တိုက်ခိုက်သူများသည် ရုရှားစီးပွားရေးလုပ်ငန်းများကို တိုက်ခိုက်ရန် ရှုပ်ထွေးသော malware ကို အသုံးပြုကြသည်။

ယမန်နှစ်ကုန်ပိုင်းမှစ၍၊ ဘဏ်လုပ်ငန်းဆိုင်ရာ Trojan ဖြန့်ဝေရန် အန္တရာယ်ရှိသော ကမ်ပိန်းအသစ်ကို ကျွန်ုပ်တို့ စတင်ခြေရာခံခဲ့သည်။ တိုက်ခိုက်သူများသည် ရုရှားကုမ္ပဏီများဖြစ်သည့် ကော်ပိုရိတ်အသုံးပြုသူများကို အပေးအယူလုပ်ရန် အာရုံစိုက်ခဲ့ကြသည်။ အန္တရာယ်ရှိသော ကမ်ပိန်းသည် အနည်းဆုံး တစ်နှစ်ကြာ လှုပ်ရှားနေပြီး ဘဏ်လုပ်ငန်းဆိုင်ရာ Trojan များအပြင်၊ တိုက်ခိုက်သူများသည် အခြားဆော့ဖ်ဝဲလ်ကိရိယာ အမျိုးမျိုးကို အသုံးပြုခဲ့ကြသည်။ ၎င်းတို့ကို အသုံးပြု၍ ထုပ်ပိုးထားသော အထူး loader တစ်ခု ပါဝင်သည်။ nsisနှင့် တရားဝင် နာမည်ကြီး Yandex Punto ဆော့ဖ်ဝဲလ်အဖြစ် အသွင်ယူထားသည့် Spyware။ တိုက်ခိုက်သူများသည် သားကောင်၏ကွန်ပျူတာကို အပေးအယူလုပ်ရန် စီမံပြီးသည်နှင့် ၎င်းတို့သည် backdoor နှင့် banking Trojan တစ်ခုကို တပ်ဆင်ကြသည်။

၎င်းတို့၏ malware အတွက်၊ တိုက်ခိုက်သူများသည် AV ထုတ်ကုန်များကို ကျော်လွှားရန် တရားဝင် (ထိုအချိန်က) ဒစ်ဂျစ်တယ်လက်မှတ်များနှင့် အထူးနည်းလမ်းများစွာကို အသုံးပြုခဲ့သည်။ အဆိုပါ အန္တရာယ်ရှိသော လှုံ့ဆော်မှုသည် ရုရှားဘဏ်အများအပြားကို ပစ်မှတ်ထားပြီး တိုက်ခိုက်သူများသည် ငွေရေးကြေးရေး လိမ်လည်မှုသက်သက်ဖြင့် လှုံ့ဆော်ခြင်းမရှိသော တိုက်ခိုက်မှုများတွင် ပစ်မှတ်ထား တိုက်ခိုက်လေ့ရှိသည့် နည်းလမ်းများကို အသုံးပြုထားသောကြောင့် အထူးစိတ်ဝင်စားဖွယ်ဖြစ်သည်။ ဤအန္တရာယ်ရှိသော ကမ်ပိန်းနှင့် အစောပိုင်းတွင် လူသိရှင်ကြားရရှိခဲ့သည့် အဓိကဖြစ်ရပ်တစ်ခုကြား တူညီမှုအချို့ကို ကျွန်ုပ်တို့ သတိပြုမိနိုင်ပါသည်။ ကျွန်ုပ်တို့သည် ဘဏ်လုပ်ငန်း Trojan ကိုအသုံးပြုသော ဆိုက်ဘာရာဇ၀တ်ဂိုဏ်းတစ်ခုအကြောင်း ပြောနေပါသည်။ Anunak/ကာဘာနခ်.

