RATKing: ದೂರಸ್ಥ ಪ್ರವೇಶ ಟ್ರೋಜನ್ಗಳೊಂದಿಗೆ ಹೊಸ ಪ್ರಚಾರ
ಮೇ ತಿಂಗಳ ಕೊನೆಯಲ್ಲಿ, ರಿಮೋಟ್ ಆಕ್ಸೆಸ್ ಟ್ರೋಜನ್ (RAT) ಮಾಲ್ವೇರ್-ಪ್ರೋಗ್ರಾಂಗಳನ್ನು ವಿತರಿಸುವ ಅಭಿಯಾನವನ್ನು ನಾವು ಕಂಡುಹಿಡಿದಿದ್ದೇವೆ - ದಾಳಿಕೋರರು ಸೋಂಕಿತ ಸಿಸ್ಟಮ್ ಅನ್ನು ದೂರದಿಂದಲೇ ನಿಯಂತ್ರಿಸಲು ಅನುವು ಮಾಡಿಕೊಡುತ್ತದೆ.
ನಾವು ಪರೀಕ್ಷಿಸಿದ ಗುಂಪು ಸೋಂಕಿಗೆ ಯಾವುದೇ ನಿರ್ದಿಷ್ಟ RAT ಕುಟುಂಬವನ್ನು ಆಯ್ಕೆ ಮಾಡಿಲ್ಲ ಎಂಬ ಅಂಶದಿಂದ ಪ್ರತ್ಯೇಕಿಸಲ್ಪಟ್ಟಿದೆ. ಕಾರ್ಯಾಚರಣೆಯೊಳಗಿನ ದಾಳಿಗಳಲ್ಲಿ ಹಲವಾರು ಟ್ರೋಜನ್ಗಳನ್ನು ಗುರುತಿಸಲಾಯಿತು (ಇವುಗಳೆಲ್ಲವೂ ವ್ಯಾಪಕವಾಗಿ ಲಭ್ಯವಿವೆ). ಈ ವೈಶಿಷ್ಟ್ಯದೊಂದಿಗೆ, ಗುಂಪು ಇಲಿ ರಾಜನನ್ನು ನಮಗೆ ನೆನಪಿಸಿತು - ಹೆಣೆದುಕೊಂಡಿರುವ ಬಾಲಗಳನ್ನು ಹೊಂದಿರುವ ದಂಶಕಗಳನ್ನು ಒಳಗೊಂಡಿರುವ ಪೌರಾಣಿಕ ಪ್ರಾಣಿ.
ಮೂಲವನ್ನು K. N. ರೊಸ್ಸಿಕೋವ್ ಅವರ ಮೊನೊಗ್ರಾಫ್ನಿಂದ ತೆಗೆದುಕೊಳ್ಳಲಾಗಿದೆ “ಇಲಿಗಳು ಮತ್ತು ಇಲಿಗಳಂತಹ ದಂಶಕಗಳು, ಆರ್ಥಿಕವಾಗಿ ಅತ್ಯಂತ ಮುಖ್ಯವಾದವು” (1908)
ಈ ಪ್ರಾಣಿಯ ಗೌರವಾರ್ಥವಾಗಿ, ನಾವು RATKing ಅನ್ನು ಪರಿಗಣಿಸುತ್ತಿರುವ ಗುಂಪಿಗೆ ಹೆಸರಿಸಿದ್ದೇವೆ. ಈ ಪೋಸ್ಟ್ನಲ್ಲಿ, ದಾಳಿಕೋರರು ದಾಳಿಯನ್ನು ಹೇಗೆ ನಡೆಸಿದರು, ಅವರು ಯಾವ ಸಾಧನಗಳನ್ನು ಬಳಸಿದರು ಎಂಬುದರ ಕುರಿತು ನಾವು ವಿವರವಾಗಿ ಹೋಗುತ್ತೇವೆ ಮತ್ತು ಈ ಅಭಿಯಾನದ ಗುಣಲಕ್ಷಣದ ಕುರಿತು ನಮ್ಮ ಆಲೋಚನೆಗಳನ್ನು ಹಂಚಿಕೊಳ್ಳುತ್ತೇವೆ.
ದಾಳಿಯ ಪ್ರಗತಿ
ಈ ಕಾರ್ಯಾಚರಣೆಯಲ್ಲಿನ ಎಲ್ಲಾ ದಾಳಿಗಳು ಈ ಕೆಳಗಿನ ಅಲ್ಗಾರಿದಮ್ ಪ್ರಕಾರ ನಡೆದಿವೆ:
ಬಳಕೆದಾರರು Google ಡ್ರೈವ್ಗೆ ಲಿಂಕ್ನೊಂದಿಗೆ ಫಿಶಿಂಗ್ ಇಮೇಲ್ ಅನ್ನು ಸ್ವೀಕರಿಸಿದ್ದಾರೆ.
ಲಿಂಕ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು, ಬಲಿಪಶು ದುರುದ್ದೇಶಪೂರಿತ VBS ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಿದ್ದು ಅದು ವಿಂಡೋಸ್ ರಿಜಿಸ್ಟ್ರಿಗೆ ಅಂತಿಮ ಪೇಲೋಡ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಲು DLL ಲೈಬ್ರರಿಯನ್ನು ನಿರ್ದಿಷ್ಟಪಡಿಸಿತು ಮತ್ತು ಅದನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು PowerShell ಅನ್ನು ಪ್ರಾರಂಭಿಸಿತು.
