ಸೈಬರ್ ಗುಂಪು OceanLotus (APT32 ಮತ್ತು APT-C-00) ಇತ್ತೀಚೆಗೆ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಶೋಷಣೆಗಳಲ್ಲಿ ಒಂದನ್ನು ಹೇಗೆ ಬಳಸಿದೆ ಎಂಬುದನ್ನು ಈ ಪೋಸ್ಟ್ನಲ್ಲಿ ನಾವು ನಿಮಗೆ ತಿಳಿಸುತ್ತೇವೆ.
OceanLotus ಸೈಬರ್ ಬೇಹುಗಾರಿಕೆಯಲ್ಲಿ ಪರಿಣತಿಯನ್ನು ಹೊಂದಿದೆ, ಆದ್ಯತೆಯ ಗುರಿಗಳು ಆಗ್ನೇಯ ಏಷ್ಯಾದ ದೇಶಗಳಾಗಿವೆ. ದಾಳಿಕೋರರು ಹಿಂಬಾಗಿಲನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಮನವೊಲಿಸಲು ಸಂಭಾವ್ಯ ಬಲಿಪಶುಗಳ ಗಮನವನ್ನು ಸೆಳೆಯುವ ದಾಖಲೆಗಳನ್ನು ನಕಲಿ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಪರಿಕರಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುವಲ್ಲಿ ಕೆಲಸ ಮಾಡುತ್ತಿದ್ದಾರೆ. ಹನಿಪಾಟ್ಗಳನ್ನು ರಚಿಸಲು ಬಳಸುವ ವಿಧಾನಗಳು "ಡಬಲ್-ವಿಸ್ತರಣೆ" ಫೈಲ್ಗಳು, ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ ಆರ್ಕೈವ್ಗಳು, ಮ್ಯಾಕ್ರೋಗಳೊಂದಿಗೆ ಡಾಕ್ಯುಮೆಂಟ್ಗಳು, ತಿಳಿದಿರುವ ಶೋಷಣೆಗಳವರೆಗೆ ದಾಳಿಯಾದ್ಯಂತ ಬದಲಾಗುತ್ತವೆ.
ಮೈಕ್ರೋಸಾಫ್ಟ್ ಸಮೀಕರಣ ಸಂಪಾದಕದಲ್ಲಿ ಶೋಷಣೆಯನ್ನು ಬಳಸುವುದು
2018 ರ ಮಧ್ಯದಲ್ಲಿ, OceanLotus CVE-2017-11882 ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ಅಭಿಯಾನವನ್ನು ನಡೆಸಿತು. ಸೈಬರ್ ಗುಂಪಿನ ದುರುದ್ದೇಶಪೂರಿತ ದಾಖಲೆಗಳಲ್ಲಿ ಒಂದನ್ನು 360 ಥ್ರೆಟ್ ಇಂಟೆಲಿಜೆನ್ಸ್ ಸೆಂಟರ್ನ ತಜ್ಞರು ವಿಶ್ಲೇಷಿಸಿದ್ದಾರೆ (
ಮೊದಲ ಹಂತದ
ಡಾಕ್ಯುಮೆಂಟ್ FW Report on demonstration of former CNRP in Republic of Korea.doc
(SHA-1: D1357B284C951470066AAA7A8228190B88A5C7C3
) ಮೇಲಿನ ಅಧ್ಯಯನದಲ್ಲಿ ಉಲ್ಲೇಖಿಸಿರುವಂತೆಯೇ ಇರುತ್ತದೆ. ಇದು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ ಏಕೆಂದರೆ ಇದು ಕಾಂಬೋಡಿಯನ್ ರಾಜಕೀಯದಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿರುವ ಬಳಕೆದಾರರನ್ನು ಗುರಿಯಾಗಿರಿಸಿಕೊಂಡಿದೆ (CNRP - ಕಾಂಬೋಡಿಯಾ ನ್ಯಾಷನಲ್ ರೆಸ್ಕ್ಯೂ ಪಾರ್ಟಿ, 2017 ರ ಕೊನೆಯಲ್ಲಿ ಕರಗಿದೆ). .doc ವಿಸ್ತರಣೆಯ ಹೊರತಾಗಿಯೂ, ಡಾಕ್ಯುಮೆಂಟ್ RTF ಸ್ವರೂಪದಲ್ಲಿದೆ (ಕೆಳಗಿನ ಚಿತ್ರವನ್ನು ನೋಡಿ), ಕಸದ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ ಮತ್ತು ವಿರೂಪಗೊಂಡಿದೆ.
ಚಿತ್ರ 1. RTF ನಲ್ಲಿ "ಕಸ"
ಅಸಮರ್ಪಕ ಅಂಶಗಳಿದ್ದರೂ ಸಹ, Word ಈ RTF ಫೈಲ್ ಅನ್ನು ಯಶಸ್ವಿಯಾಗಿ ತೆರೆಯುತ್ತದೆ. ನೀವು ಚಿತ್ರ 2 ರಲ್ಲಿ ನೋಡುವಂತೆ, 0xC00 ಆಫ್ಸೆಟ್ನಲ್ಲಿ EQNOLEFILEHDR ರಚನೆ ಇದೆ, ಅದರ ನಂತರ MTEF ಹೆಡರ್, ಮತ್ತು ನಂತರ ಫಾಂಟ್ಗಾಗಿ MTEF ನಮೂದು (ಚಿತ್ರ 3).
ಚಿತ್ರ 2. ಫಾಂಟ್ ನಮೂದು ಮೌಲ್ಯಗಳು
ಚಿತ್ರ 3.
