Mai i te mutunga o tera tau, i timata matou ki te whai i tetahi kaupapa kino hou ki te tohatoha i tetahi Torotiana putea. Ko nga kaiwhaiwhai i aro ki te whakararu i nga kamupene Ruhia, ara ko nga kaiwhakamahi umanga. Ko te pakanga kino i kaha mo te iti rawa i te tau, a, i tua atu i te Trojan putea, ka tahuri nga kaiwhaiwhai ki te whakamahi i etahi atu taputapu rorohiko. Kei roto i enei ko te utauta motuhake kua whakauruhia ki te whakamahi , me te torotoro, e huna ana hei rorohiko rongonui rongonui Yandex Punto. I te wa i kaha ai nga kaiwhaiwhai ki te whakararu i te rorohiko o te patunga, ka whakauruhia e ratou he kuaha o muri katahi ano he Trojan putea.
Mo o raatau kino, i whakamahia e nga kaiwhaiwhai etahi tiwhikete mamati whaimana (i tera wa) me nga tikanga motuhake hei karo i nga hua AV. Ko te kaupapa kino i aro ki te maha o nga peeke a Ruhia, he mea tino pai na te mea i whakamahia e nga kaiwhaiwhai nga tikanga e whakamahia ana i roto i nga whakaeke kua tohua, ara ko nga whakaeke kaore i te akiakihia e te tinihanga moni. Ka taea e tatou te kite i etahi ahuatanga i waenganui i tenei pakanga kino me tetahi aitua nui i rongo nui i mua. Kei te korero matou mo tetahi roopu mahi ipurangi i whakamahi i te Trojan putea /.
I whakauruhia e te hunga whakaeke te kino ki runga i nga rorohiko i whakamahi i te reo Ruhia i roto i te Matapihi (takianga) ma te taunoa. Ko te toha nui o te Torotiana he tuhinga Word me te whakamahi. , i tukuna hei apitihanga ki te tuhinga. Ko nga whakaahua i raro nei e whakaatu ana i te ahua o aua tuhinga rūpahu. Ko te tuhinga tuatahi ko te ingoa "Invoice No. 522375-FLORL-14-115.doc", me te tuarua "kontrakt87.doc", he kape o te kirimana mo te whakarato i nga ratonga waea e te kaiwhakahaere pūkoro Megafon.
raihi. 1. Tuhinga hītinihanga.
raihi. 2. Ko tetahi atu whakarereketanga o te tuhinga hītinihanga.
Ko nga korero e whai ake nei e tohu ana ko nga kaiwhaiwhai i aro ki nga pakihi a Ruhia:
- te tohatoha o te malware ma te whakamahi i nga tuhinga rūpahu i runga i te kaupapa kua tohua;
- nga tikanga a te hunga whakaeke me nga taputapu kino e whakamahia ana e ratou;
- nga hononga ki nga tono pakihi i etahi waahanga ka taea te whakahaere;
- nga ingoa o nga rohe kino i whakamahia i tenei pakanga.
Ko nga taputapu rorohiko motuhake ka whakauruhia e te hunga whakaeke ki runga i te punaha taupatupatu ka taea e ratou te mana mamao o te punaha me te aro turuki i nga mahi a te kaiwhakamahi. Hei mahi i enei mahi, ka whakauruhia e ratou he kuaha o muri ka ngana ano ki te tiki i te kupuhipa pūkete Windows me te hanga putea hou ranei. Ka toro atu ano nga kaiwhaiwhai ki nga ratonga a te keylogger (keylogger), he tahae papatopenga Windows, me te rorohiko motuhake mo te mahi me nga kaari atamai. I ngana tenei roopu ki te whakararu i etahi atu rorohiko kei runga i te whatunga rohe rite tonu ki te rorohiko a te tangata i mate.
Ko ta matou punaha telemetry ESET LiveGrid, e taea ai e matou te whai tere i nga tatauranga tohatoha malware, i whakawhiwhia mai ki a matou nga tatauranga matawhenua whakamere mo te tohatoha o te kino e whakamahia ana e nga kaiwhaiwhai i roto i te kaupapa kua whakahuahia.
raihi. 3. Nga tatauranga mo te tohatoha matawhenua o te kino i whakamahia i roto i tenei pakanga kino.
Te whakauru i te malware
I muri i te whakatuwheratanga a te kaiwhakamahi i tetahi tuhinga kino me te whakamahi i runga i te punaha whakaraerae, ka tangohia mai he kaikoeke motuhake kua whakauruhia ki te NSIS ka mahia ki reira. I te timatanga o tana mahi, ka tirotirohia e te papatono te taiao Windows mo te noho o nga kaipatu i reira, mo te rere ranei i roto i te horopaki o te miihini mariko. Ka tirohia ano te waahi o Windows me te mea kua toro atu te kaiwhakamahi ki nga URL kua whakarārangitia i raro nei i te ripanga o te tirotiro. Ka whakamahia nga API mo tenei KimihiaTuatahi/NextUrlCacheEntry me te kī rēhita SoftwareMicrosoftInternet ExplorerTypedURLs.