တိုက်ခိုက်သူများသည် Windows တွင် ရုရှားဘာသာစကားကို အသုံးပြုသည့် (ဒေသခံအဖြစ်သတ်မှတ်ခြင်း) ကို မူရင်းအတိုင်း အသုံးပြုသည့် ကွန်ပျူတာများတွင်သာ malware ထည့်သွင်းထားသည်။ Trojan ၏ အဓိက ဖြန့်ဖြူးသည့် vector သည် exploit တစ်ခုပါရှိသော Word document တစ်ခုဖြစ်သည်။ CVE-2012-0158ပူးတွဲပါဖိုင်အဖြစ် ပေးပို့ခဲ့သည်။ အောက်ဖော်ပြပါ ဖန်သားပြင်ဓာတ်ပုံများသည် ထိုကဲ့သို့သော စာရွက်စာတမ်းအတုများ၏ အသွင်အပြင်ကို ပြသထားသည်။ ပထမစာရွက်စာတမ်းမှာ “ပြေစာနံပါတ် 522375-FLORL-14-115.doc” နှင့် ဒုတိယ “kontrakt87.doc” ဟူ၍ ခေါင်းစဉ်တပ်ထားပြီး၊ ၎င်းသည် မိုဘိုင်းအော်ပရေတာ Megafon မှ ဆက်သွယ်ရေးဝန်ဆောင်မှုများပေးဆောင်မှုအတွက် စာချုပ်မိတ္တူဖြစ်သည်။

ထမင်း။ 1. Phishing စာရွက်စာတမ်း။

ထမင်း။ 2. phishing စာရွက်စာတမ်း၏နောက်ထပ်မွမ်းမံမှု။

တိုက်ခိုက်သူများသည် ရုရှားစီးပွားရေးလုပ်ငန်းများကို ပစ်မှတ်ထားနေကြောင်း အောက်ပါအချက်အလက်များက ဖော်ပြသည်။

• သတ်မှတ်ထားသော အကြောင်းအရာတွင် စာရွက်စာတမ်းအတုများကို အသုံးပြု၍ malware ဖြန့်ဝေခြင်း၊
• တိုက်ခိုက်သူများ၏ နည်းဗျူဟာများနှင့် ၎င်းတို့အသုံးပြုသော အန္တရာယ်ရှိသော ကိရိယာများ၊
• အချို့သော executable modules များတွင် business applications များနှင့် ချိတ်ဆက်မှုများ၊
• ဤကမ်ပိန်းတွင် အသုံးပြုခဲ့သည့် အန္တရာယ်ရှိသော ဒိုမိန်းများ၏ အမည်များ။

တိုက်ခိုက်သူများသည် အပေးအယူခံရသောစနစ်တွင် ထည့်သွင်းသည့် အထူးဆော့ဖ်ဝဲလ်ကိရိယာများသည် ၎င်းတို့အား စနစ်၏အဝေးထိန်းခလုတ်ကို ရရှိစေပြီး အသုံးပြုသူ၏လှုပ်ရှားမှုကို စောင့်ကြည့်စေသည်။ ဤလုပ်ဆောင်ချက်များကိုလုပ်ဆောင်ရန်၊ ၎င်းတို့သည် backdoor ကိုထည့်သွင်းပြီး Windows အကောင့်စကားဝှက်ကိုရယူရန် သို့မဟုတ် အကောင့်အသစ်တစ်ခုဖန်တီးရန်လည်း ကြိုးစားကြသည်။ တိုက်ခိုက်သူများသည် ကီးလော့ဂ်ဂါ (keylogger)၊ Windows ကလစ်ဘုတ်ခိုးယူသည့် ဝန်ဆောင်မှုများနှင့် စမတ်ကတ်များနှင့် လုပ်ဆောင်ရန်အတွက် အထူးဆော့ဖ်ဝဲများကို အားကိုးအားထားပြုကြသည်။ ဤအဖွဲ့သည် သားကောင်၏ကွန်ပြူတာကဲ့သို့ ဒေသတွင်းကွန်ရက်တွင်ရှိသော အခြားကွန်ပျူတာများကို အပေးအယူလုပ်ရန် ကြိုးစားခဲ့သည်။

ကျွန်ုပ်တို့၏ ESET LiveGrid တယ်လီမီတာစနစ်သည် malware ဖြန့်ဖြူးမှုစာရင်းအင်းများကို လျင်မြန်စွာခြေရာခံနိုင်စေမည့် ကျွန်ုပ်တို့အား ဖော်ပြထားသော ကမ်ပိန်းတွင် တိုက်ခိုက်သူများအသုံးပြုသည့် malware ဖြန့်ဖြူးခြင်းဆိုင်ရာ စိတ်ဝင်စားဖွယ်ကောင်းသော ပထဝီဝင်ကိန်းဂဏန်းစာရင်းဇယားများကို ပေးဆောင်ပါသည်။

Рис. 3. Статистика географического распространения вредоносного ПО, которое использовалось в этой вредоносной кампании.

