ಕಳೆದ ವರ್ಷದ ಅಂತ್ಯದಿಂದ, ನಾವು ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ ಅನ್ನು ವಿತರಿಸಲು ಹೊಸ ದುರುದ್ದೇಶಪೂರಿತ ಅಭಿಯಾನವನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ಪ್ರಾರಂಭಿಸಿದ್ದೇವೆ. ದಾಳಿಕೋರರು ರಷ್ಯಾದ ಕಂಪನಿಗಳಿಗೆ, ಅಂದರೆ ಕಾರ್ಪೊರೇಟ್ ಬಳಕೆದಾರರಿಗೆ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುವುದರ ಮೇಲೆ ಕೇಂದ್ರೀಕರಿಸಿದ್ದಾರೆ. ದುರುದ್ದೇಶಪೂರಿತ ಅಭಿಯಾನವು ಕನಿಷ್ಠ ಒಂದು ವರ್ಷದವರೆಗೆ ಸಕ್ರಿಯವಾಗಿತ್ತು ಮತ್ತು ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ ಜೊತೆಗೆ ದಾಳಿಕೋರರು ಹಲವಾರು ಇತರ ಸಾಫ್ಟ್ವೇರ್ ಪರಿಕರಗಳನ್ನು ಬಳಸಿದರು. ಇವುಗಳು ಬಳಸಿಕೊಂಡು ಪ್ಯಾಕೇಜ್ ಮಾಡಲಾದ ವಿಶೇಷ ಲೋಡರ್ ಅನ್ನು ಒಳಗೊಂಡಿವೆ , ಮತ್ತು ಸ್ಪೈವೇರ್, ಇದು ಸುಪ್ರಸಿದ್ಧ ಕಾನೂನುಬದ್ಧ Yandex Punto ಸಾಫ್ಟ್ವೇರ್ ವೇಷದಲ್ಲಿದೆ. ದಾಳಿಕೋರರು ಬಲಿಪಶುವಿನ ಕಂಪ್ಯೂಟರ್ ಅನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ನಿರ್ವಹಿಸಿದ ನಂತರ, ಅವರು ಹಿಂಬಾಗಿಲನ್ನು ಸ್ಥಾಪಿಸುತ್ತಾರೆ ಮತ್ತು ನಂತರ ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತಾರೆ.
ಅವರ ಮಾಲ್ವೇರ್ಗಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಹಲವಾರು ಮಾನ್ಯ (ಆ ಸಮಯದಲ್ಲಿ) ಡಿಜಿಟಲ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಮತ್ತು AV ಉತ್ಪನ್ನಗಳನ್ನು ಬೈಪಾಸ್ ಮಾಡಲು ವಿಶೇಷ ವಿಧಾನಗಳನ್ನು ಬಳಸಿದರು. ದುರುದ್ದೇಶಪೂರಿತ ಅಭಿಯಾನವು ಹೆಚ್ಚಿನ ಸಂಖ್ಯೆಯ ರಷ್ಯಾದ ಬ್ಯಾಂಕುಗಳನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದೆ ಮತ್ತು ನಿರ್ದಿಷ್ಟ ಆಸಕ್ತಿಯನ್ನು ಹೊಂದಿದೆ ಏಕೆಂದರೆ ದಾಳಿಕೋರರು ಸಾಮಾನ್ಯವಾಗಿ ಉದ್ದೇಶಿತ ದಾಳಿಗಳಲ್ಲಿ ಬಳಸಲಾಗುವ ವಿಧಾನಗಳನ್ನು ಬಳಸಿದ್ದಾರೆ, ಅಂದರೆ ಕೇವಲ ಹಣಕಾಸಿನ ವಂಚನೆಯಿಂದ ಪ್ರೇರೇಪಿಸಲ್ಪಡದ ದಾಳಿಗಳು. ಈ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಚಾರ ಮತ್ತು ಈ ಹಿಂದೆ ಉತ್ತಮ ಪ್ರಚಾರ ಪಡೆದ ಪ್ರಮುಖ ಘಟನೆಯ ನಡುವಿನ ಕೆಲವು ಸಾಮ್ಯತೆಗಳನ್ನು ನಾವು ಗಮನಿಸಬಹುದು. ನಾವು ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ ಅನ್ನು ಬಳಸಿದ ಸೈಬರ್ ಕ್ರಿಮಿನಲ್ ಗುಂಪಿನ ಬಗ್ಗೆ ಮಾತನಾಡುತ್ತಿದ್ದೇವೆ /.