ಕ್ಷೇತ್ರದಲ್ಲಿ ಉಕ್ಕಿ ಹರಿಯುವ ಸಾಧ್ಯತೆ ಇದೆ ಹೆಸರು, ಏಕೆಂದರೆ ನಕಲು ಮಾಡುವ ಮೊದಲು ಅದರ ಗಾತ್ರವನ್ನು ಪರಿಶೀಲಿಸಲಾಗುವುದಿಲ್ಲ. ತುಂಬಾ ಉದ್ದವಾದ ಹೆಸರು ದುರ್ಬಲತೆಯನ್ನು ಪ್ರಚೋದಿಸುತ್ತದೆ. ಆರ್ಟಿಎಫ್ ಫೈಲ್ನ ವಿಷಯಗಳಿಂದ ನೀವು ನೋಡುವಂತೆ (ಚಿತ್ರ 0 ರಲ್ಲಿ 26xC2 ಅನ್ನು ಆಫ್ಸೆಟ್ ಮಾಡಿ), ಬಫರ್ ಅನ್ನು ಶೆಲ್ಕೋಡ್ನಿಂದ ತುಂಬಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಅದರ ನಂತರ ಡಮ್ಮಿ ಕಮಾಂಡ್ (0x90
) ಮತ್ತು ವಿಳಾಸ ಹಿಂತಿರುಗಿ 0x402114
. ವಿಳಾಸವು ಸಂವಾದದ ಅಂಶವಾಗಿದೆ EQNEDT32.exe
, ಸೂಚನೆಗಳನ್ನು ಸೂಚಿಸುತ್ತದೆ RET
. ಇದು ಕ್ಷೇತ್ರದ ಪ್ರಾರಂಭಕ್ಕೆ EIP ಸೂಚಿಸುವಂತೆ ಮಾಡುತ್ತದೆ ಹೆಸರುಶೆಲ್ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ.
ಚಿತ್ರ 4. ಶೋಷಣೆ ಶೆಲ್ಕೋಡ್ನ ಆರಂಭ
ವಿಳಾಸ 0x45BD3C
ಪ್ರಸ್ತುತ ಲೋಡ್ ಮಾಡಲಾದ ರಚನೆಗೆ ಪಾಯಿಂಟರ್ ಅನ್ನು ತಲುಪುವವರೆಗೆ ಡಿರೆಫರೆನ್ಸ್ ಮಾಡಲಾದ ವೇರಿಯಬಲ್ ಅನ್ನು ಸಂಗ್ರಹಿಸುತ್ತದೆ MTEFData
. ಉಳಿದ ಶೆಲ್ಕೋಡ್ ಇಲ್ಲಿದೆ.
ತೆರೆದ ಡಾಕ್ಯುಮೆಂಟ್ನಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾದ ಶೆಲ್ಕೋಡ್ನ ಎರಡನೇ ತುಣುಕನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವುದು ಶೆಲ್ಕೋಡ್ನ ಉದ್ದೇಶವಾಗಿದೆ. ಮೂಲ ಶೆಲ್ಕೋಡ್ ಮೊದಲು ಎಲ್ಲಾ ಸಿಸ್ಟಮ್ ಡಿಸ್ಕ್ರಿಪ್ಟರ್ಗಳ ಮೇಲೆ ಪುನರಾವರ್ತಿಸುವ ಮೂಲಕ ತೆರೆದ ಡಾಕ್ಯುಮೆಂಟ್ನ ಫೈಲ್ ಡಿಸ್ಕ್ರಿಪ್ಟರ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯಲು ಪ್ರಯತ್ನಿಸುತ್ತದೆ (NtQuerySystemInformation
ಒಂದು ವಾದದೊಂದಿಗೆ SystemExtendedHandleInformation
) ಮತ್ತು ಅವು ಹೊಂದಿಕೆಯಾಗುತ್ತವೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸಲಾಗುತ್ತಿದೆ ಪಿಐಡಿ ವಿವರಣೆ ಮತ್ತು ಪಿಐಡಿ ಪ್ರಕ್ರಿಯೆ WinWord
ಮತ್ತು ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ಪ್ರವೇಶ ಮುಖವಾಡದೊಂದಿಗೆ ತೆರೆಯಲಾಗಿದೆಯೇ - 0x12019F
.
ಸರಿಯಾದ ಹ್ಯಾಂಡಲ್ ಕಂಡುಬಂದಿದೆ ಎಂದು ಖಚಿತಪಡಿಸಲು (ಮತ್ತು ಮತ್ತೊಂದು ತೆರೆದ ಡಾಕ್ಯುಮೆಂಟ್ಗೆ ಹ್ಯಾಂಡಲ್ ಅಲ್ಲ), ಫೈಲ್ನ ವಿಷಯಗಳನ್ನು ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ರದರ್ಶಿಸಲಾಗುತ್ತದೆ CreateFileMapping
, ಮತ್ತು ಶೆಲ್ಕೋಡ್ ಡಾಕ್ಯುಮೆಂಟ್ನ ಕೊನೆಯ ನಾಲ್ಕು ಬೈಟ್ಗಳು ಹೊಂದಿಕೆಯಾಗುತ್ತದೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ "yyyy
"(ಮೊಟ್ಟೆ ಬೇಟೆಯ ವಿಧಾನ). ಒಮ್ಮೆ ಹೊಂದಾಣಿಕೆ ಕಂಡುಬಂದರೆ, ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ತಾತ್ಕಾಲಿಕ ಫೋಲ್ಡರ್ಗೆ ನಕಲಿಸಲಾಗುತ್ತದೆ (GetTempPath
) ಹೇಗೆ ole.dll
. ನಂತರ ಡಾಕ್ಯುಮೆಂಟ್ನ ಕೊನೆಯ 12 ಬೈಟ್ಗಳನ್ನು ಓದಲಾಗುತ್ತದೆ.
ಚಿತ್ರ 5. ಡಾಕ್ಯುಮೆಂಟ್ ಮಾರ್ಕರ್ಗಳ ಅಂತ್ಯ
ಮಾರ್ಕರ್ಗಳ ನಡುವೆ 32-ಬಿಟ್ ಮೌಲ್ಯ AABBCCDD
и yyyy
ಮುಂದಿನ ಶೆಲ್ಕೋಡ್ನ ಆಫ್ಸೆಟ್ ಆಗಿದೆ. ಇದನ್ನು ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಕರೆಯಲಾಗುತ್ತದೆ CreateThread
. ಈ ಹಿಂದೆ ಓಷನ್ಲೋಟಸ್ ಗುಂಪು ಬಳಸಿದ ಅದೇ ಶೆಲ್ಕೋಡ್ ಅನ್ನು ಹೊರತೆಗೆಯಲಾಗಿದೆ.