DLL ಲೈಬ್ರರಿಯು ಅಂತಿಮ ಪೇಲೋಡ್ ಅನ್ನು ಇಂಜೆಕ್ಟ್ ಮಾಡಿತು - ವಾಸ್ತವವಾಗಿ, ದಾಳಿಕೋರರು ಬಳಸುವ RAT ಗಳಲ್ಲಿ ಒಂದಾದ - ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಗೆ ಮತ್ತು ಸೋಂಕಿತ ಯಂತ್ರದಲ್ಲಿ ಹಿಡಿತ ಸಾಧಿಸಲು ಆಟೋರನ್ನಲ್ಲಿ VBS ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ನೋಂದಾಯಿಸಿತು.
ಅಂತಿಮ ಪೇಲೋಡ್ ಅನ್ನು ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಯಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಯಿತು ಮತ್ತು ಆಕ್ರಮಣಕಾರರಿಗೆ ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ನಿಯಂತ್ರಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ನೀಡಿತು.
ಕ್ರಮಬದ್ಧವಾಗಿ ಇದನ್ನು ಈ ರೀತಿ ಪ್ರತಿನಿಧಿಸಬಹುದು:
ಮುಂದೆ, ನಾವು ಮಾಲ್ವೇರ್ ವಿತರಣಾ ಕಾರ್ಯವಿಧಾನದಲ್ಲಿ ಆಸಕ್ತಿ ಹೊಂದಿರುವುದರಿಂದ ನಾವು ಮೊದಲ ಮೂರು ಹಂತಗಳ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸುತ್ತೇವೆ. ಮಾಲ್ವೇರ್ನ ಕಾರ್ಯಾಚರಣೆಯ ಕಾರ್ಯವಿಧಾನವನ್ನು ನಾವು ವಿವರವಾಗಿ ವಿವರಿಸುವುದಿಲ್ಲ. ಅವುಗಳು ವ್ಯಾಪಕವಾಗಿ ಲಭ್ಯವಿವೆ - ವಿಶೇಷ ವೇದಿಕೆಗಳಲ್ಲಿ ಮಾರಲಾಗುತ್ತದೆ, ಅಥವಾ ಮುಕ್ತ ಮೂಲ ಯೋಜನೆಗಳಾಗಿ ವಿತರಿಸಲಾಗುತ್ತದೆ - ಮತ್ತು ಆದ್ದರಿಂದ RATKing ಗುಂಪಿಗೆ ಅನನ್ಯವಾಗಿಲ್ಲ.
ದಾಳಿಯ ಹಂತಗಳ ವಿಶ್ಲೇಷಣೆ
ಹಂತ 1. ಫಿಶಿಂಗ್ ಇಮೇಲ್
ಬಲಿಪಶು ದುರುದ್ದೇಶಪೂರಿತ ಪತ್ರವನ್ನು ಸ್ವೀಕರಿಸುವುದರೊಂದಿಗೆ ದಾಳಿ ಪ್ರಾರಂಭವಾಯಿತು (ದಾಳಿಕೋರರು ಪಠ್ಯದೊಂದಿಗೆ ವಿವಿಧ ಟೆಂಪ್ಲೆಟ್ಗಳನ್ನು ಬಳಸಿದ್ದಾರೆ; ಕೆಳಗಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ ಒಂದು ಉದಾಹರಣೆಯನ್ನು ತೋರಿಸುತ್ತದೆ). ಸಂದೇಶವು ಕಾನೂನುಬದ್ಧ ರೆಪೊಸಿಟರಿಯ ಲಿಂಕ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ drive.google.com, ಇದು PDF ಡಾಕ್ಯುಮೆಂಟ್ ಡೌನ್ಲೋಡ್ ಪುಟಕ್ಕೆ ಕಾರಣವಾಯಿತು.
ಫಿಶಿಂಗ್ ಇಮೇಲ್ ಉದಾಹರಣೆ
ಆದಾಗ್ಯೂ, ವಾಸ್ತವವಾಗಿ, ಇದು ಎಲ್ಲಾ ಲೋಡ್ ಮಾಡಲಾದ PDF ಡಾಕ್ಯುಮೆಂಟ್ ಅಲ್ಲ, ಆದರೆ VBS ಸ್ಕ್ರಿಪ್ಟ್.
ಮೇಲಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿರುವ ಇಮೇಲ್ನಿಂದ ಲಿಂಕ್ ಅನ್ನು ನೀವು ಕ್ಲಿಕ್ ಮಾಡಿದಾಗ, ಫೈಲ್ ಅನ್ನು ಹೆಸರಿಸಲಾಗಿದೆ Cargo Flight Details.vbs. ಈ ವೇಳೆ ದಾಳಿಕೋರರು ಕಡತವನ್ನು ನ್ಯಾಯಸಮ್ಮತ ದಾಖಲೆ ಎಂದು ಮರೆಮಾಚುವ ಪ್ರಯತ್ನವನ್ನೂ ಮಾಡಿಲ್ಲ.
ಅದೇ ಸಮಯದಲ್ಲಿ, ಈ ಅಭಿಯಾನದ ಭಾಗವಾಗಿ, ನಾವು ಹೆಸರಿನ ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದೇವೆ Cargo Trip Detail.pdf.vbs. ವಿಂಡೋಸ್ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಫೈಲ್ ವಿಸ್ತರಣೆಗಳನ್ನು ಮರೆಮಾಡುವ ಕಾರಣ ಇದು ಈಗಾಗಲೇ ಕಾನೂನುಬದ್ಧ PDF ಅನ್ನು ರವಾನಿಸಬಹುದು. ನಿಜ, ಈ ಸಂದರ್ಭದಲ್ಲಿ, VBS ಸ್ಕ್ರಿಪ್ಟ್ಗೆ ಅನುರೂಪವಾಗಿರುವ ಅದರ ಐಕಾನ್ನಿಂದ ಅನುಮಾನವನ್ನು ಇನ್ನೂ ಪ್ರಚೋದಿಸಬಹುದು.