ಆಕ್ರಮಣಕಾರರು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ವಿಂಡೋಸ್ (ಸ್ಥಳೀಕರಣ) ನಲ್ಲಿ ರಷ್ಯನ್ ಭಾಷೆಯನ್ನು ಬಳಸುವ ಕಂಪ್ಯೂಟರ್ಗಳಲ್ಲಿ ಮಾತ್ರ ಮಾಲ್ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ್ದಾರೆ. ಟ್ರೋಜನ್ನ ಮುಖ್ಯ ವಿತರಣಾ ವೆಕ್ಟರ್ ಶೋಷಣೆಯೊಂದಿಗೆ ವರ್ಡ್ ಡಾಕ್ಯುಮೆಂಟ್ ಆಗಿತ್ತು. , ಇದನ್ನು ಡಾಕ್ಯುಮೆಂಟ್ಗೆ ಲಗತ್ತಾಗಿ ಕಳುಹಿಸಲಾಗಿದೆ. ಕೆಳಗಿನ ಸ್ಕ್ರೀನ್ಶಾಟ್ಗಳು ಅಂತಹ ನಕಲಿ ದಾಖಲೆಗಳ ನೋಟವನ್ನು ತೋರಿಸುತ್ತವೆ. ಮೊದಲ ಡಾಕ್ಯುಮೆಂಟ್ "ಇನ್ವಾಯ್ಸ್ ಸಂಖ್ಯೆ. 522375-FLORL-14-115.doc", ಮತ್ತು ಎರಡನೆಯದು "kontrakt87.doc", ಇದು ಮೊಬೈಲ್ ಆಪರೇಟರ್ Megafon ನಿಂದ ದೂರಸಂಪರ್ಕ ಸೇವೆಗಳನ್ನು ಒದಗಿಸುವ ಒಪ್ಪಂದದ ಪ್ರತಿಯಾಗಿದೆ.
ಅಕ್ಕಿ. 1. ಫಿಶಿಂಗ್ ಡಾಕ್ಯುಮೆಂಟ್.
ಅಕ್ಕಿ. 2. ಫಿಶಿಂಗ್ ಡಾಕ್ಯುಮೆಂಟ್ನ ಮತ್ತೊಂದು ಮಾರ್ಪಾಡು.
ದಾಳಿಕೋರರು ರಷ್ಯಾದ ವ್ಯವಹಾರಗಳನ್ನು ಗುರಿಯಾಗಿಸಿಕೊಂಡಿದ್ದಾರೆ ಎಂದು ಕೆಳಗಿನ ಸಂಗತಿಗಳು ಸೂಚಿಸುತ್ತವೆ:
- ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ವಿಷಯದ ಮೇಲೆ ನಕಲಿ ದಾಖಲೆಗಳನ್ನು ಬಳಸಿಕೊಂಡು ಮಾಲ್ವೇರ್ ವಿತರಣೆ;
- ಆಕ್ರಮಣಕಾರರ ತಂತ್ರಗಳು ಮತ್ತು ಅವರು ಬಳಸುವ ದುರುದ್ದೇಶಪೂರಿತ ಸಾಧನಗಳು;
- ಕೆಲವು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಮಾಡ್ಯೂಲ್ಗಳಲ್ಲಿ ವ್ಯಾಪಾರ ಅಪ್ಲಿಕೇಶನ್ಗಳಿಗೆ ಲಿಂಕ್ಗಳು;
- ಈ ಅಭಿಯಾನದಲ್ಲಿ ಬಳಸಲಾದ ದುರುದ್ದೇಶಪೂರಿತ ಡೊಮೇನ್ಗಳ ಹೆಸರುಗಳು.
ದಾಳಿಕೋರರು ರಾಜಿ ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಸ್ಥಾಪಿಸುವ ವಿಶೇಷ ಸಾಫ್ಟ್ವೇರ್ ಪರಿಕರಗಳು ಸಿಸ್ಟಮ್ನ ರಿಮೋಟ್ ಕಂಟ್ರೋಲ್ ಅನ್ನು ಪಡೆಯಲು ಮತ್ತು ಬಳಕೆದಾರರ ಚಟುವಟಿಕೆಯನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು ಅನುಮತಿಸುತ್ತದೆ. ಈ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸಲು, ಅವರು ಹಿಂಬಾಗಿಲನ್ನು ಸ್ಥಾಪಿಸುತ್ತಾರೆ ಮತ್ತು ವಿಂಡೋಸ್ ಖಾತೆಯ ಪಾಸ್ವರ್ಡ್ ಅನ್ನು ಪಡೆಯಲು ಅಥವಾ ಹೊಸ ಖಾತೆಯನ್ನು ರಚಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಾರೆ. ಆಕ್ರಮಣಕಾರರು ಕೀಲಾಗರ್ (ಕೀಲಾಗರ್), ವಿಂಡೋಸ್ ಕ್ಲಿಪ್ಬೋರ್ಡ್ ಕದಿಯುವವರ ಸೇವೆಗಳು ಮತ್ತು ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ವಿಶೇಷ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಸಹ ಆಶ್ರಯಿಸುತ್ತಾರೆ. ಈ ಗುಂಪು ಬಲಿಪಶುವಿನ ಕಂಪ್ಯೂಟರ್ನಂತೆ ಅದೇ ಸ್ಥಳೀಯ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿರುವ ಇತರ ಕಂಪ್ಯೂಟರ್ಗಳನ್ನು ರಾಜಿ ಮಾಡಲು ಪ್ರಯತ್ನಿಸಿತು.