Ka tirotirohia e te bootloader te ahua o nga tono e whai ake nei i runga i te punaha.
Ko te rarangi o nga tukanga he tino whakamiharo, a, ka kite koe, ehara i te mea ko nga tono putea anake. Hei tauira, ko te konae kawe ko "scardsvr.exe" e tohu ana ki te rorohiko mo te mahi me nga kaari atamai (Microsoft SmartCard reader). Kei roto i te Trojan putea te kaha ki te mahi me nga kaari atamai.
raihi. 4. Hoahoa whānui o te tukanga whakaurunga kino.
Mena ka oti pai nga arowhai katoa, ka tangohia e te kaiuta he konae motuhake (puranga) mai i te tūmau mamao, kei roto nga kōwae whakahaere kino katoa e whakamahia ana e te hunga whakaeke. He mea rawe ki te mohio kei runga i te mahinga o nga arowhai i runga ake nei, ka rereke pea nga purongo i tangohia mai i te tūmau C&C mamao. He kino, he kino ranei te puranga. Ki te kore he kino, ka whakauruhia e ia te Paeutauta Windows Live mo te kaiwhakamahi. Ko te nuinga o te waa, i mahi nga kaiwhaiwhai ki nga mahi tinihanga ki te whakapohehe i nga punaha tātari konae aunoa me nga miihini mariko ka mahia nga konae whakapae.
Ko te konae i tangohia e te NSIS downloader he puranga 7z kei roto i nga momo momo kaupapa kino. Ko te ahua i raro nei e whakaatu ana i te katoa o nga mahi whakaurunga o tenei malware me ona momo waahanga.
raihi. 5. Kaupapa whaanui mo te mahi kino.
Ahakoa he rereke nga kaupapa o nga waahanga kua utaina mo te hunga whakaeke, he rite tonu te kohinga me te maha o era i hainatia me nga tiwhikete mamati whaimana. I kitea e matou e wha nga tiwhikete pera i whakamahia e nga kaiwhaiwhai mai i te timatanga o te pakanga. Whai muri i ta matou amuamu, ka whakakorehia enei tiwhikete. He mea pai ki te kite ko nga tiwhikete katoa i tukuna ki nga kamupene kua rehitatia i Moscow.
raihi. 6. Tiwhikete mamati i whakamahia hei haina i te malware.
Ko te ripanga e whai ake nei e whakaatu ana i nga tiwhikete matihiko i whakamahia e te hunga whakaeke i tenei pakanga kino.
Tata ki nga waahanga kino katoa e whakamahia ana e te hunga whakaeke he tikanga whakaurunga rite. He unu-whaiaro 7zip puranga e tiakina ana te kupuhipa.
raihi. 7. He wahanga o te kōnae puranga install.cmd.
Ko te puranga .cmd te kawenga mo te whakauru i te malware ki runga i te punaha me te whakarewa i nga momo taputapu whakaeke. Mena ka ngaro nga mana whakahaere, ka whakamahia e te waehere kino nga tikanga maha ki te tiki i a raatau (maataki i te UAC). Hei whakatinana i te tikanga tuatahi, e rua nga konae whakahaere e kiia nei ko l1.exe me te cc1.exe ka whakamahia, he mea motuhake ki te karo i te UAC ma te whakamahi i te Waehere puna Carberp. Ko tetahi atu tikanga kei runga i te whakamahi i te whakaraeraetanga CVE-2013-3660. Kei ia kōwae pūmanawa kino e hiahia ana kia piki ake te mana motuhake kei roto he putanga 32-bit me te 64-bit o te mahi.
I a matou e whai ana i tenei kaupapa whakahau, i tātarihia e matou etahi puranga i tukuna e te kai tango. He rereke nga korero o te puranga, ko te tikanga ka taea e nga kaiwhaiwhai te whakarereke i nga waahanga kino mo nga kaupapa rereke.
Whakararu i te kaiwhakamahi
Ka rite ki ta matou i korero ai i runga ake nei, ka whakamahi nga kaiwhaiwhai i nga taputapu motuhake hei whakararu i nga rorohiko a nga kaiwhakamahi. Kei roto i enei taputapu nga papatono whai ingoa konae mimi.exe me xtm.exe. Ka awhina ratou i nga kaiwhaiwhai ki te whakahaere i te rorohiko o te tangata kua paopaohia me te mahi motuhake ki te mahi i nga mahi e whai ake nei: te tiki / whakaora i nga kupuhipa mo nga kaute Windows, ka taea te ratonga RDP, te hanga i tetahi kaute hou i roto i te OS.
