಿಸುತ್ತದೆ 0x9D и 0xA0.
ಕಾರ್ಯ ಅಪ್ಲಿಕೇಶನ್ ಹೆಸರು %windir%System32control.exe, ಮತ್ತು ಪ್ಯಾರಾಮೀಟರ್ ಮೌಲ್ಯವು ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಬೈನರಿ ಫೈಲ್ಗೆ ಮಾರ್ಗವಾಗಿದೆ. ಗುಪ್ತ ಕಾರ್ಯವು ಪ್ರತಿದಿನ ನಡೆಯುತ್ತದೆ.
ರಚನಾತ್ಮಕವಾಗಿ, CPL ಫೈಲ್ ಆಂತರಿಕ ಹೆಸರಿನ DLL ಆಗಿದೆ ac8e06de0a6c4483af9837d96504127e.dll, ಇದು ಕಾರ್ಯವನ್ನು ರಫ್ತು ಮಾಡುತ್ತದೆ CPlApplet. ಈ ಫೈಲ್ ತನ್ನ ಏಕೈಕ ಸಂಪನ್ಮೂಲವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll, ನಂತರ ಈ DLL ಅನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದರ ಏಕೈಕ ರಫ್ತು ಎಂದು ಕರೆಯುತ್ತದೆ DllEntry.
ಬ್ಯಾಕ್ಡೋರ್ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್
ಹಿಂಬಾಗಿಲ ಸಂರಚನೆಯನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಅದರ ಸಂಪನ್ಮೂಲಗಳಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾಗಿದೆ. ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನ ರಚನೆಯು ಹಿಂದಿನದಕ್ಕೆ ಹೋಲುತ್ತದೆ.
ಚಿತ್ರ 14. ಹಿಂಬಾಗಿಲ ಸಂರಚನಾ ರಚನೆ (KaitaiStruct Visualizer)
ರಚನೆಯು ಒಂದೇ ರೀತಿಯದ್ದಾಗಿದ್ದರೂ, ಅನೇಕ ಕ್ಷೇತ್ರ ಮೌಲ್ಯಗಳನ್ನು ತೋರಿಸಿರುವ ಮೌಲ್ಯಗಳಿಂದ ನವೀಕರಿಸಲಾಗಿದೆ .
ಬೈನರಿ ರಚನೆಯ ಮೊದಲ ಅಂಶವು DLL ಅನ್ನು ಹೊಂದಿರುತ್ತದೆ (HttpProv.dll ಎಂಡಿ 5: 2559738D1BD4A999126F900C7357B759), . ಆದರೆ ಬೈನರಿಯಿಂದ ರಫ್ತು ಹೆಸರನ್ನು ತೆಗೆದುಹಾಕಿರುವುದರಿಂದ, ಹ್ಯಾಶ್ಗಳು ಹೊಂದಿಕೆಯಾಗುವುದಿಲ್ಲ.
ಹೆಚ್ಚುವರಿ ಸಂಶೋಧನೆ
ಮಾದರಿಗಳನ್ನು ಸಂಗ್ರಹಿಸುವಾಗ, ನಾವು ಕೆಲವು ಗುಣಲಕ್ಷಣಗಳನ್ನು ಗಮನಿಸಿದ್ದೇವೆ. ಈಗ ವಿವರಿಸಿದ ಮಾದರಿಯು ಜುಲೈ 2018 ರ ಸುಮಾರಿಗೆ ಕಾಣಿಸಿಕೊಂಡಿತು ಮತ್ತು ಇತರವುಗಳು ಜನವರಿ ಮಧ್ಯದಿಂದ ಫೆಬ್ರವರಿ 2019 ರ ಆರಂಭದಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡವು. SFX ಆರ್ಕೈವ್ ಅನ್ನು ಸೋಂಕಿನ ವೆಕ್ಟರ್ ಆಗಿ ಬಳಸಲಾಯಿತು, ಕಾನೂನುಬದ್ಧ ಡಿಕೋಯ್ ಡಾಕ್ಯುಮೆಂಟ್ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ OSX ಫೈಲ್ ಅನ್ನು ಬಿಡಲಾಯಿತು.
OceanLotus ನಕಲಿ ಟೈಮ್ಸ್ಟ್ಯಾಂಪ್ಗಳನ್ನು ಬಳಸುತ್ತಿದ್ದರೂ, SFX ಮತ್ತು OCX ಫೈಲ್ಗಳ ಟೈಮ್ಸ್ಟ್ಯಾಂಪ್ಗಳು ಯಾವಾಗಲೂ ಒಂದೇ ಆಗಿರುವುದನ್ನು ನಾವು ಗಮನಿಸಿದ್ದೇವೆ (0x57B0C36A (08/14/2016 @ 7:15pm UTC) ಮತ್ತು 0x498BE80F (02/06/2009 @ 7:34am UTC) ಕ್ರಮವಾಗಿ). ಲೇಖಕರು ಕೆಲವು ರೀತಿಯ "ಡಿಸೈನರ್" ಅನ್ನು ಹೊಂದಿದ್ದಾರೆ ಎಂದು ಇದು ಬಹುಶಃ ಸೂಚಿಸುತ್ತದೆ, ಅದು ಅದೇ ಟೆಂಪ್ಲೆಟ್ಗಳನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಕೆಲವು ಗುಣಲಕ್ಷಣಗಳನ್ನು ಸರಳವಾಗಿ ಬದಲಾಯಿಸುತ್ತದೆ.