ಮಾಲ್ವೇರ್ ವಿತರಣಾ ಅಂಕಿಅಂಶಗಳನ್ನು ತ್ವರಿತವಾಗಿ ಟ್ರ್ಯಾಕ್ ಮಾಡಲು ನಮಗೆ ಅನುಮತಿಸುವ ನಮ್ಮ ESET ಲೈವ್ಗ್ರಿಡ್ ಟೆಲಿಮೆಟ್ರಿ ಸಿಸ್ಟಮ್, ಪ್ರಸ್ತಾಪಿಸಲಾದ ಅಭಿಯಾನದಲ್ಲಿ ದಾಳಿಕೋರರು ಬಳಸಿದ ಮಾಲ್ವೇರ್ ವಿತರಣೆಯ ಕುರಿತು ಆಸಕ್ತಿದಾಯಕ ಭೌಗೋಳಿಕ ಅಂಕಿಅಂಶಗಳನ್ನು ನಮಗೆ ಒದಗಿಸಿದೆ.
ಅಕ್ಕಿ. 3. ಈ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಚಾರದಲ್ಲಿ ಬಳಸಲಾದ ಮಾಲ್ವೇರ್ನ ಭೌಗೋಳಿಕ ವಿತರಣೆಯ ಅಂಕಿಅಂಶಗಳು.
ಮಾಲ್ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲಾಗುತ್ತಿದೆ
ದುರ್ಬಲ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ದುರ್ಬಳಕೆಯೊಂದಿಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಡಾಕ್ಯುಮೆಂಟ್ ಅನ್ನು ಬಳಕೆದಾರರು ತೆರೆದ ನಂತರ, NSIS ಅನ್ನು ಬಳಸಿಕೊಂಡು ಪ್ಯಾಕೇಜ್ ಮಾಡಲಾದ ವಿಶೇಷ ಡೌನ್ಲೋಡರ್ ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಅಲ್ಲಿ ಕಾರ್ಯಗತಗೊಳಿಸಲಾಗುತ್ತದೆ. ಅದರ ಕೆಲಸದ ಆರಂಭದಲ್ಲಿ, ಪ್ರೋಗ್ರಾಂ ವಿಂಡೋಸ್ ಪರಿಸರವನ್ನು ಅಲ್ಲಿ ಡೀಬಗರ್ಗಳ ಉಪಸ್ಥಿತಿಗಾಗಿ ಅಥವಾ ವರ್ಚುವಲ್ ಯಂತ್ರದ ಸಂದರ್ಭದಲ್ಲಿ ಚಾಲನೆಯಲ್ಲಿ ಪರಿಶೀಲಿಸುತ್ತದೆ. ಇದು ವಿಂಡೋಸ್ನ ಸ್ಥಳೀಕರಣವನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ ಮತ್ತು ಬ್ರೌಸರ್ನಲ್ಲಿನ ಕೋಷ್ಟಕದಲ್ಲಿ ಕೆಳಗೆ ಪಟ್ಟಿ ಮಾಡಲಾದ URL ಗಳನ್ನು ಬಳಕೆದಾರರು ಭೇಟಿ ಮಾಡಿದ್ದಾರೆಯೇ ಎಂದು ಪರಿಶೀಲಿಸುತ್ತದೆ. ಇದಕ್ಕಾಗಿ API ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ FindFirst/NextUrlCacheEntry ಮತ್ತು SoftwareMicrosoftInternet ExplorerTypedURLs ರಿಜಿಸ್ಟ್ರಿ ಕೀ.
ಬೂಟ್ಲೋಡರ್ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಈ ಕೆಳಗಿನ ಅಪ್ಲಿಕೇಶನ್ಗಳ ಉಪಸ್ಥಿತಿಯನ್ನು ಪರಿಶೀಲಿಸುತ್ತದೆ.
ಪ್ರಕ್ರಿಯೆಗಳ ಪಟ್ಟಿಯು ನಿಜವಾಗಿಯೂ ಪ್ರಭಾವಶಾಲಿಯಾಗಿದೆ ಮತ್ತು ನೀವು ನೋಡುವಂತೆ, ಇದು ಬ್ಯಾಂಕಿಂಗ್ ಅಪ್ಲಿಕೇಶನ್ಗಳನ್ನು ಮಾತ್ರ ಒಳಗೊಂಡಿದೆ. ಉದಾಹರಣೆಗೆ, "scardsvr.exe" ಹೆಸರಿನ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡಲು ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಉಲ್ಲೇಖಿಸುತ್ತದೆ (ಮೈಕ್ರೋಸಾಫ್ಟ್ ಸ್ಮಾರ್ಟ್ಕಾರ್ಡ್ ರೀಡರ್). ಬ್ಯಾಂಕಿಂಗ್ ಟ್ರೋಜನ್ ಸ್ವತಃ ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಒಳಗೊಂಡಿದೆ.
ಅಕ್ಕಿ. 4. ಮಾಲ್ವೇರ್ ಅನುಸ್ಥಾಪನ ಪ್ರಕ್ರಿಯೆಯ ಸಾಮಾನ್ಯ ರೇಖಾಚಿತ್ರ.