ಈ ಹಂತದಲ್ಲಿ, ಬಲಿಪಶು ವಂಚನೆಯನ್ನು ಗುರುತಿಸಬಹುದು: ಡೌನ್ಲೋಡ್ ಮಾಡಿದ ಫೈಲ್ಗಳನ್ನು ಒಂದು ಸೆಕೆಂಡಿಗೆ ಹತ್ತಿರದಿಂದ ನೋಡಿ. ಆದಾಗ್ಯೂ, ಇಂತಹ ಫಿಶಿಂಗ್ ಅಭಿಯಾನಗಳಲ್ಲಿ, ಆಕ್ರಮಣಕಾರರು ಸಾಮಾನ್ಯವಾಗಿ ಗಮನವಿಲ್ಲದ ಅಥವಾ ನುಗ್ಗುತ್ತಿರುವ ಬಳಕೆದಾರರನ್ನು ಅವಲಂಬಿಸಿರುತ್ತಾರೆ.
ಹಂತ 2. VBS ಸ್ಕ್ರಿಪ್ಟ್ ಕಾರ್ಯಾಚರಣೆ
ಬಳಕೆದಾರರು ಅಜಾಗರೂಕತೆಯಿಂದ ತೆರೆಯಬಹುದಾದ VBS ಸ್ಕ್ರಿಪ್ಟ್, ವಿಂಡೋಸ್ ರಿಜಿಸ್ಟ್ರಿಯಲ್ಲಿ DLL ಲೈಬ್ರರಿಯನ್ನು ನೋಂದಾಯಿಸಿದೆ. ಸ್ಕ್ರಿಪ್ಟ್ ಅಸ್ಪಷ್ಟವಾಗಿದೆ: ಅದರಲ್ಲಿರುವ ಸಾಲುಗಳನ್ನು ಅನಿಯಂತ್ರಿತ ಅಕ್ಷರದಿಂದ ಬೇರ್ಪಡಿಸಿದ ಬೈಟ್ಗಳಾಗಿ ಬರೆಯಲಾಗಿದೆ.
ಅಸ್ಪಷ್ಟ ಸ್ಕ್ರಿಪ್ಟ್ನ ಉದಾಹರಣೆ
ಡಿಯೋಬ್ಫ್ಯೂಸ್ಕೇಶನ್ ಅಲ್ಗಾರಿದಮ್ ತುಂಬಾ ಸರಳವಾಗಿದೆ: ಪ್ರತಿ ಮೂರನೇ ಅಕ್ಷರವನ್ನು ಅಸ್ಪಷ್ಟ ಸ್ಟ್ರಿಂಗ್ನಿಂದ ಹೊರಗಿಡಲಾಗಿದೆ, ಅದರ ನಂತರ ಫಲಿತಾಂಶವನ್ನು ಬೇಸ್ 16 ರಿಂದ ಮೂಲ ಸ್ಟ್ರಿಂಗ್ಗೆ ಡಿಕೋಡ್ ಮಾಡಲಾಗಿದೆ. ಉದಾಹರಣೆಗೆ, ಮೌಲ್ಯದಿಂದ 57Q53s63t72s69J70r74e2El53v68m65j6CH6Ct (ಮೇಲಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿ ಹೈಲೈಟ್ ಮಾಡಲಾಗಿದೆ) ಫಲಿತಾಂಶದ ಸಾಲು WScript.Shell.
ಸ್ಟ್ರಿಂಗ್ಗಳನ್ನು ಡಿಯೋಬ್ಫಸ್ಕೇಟ್ ಮಾಡಲು, ನಾವು ಪೈಥಾನ್ ಕಾರ್ಯವನ್ನು ಬಳಸಿದ್ದೇವೆ:
def decode_str(data_enc):
return binascii.unhexlify(''.join([data_enc[i:i+2] for i in range(0, len(data_enc), 3)]))
ಕೆಳಗೆ, 9-10 ಸಾಲುಗಳಲ್ಲಿ, ಡಿಒಬ್ಫ್ಯೂಸ್ಕೇಶನ್ನಿಂದ DLL ಫೈಲ್ಗೆ ಕಾರಣವಾದ ಮೌಲ್ಯವನ್ನು ನಾವು ಹೈಲೈಟ್ ಮಾಡುತ್ತೇವೆ. ಪವರ್ಶೆಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಮುಂದಿನ ಹಂತದಲ್ಲಿ ಅವರನ್ನು ಪ್ರಾರಂಭಿಸಲಾಯಿತು.
ಅಸ್ಪಷ್ಟ DLL ನೊಂದಿಗೆ ಸ್ಟ್ರಿಂಗ್
VBS ಸ್ಕ್ರಿಪ್ಟ್ನಲ್ಲಿನ ಪ್ರತಿಯೊಂದು ಕಾರ್ಯವನ್ನು ಸ್ಟ್ರಿಂಗ್ಗಳನ್ನು ಡಿಯೋಬ್ಫ್ಯೂಸ್ಕೇಟ್ ಮಾಡಿದ್ದರಿಂದ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಯಿತು.
ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಚಲಾಯಿಸಿದ ನಂತರ, ಕಾರ್ಯವನ್ನು ಕರೆಯಲಾಯಿತು wscript.sleep - ಮುಂದೂಡಲ್ಪಟ್ಟ ಮರಣದಂಡನೆಯನ್ನು ನಿರ್ವಹಿಸಲು ಇದನ್ನು ಬಳಸಲಾಯಿತು.
ಮುಂದೆ, ಸ್ಕ್ರಿಪ್ಟ್ ವಿಂಡೋಸ್ ರಿಜಿಸ್ಟ್ರಿಯೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಿದೆ. ಇದಕ್ಕಾಗಿ ಅವರು WMI ತಂತ್ರಜ್ಞಾನವನ್ನು ಬಳಸಿದರು. ಅದರ ಸಹಾಯದಿಂದ, ಒಂದು ಅನನ್ಯ ಕೀಲಿಯನ್ನು ರಚಿಸಲಾಗಿದೆ, ಮತ್ತು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ನ ದೇಹವನ್ನು ಅದರ ನಿಯತಾಂಕಕ್ಕೆ ಬರೆಯಲಾಗಿದೆ. ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು WMI ಮೂಲಕ ನೋಂದಾವಣೆ ಪ್ರವೇಶಿಸಲಾಗಿದೆ:
ಮೂರನೇ ಹಂತದಲ್ಲಿ, ದುರುದ್ದೇಶಪೂರಿತ DLL ಅಂತಿಮ ಪೇಲೋಡ್ ಅನ್ನು ಲೋಡ್ ಮಾಡಿತು, ಅದನ್ನು ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಗೆ ಇಂಜೆಕ್ಟ್ ಮಾಡಿತು ಮತ್ತು ಬಳಕೆದಾರರು ಲಾಗ್ ಇನ್ ಮಾಡಿದಾಗ VBS ಸ್ಕ್ರಿಪ್ಟ್ ಸ್ವಯಂಪ್ರಾರಂಭಿಸುವುದನ್ನು ಖಚಿತಪಡಿಸುತ್ತದೆ.
PowerShell ಮೂಲಕ ರನ್ ಮಾಡಿ
ಪವರ್ಶೆಲ್ನಲ್ಲಿ ಈ ಕೆಳಗಿನ ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು DLL ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗಿದೆ:
ಹೆಸರಿನೊಂದಿಗೆ ರಿಜಿಸ್ಟ್ರಿ ಮೌಲ್ಯದ ಡೇಟಾವನ್ನು ಸ್ವೀಕರಿಸಲಾಗಿದೆ rnd_value_name - ಈ ಡೇಟಾವು .ನೆಟ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ನಲ್ಲಿ ಬರೆಯಲಾದ DLL ಫೈಲ್ ಆಗಿದೆ;
ಪರಿಣಾಮವಾಗಿ .ನೆಟ್ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಪ್ರಕ್ರಿಯೆ ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡಲಾಗಿದೆ powershell.exe ಕಾರ್ಯವನ್ನು ಬಳಸುವುದು [System.Threading.Thread]::GetDomain().Load()(ಲೋಡ್() ಕಾರ್ಯದ ವಿವರವಾದ ವಿವರಣೆ ಮೈಕ್ರೋಸಾಫ್ಟ್ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಲಭ್ಯವಿದೆ);
ಕಾರ್ಯ ನಿರ್ವಹಿಸಿದರು GUyyvmzVhebFCw]::EhwwK() - DLL ಲೈಬ್ರರಿಯ ಮರಣದಂಡನೆಯು ಅದರೊಂದಿಗೆ ಪ್ರಾರಂಭವಾಯಿತು - ನಿಯತಾಂಕಗಳೊಂದಿಗೆ vbsScriptPath, xorKey, vbsScriptName. ಪ್ಯಾರಾಮೀಟರ್ xorKey ಅಂತಿಮ ಪೇಲೋಡ್ ಮತ್ತು ನಿಯತಾಂಕಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲು ಕೀಲಿಯನ್ನು ಸಂಗ್ರಹಿಸಲಾಗಿದೆ vbsScriptPath и vbsScriptName ಆಟೋರನ್ನಲ್ಲಿ VBS ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ನೋಂದಾಯಿಸಲು ವರ್ಗಾಯಿಸಲಾಯಿತು.
DLL ಲೈಬ್ರರಿಯ ವಿವರಣೆ
ಡಿಕಂಪೈಲ್ಡ್ ರೂಪದಲ್ಲಿ, ಬೂಟ್ಲೋಡರ್ ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಡಿಕಂಪೈಲ್ಡ್ ರೂಪದಲ್ಲಿ ಲೋಡರ್ (ಡಿಎಲ್ಎಲ್ ಲೈಬ್ರರಿಯ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯು ಪ್ರಾರಂಭವಾದ ಕಾರ್ಯವನ್ನು ಕೆಂಪು ಬಣ್ಣದಲ್ಲಿ ಅಂಡರ್ಲೈನ್ ಮಾಡಲಾಗಿದೆ)
ಬೂಟ್ಲೋಡರ್ ಅನ್ನು .ನೆಟ್ ರಿಯಾಕ್ಟರ್ ಪ್ರೊಟೆಕ್ಟರ್ನಿಂದ ರಕ್ಷಿಸಲಾಗಿದೆ. ಈ ರಕ್ಷಕವನ್ನು ತೆಗೆದುಹಾಕುವಲ್ಲಿ de4dot ಉಪಯುಕ್ತತೆಯು ಅತ್ಯುತ್ತಮವಾದ ಕೆಲಸವನ್ನು ಮಾಡುತ್ತದೆ.