2018 ರ ಆರಂಭದಿಂದ ನಾವು ಅಧ್ಯಯನ ಮಾಡಿದ ದಾಖಲೆಗಳಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರಿಗೆ ಆಸಕ್ತಿಯ ದೇಶಗಳನ್ನು ಸೂಚಿಸುವ ವಿವಿಧ ಹೆಸರುಗಳಿವೆ:
- ಕಾಂಬೋಡಿಯಾ ಮೀಡಿಯಾದ ಹೊಸ ಸಂಪರ್ಕ ಮಾಹಿತಿ(New).xls.exe
— 李建香 (个人简历).exe (ಸಿವಿಯ ನಕಲಿ ಪಿಡಿಎಫ್ ದಾಖಲೆ)
— ಪ್ರತಿಕ್ರಿಯೆ, ಜುಲೈ 28-29, 2018.exe ನಿಂದ USA ನಲ್ಲಿ ರ್ಯಾಲಿ
ಹಿಂಬಾಗಿಲು ಪತ್ತೆಯಾದಾಗಿನಿಂದ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll ಮತ್ತು ಹಲವಾರು ಸಂಶೋಧಕರು ಅದರ ವಿಶ್ಲೇಷಣೆಯ ಪ್ರಕಟಣೆ, ನಾವು ಮಾಲ್ವೇರ್ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾದಲ್ಲಿ ಕೆಲವು ಬದಲಾವಣೆಗಳನ್ನು ಗಮನಿಸಿದ್ದೇವೆ.
ಮೊದಲಿಗೆ, ಲೇಖಕರು ಸಹಾಯಕ DLL ಗಳಿಂದ ಹೆಸರುಗಳನ್ನು ತೆಗೆದುಹಾಕಲು ಪ್ರಾರಂಭಿಸಿದರು (DNSprov.dll ಮತ್ತು ಎರಡು ಆವೃತ್ತಿಗಳು HttpProv.dll) ನಿರ್ವಾಹಕರು ನಂತರ ಮೂರನೇ DLL (ಎರಡನೇ ಆವೃತ್ತಿ) ಪ್ಯಾಕೇಜಿಂಗ್ ನಿಲ್ಲಿಸಿದರು HttpProv.dll), ಒಂದನ್ನು ಮಾತ್ರ ಎಂಬೆಡ್ ಮಾಡಲು ಆಯ್ಕೆಮಾಡಲಾಗಿದೆ.
ಎರಡನೆಯದಾಗಿ, ಅನೇಕ ಹಿಂಬಾಗಿಲ ಕಾನ್ಫಿಗರೇಶನ್ ಕ್ಷೇತ್ರಗಳನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ, ಅನೇಕ IoC ಗಳು ಲಭ್ಯವಾಗುತ್ತಿದ್ದಂತೆ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯಿಂದ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ಸಾಧ್ಯತೆಯಿದೆ. ಲೇಖಕರು ಮಾರ್ಪಡಿಸಿದ ಪ್ರಮುಖ ಕ್ಷೇತ್ರಗಳು ಸೇರಿವೆ:
- ಆಪ್ಎಕ್ಸ್ ರಿಜಿಸ್ಟ್ರಿ ಕೀ ಬದಲಾಗಿದೆ (ಐಒಸಿಗಳನ್ನು ನೋಡಿ)
- ಮ್ಯೂಟೆಕ್ಸ್ ಎನ್ಕೋಡಿಂಗ್ ಸ್ಟ್ರಿಂಗ್ ("ಡೆಫ್", "ಎಬಿಸಿ", "ಘಿ")
- ಪೋರ್ಟ್ ಸಂಖ್ಯೆ
ಅಂತಿಮವಾಗಿ, ವಿಶ್ಲೇಷಿಸಿದ ಎಲ್ಲಾ ಹೊಸ ಆವೃತ್ತಿಗಳು IoCs ವಿಭಾಗದಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾದ ಹೊಸ C&Cಗಳನ್ನು ಹೊಂದಿವೆ.
ಸಂಶೋಧನೆಗಳು
OceanLotus ಅಭಿವೃದ್ಧಿಯನ್ನು ಮುಂದುವರೆಸಿದೆ. ಸೈಬರ್ ಗುಂಪು ಪರಿಕರಗಳು ಮತ್ತು ಡಿಕೋಯ್ಗಳನ್ನು ಪರಿಷ್ಕರಿಸುವ ಮತ್ತು ವಿಸ್ತರಿಸುವುದರ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಿದೆ. ಉದ್ದೇಶಿತ ಬಲಿಪಶುಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ವಿಷಯವು ಗಮನ ಸೆಳೆಯುವ ದಾಖಲೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಲೇಖಕರು ದುರುದ್ದೇಶಪೂರಿತ ಪೇಲೋಡ್ಗಳನ್ನು ಮರೆಮಾಚುತ್ತಾರೆ. ಅವರು ಹೊಸ ಯೋಜನೆಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುತ್ತಾರೆ ಮತ್ತು ಈಕ್ವೇಶನ್ ಎಡಿಟರ್ ಶೋಷಣೆಯಂತಹ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಸಾಧನಗಳನ್ನು ಸಹ ಬಳಸುತ್ತಾರೆ. ಇದಲ್ಲದೆ, ಅವರು ಬಲಿಪಶುಗಳ ಯಂತ್ರಗಳಲ್ಲಿ ಉಳಿದಿರುವ ಕಲಾಕೃತಿಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಪರಿಕರಗಳನ್ನು ಸುಧಾರಿಸುತ್ತಿದ್ದಾರೆ, ಇದರಿಂದಾಗಿ ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್ವೇರ್ನಿಂದ ಪತ್ತೆಹಚ್ಚುವ ಅವಕಾಶವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ.
ರಾಜಿ ಸೂಚಕಗಳು
ರಾಜಿ ಸೂಚಕಗಳು ಹಾಗೂ MITER ATT&CK ಗುಣಲಕ್ಷಣಗಳು ಲಭ್ಯವಿವೆ и .
ಮೂಲ: www.habr.com