ಎಲ್ಲಾ ಪರಿಶೀಲನೆಗಳು ಯಶಸ್ವಿಯಾಗಿ ಪೂರ್ಣಗೊಂಡರೆ, ಲೋಡರ್ ರಿಮೋಟ್ ಸರ್ವರ್ನಿಂದ ವಿಶೇಷ ಫೈಲ್ (ಆರ್ಕೈವ್) ಅನ್ನು ಡೌನ್ಲೋಡ್ ಮಾಡುತ್ತದೆ, ಇದು ಆಕ್ರಮಣಕಾರರು ಬಳಸುವ ಎಲ್ಲಾ ದುರುದ್ದೇಶಪೂರಿತ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಹೊಂದಿರುತ್ತದೆ. ಮೇಲಿನ ಚೆಕ್ಗಳ ಕಾರ್ಯಗತಗೊಳಿಸುವಿಕೆಯನ್ನು ಅವಲಂಬಿಸಿ, ರಿಮೋಟ್ C&C ಸರ್ವರ್ನಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾದ ಆರ್ಕೈವ್ಗಳು ಭಿನ್ನವಾಗಿರಬಹುದು ಎಂಬುದನ್ನು ಗಮನಿಸುವುದು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ. ಆರ್ಕೈವ್ ದುರುದ್ದೇಶಪೂರಿತವಾಗಿರಬಹುದು ಅಥವಾ ಇಲ್ಲದಿರಬಹುದು. ದುರುದ್ದೇಶಪೂರಿತವಾಗಿಲ್ಲದಿದ್ದರೆ, ಇದು ಬಳಕೆದಾರರಿಗಾಗಿ Windows Live ಟೂಲ್ಬಾರ್ ಅನ್ನು ಸ್ಥಾಪಿಸುತ್ತದೆ. ಹೆಚ್ಚಾಗಿ, ಆಕ್ರಮಣಕಾರರು ಸ್ವಯಂಚಾಲಿತ ಫೈಲ್ ವಿಶ್ಲೇಷಣಾ ವ್ಯವಸ್ಥೆಗಳು ಮತ್ತು ಅನುಮಾನಾಸ್ಪದ ಫೈಲ್ಗಳನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸುವ ವರ್ಚುವಲ್ ಯಂತ್ರಗಳನ್ನು ಮೋಸಗೊಳಿಸಲು ಇದೇ ರೀತಿಯ ತಂತ್ರಗಳನ್ನು ಆಶ್ರಯಿಸಿದ್ದಾರೆ.
NSIS ಡೌನ್ಲೋಡರ್ನಿಂದ ಡೌನ್ಲೋಡ್ ಮಾಡಲಾದ ಫೈಲ್ ವಿವಿಧ ಮಾಲ್ವೇರ್ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಒಳಗೊಂಡಿರುವ 7z ಆರ್ಕೈವ್ ಆಗಿದೆ. ಕೆಳಗಿನ ಚಿತ್ರವು ಈ ಮಾಲ್ವೇರ್ನ ಸಂಪೂರ್ಣ ಅನುಸ್ಥಾಪನಾ ಪ್ರಕ್ರಿಯೆಯನ್ನು ಮತ್ತು ಅದರ ವಿವಿಧ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ತೋರಿಸುತ್ತದೆ.
ಅಕ್ಕಿ. 5. ಮಾಲ್ವೇರ್ ಹೇಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂಬುದರ ಸಾಮಾನ್ಯ ಯೋಜನೆ.
ಲೋಡ್ ಮಾಡಲಾದ ಮಾಡ್ಯೂಲ್ಗಳು ಆಕ್ರಮಣಕಾರರಿಗೆ ವಿಭಿನ್ನ ಉದ್ದೇಶಗಳನ್ನು ಪೂರೈಸುತ್ತಿದ್ದರೂ, ಅವುಗಳನ್ನು ಒಂದೇ ರೀತಿಯಲ್ಲಿ ಪ್ಯಾಕ್ ಮಾಡಲಾಗಿದೆ ಮತ್ತು ಅವುಗಳಲ್ಲಿ ಹಲವು ಮಾನ್ಯ ಡಿಜಿಟಲ್ ಪ್ರಮಾಣಪತ್ರಗಳೊಂದಿಗೆ ಸಹಿ ಮಾಡಲಾಗಿದೆ. ದಾಳಿಕೋರರು ಅಭಿಯಾನದ ಆರಂಭದಿಂದಲೂ ಬಳಸಿದ ಅಂತಹ ನಾಲ್ಕು ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನಾವು ಕಂಡುಕೊಂಡಿದ್ದೇವೆ. ನಮ್ಮ ದೂರಿನ ನಂತರ, ಈ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಹಿಂಪಡೆಯಲಾಗಿದೆ. ಮಾಸ್ಕೋದಲ್ಲಿ ನೋಂದಾಯಿಸಲಾದ ಕಂಪನಿಗಳಿಗೆ ಎಲ್ಲಾ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ನೀಡಲಾಗಿದೆ ಎಂದು ಗಮನಿಸುವುದು ಆಸಕ್ತಿದಾಯಕವಾಗಿದೆ.
ಅಕ್ಕಿ. 6. ಮಾಲ್ವೇರ್ಗೆ ಸಹಿ ಮಾಡಲು ಬಳಸಲಾದ ಡಿಜಿಟಲ್ ಪ್ರಮಾಣಪತ್ರ.
ಈ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ರಚಾರದಲ್ಲಿ ಆಕ್ರಮಣಕಾರರು ಬಳಸಿದ ಡಿಜಿಟಲ್ ಪ್ರಮಾಣಪತ್ರಗಳನ್ನು ಕೆಳಗಿನ ಕೋಷ್ಟಕವು ಗುರುತಿಸುತ್ತದೆ.