ಈ ಲೋಡರ್:
ಸಿಸ್ಟಮ್ ಪ್ರಕ್ರಿಯೆಗೆ ಪೇಲೋಡ್ ಅನ್ನು ಇಂಜೆಕ್ಟ್ ಮಾಡಲಾಗಿದೆ (ಈ ಉದಾಹರಣೆಯಲ್ಲಿ ಇದು svchost.exe);
ನಾನು ಆಟೋರನ್ಗೆ VBS ಸ್ಕ್ರಿಪ್ಟ್ ಅನ್ನು ಸೇರಿಸಿದ್ದೇನೆ.
ಪೇಲೋಡ್ ಇಂಜೆಕ್ಷನ್
ಪವರ್ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ ಕರೆಯುವ ಕಾರ್ಯವನ್ನು ನೋಡೋಣ.
ಪವರ್ಶೆಲ್ ಸ್ಕ್ರಿಪ್ಟ್ನಿಂದ ಕರೆಯಲಾಗುವ ಕಾರ್ಯ
ಈ ಕಾರ್ಯವು ಈ ಕೆಳಗಿನ ಕ್ರಿಯೆಗಳನ್ನು ಮಾಡಿದೆ:
ಎರಡು ಡೇಟಾ ಸೆಟ್ಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ (array и array2 ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿ). ಅವುಗಳನ್ನು ಮೂಲತಃ ಜಿಜಿಪ್ ಬಳಸಿ ಸಂಕುಚಿತಗೊಳಿಸಲಾಯಿತು ಮತ್ತು ಕೀಲಿಯೊಂದಿಗೆ XOR ಅಲ್ಗಾರಿದಮ್ನೊಂದಿಗೆ ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗಿದೆ xorKey;
ನಿಯೋಜಿತ ಮೆಮೊರಿ ಪ್ರದೇಶಗಳಿಗೆ ಡೇಟಾವನ್ನು ನಕಲಿಸಲಾಗಿದೆ. ನಿಂದ ಡೇಟಾ array - ಸೂಚಿಸಿದ ಮೆಮೊರಿ ಪ್ರದೇಶಕ್ಕೆ intPtr (payload pointer ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿ); ನಿಂದ ಡೇಟಾ array2 - ಸೂಚಿಸಿದ ಮೆಮೊರಿ ಪ್ರದೇಶಕ್ಕೆ intPtr2 (shellcode pointer ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿ);
ಕಾರ್ಯವನ್ನು ಕರೆಯಲಾಗುತ್ತದೆ CallWindowProcA(ವಿವರಣೆ ಈ ಕಾರ್ಯವು ಮೈಕ್ರೋಸಾಫ್ಟ್ ವೆಬ್ಸೈಟ್ನಲ್ಲಿ ಲಭ್ಯವಿದೆ) ಕೆಳಗಿನ ನಿಯತಾಂಕಗಳೊಂದಿಗೆ (ಪ್ಯಾರಾಮೀಟರ್ಗಳ ಹೆಸರುಗಳನ್ನು ಕೆಳಗೆ ಪಟ್ಟಿ ಮಾಡಲಾಗಿದೆ, ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿ ಅವು ಒಂದೇ ಕ್ರಮದಲ್ಲಿವೆ, ಆದರೆ ಕೆಲಸದ ಮೌಲ್ಯಗಳೊಂದಿಗೆ):
lpPrevWndFunc - ಡೇಟಾಗೆ ಪಾಯಿಂಟರ್ array2;
hWnd - ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗೆ ಮಾರ್ಗವನ್ನು ಹೊಂದಿರುವ ಸ್ಟ್ರಿಂಗ್ಗೆ ಪಾಯಿಂಟರ್ svchost.exe;
Msg - ಡೇಟಾಗೆ ಪಾಯಿಂಟರ್ array;
wParam, lParam - ಸಂದೇಶ ನಿಯತಾಂಕಗಳು (ಈ ಸಂದರ್ಭದಲ್ಲಿ, ಈ ನಿಯತಾಂಕಗಳನ್ನು ಬಳಸಲಾಗಿಲ್ಲ ಮತ್ತು 0 ಮೌಲ್ಯಗಳನ್ನು ಹೊಂದಿತ್ತು);
ಫೈಲ್ ಅನ್ನು ರಚಿಸಲಾಗಿದೆ %AppData%MicrosoftWindowsStart MenuProgramsStartup<name>.urlಅಲ್ಲಿ <name> - ಇವುಗಳು ನಿಯತಾಂಕದ ಮೊದಲ 4 ಅಕ್ಷರಗಳಾಗಿವೆ vbsScriptName (ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿ, ಈ ಕ್ರಿಯೆಯೊಂದಿಗೆ ಕೋಡ್ ತುಣುಕು ಆಜ್ಞೆಯೊಂದಿಗೆ ಪ್ರಾರಂಭವಾಗುತ್ತದೆ File.Copy) ಈ ರೀತಿಯಾಗಿ, ಬಳಕೆದಾರರು ಲಾಗ್ ಇನ್ ಮಾಡಿದಾಗ ಮಾಲ್ವೇರ್ ಸ್ವಯಂಚಾಲಿತ ಫೈಲ್ಗಳ ಪಟ್ಟಿಗೆ URL ಫೈಲ್ ಅನ್ನು ಸೇರಿಸುತ್ತದೆ ಮತ್ತು ಸೋಂಕಿತ ಕಂಪ್ಯೂಟರ್ಗೆ ಲಗತ್ತಿಸಲಾಗಿದೆ. URL ಫೈಲ್ ಸ್ಕ್ರಿಪ್ಟ್ಗೆ ಲಿಂಕ್ ಅನ್ನು ಒಳಗೊಂಡಿದೆ:
ಇಂಜೆಕ್ಷನ್ ಅನ್ನು ಹೇಗೆ ನಡೆಸಲಾಯಿತು ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು, ನಾವು ಡೇಟಾ ಅರೇಗಳನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಿದ್ದೇವೆ array и array2. ಇದನ್ನು ಮಾಡಲು ನಾವು ಈ ಕೆಳಗಿನ ಪೈಥಾನ್ ಕಾರ್ಯವನ್ನು ಬಳಸಿದ್ದೇವೆ:
def decrypt(data, key):
return gzip.decompress(
bytearray([data[i] ^ key[i % len(key)] for i in range(len(data))])[4:])
ಪರಿಣಾಮವಾಗಿ, ನಾವು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ:
array PE ಫೈಲ್ ಆಗಿತ್ತು - ಇದು ಅಂತಿಮ ಪೇಲೋಡ್ ಆಗಿದೆ;
array2 ಇಂಜೆಕ್ಷನ್ ಅನ್ನು ಕೈಗೊಳ್ಳಲು ಅಗತ್ಯವಿರುವ ಶೆಲ್ಕೋಡ್ ಆಗಿತ್ತು.