ಎರಡನೇ ಹಂತ
ಘಟಕಗಳನ್ನು ತೆಗೆದುಹಾಕುವುದು
ಫೈಲ್ ಮತ್ತು ಡೈರೆಕ್ಟರಿ ಹೆಸರುಗಳನ್ನು ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ಆಯ್ಕೆ ಮಾಡಲಾಗುತ್ತದೆ. ಕೋಡ್ ಯಾದೃಚ್ಛಿಕವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಅಥವಾ DLL ಫೈಲ್ನ ಹೆಸರನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತದೆ C:Windowssystem32
. ನಂತರ ಅದು ತನ್ನ ಸಂಪನ್ಮೂಲಗಳಿಗೆ ವಿನಂತಿಯನ್ನು ಮಾಡುತ್ತದೆ ಮತ್ತು ಕ್ಷೇತ್ರವನ್ನು ಹಿಂಪಡೆಯುತ್ತದೆ FileDescription
ಫೋಲ್ಡರ್ ಹೆಸರಾಗಿ ಬಳಸಲು. ಇದು ಕೆಲಸ ಮಾಡದಿದ್ದರೆ, ಕೋಡ್ ಯಾದೃಚ್ಛಿಕವಾಗಿ ಡೈರೆಕ್ಟರಿಗಳಿಂದ ಫೋಲ್ಡರ್ ಹೆಸರನ್ನು ಆಯ್ಕೆ ಮಾಡುತ್ತದೆ %ProgramFiles%
ಅಥವಾ C:Windows
(GetWindowsDirectoryW ನಿಂದ). ಇದು ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಫೈಲ್ಗಳೊಂದಿಗೆ ಸಂಘರ್ಷಗೊಳ್ಳಬಹುದಾದ ಹೆಸರನ್ನು ಬಳಸುವುದನ್ನು ತಪ್ಪಿಸುತ್ತದೆ ಮತ್ತು ಅದು ಈ ಕೆಳಗಿನ ಪದಗಳನ್ನು ಹೊಂದಿಲ್ಲ ಎಂದು ಖಚಿತಪಡಿಸುತ್ತದೆ: windows
, Microsoft
, desktop
, system
, system32
ಅಥವಾ syswow64
. ಡೈರೆಕ್ಟರಿ ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿದ್ದರೆ, "NLS_{6 ಅಕ್ಷರಗಳು}" ಅನ್ನು ಹೆಸರಿಗೆ ಸೇರಿಸಲಾಗುತ್ತದೆ.
ಸಂಪನ್ಮೂಲ 0x102
ವಿಶ್ಲೇಷಿಸಲಾಗುತ್ತದೆ ಮತ್ತು ಫೈಲ್ಗಳನ್ನು ಡಂಪ್ ಮಾಡಲಾಗುತ್ತದೆ %ProgramFiles%
ಅಥವಾ %AppData%
, ಯಾದೃಚ್ಛಿಕವಾಗಿ ಆಯ್ಕೆಮಾಡಿದ ಫೋಲ್ಡರ್ಗೆ. ಅದೇ ಮೌಲ್ಯಗಳನ್ನು ಹೊಂದಲು ಸೃಷ್ಟಿ ಸಮಯವನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ kernel32.dll
.
ಉದಾಹರಣೆಗೆ, ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ಮೂಲಕ ರಚಿಸಲಾದ ಫೈಲ್ಗಳ ಫೋಲ್ಡರ್ ಮತ್ತು ಪಟ್ಟಿ ಇಲ್ಲಿದೆ C:Windowssystem32TCPSVCS.exe
ಡೇಟಾ ಮೂಲವಾಗಿ.
ಚಿತ್ರ 6. ವಿವಿಧ ಘಟಕಗಳನ್ನು ಹೊರತೆಗೆಯುವುದು
ಸಂಪನ್ಮೂಲ ರಚನೆ 0x102
ಡ್ರಾಪ್ಪರ್ನಲ್ಲಿ ಸಾಕಷ್ಟು ಸಂಕೀರ್ಣವಾಗಿದೆ. ಸಂಕ್ಷಿಪ್ತವಾಗಿ, ಇದು ಒಳಗೊಂಡಿದೆ:
- ಫೈಲ್ ಹೆಸರುಗಳು
- ಫೈಲ್ ಗಾತ್ರ ಮತ್ತು ವಿಷಯ
- ಕಂಪ್ರೆಷನ್ ಫಾರ್ಮ್ಯಾಟ್ (COMPRESSION_FORMAT_LZNT1
, ಕಾರ್ಯದಿಂದ ಬಳಸಲಾಗುತ್ತದೆ RtlDecompressBuffer
)
ಮೊದಲ ಫೈಲ್ ಅನ್ನು ಮರುಹೊಂದಿಸಲಾಗಿದೆ TCPSVCS.exe
, ಇದು ಕಾನೂನುಬದ್ಧವಾಗಿದೆ AcroTranscoder.exe
(ಈ ಪ್ರಕಾರ FileDescription
, SHA-1: 2896738693A8F36CC7AD83EF1FA46F82F32BE5A3
).
ಕೆಲವು DLL ಫೈಲ್ಗಳು 11 MB ಗಿಂತ ದೊಡ್ಡದಾಗಿರುವುದನ್ನು ನೀವು ಗಮನಿಸಿರಬಹುದು. ಏಕೆಂದರೆ ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಫೈಲ್ನಲ್ಲಿ ಯಾದೃಚ್ಛಿಕ ದತ್ತಾಂಶದ ದೊಡ್ಡ ಪಕ್ಕದ ಬಫರ್ ಅನ್ನು ಇರಿಸಲಾಗುತ್ತದೆ. ಕೆಲವು ಭದ್ರತಾ ಉತ್ಪನ್ನಗಳಿಂದ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಪ್ಪಿಸಲು ಇದು ಒಂದು ಮಾರ್ಗವಾಗಿದೆ.
ನಿರಂತರತೆಯನ್ನು ಖಾತ್ರಿಪಡಿಸುವುದು
ಸಂಪನ್ಮೂಲ 0x101
ಡ್ರಾಪ್ಪರ್ನಲ್ಲಿ ಎರಡು 32-ಬಿಟ್ ಪೂರ್ಣಾಂಕಗಳನ್ನು ಹೊಂದಿರುತ್ತದೆ ಅದು ಹೇಗೆ ನಿರಂತರತೆಯನ್ನು ಒದಗಿಸಬೇಕು ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ. ಮೊದಲನೆಯ ಮೌಲ್ಯವು ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳಿಲ್ಲದೆ ಮಾಲ್ವೇರ್ ಹೇಗೆ ಮುಂದುವರಿಯುತ್ತದೆ ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ.