ದಾಳಿಕೋರರು ಬಳಸುವ ಬಹುತೇಕ ಎಲ್ಲಾ ದುರುದ್ದೇಶಪೂರಿತ ಮಾಡ್ಯೂಲ್ಗಳು ಒಂದೇ ರೀತಿಯ ಅನುಸ್ಥಾಪನಾ ವಿಧಾನವನ್ನು ಹೊಂದಿವೆ. ಅವರು ಸ್ವಯಂ-ಹೊರತೆಗೆಯುವ 7zip ಆರ್ಕೈವ್ಗಳನ್ನು ಪಾಸ್ವರ್ಡ್ ರಕ್ಷಿಸಲಾಗಿದೆ.
ಅಕ್ಕಿ. 7. install.cmd ಬ್ಯಾಚ್ ಫೈಲ್ನ ತುಣುಕು.
ಬ್ಯಾಚ್ .cmd ಫೈಲ್ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಮಾಲ್ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಮತ್ತು ವಿವಿಧ ಆಕ್ರಮಣಕಾರಿ ಸಾಧನಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಕಾರಣವಾಗಿದೆ. ಮರಣದಂಡನೆಗೆ ಕಾಣೆಯಾದ ಆಡಳಿತಾತ್ಮಕ ಹಕ್ಕುಗಳ ಅಗತ್ಯವಿದ್ದರೆ, ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅವುಗಳನ್ನು ಪಡೆಯಲು ಹಲವಾರು ವಿಧಾನಗಳನ್ನು ಬಳಸುತ್ತದೆ (ಯುಎಸಿ ಬೈಪಾಸ್ ಮಾಡುವುದು). ಮೊದಲ ವಿಧಾನವನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು, l1.exe ಮತ್ತು cc1.exe ಎಂಬ ಎರಡು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ಗಳನ್ನು ಬಳಸಲಾಗುತ್ತದೆ, ಇದು UAC ಅನ್ನು ಬೈಪಾಸ್ ಮಾಡುವಲ್ಲಿ ಪರಿಣತಿಯನ್ನು ಹೊಂದಿದೆ. ಕಾರ್ಬರ್ಪ್ ಮೂಲ ಕೋಡ್. ಮತ್ತೊಂದು ವಿಧಾನವು CVE-2013-3660 ದುರ್ಬಲತೆಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವುದನ್ನು ಆಧರಿಸಿದೆ. ಸವಲತ್ತು ಹೆಚ್ಚಿಸುವ ಅಗತ್ಯವಿರುವ ಪ್ರತಿಯೊಂದು ಮಾಲ್ವೇರ್ ಮಾಡ್ಯೂಲ್ 32-ಬಿಟ್ ಮತ್ತು 64-ಬಿಟ್ ಆವೃತ್ತಿಯ ಶೋಷಣೆಯನ್ನು ಹೊಂದಿರುತ್ತದೆ.
ಈ ಅಭಿಯಾನವನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡುವಾಗ, ಡೌನ್ಲೋಡರ್ ಅಪ್ಲೋಡ್ ಮಾಡಿದ ಹಲವಾರು ಆರ್ಕೈವ್ಗಳನ್ನು ನಾವು ವಿಶ್ಲೇಷಿಸಿದ್ದೇವೆ. ಆರ್ಕೈವ್ಗಳ ವಿಷಯಗಳು ವಿಭಿನ್ನವಾಗಿವೆ, ಅಂದರೆ ಆಕ್ರಮಣಕಾರರು ವಿವಿಧ ಉದ್ದೇಶಗಳಿಗಾಗಿ ದುರುದ್ದೇಶಪೂರಿತ ಮಾಡ್ಯೂಲ್ಗಳನ್ನು ಅಳವಡಿಸಿಕೊಳ್ಳಬಹುದು.
ಬಳಕೆದಾರರ ರಾಜಿ
ನಾವು ಮೇಲೆ ಹೇಳಿದಂತೆ, ಆಕ್ರಮಣಕಾರರು ಬಳಕೆದಾರರ ಕಂಪ್ಯೂಟರ್ಗಳನ್ನು ರಾಜಿ ಮಾಡಲು ವಿಶೇಷ ಸಾಧನಗಳನ್ನು ಬಳಸುತ್ತಾರೆ. ಈ ಉಪಕರಣಗಳು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಹೆಸರುಗಳೊಂದಿಗೆ ಪ್ರೋಗ್ರಾಂಗಳನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ mimi.exe ಮತ್ತು xtm.exe. ಅವರು ದಾಳಿಕೋರರಿಗೆ ಬಲಿಪಶುವಿನ ಕಂಪ್ಯೂಟರ್ನ ನಿಯಂತ್ರಣವನ್ನು ತೆಗೆದುಕೊಳ್ಳಲು ಮತ್ತು ಕೆಳಗಿನ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸುವಲ್ಲಿ ಪರಿಣತಿಯನ್ನು ಪಡೆದುಕೊಳ್ಳಲು ಸಹಾಯ ಮಾಡುತ್ತಾರೆ: ವಿಂಡೋಸ್ ಖಾತೆಗಳಿಗಾಗಿ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಪಡೆಯುವುದು/ಚೇತರಿಸಿಕೊಳ್ಳುವುದು, RDP ಸೇವೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವುದು, OS ನಲ್ಲಿ ಹೊಸ ಖಾತೆಯನ್ನು ರಚಿಸುವುದು.