ರಚನೆಯಿಂದ ಶೆಲ್ಕೋಡ್ array2 ಕಾರ್ಯ ಮೌಲ್ಯವಾಗಿ ಅಂಗೀಕರಿಸಲಾಗಿದೆ lpPrevWndFunc ಒಂದು ಕಾರ್ಯಕ್ಕೆ CallWindowProcA. lpPrevWndFunc - ಕಾಲ್ಬ್ಯಾಕ್ ಕಾರ್ಯ, ಅದರ ಮೂಲಮಾದರಿಯು ಈ ರೀತಿ ಕಾಣುತ್ತದೆ:
ಆದ್ದರಿಂದ ನೀವು ಕಾರ್ಯವನ್ನು ಚಲಾಯಿಸಿದಾಗ CallWindowProcA ನಿಯತಾಂಕಗಳೊಂದಿಗೆ hWnd, Msg, wParam, lParam ರಚನೆಯಿಂದ ಶೆಲ್ಕೋಡ್ ಅನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ array2 ವಾದಗಳೊಂದಿಗೆ hWnd и Msg. hWnd ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗೆ ಮಾರ್ಗವನ್ನು ಹೊಂದಿರುವ ಸ್ಟ್ರಿಂಗ್ಗೆ ಪಾಯಿಂಟರ್ ಆಗಿದೆ svchost.exeಮತ್ತು Msg - ಅಂತಿಮ ಪೇಲೋಡ್ಗೆ ಪಾಯಿಂಟರ್.
ಶೆಲ್ಕೋಡ್ನಿಂದ ಕಾರ್ಯ ವಿಳಾಸಗಳನ್ನು ಸ್ವೀಕರಿಸಲಾಗಿದೆ kernel32.dll и ntdll32.dll ಅವರ ಹೆಸರುಗಳಿಂದ ಹ್ಯಾಶ್ ಮೌಲ್ಯಗಳನ್ನು ಆಧರಿಸಿ ಮತ್ತು ಪ್ರಕ್ರಿಯೆಯ ಮೆಮೊರಿಗೆ ಅಂತಿಮ ಪೇಲೋಡ್ ಅನ್ನು ಚುಚ್ಚಲಾಗುತ್ತದೆ svchost.exeಪ್ರಕ್ರಿಯೆ ಹಾಲೋವಿಂಗ್ ತಂತ್ರವನ್ನು ಬಳಸುವುದು (ನೀವು ಇದರ ಬಗ್ಗೆ ಇನ್ನಷ್ಟು ಓದಬಹುದು ಲೇಖನ) ಶೆಲ್ಕೋಡ್ ಅನ್ನು ಚುಚ್ಚುವಾಗ:
ಒಂದು ಪ್ರಕ್ರಿಯೆಯನ್ನು ರಚಿಸಲಾಗಿದೆ svchost.exe ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ಅಮಾನತುಗೊಳಿಸಿದ ಸ್ಥಿತಿಯಲ್ಲಿ CreateProcessW;
ನಂತರ ಪ್ರಕ್ರಿಯೆಯ ವಿಳಾಸ ಜಾಗದಲ್ಲಿ ವಿಭಾಗದ ಪ್ರದರ್ಶನವನ್ನು ಮರೆಮಾಡಲಾಗಿದೆ svchost.exe ಕಾರ್ಯವನ್ನು ಬಳಸುವುದು NtUnmapViewOfSection. ಹೀಗಾಗಿ, ಪ್ರೋಗ್ರಾಂ ಮೂಲ ಪ್ರಕ್ರಿಯೆಯ ಸ್ಮರಣೆಯನ್ನು ಮುಕ್ತಗೊಳಿಸಿತು svchost.exeನಂತರ ಈ ವಿಳಾಸದಲ್ಲಿ ಪೇಲೋಡ್ಗಾಗಿ ಮೆಮೊರಿಯನ್ನು ನಿಯೋಜಿಸಲು;
ಪ್ರಕ್ರಿಯೆಯ ವಿಳಾಸ ಜಾಗದಲ್ಲಿ ಪೇಲೋಡ್ಗಾಗಿ ಮೆಮೊರಿಯನ್ನು ನಿಯೋಜಿಸಲಾಗಿದೆ svchost.exe ಕಾರ್ಯವನ್ನು ಬಳಸುವುದು VirtualAllocEx;
ಇಂಜೆಕ್ಷನ್ ಪ್ರಕ್ರಿಯೆಯ ಪ್ರಾರಂಭ
ಪೇಲೋಡ್ನ ವಿಷಯಗಳನ್ನು ಪ್ರಕ್ರಿಯೆಯ ವಿಳಾಸದ ಜಾಗಕ್ಕೆ ಬರೆದರು svchost.exe ಕಾರ್ಯವನ್ನು ಬಳಸುವುದು WriteProcessMemory (ಕೆಳಗಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ನಲ್ಲಿರುವಂತೆ);
ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪುನರಾರಂಭಿಸಿದರು svchost.exe ಕಾರ್ಯವನ್ನು ಬಳಸುವುದು ResumeThread.