ಕೋಷ್ಟಕ 1. ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳಿಲ್ಲದ ನಿರಂತರ ಕಾರ್ಯವಿಧಾನ
ಎರಡನೇ ಪೂರ್ಣಾಂಕದ ಮೌಲ್ಯವು ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ಚಾಲನೆಯಲ್ಲಿರುವಾಗ ಮಾಲ್ವೇರ್ ಹೇಗೆ ನಿರಂತರತೆಯನ್ನು ಸಾಧಿಸಬೇಕು ಎಂಬುದನ್ನು ಸೂಚಿಸುತ್ತದೆ.
ಕೋಷ್ಟಕ 2. ನಿರ್ವಾಹಕರ ಹಕ್ಕುಗಳೊಂದಿಗೆ ನಿರಂತರ ಕಾರ್ಯವಿಧಾನ
ಸೇವೆಯ ಹೆಸರು ವಿಸ್ತರಣೆಯಿಲ್ಲದ ಫೈಲ್ ಹೆಸರು; ಪ್ರದರ್ಶನದ ಹೆಸರು ಫೋಲ್ಡರ್ನ ಹೆಸರಾಗಿದೆ, ಆದರೆ ಅದು ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿದ್ದರೆ, ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಅದಕ್ಕೆ ಸೇರಿಸಲಾಗುತ್ತದೆRevision 1
” (ಬಳಕೆಯಾಗದ ಹೆಸರು ಕಂಡುಬರುವವರೆಗೆ ಸಂಖ್ಯೆಯು ಹೆಚ್ಚಾಗುತ್ತದೆ). ಸೇವೆಯ ಮೂಲಕ ನಿರಂತರತೆಯು ದೃಢವಾಗಿದೆ ಎಂದು ನಿರ್ವಾಹಕರು ಖಚಿತಪಡಿಸಿಕೊಂಡಿದ್ದಾರೆ - ವೈಫಲ್ಯದ ಸಂದರ್ಭದಲ್ಲಿ, ಸೇವೆಯನ್ನು 1 ಸೆಕೆಂಡಿನ ನಂತರ ಮರುಪ್ರಾರಂಭಿಸಬೇಕು. ನಂತರ ಮೌಲ್ಯ WOW64
ಹೊಸ ಸೇವೆಯ ನೋಂದಾವಣೆ ಕೀಲಿಯನ್ನು 4 ಕ್ಕೆ ಹೊಂದಿಸಲಾಗಿದೆ, ಇದು 32-ಬಿಟ್ ಸೇವೆ ಎಂದು ಸೂಚಿಸುತ್ತದೆ.
ಹಲವಾರು COM ಇಂಟರ್ಫೇಸ್ಗಳ ಮೂಲಕ ನಿಗದಿತ ಕಾರ್ಯವನ್ನು ರಚಿಸಲಾಗಿದೆ: ITaskScheduler
, ITask
, ITaskTrigger
, IPersistFile
и ITaskScheduler
. ಮೂಲಭೂತವಾಗಿ, ಮಾಲ್ವೇರ್ ಗುಪ್ತ ಕಾರ್ಯವನ್ನು ರಚಿಸುತ್ತದೆ, ಪ್ರಸ್ತುತ ಬಳಕೆದಾರ ಅಥವಾ ನಿರ್ವಾಹಕರ ಮಾಹಿತಿಯೊಂದಿಗೆ ಖಾತೆಯ ಮಾಹಿತಿಯನ್ನು ಹೊಂದಿಸುತ್ತದೆ ಮತ್ತು ನಂತರ ಟ್ರಿಗ್ಗರ್ ಅನ್ನು ಹೊಂದಿಸುತ್ತದೆ.
ಇದು 24 ಗಂಟೆಗಳ ಅವಧಿಯ ದೈನಂದಿನ ಕಾರ್ಯವಾಗಿದೆ ಮತ್ತು 10 ನಿಮಿಷಗಳ ಎರಡು ಮರಣದಂಡನೆಗಳ ನಡುವಿನ ಮಧ್ಯಂತರಗಳು, ಅಂದರೆ ಇದು ನಿರಂತರವಾಗಿ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಬಿಟ್
ನಮ್ಮ ಉದಾಹರಣೆಯಲ್ಲಿ, ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ TCPSVCS.exe
(AcroTranscoder.exe
) ಅದರೊಂದಿಗೆ ಮರುಹೊಂದಿಸಲಾದ DLL ಗಳನ್ನು ಲೋಡ್ ಮಾಡುವ ಕಾನೂನುಬದ್ಧ ಸಾಫ್ಟ್ವೇರ್ ಆಗಿದೆ. ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಇದು ಆಸಕ್ತಿ ಹೊಂದಿದೆ Flash Video Extension.dll
.
ಅದರ ಕಾರ್ಯ DLLMain
ಕೇವಲ ಮತ್ತೊಂದು ಕಾರ್ಯವನ್ನು ಕರೆಯುತ್ತದೆ. ಕೆಲವು ಅಸ್ಪಷ್ಟ ಮುನ್ಸೂಚನೆಗಳು ಇವೆ:
ಚಿತ್ರ 7. ಅಸ್ಪಷ್ಟ ಭವಿಷ್ಯ
ಈ ತಪ್ಪುದಾರಿಗೆಳೆಯುವ ಪರಿಶೀಲನೆಗಳ ನಂತರ, ಕೋಡ್ ವಿಭಾಗವನ್ನು ಪಡೆಯುತ್ತದೆ .text
ಫೈಲ್ TCPSVCS.exe
, ಅದರ ರಕ್ಷಣೆಯನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ PAGE_EXECUTE_READWRITE
ಮತ್ತು ನಕಲಿ ಸೂಚನೆಗಳನ್ನು ಸೇರಿಸುವ ಮೂಲಕ ಅದನ್ನು ಪುನಃ ಬರೆಯುತ್ತದೆ:
ಚಿತ್ರ 8. ಸೂಚನೆಗಳ ಅನುಕ್ರಮ
ಕಾರ್ಯದ ವಿಳಾಸಕ್ಕೆ ಕೊನೆಯಲ್ಲಿ FLVCore::Uninitialize(void)
, ರಫ್ತು ಮಾಡಲಾಗಿದೆ Flash Video Extension.dll
, ಸೂಚನೆಯನ್ನು ಸೇರಿಸಲಾಗಿದೆ CALL
. ಇದರರ್ಥ ದುರುದ್ದೇಶಪೂರಿತ DLL ಅನ್ನು ಲೋಡ್ ಮಾಡಿದ ನಂತರ, ರನ್ಟೈಮ್ ಕರೆ ಮಾಡಿದಾಗ WinMain
в TCPSVCS.exe
, ಸೂಚನಾ ಪಾಯಿಂಟರ್ NOP ಗೆ ಸೂಚಿಸುತ್ತದೆ, ಕಾರಣವಾಗುತ್ತದೆ FLVCore::Uninitialize(void)
, ಮುಂದಿನ ಹಂತ.