mimi.exe ಎಕ್ಸಿಕ್ಯೂಟಬಲ್ ಸುಪ್ರಸಿದ್ಧ ಓಪನ್ ಸೋರ್ಸ್ ಟೂಲ್ನ ಮಾರ್ಪಡಿಸಿದ ಆವೃತ್ತಿಯನ್ನು ಒಳಗೊಂಡಿದೆ . ಈ ಉಪಕರಣವು ವಿಂಡೋಸ್ ಬಳಕೆದಾರ ಖಾತೆಯ ಪಾಸ್ವರ್ಡ್ಗಳನ್ನು ಪಡೆಯಲು ನಿಮಗೆ ಅನುಮತಿಸುತ್ತದೆ. ಆಕ್ರಮಣಕಾರರು ಮಿಮಿಕಾಟ್ಜ್ನಿಂದ ಬಳಕೆದಾರರ ಸಂವಹನಕ್ಕೆ ಕಾರಣವಾದ ಭಾಗವನ್ನು ತೆಗೆದುಹಾಕಿದ್ದಾರೆ. ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಕೋಡ್ ಅನ್ನು ಸಹ ಮಾರ್ಪಡಿಸಲಾಗಿದೆ ಆದ್ದರಿಂದ ಪ್ರಾರಂಭಿಸಿದಾಗ, Mimikatz ಸವಲತ್ತು :: ಡೀಬಗ್ ಮತ್ತು sekurlsa: logonPasswords ಆಜ್ಞೆಗಳೊಂದಿಗೆ ಚಲಿಸುತ್ತದೆ.
ಮತ್ತೊಂದು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್, xtm.exe, ಸಿಸ್ಟಮ್ನಲ್ಲಿ RDP ಸೇವೆಯನ್ನು ಸಕ್ರಿಯಗೊಳಿಸುವ ವಿಶೇಷ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ, OS ನಲ್ಲಿ ಹೊಸ ಖಾತೆಯನ್ನು ರಚಿಸಲು ಪ್ರಯತ್ನಿಸಿ, ಮತ್ತು ಹಲವಾರು ಬಳಕೆದಾರರಿಗೆ RDP ಮೂಲಕ ರಾಜಿಯಾದ ಕಂಪ್ಯೂಟರ್ಗೆ ಏಕಕಾಲದಲ್ಲಿ ಸಂಪರ್ಕಿಸಲು ಸಿಸ್ಟಮ್ ಸೆಟ್ಟಿಂಗ್ಗಳನ್ನು ಬದಲಾಯಿಸುತ್ತದೆ. ನಿಸ್ಸಂಶಯವಾಗಿ, ರಾಜಿ ಮಾಡಿಕೊಂಡ ವ್ಯವಸ್ಥೆಯ ಸಂಪೂರ್ಣ ನಿಯಂತ್ರಣವನ್ನು ಪಡೆಯಲು ಈ ಹಂತಗಳು ಅವಶ್ಯಕ.
ಅಕ್ಕಿ. 8. ಸಿಸ್ಟಮ್ನಲ್ಲಿ xtm.exe ನಿಂದ ಕಾರ್ಯಗತಗೊಳಿಸಿದ ಆಜ್ಞೆಗಳು.
ದಾಳಿಕೋರರು impack.exe ಎಂಬ ಮತ್ತೊಂದು ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಅನ್ನು ಬಳಸುತ್ತಾರೆ, ಇದನ್ನು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ವಿಶೇಷ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ. ಈ ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು LiteManager ಎಂದು ಕರೆಯಲಾಗುತ್ತದೆ ಮತ್ತು ದಾಳಿಕೋರರು ಹಿಂಬಾಗಿಲಿನಂತೆ ಬಳಸುತ್ತಾರೆ.
ಅಕ್ಕಿ. 9. LiteManager ಇಂಟರ್ಫೇಸ್.
ಬಳಕೆದಾರರ ಸಿಸ್ಟಂನಲ್ಲಿ ಒಮ್ಮೆ ಸ್ಥಾಪಿಸಿದ ನಂತರ, LiteManager ಆಕ್ರಮಣಕಾರರನ್ನು ನೇರವಾಗಿ ಆ ವ್ಯವಸ್ಥೆಗೆ ಸಂಪರ್ಕಿಸಲು ಮತ್ತು ಅದನ್ನು ದೂರದಿಂದಲೇ ನಿಯಂತ್ರಿಸಲು ಅನುಮತಿಸುತ್ತದೆ. ಈ ಸಾಫ್ಟ್ವೇರ್ ಅದರ ಗುಪ್ತ ಸ್ಥಾಪನೆ, ವಿಶೇಷ ಫೈರ್ವಾಲ್ ನಿಯಮಗಳ ರಚನೆ ಮತ್ತು ಅದರ ಮಾಡ್ಯೂಲ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲು ವಿಶೇಷ ಆಜ್ಞಾ ಸಾಲಿನ ನಿಯತಾಂಕಗಳನ್ನು ಹೊಂದಿದೆ. ಎಲ್ಲಾ ನಿಯತಾಂಕಗಳನ್ನು ಆಕ್ರಮಣಕಾರರು ಬಳಸುತ್ತಾರೆ.