ಇಂಜೆಕ್ಷನ್ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಪೂರ್ಣಗೊಳಿಸುವುದು
ಡೌನ್ಲೋಡ್ ಮಾಡಬಹುದಾದ ಮಾಲ್ವೇರ್
ವಿವರಿಸಿದ ಕ್ರಿಯೆಗಳ ಪರಿಣಾಮವಾಗಿ, ಸೋಂಕಿತ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಹಲವಾರು RAT-ವರ್ಗದ ಮಾಲ್ವೇರ್ಗಳಲ್ಲಿ ಒಂದನ್ನು ಸ್ಥಾಪಿಸಲಾಗಿದೆ. ಕೆಳಗಿನ ಕೋಷ್ಟಕವು ದಾಳಿಯಲ್ಲಿ ಬಳಸಿದ ಮಾಲ್ವೇರ್ ಅನ್ನು ಪಟ್ಟಿ ಮಾಡುತ್ತದೆ, ಮಾದರಿಗಳು ಒಂದೇ ಆಜ್ಞೆ ಮತ್ತು ನಿಯಂತ್ರಣ ಸರ್ವರ್ ಅನ್ನು ಪ್ರವೇಶಿಸಿದ ಕಾರಣ ದಾಳಿಕೋರರ ಒಂದು ಗುಂಪಿಗೆ ನಾವು ವಿಶ್ವಾಸದಿಂದ ಆರೋಪಿಸಬಹುದು.
ಅದೇ ನಿಯಂತ್ರಣ ಸರ್ವರ್ನೊಂದಿಗೆ ವಿತರಿಸಲಾದ ಮಾಲ್ವೇರ್ನ ಉದಾಹರಣೆಗಳು
ಇಲ್ಲಿ ಎರಡು ಸಂಗತಿಗಳು ಗಮನ ಸೆಳೆಯುತ್ತವೆ.
ಮೊದಲನೆಯದಾಗಿ, ದಾಳಿಕೋರರು ಹಲವಾರು ವಿಭಿನ್ನ RAT ಕುಟುಂಬಗಳನ್ನು ಏಕಕಾಲದಲ್ಲಿ ಬಳಸಿದ್ದಾರೆ. ಈ ನಡವಳಿಕೆಯು ಸುಪ್ರಸಿದ್ಧ ಸೈಬರ್ ಗುಂಪುಗಳಿಗೆ ವಿಶಿಷ್ಟವಲ್ಲ, ಅದು ಅವರಿಗೆ ಪರಿಚಿತವಾಗಿರುವ ಸರಿಸುಮಾರು ಒಂದೇ ರೀತಿಯ ಸಾಧನಗಳನ್ನು ಬಳಸುತ್ತದೆ.
ಎರಡನೆಯದಾಗಿ, RATKing ಮಾಲ್ವೇರ್ ಅನ್ನು ಬಳಸಿದೆ, ಅದು ಕಡಿಮೆ ಬೆಲೆಗೆ ವಿಶೇಷ ವೇದಿಕೆಗಳಲ್ಲಿ ಮಾರಾಟವಾಗುತ್ತದೆ ಅಥವಾ ಮುಕ್ತ ಮೂಲ ಯೋಜನೆಯಾಗಿದೆ.
ಅಭಿಯಾನದಲ್ಲಿ ಬಳಸಲಾದ ಮಾಲ್ವೇರ್ಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿಯನ್ನು-ಒಂದು ಪ್ರಮುಖ ಎಚ್ಚರಿಕೆಯೊಂದಿಗೆ-ಲೇಖನದ ಕೊನೆಯಲ್ಲಿ ನೀಡಲಾಗಿದೆ.
ಗುಂಪಿನ ಬಗ್ಗೆ
ವಿವರಿಸಿದ ದುರುದ್ದೇಶಪೂರಿತ ಕಾರ್ಯಾಚರಣೆಯನ್ನು ಯಾವುದೇ ತಿಳಿದಿರುವ ದಾಳಿಕೋರರಿಗೆ ನಾವು ಆರೋಪಿಸಲು ಸಾಧ್ಯವಿಲ್ಲ. ಸದ್ಯಕ್ಕೆ, ಈ ದಾಳಿಗಳನ್ನು ಮೂಲಭೂತವಾಗಿ ಹೊಸ ಗುಂಪಿನಿಂದ ನಡೆಸಲಾಗಿದೆ ಎಂದು ನಾವು ನಂಬುತ್ತೇವೆ. ನಾವು ಆರಂಭದಲ್ಲಿ ಬರೆದಂತೆ, ನಾವು ಅದನ್ನು RATKing ಎಂದು ಕರೆದಿದ್ದೇವೆ.