ಕಾರ್ಯವು ಸರಳವಾಗಿ ಪ್ರಾರಂಭವಾಗುವ ಮ್ಯೂಟೆಕ್ಸ್ ಅನ್ನು ರಚಿಸುತ್ತದೆ {181C8480-A975-411C-AB0A-630DB8B0A221}
ಪ್ರಸ್ತುತ ಬಳಕೆದಾರಹೆಸರು ಅನುಸರಿಸುತ್ತದೆ. ಇದು ನಂತರ ಡಂಪ್ ಮಾಡಿದ *.db3 ಫೈಲ್ ಅನ್ನು ಓದುತ್ತದೆ, ಇದು ಸ್ಥಾನ-ಸ್ವತಂತ್ರ ಕೋಡ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತದೆ ಮತ್ತು ಬಳಸುತ್ತದೆ CreateThread
ವಿಷಯವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು.
*.db3 ಫೈಲ್ನ ವಿಷಯಗಳು OceanLotus ಗುಂಪು ಸಾಮಾನ್ಯವಾಗಿ ಬಳಸುವ ಶೆಲ್ಕೋಡ್ ಆಗಿದೆ. ನಾವು ಪ್ರಕಟಿಸಿದ ಎಮ್ಯುಲೇಟರ್ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಅದರ ಪೇಲೋಡ್ ಅನ್ನು ಮತ್ತೊಮ್ಮೆ ಯಶಸ್ವಿಯಾಗಿ ಅನ್ಪ್ಯಾಕ್ ಮಾಡಿದ್ದೇವೆ
ಸ್ಕ್ರಿಪ್ಟ್ ಅಂತಿಮ ಹಂತವನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ. ಈ ಘಟಕವು ಹಿಂಬಾಗಿಲು, ನಾವು ಈಗಾಗಲೇ ವಿಶ್ಲೇಷಿಸಿದ್ದೇವೆ {A96B020F-0000-466F-A96D-A91BBF8EAC96}
ಬೈನರಿ ಫೈಲ್. ಮಾಲ್ವೇರ್ ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಇನ್ನೂ PE ಸಂಪನ್ಮೂಲದಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ. ಇದು ಸರಿಸುಮಾರು ಒಂದೇ ರೀತಿಯ ಸಂರಚನೆಯನ್ನು ಹೊಂದಿದೆ, ಆದರೆ C&C ಸರ್ವರ್ಗಳು ಹಿಂದಿನವುಗಳಿಗಿಂತ ಭಿನ್ನವಾಗಿವೆ:
- andreagahuvrauvin[.]com
- byronorenstein[.]com
- stienollmache[.]xyz
OceanLotus ತಂಡವು ಪತ್ತೆಹಚ್ಚುವಿಕೆಯನ್ನು ತಪ್ಪಿಸಲು ವಿಭಿನ್ನ ತಂತ್ರಗಳ ಸಂಯೋಜನೆಯನ್ನು ಮತ್ತೊಮ್ಮೆ ಪ್ರದರ್ಶಿಸುತ್ತದೆ. ಅವರು ಸೋಂಕಿನ ಪ್ರಕ್ರಿಯೆಯ "ಪರಿಷ್ಕರಿಸಿದ" ರೇಖಾಚಿತ್ರದೊಂದಿಗೆ ಮರಳಿದರು. ಯಾದೃಚ್ಛಿಕ ಹೆಸರುಗಳನ್ನು ಆಯ್ಕೆ ಮಾಡುವ ಮೂಲಕ ಮತ್ತು ಯಾದೃಚ್ಛಿಕ ಡೇಟಾದೊಂದಿಗೆ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದವುಗಳನ್ನು ತುಂಬುವ ಮೂಲಕ, ಅವರು ವಿಶ್ವಾಸಾರ್ಹ IoC ಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತಾರೆ (ಹ್ಯಾಶ್ಗಳು ಮತ್ತು ಫೈಲ್ ಹೆಸರುಗಳ ಆಧಾರದ ಮೇಲೆ). ಇದಲ್ಲದೆ, ಮೂರನೇ ವ್ಯಕ್ತಿಯ DLL ಲೋಡಿಂಗ್ ಬಳಕೆಗೆ ಧನ್ಯವಾದಗಳು, ಆಕ್ರಮಣಕಾರರು ಕಾನೂನುಬದ್ಧ ಬೈನರಿಯನ್ನು ಮಾತ್ರ ತೆಗೆದುಹಾಕಬೇಕಾಗುತ್ತದೆ AcroTranscoder
.
ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ ಆರ್ಕೈವ್ಗಳು
RTF ಫೈಲ್ಗಳ ನಂತರ, ಬಳಕೆದಾರರನ್ನು ಮತ್ತಷ್ಟು ಗೊಂದಲಕ್ಕೀಡುಮಾಡಲು ಗುಂಪು ಸಾಮಾನ್ಯ ಡಾಕ್ಯುಮೆಂಟ್ ಐಕಾನ್ಗಳೊಂದಿಗೆ ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ (SFX) ಆರ್ಕೈವ್ಗಳಿಗೆ ಸ್ಥಳಾಂತರಗೊಂಡಿತು. ಬೆದರಿಕೆ ಪುಸ್ತಕವು ಇದರ ಬಗ್ಗೆ ಬರೆದಿದೆ ({A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
. 2019 ರ ಜನವರಿ ಮಧ್ಯದಿಂದ, OceanLotus ಈ ತಂತ್ರವನ್ನು ಮರುಬಳಕೆ ಮಾಡುತ್ತಿದೆ, ಆದರೆ ಕಾಲಾನಂತರದಲ್ಲಿ ಕೆಲವು ಸಂರಚನೆಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತಿದೆ. ಈ ವಿಭಾಗದಲ್ಲಿ ನಾವು ತಂತ್ರ ಮತ್ತು ಬದಲಾವಣೆಗಳ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತೇವೆ.