ದಾಳಿಕೋರರು ಬಳಸಿದ ಮಾಲ್ವೇರ್ ಪ್ಯಾಕೇಜ್ನ ಕೊನೆಯ ಮಾಡ್ಯೂಲ್ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಫೈಲ್ ಹೆಸರಿನೊಂದಿಗೆ ಬ್ಯಾಂಕಿಂಗ್ ಮಾಲ್ವೇರ್ ಪ್ರೋಗ್ರಾಂ (ಬ್ಯಾಂಕರ್) ಆಗಿದೆ pn_pack.exe. ಅವರು ಬಳಕೆದಾರರ ಮೇಲೆ ಬೇಹುಗಾರಿಕೆಯಲ್ಲಿ ಪರಿಣತಿ ಹೊಂದಿದ್ದಾರೆ ಮತ್ತು C&C ಸರ್ವರ್ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುವ ಜವಾಬ್ದಾರಿಯನ್ನು ಹೊಂದಿರುತ್ತಾರೆ. ಕಾನೂನುಬದ್ಧ Yandex Punto ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಬಳಸಿಕೊಂಡು ಬ್ಯಾಂಕರ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಲಾಗಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ DLL ಲೈಬ್ರರಿಗಳನ್ನು ಪ್ರಾರಂಭಿಸಲು ಆಕ್ರಮಣಕಾರರು Punto ಅನ್ನು ಬಳಸುತ್ತಾರೆ (DLL ಸೈಡ್-ಲೋಡಿಂಗ್ ವಿಧಾನ). ಮಾಲ್ವೇರ್ ಸ್ವತಃ ಈ ಕೆಳಗಿನ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸಬಹುದು:
- ರಿಮೋಟ್ ಸರ್ವರ್ಗೆ ಅವುಗಳ ನಂತರದ ಪ್ರಸರಣಕ್ಕಾಗಿ ಕೀಬೋರ್ಡ್ ಕೀಸ್ಟ್ರೋಕ್ಗಳು ಮತ್ತು ಕ್ಲಿಪ್ಬೋರ್ಡ್ ವಿಷಯಗಳನ್ನು ಟ್ರ್ಯಾಕ್ ಮಾಡಿ;
- ವ್ಯವಸ್ಥೆಯಲ್ಲಿ ಇರುವ ಎಲ್ಲಾ ಸ್ಮಾರ್ಟ್ ಕಾರ್ಡ್ಗಳನ್ನು ಪಟ್ಟಿ ಮಾಡಿ;
- ರಿಮೋಟ್ C&C ಸರ್ವರ್ನೊಂದಿಗೆ ಸಂವಹನ ನಡೆಸುತ್ತದೆ.
ಈ ಎಲ್ಲಾ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸುವ ಜವಾಬ್ದಾರಿಯನ್ನು ಹೊಂದಿರುವ ಮಾಲ್ವೇರ್ ಮಾಡ್ಯೂಲ್, ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಿದ DLL ಲೈಬ್ರರಿಯಾಗಿದೆ. ಪುಂಟೊ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಸಮಯದಲ್ಲಿ ಇದನ್ನು ಡೀಕ್ರಿಪ್ಟ್ ಮಾಡಲಾಗುತ್ತದೆ ಮತ್ತು ಮೆಮೊರಿಗೆ ಲೋಡ್ ಮಾಡಲಾಗುತ್ತದೆ. ಮೇಲಿನ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸಲು, DLL ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದಾದ ಕೋಡ್ ಮೂರು ಎಳೆಗಳನ್ನು ಪ್ರಾರಂಭಿಸುತ್ತದೆ.
ಆಕ್ರಮಣಕಾರರು ತಮ್ಮ ಉದ್ದೇಶಗಳಿಗಾಗಿ Punto ಸಾಫ್ಟ್ವೇರ್ ಅನ್ನು ಆಯ್ಕೆ ಮಾಡಿಕೊಂಡಿರುವುದು ಆಶ್ಚರ್ಯವೇನಿಲ್ಲ: ಕೆಲವು ರಷ್ಯನ್ ಫೋರಮ್ಗಳು ಬಳಕೆದಾರರಿಗೆ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು ಕಾನೂನುಬದ್ಧ ಸಾಫ್ಟ್ವೇರ್ನಲ್ಲಿನ ನ್ಯೂನತೆಗಳನ್ನು ಬಳಸುವಂತಹ ವಿಷಯಗಳ ಕುರಿತು ವಿವರವಾದ ಮಾಹಿತಿಯನ್ನು ಬಹಿರಂಗವಾಗಿ ಒದಗಿಸುತ್ತವೆ.