VBS ಸ್ಕ್ರಿಪ್ಟ್ ರಚಿಸಲು, ಗುಂಪು ಬಹುಶಃ ಉಪಯುಕ್ತತೆಯನ್ನು ಹೋಲುವ ಸಾಧನವನ್ನು ಬಳಸಿದೆ ವಿಬಿಎಸ್-ಕ್ರಿಪ್ಟರ್ ಡೆವಲಪರ್ನಿಂದ NYAN-x-CAT. ದಾಳಿಕೋರರ ಸ್ಕ್ರಿಪ್ಟ್ನೊಂದಿಗೆ ಈ ಪ್ರೋಗ್ರಾಂ ರಚಿಸುವ ಸ್ಕ್ರಿಪ್ಟ್ನ ಹೋಲಿಕೆಯಿಂದ ಇದನ್ನು ಸೂಚಿಸಲಾಗುತ್ತದೆ. ನಿರ್ದಿಷ್ಟವಾಗಿ, ಅವರಿಬ್ಬರೂ:
ಕಾರ್ಯವನ್ನು ಬಳಸಿಕೊಂಡು ವಿಳಂಬವಾದ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ನಿರ್ವಹಿಸಿ Sleep;
WMI ಬಳಸಿ;
ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ನ ದೇಹವನ್ನು ನೋಂದಾವಣೆ ಕೀ ನಿಯತಾಂಕವಾಗಿ ನೋಂದಾಯಿಸಿ;
ಪವರ್ಶೆಲ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಈ ಫೈಲ್ ಅನ್ನು ಅದರ ಸ್ವಂತ ವಿಳಾಸ ಜಾಗದಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಿ.
ಸ್ಪಷ್ಟತೆಗಾಗಿ, ರಿಜಿಸ್ಟ್ರಿಯಿಂದ ಫೈಲ್ ಅನ್ನು ಚಲಾಯಿಸಲು ಪವರ್ಶೆಲ್ ಆಜ್ಞೆಯನ್ನು ಹೋಲಿಕೆ ಮಾಡಿ, ಇದನ್ನು VBS-ಕ್ರಿಪ್ಟರ್ ಬಳಸಿ ರಚಿಸಲಾದ ಸ್ಕ್ರಿಪ್ಟ್ನಿಂದ ಬಳಸಲಾಗುತ್ತದೆ:
ದಾಳಿಕೋರರು NYAN-x-CAT ನಿಂದ ಮತ್ತೊಂದು ಉಪಯುಕ್ತತೆಯನ್ನು ಪೇಲೋಡ್ಗಳಲ್ಲಿ ಒಂದಾಗಿ ಬಳಸಿದ್ದಾರೆ ಎಂಬುದನ್ನು ಗಮನಿಸಿ - ಲಿಮೆರಾಟ್.
C&C ಸರ್ವರ್ಗಳ ವಿಳಾಸಗಳು RATKing ನ ಮತ್ತೊಂದು ವಿಶಿಷ್ಟ ಲಕ್ಷಣವನ್ನು ಸೂಚಿಸುತ್ತವೆ: ಗುಂಪು ಡೈನಾಮಿಕ್ DNS ಸೇವೆಗಳಿಗೆ ಆದ್ಯತೆ ನೀಡುತ್ತದೆ (IoC ಕೋಷ್ಟಕದಲ್ಲಿ C&Cಗಳ ಪಟ್ಟಿಯನ್ನು ನೋಡಿ).
IoC
ಕೆಳಗಿನ ಕೋಷ್ಟಕವು VBS ಸ್ಕ್ರಿಪ್ಟ್ಗಳ ಸಂಪೂರ್ಣ ಪಟ್ಟಿಯನ್ನು ಒದಗಿಸುತ್ತದೆ, ಅದು ಹೆಚ್ಚಾಗಿ ವಿವರಿಸಿದ ಪ್ರಚಾರಕ್ಕೆ ಕಾರಣವಾಗಿದೆ. ಈ ಎಲ್ಲಾ ಸ್ಕ್ರಿಪ್ಟ್ಗಳು ಹೋಲುತ್ತವೆ ಮತ್ತು ಸರಿಸುಮಾರು ಒಂದೇ ರೀತಿಯ ಕ್ರಮಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತವೆ. ಇವೆಲ್ಲವೂ RAT ವರ್ಗದ ಮಾಲ್ವೇರ್ ಅನ್ನು ವಿಶ್ವಾಸಾರ್ಹ ವಿಂಡೋಸ್ ಪ್ರಕ್ರಿಯೆಗೆ ಸೇರಿಸುತ್ತವೆ. ಅವರೆಲ್ಲರೂ C&C ವಿಳಾಸಗಳನ್ನು ಡೈನಾಮಿಕ್ DNS ಸೇವೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ನೋಂದಾಯಿಸಿಕೊಂಡಿದ್ದಾರೆ.
ಆದಾಗ್ಯೂ, ಈ ಎಲ್ಲಾ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಒಂದೇ ದಾಳಿಕೋರರಿಂದ ವಿತರಿಸಲಾಗಿದೆ ಎಂದು ನಾವು ಹೇಳಿಕೊಳ್ಳಲಾಗುವುದಿಲ್ಲ, ಅದೇ C&C ವಿಳಾಸಗಳೊಂದಿಗೆ ಮಾದರಿಗಳನ್ನು ಹೊರತುಪಡಿಸಿ (ಉದಾಹರಣೆಗೆ, kimjoy007.dyndns.org).