Kei roto i te mimi.exe he putanga whakarereke o tetahi taputapu puna tuwhera rongonui . Ma tenei taputapu ka taea e koe te tiki kupuhipa pūkete kaiwhakamahi Windows. I tangohia e nga kaiwhaiwhai te waahanga mai i Mimikatz te kawenga mo te taunekeneke a te kaiwhakamahi. Kua whakarerekētia ano te waehere ka taea te mahi, na te mea ka whakarewahia, ka rere a Mimikatz me nga whakahau::debug me te sekurlsa:logonPasswords.
Ko tetahi atu konae whakahaere, xtm.exe, ka whakarewahia nga tuhinga motuhake e taea ai te ratonga RDP i roto i te punaha, ka ngana ki te hanga i tetahi kaute hou ki te OS, me te whakarereke i nga tautuhinga punaha kia taea ai e nga kaiwhakamahi maha te hono atu ki tetahi rorohiko kua taupatupatuhia ma te RDP. Ko te tikanga, me tika enei mahi ki te whai mana katoa o te punaha kua taupatupatuhia.
raihi. 8. Ko nga whakahau i mahia e xtm.exe i runga i te punaha.
Ka whakamahia e te hunga whakaeke tetahi atu konae whakahaere e kiia nei ko impack.exe, ka whakamahia hei whakauru i nga rorohiko motuhake ki te punaha. Ko te ingoa o tenei rorohiko ko LiteManager ka whakamahia e te hunga whakaeke hei tatau o muri.
raihi. 9. LiteManager atanga.
Ina whakauruhia ki te punaha a te kaiwhakamahi, ka taea e LiteManager te hunga whakaeke ki te hono tika ki taua punaha me te whakahaere mamao. He tawhā rārangi whakahau motuhake tenei pūmanawa mo tana whakaurunga huna, te hanga ture pātūahi motuhake, me te whakarewatanga o tana kōwae. Ka whakamahia nga tawhā katoa e te hunga whakaeke.
Ko te kōwae whakamutunga o te mōkihi pūmanawa kino e whakamahia ana e te hunga whakaeke he kaupapa kino peeke (peeke) me te ingoa konae whakahaere pn_pack.exe. He tohunga ia ki te torotoro i te kaiwhakamahi me te kawenga mo te taunekeneke me te tūmau C&C. Ka whakarewahia te putea ma te whakamahi i te rorohiko Yandex Punto tika. Ka whakamahia a Punto e te hunga whakaeke ki te whakarewa i nga whare pukapuka DLL kino (tikanga DLL Side-Loading). Ka taea e te malware te mahi i nga mahi e whai ake nei:
- whai i nga patuhi papapātuhi me nga ihirangi o te papatopenga mo te tuku i muri mai ki te tūmau mamao;
- whakarārangihia ngā kāri atamai katoa kei roto i te pūnaha;
- te taunekeneke me te tūmau C&C mamao.
Ko te kōwae malware, kei a ia te kawenga mo te mahi i enei mahi katoa, he whare pukapuka DLL whakamunatia. Ka wetewetehia, ka utaina ki te mahara i te wa e mahia ana a Punto. Hei mahi i nga mahi i runga ake nei, ka timata te waehere DLL e toru nga miro.
Ko te mea i kowhiria e te hunga whakaeke te rorohiko Punto mo o raatau kaupapa ehara i te mea miharo: ko etahi o nga huihuinga a Ruhia e whakaatu ana i nga korero taipitopito mo nga kaupapa penei i te whakamahi hapa i roto i nga punaha tika hei whakararu i nga kaiwhakamahi.
Ko te whare pukapuka kino e whakamahi ana i te RC4 algorithm ki te whakamuna i ona aho, me te wa ano hoki i nga hononga whatunga me te tūmau C&C. Ka whakapā atu ki te tūmau i ia rua meneti ka tukuna ki reira nga raraunga katoa i kohia i runga i te punaha kua taupatupatuhia i tenei waa.
raihi. 10. He wahanga o te taunekeneke whatunga i waenga i te karetao me te tūmau.
Kei raro nei etahi o nga tohutohu tūmau C&C ka taea e te whare pukapuka te whiwhi.
Hei whakautu ki te whiwhi tohutohu mai i te tūmau C&C, ka whakautu te malware me te waehere mana. He mea pai ki te kite ko nga waahanga putea katoa i tātarihia e matou (ko te mea hou me te ra whakahiato o Hanuere 18th) kei roto te aho "TEST_BOTNET", ka tukuna i ia karere ki te tūmau C&C.
mutunga
Hei whakararu i nga kaiwhakamahi rangatōpū, ka takahia e te hunga whakaeke i te waahi tuatahi tetahi kaimahi o te kamupene ma te tuku karere hītinihanga me te whakamahi. I muri mai, ka whakauruhia te malware ki runga i te punaha, ka whakamahia e ratou nga taputapu rorohiko hei awhina i a raatau ki te whakanui ake i to raatau mana ki runga i te punaha me te mahi i etahi atu mahi ki runga: whakararu i etahi atu rorohiko i runga i te whatunga umanga me te tutei i te kaiwhakamahi, me te nga whakawhitinga putea e mahia ana e ia.
Source: will.com