ದುರುದ್ದೇಶಪೂರಿತ ಲೈಬ್ರರಿಯು ತನ್ನ ಸ್ಟ್ರಿಂಗ್ಗಳನ್ನು ಎನ್ಕ್ರಿಪ್ಟ್ ಮಾಡಲು RC4 ಅಲ್ಗಾರಿದಮ್ ಅನ್ನು ಬಳಸುತ್ತದೆ, ಹಾಗೆಯೇ C&C ಸರ್ವರ್ನೊಂದಿಗೆ ನೆಟ್ವರ್ಕ್ ಸಂವಹನಗಳ ಸಮಯದಲ್ಲಿ. ಇದು ಪ್ರತಿ ಎರಡು ನಿಮಿಷಗಳಿಗೊಮ್ಮೆ ಸರ್ವರ್ ಅನ್ನು ಸಂಪರ್ಕಿಸುತ್ತದೆ ಮತ್ತು ಈ ಅವಧಿಯಲ್ಲಿ ರಾಜಿ ಮಾಡಿಕೊಂಡ ಸಿಸ್ಟಮ್ನಲ್ಲಿ ಸಂಗ್ರಹಿಸಿದ ಎಲ್ಲಾ ಡೇಟಾವನ್ನು ಅಲ್ಲಿಗೆ ರವಾನಿಸುತ್ತದೆ.
ಅಕ್ಕಿ. 10. ಬೋಟ್ ಮತ್ತು ಸರ್ವರ್ ನಡುವಿನ ನೆಟ್ವರ್ಕ್ ಸಂವಹನದ ತುಣುಕು.
ಲೈಬ್ರರಿಯು ಸ್ವೀಕರಿಸಬಹುದಾದ ಕೆಲವು C&C ಸರ್ವರ್ ಸೂಚನೆಗಳನ್ನು ಕೆಳಗೆ ನೀಡಲಾಗಿದೆ.
C&C ಸರ್ವರ್ನಿಂದ ಸೂಚನೆಗಳನ್ನು ಸ್ವೀಕರಿಸಲು ಪ್ರತಿಕ್ರಿಯೆಯಾಗಿ, ಮಾಲ್ವೇರ್ ಸ್ಥಿತಿ ಕೋಡ್ನೊಂದಿಗೆ ಪ್ರತಿಕ್ರಿಯಿಸುತ್ತದೆ. ನಾವು ವಿಶ್ಲೇಷಿಸಿದ ಎಲ್ಲಾ ಬ್ಯಾಂಕರ್ ಮಾಡ್ಯೂಲ್ಗಳು (ಜನವರಿ 18 ರ ಸಂಕಲನ ದಿನಾಂಕದೊಂದಿಗೆ ತೀರಾ ಇತ್ತೀಚಿನದು) "TEST_BOTNET" ಸ್ಟ್ರಿಂಗ್ ಅನ್ನು ಒಳಗೊಂಡಿರುತ್ತವೆ, ಇದನ್ನು C&C ಸರ್ವರ್ಗೆ ಪ್ರತಿ ಸಂದೇಶದಲ್ಲಿ ಕಳುಹಿಸಲಾಗುತ್ತದೆ.
ತೀರ್ಮಾನಕ್ಕೆ
ಕಾರ್ಪೊರೇಟ್ ಬಳಕೆದಾರರನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಲು, ಆಕ್ರಮಣಕಾರರು ಮೊದಲ ಹಂತದಲ್ಲಿ ಕಂಪನಿಯ ಒಬ್ಬ ಉದ್ಯೋಗಿಯನ್ನು ಶೋಷಣೆಯೊಂದಿಗೆ ಫಿಶಿಂಗ್ ಸಂದೇಶವನ್ನು ಕಳುಹಿಸುವ ಮೂಲಕ ರಾಜಿ ಮಾಡಿಕೊಳ್ಳುತ್ತಾರೆ. ಮುಂದೆ, ಸಿಸ್ಟಂನಲ್ಲಿ ಮಾಲ್ವೇರ್ ಅನ್ನು ಸ್ಥಾಪಿಸಿದ ನಂತರ, ಅವರು ಸಿಸ್ಟಮ್ನಲ್ಲಿ ತಮ್ಮ ಅಧಿಕಾರವನ್ನು ಗಮನಾರ್ಹವಾಗಿ ವಿಸ್ತರಿಸಲು ಮತ್ತು ಅದರ ಮೇಲೆ ಹೆಚ್ಚುವರಿ ಕಾರ್ಯಗಳನ್ನು ನಿರ್ವಹಿಸಲು ಸಹಾಯ ಮಾಡುವ ಸಾಫ್ಟ್ವೇರ್ ಉಪಕರಣಗಳನ್ನು ಬಳಸುತ್ತಾರೆ: ಕಾರ್ಪೊರೇಟ್ ನೆಟ್ವರ್ಕ್ನಲ್ಲಿ ಇತರ ಕಂಪ್ಯೂಟರ್ಗಳನ್ನು ರಾಜಿ ಮಾಡಿಕೊಳ್ಳಿ ಮತ್ತು ಬಳಕೆದಾರರ ಮೇಲೆ ಕಣ್ಣಿಡಲು, ಹಾಗೆಯೇ ಅವನು ನಿರ್ವಹಿಸುವ ಬ್ಯಾಂಕಿಂಗ್ ವಹಿವಾಟುಗಳು.
ಮೂಲ: www.habr.com