ಆಮಿಷವನ್ನು ರಚಿಸುವುದು
ಡಾಕ್ಯುಮೆಂಟ್ THICH-THONG-LAC-HANH-THAP-THIEN-VIET-NAM (1).EXE
(SHA-1: AC10F5B1D5ECAB22B7B418D6E98FA18E32BBDEAB
) ಮೊದಲ ಬಾರಿಗೆ 2018 ರಲ್ಲಿ ಕಂಡುಬಂದಿದೆ. ಈ SFX ಫೈಲ್ ಅನ್ನು ಬುದ್ಧಿವಂತಿಕೆಯಿಂದ ರಚಿಸಲಾಗಿದೆ - ವಿವರಣೆಯಲ್ಲಿ (ಆವೃತ್ತಿ ಮಾಹಿತಿ) ಇದು JPEG ಚಿತ್ರ ಎಂದು ಹೇಳುತ್ತದೆ. SFX ಸ್ಕ್ರಿಪ್ಟ್ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಚಿತ್ರ 9. SFX ಆದೇಶಗಳು
ಮಾಲ್ವೇರ್ ಮರುಹೊಂದಿಸುತ್ತದೆ {9ec60ada-a200-4159-b310-8071892ed0c3}.ocx
(SHA-1: EFAC23B0E6395B1178BCF7086F72344B24C04DCC
), ಹಾಗೆಯೇ ಚಿತ್ರ 2018 thich thong lac.jpg.
ಮೋಸದ ಚಿತ್ರವು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಚಿತ್ರ 10. ಡಿಕಾಯ್ ಇಮೇಜ್
SFX ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿನ ಮೊದಲ ಎರಡು ಸಾಲುಗಳು OCX ಫೈಲ್ ಅನ್ನು ಎರಡು ಬಾರಿ ಕರೆಯುವುದನ್ನು ನೀವು ಗಮನಿಸಿರಬಹುದು, ಆದರೆ ಇದು ದೋಷವಲ್ಲ.
{9ec60ada-a200-4159-b310-8071892ed0c3}.ocx (ShLd.dll)
OCX ಫೈಲ್ನ ನಿಯಂತ್ರಣ ಹರಿವು ಇತರ OceanLotus ಘಟಕಗಳಿಗೆ ಹೋಲುತ್ತದೆ - ಅನೇಕ ಆದೇಶ ಅನುಕ್ರಮಗಳು JZ/JNZ
и PUSH/RET
, ಕಸದ ಕೋಡ್ನೊಂದಿಗೆ ಪರ್ಯಾಯವಾಗಿ.
ಚಿತ್ರ 11. ಅಸ್ಪಷ್ಟ ಕೋಡ್
ಜಂಕ್ ಕೋಡ್ ಅನ್ನು ಫಿಲ್ಟರ್ ಮಾಡಿದ ನಂತರ, ರಫ್ತು ಮಾಡಿ DllRegisterServer
, ಎಂದು ಕರೆಯುತ್ತಾರೆ regsvr32.exe
, ಕೆಳಗಿನಂತೆ:
ಚಿತ್ರ 12. ಮೂಲ ಅನುಸ್ಥಾಪಕ ಕೋಡ್
ಮೂಲಭೂತವಾಗಿ, ಮೊದಲ ಕರೆಯಲ್ಲಿ DllRegisterServer
ರಫ್ತು ರಿಜಿಸ್ಟ್ರಿ ಮೌಲ್ಯವನ್ನು ಹೊಂದಿಸುತ್ತದೆ HKCUSOFTWAREClassesCLSID{E08A0F4B-1F65-4D4D-9A09-BD4625B9C5A1}Model
DLL ನಲ್ಲಿ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ ಆಫ್ಸೆಟ್ಗಾಗಿ (0x10001DE0
).
ಕಾರ್ಯವನ್ನು ಎರಡನೇ ಬಾರಿಗೆ ಕರೆದಾಗ, ಅದು ಅದೇ ಮೌಲ್ಯವನ್ನು ಓದುತ್ತದೆ ಮತ್ತು ಆ ವಿಳಾಸದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳ್ಳುತ್ತದೆ. ಇಲ್ಲಿಂದ RAM ನಲ್ಲಿ ಸಂಪನ್ಮೂಲ ಮತ್ತು ಅನೇಕ ಕ್ರಿಯೆಗಳನ್ನು ಓದಲಾಗುತ್ತದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ.
ಶೆಲ್ಕೋಡ್ ಹಿಂದಿನ OceanLotus ಪ್ರಚಾರಗಳಲ್ಲಿ ಬಳಸಿದ ಅದೇ PE ಲೋಡರ್ ಆಗಿದೆ. ಇದನ್ನು ಬಳಸಿ ಅನುಕರಿಸಬಹುದು db293b825dcc419ba7dc2c49fa2757ee.dll
, ಅದನ್ನು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸುತ್ತದೆ DllEntry
.
DLL ತನ್ನ ಸಂಪನ್ಮೂಲದ ವಿಷಯಗಳನ್ನು ಹೊರತೆಗೆಯುತ್ತದೆ, ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ (AES-256-CBC) ಮತ್ತು ಡಿಕಂಪ್ರೆಸ್ ಮಾಡುತ್ತದೆ (LZMA). ಸಂಪನ್ಮೂಲವು ಡಿಕಂಪೈಲ್ ಮಾಡಲು ಸುಲಭವಾದ ನಿರ್ದಿಷ್ಟ ಸ್ವರೂಪವನ್ನು ಹೊಂದಿದೆ.
ಚಿತ್ರ 13. ಅನುಸ್ಥಾಪಕ ಸಂರಚನಾ ರಚನೆ (KaitaiStruct Visualizer)
ಕಾನ್ಫಿಗರೇಶನ್ ಅನ್ನು ಸ್ಪಷ್ಟವಾಗಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಲಾಗಿದೆ - ಸವಲತ್ತು ಮಟ್ಟವನ್ನು ಅವಲಂಬಿಸಿ, ಬೈನರಿ ಡೇಟಾವನ್ನು ಬರೆಯಲಾಗುತ್ತದೆ %appdata%IntellogsBackgroundUploadTask.cpl
ಅಥವಾ %windir%System32BackgroundUploadTask.cpl
(ಅಥವಾ SysWOW64
64-ಬಿಟ್ ವ್ಯವಸ್ಥೆಗಳಿಗಾಗಿ).
ಹೆಸರಿನೊಂದಿಗೆ ಕಾರ್ಯವನ್ನು ರಚಿಸುವ ಮೂಲಕ ಮತ್ತಷ್ಟು ನಿರಂತರತೆಯನ್ನು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಲಾಗುತ್ತದೆ BackgroundUploadTask[junk].job
ಅಲ್ಲಿ [junk]
ಬೈಟ್ಗಳ ಗುಂಪನ್ನು ಪ್ರತಿನಿಧಿಸುತ್ತದೆ 0x9D
и 0xA0
.
ಕಾರ್ಯ ಅಪ್ಲಿಕೇಶನ್ ಹೆಸರು %windir%System32control.exe
, ಮತ್ತು ಪ್ಯಾರಾಮೀಟರ್ ಮೌಲ್ಯವು ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಬೈನರಿ ಫೈಲ್ಗೆ ಮಾರ್ಗವಾಗಿದೆ. ಗುಪ್ತ ಕಾರ್ಯವು ಪ್ರತಿದಿನ ನಡೆಯುತ್ತದೆ.
ರಚನಾತ್ಮಕವಾಗಿ, CPL ಫೈಲ್ ಆಂತರಿಕ ಹೆಸರಿನ DLL ಆಗಿದೆ ac8e06de0a6c4483af9837d96504127e.dll
, ಇದು ಕಾರ್ಯವನ್ನು ರಫ್ತು ಮಾಡುತ್ತದೆ CPlApplet
. ಈ ಫೈಲ್ ತನ್ನ ಏಕೈಕ ಸಂಪನ್ಮೂಲವನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡುತ್ತದೆ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
, ನಂತರ ಈ DLL ಅನ್ನು ಲೋಡ್ ಮಾಡುತ್ತದೆ ಮತ್ತು ಅದರ ಏಕೈಕ ರಫ್ತು ಎಂದು ಕರೆಯುತ್ತದೆ DllEntry
.
ಬ್ಯಾಕ್ಡೋರ್ ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್
ಹಿಂಬಾಗಿಲ ಸಂರಚನೆಯನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಅದರ ಸಂಪನ್ಮೂಲಗಳಲ್ಲಿ ಎಂಬೆಡ್ ಮಾಡಲಾಗಿದೆ. ಕಾನ್ಫಿಗರೇಶನ್ ಫೈಲ್ನ ರಚನೆಯು ಹಿಂದಿನದಕ್ಕೆ ಹೋಲುತ್ತದೆ.
ಚಿತ್ರ 14. ಹಿಂಬಾಗಿಲ ಸಂರಚನಾ ರಚನೆ (KaitaiStruct Visualizer)
ರಚನೆಯು ಒಂದೇ ರೀತಿಯದ್ದಾಗಿದ್ದರೂ, ಅನೇಕ ಕ್ಷೇತ್ರ ಮೌಲ್ಯಗಳನ್ನು ತೋರಿಸಿರುವ ಮೌಲ್ಯಗಳಿಂದ ನವೀಕರಿಸಲಾಗಿದೆ
ಬೈನರಿ ರಚನೆಯ ಮೊದಲ ಅಂಶವು DLL ಅನ್ನು ಹೊಂದಿರುತ್ತದೆ (HttpProv.dll
ಎಂಡಿ 5: 2559738D1BD4A999126F900C7357B759
),
ಹೆಚ್ಚುವರಿ ಸಂಶೋಧನೆ
ಮಾದರಿಗಳನ್ನು ಸಂಗ್ರಹಿಸುವಾಗ, ನಾವು ಕೆಲವು ಗುಣಲಕ್ಷಣಗಳನ್ನು ಗಮನಿಸಿದ್ದೇವೆ. ಈಗ ವಿವರಿಸಿದ ಮಾದರಿಯು ಜುಲೈ 2018 ರ ಸುಮಾರಿಗೆ ಕಾಣಿಸಿಕೊಂಡಿತು ಮತ್ತು ಇತರವುಗಳು ಜನವರಿ ಮಧ್ಯದಿಂದ ಫೆಬ್ರವರಿ 2019 ರ ಆರಂಭದಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡವು. SFX ಆರ್ಕೈವ್ ಅನ್ನು ಸೋಂಕಿನ ವೆಕ್ಟರ್ ಆಗಿ ಬಳಸಲಾಯಿತು, ಕಾನೂನುಬದ್ಧ ಡಿಕೋಯ್ ಡಾಕ್ಯುಮೆಂಟ್ ಮತ್ತು ದುರುದ್ದೇಶಪೂರಿತ OSX ಫೈಲ್ ಅನ್ನು ಬಿಡಲಾಯಿತು.
OceanLotus ನಕಲಿ ಟೈಮ್ಸ್ಟ್ಯಾಂಪ್ಗಳನ್ನು ಬಳಸುತ್ತಿದ್ದರೂ, SFX ಮತ್ತು OCX ಫೈಲ್ಗಳ ಟೈಮ್ಸ್ಟ್ಯಾಂಪ್ಗಳು ಯಾವಾಗಲೂ ಒಂದೇ ಆಗಿರುವುದನ್ನು ನಾವು ಗಮನಿಸಿದ್ದೇವೆ (0x57B0C36A
(08/14/2016 @ 7:15pm UTC) ಮತ್ತು 0x498BE80F
(02/06/2009 @ 7:34am UTC) ಕ್ರಮವಾಗಿ). ಲೇಖಕರು ಕೆಲವು ರೀತಿಯ "ಡಿಸೈನರ್" ಅನ್ನು ಹೊಂದಿದ್ದಾರೆ ಎಂದು ಇದು ಬಹುಶಃ ಸೂಚಿಸುತ್ತದೆ, ಅದು ಅದೇ ಟೆಂಪ್ಲೆಟ್ಗಳನ್ನು ಬಳಸುತ್ತದೆ ಮತ್ತು ಕೆಲವು ಗುಣಲಕ್ಷಣಗಳನ್ನು ಸರಳವಾಗಿ ಬದಲಾಯಿಸುತ್ತದೆ.
2018 ರ ಆರಂಭದಿಂದ ನಾವು ಅಧ್ಯಯನ ಮಾಡಿದ ದಾಖಲೆಗಳಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರಿಗೆ ಆಸಕ್ತಿಯ ದೇಶಗಳನ್ನು ಸೂಚಿಸುವ ವಿವಿಧ ಹೆಸರುಗಳಿವೆ:
- ಕಾಂಬೋಡಿಯಾ ಮೀಡಿಯಾದ ಹೊಸ ಸಂಪರ್ಕ ಮಾಹಿತಿ(New).xls.exe
— 李建香 (个人简历).exe (ಸಿವಿಯ ನಕಲಿ ಪಿಡಿಎಫ್ ದಾಖಲೆ)
— ಪ್ರತಿಕ್ರಿಯೆ, ಜುಲೈ 28-29, 2018.exe ನಿಂದ USA ನಲ್ಲಿ ರ್ಯಾಲಿ
ಹಿಂಬಾಗಿಲು ಪತ್ತೆಯಾದಾಗಿನಿಂದ {A96B020F-0000-466F-A96D-A91BBF8EAC96}.dll
ಮತ್ತು ಹಲವಾರು ಸಂಶೋಧಕರು ಅದರ ವಿಶ್ಲೇಷಣೆಯ ಪ್ರಕಟಣೆ, ನಾವು ಮಾಲ್ವೇರ್ ಕಾನ್ಫಿಗರೇಶನ್ ಡೇಟಾದಲ್ಲಿ ಕೆಲವು ಬದಲಾವಣೆಗಳನ್ನು ಗಮನಿಸಿದ್ದೇವೆ.
ಮೊದಲಿಗೆ, ಲೇಖಕರು ಸಹಾಯಕ DLL ಗಳಿಂದ ಹೆಸರುಗಳನ್ನು ತೆಗೆದುಹಾಕಲು ಪ್ರಾರಂಭಿಸಿದರು (DNSprov.dll
ಮತ್ತು ಎರಡು ಆವೃತ್ತಿಗಳು HttpProv.dll
) ನಿರ್ವಾಹಕರು ನಂತರ ಮೂರನೇ DLL (ಎರಡನೇ ಆವೃತ್ತಿ) ಪ್ಯಾಕೇಜಿಂಗ್ ನಿಲ್ಲಿಸಿದರು HttpProv.dll
), ಒಂದನ್ನು ಮಾತ್ರ ಎಂಬೆಡ್ ಮಾಡಲು ಆಯ್ಕೆಮಾಡಲಾಗಿದೆ.
ಎರಡನೆಯದಾಗಿ, ಅನೇಕ ಹಿಂಬಾಗಿಲ ಕಾನ್ಫಿಗರೇಶನ್ ಕ್ಷೇತ್ರಗಳನ್ನು ಬದಲಾಯಿಸಲಾಗಿದೆ, ಅನೇಕ IoC ಗಳು ಲಭ್ಯವಾಗುತ್ತಿದ್ದಂತೆ ಪತ್ತೆಹಚ್ಚುವಿಕೆಯಿಂದ ತಪ್ಪಿಸಿಕೊಳ್ಳುವ ಸಾಧ್ಯತೆಯಿದೆ. ಲೇಖಕರು ಮಾರ್ಪಡಿಸಿದ ಪ್ರಮುಖ ಕ್ಷೇತ್ರಗಳು ಸೇರಿವೆ:
- ಆಪ್ಎಕ್ಸ್ ರಿಜಿಸ್ಟ್ರಿ ಕೀ ಬದಲಾಗಿದೆ (ಐಒಸಿಗಳನ್ನು ನೋಡಿ)
- ಮ್ಯೂಟೆಕ್ಸ್ ಎನ್ಕೋಡಿಂಗ್ ಸ್ಟ್ರಿಂಗ್ ("ಡೆಫ್", "ಎಬಿಸಿ", "ಘಿ")
- ಪೋರ್ಟ್ ಸಂಖ್ಯೆ
ಅಂತಿಮವಾಗಿ, ವಿಶ್ಲೇಷಿಸಿದ ಎಲ್ಲಾ ಹೊಸ ಆವೃತ್ತಿಗಳು IoCs ವಿಭಾಗದಲ್ಲಿ ಪಟ್ಟಿ ಮಾಡಲಾದ ಹೊಸ C&Cಗಳನ್ನು ಹೊಂದಿವೆ.
ಸಂಶೋಧನೆಗಳು
OceanLotus ಅಭಿವೃದ್ಧಿಯನ್ನು ಮುಂದುವರೆಸಿದೆ. ಸೈಬರ್ ಗುಂಪು ಪರಿಕರಗಳು ಮತ್ತು ಡಿಕೋಯ್ಗಳನ್ನು ಪರಿಷ್ಕರಿಸುವ ಮತ್ತು ವಿಸ್ತರಿಸುವುದರ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಿದೆ. ಉದ್ದೇಶಿತ ಬಲಿಪಶುಗಳಿಗೆ ಸಂಬಂಧಿಸಿದ ವಿಷಯವು ಗಮನ ಸೆಳೆಯುವ ದಾಖಲೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಲೇಖಕರು ದುರುದ್ದೇಶಪೂರಿತ ಪೇಲೋಡ್ಗಳನ್ನು ಮರೆಮಾಚುತ್ತಾರೆ. ಅವರು ಹೊಸ ಯೋಜನೆಗಳನ್ನು ಅಭಿವೃದ್ಧಿಪಡಿಸುತ್ತಾರೆ ಮತ್ತು ಈಕ್ವೇಶನ್ ಎಡಿಟರ್ ಶೋಷಣೆಯಂತಹ ಸಾರ್ವಜನಿಕವಾಗಿ ಲಭ್ಯವಿರುವ ಸಾಧನಗಳನ್ನು ಸಹ ಬಳಸುತ್ತಾರೆ. ಇದಲ್ಲದೆ, ಅವರು ಬಲಿಪಶುಗಳ ಯಂತ್ರಗಳಲ್ಲಿ ಉಳಿದಿರುವ ಕಲಾಕೃತಿಗಳ ಸಂಖ್ಯೆಯನ್ನು ಕಡಿಮೆ ಮಾಡಲು ಪರಿಕರಗಳನ್ನು ಸುಧಾರಿಸುತ್ತಿದ್ದಾರೆ, ಇದರಿಂದಾಗಿ ಆಂಟಿವೈರಸ್ ಸಾಫ್ಟ್ವೇರ್ನಿಂದ ಪತ್ತೆಹಚ್ಚುವ ಅವಕಾಶವನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ.
ರಾಜಿ ಸೂಚಕಗಳು
ರಾಜಿ ಸೂಚಕಗಳು ಹಾಗೂ MITER ATT&CK ಗುಣಲಕ್ಷಣಗಳು ಲಭ್ಯವಿವೆ
ಮೂಲ: www.habr.com