Malware ကို ထည့်သွင်းခြင်း။

အသုံးပြုသူတစ်ဦးသည် အားနည်းချက်ရှိသောစနစ်တွင် အသုံးချမှုတစ်ခုဖြင့် အန္တရာယ်ရှိသောစာရွက်စာတမ်းကိုဖွင့်ပြီးနောက်၊ NSIS ကိုအသုံးပြု၍ထုပ်ပိုးထားသော အထူးဒေါင်းလုဒ်ကို ထိုနေရာတွင် ဒေါင်းလုဒ်လုပ်ကာ လုပ်ဆောင်မည်ဖြစ်သည်။ ၎င်း၏လုပ်ငန်းအစတွင်၊ ပရိုဂရမ်သည် ထိုနေရာတွင် အမှားရှာများရှိနေခြင်း သို့မဟုတ် virtual machine ၏အခြေအနေတွင် လုပ်ဆောင်ခြင်းအတွက် Windows ပတ်ဝန်းကျင်ကို စစ်ဆေးသည်။ ၎င်းသည် Windows ၏ ဒေသန္တရပြုမှုကိုလည်း စစ်ဆေးပြီး သုံးစွဲသူသည် ဘရောက်ဆာရှိ ဇယားရှိ အောက်ဖော်ပြပါ URL များကို သွားရောက်ကြည့်ရှုခြင်း ရှိမရှိကိုလည်း စစ်ဆေးပါသည်။ ဤအတွက် APIs ကိုအသုံးပြုသည်။ ပထမဆုံးရှာပါ။/NextUrlCacheEntry နှင့် SoftwareMicrosoftInternet ExplorerTypedURLs မှတ်ပုံတင်ကီး။

bootloader သည် system တွင်အောက်ပါအပလီကေးရှင်းများရှိနေခြင်းကိုစစ်ဆေးသည်။

လုပ်ငန်းစဉ်များစာရင်းသည် အမှန်တကယ် အထင်ကြီးစရာကောင်းပြီး သင်မြင်ရသည့်အတိုင်း၊ ၎င်းတွင် ဘဏ်လုပ်ငန်းဆိုင်ရာ အသုံးချမှုများသာမကဘဲ ပါဝင်သည်။ ဥပမာအားဖြင့်၊ “scardsvr.exe” ဟု အမည်ပေးထားသည့် လည်ပတ်နိုင်သော ဖိုင်သည် စမတ်ကတ်များ (Microsoft SmartCard reader) ဖြင့် လုပ်ဆောင်နိုင်သော ဆော့ဖ်ဝဲကို ရည်ညွှန်းသည်။ ဘဏ်လုပ်ငန်း Trojan ကိုယ်တိုင်က စမတ်ကတ်များဖြင့် လုပ်ဆောင်နိုင်စွမ်း ပါဝင်သည်။

ထမင်း။ 4. malware တပ်ဆင်ခြင်းလုပ်ငန်းစဉ်၏ အထွေထွေပုံကြမ်း။

စစ်ဆေးမှုများအားလုံးကို အောင်မြင်စွာပြီးမြောက်ပါက၊ loader သည် တိုက်ခိုက်သူများအသုံးပြုသော အန္တရာယ်ရှိသော executable module များအားလုံးပါရှိသော အဝေးထိန်းဆာဗာမှ အထူးဖိုင် (archive) ကို ဒေါင်းလုဒ်လုပ်မည်ဖြစ်သည်။ အထက်ဖော်ပြပါ စစ်ဆေးမှုများအပေါ် မူတည်၍ အဝေးထိန်း C&C ဆာဗာမှ ဒေါင်းလုဒ်လုပ်ထားသော မော်ကွန်းတိုက်များသည် ကွဲပြားနိုင်သည်ကို သတိပြုရန်မှာ စိတ်ဝင်စားစရာကောင်းပါသည်။ မှတ်တမ်းသည် အန္တရာယ်ရှိနိုင်သည် သို့မဟုတ် ဖြစ်နိုင်မည်မဟုတ်ပေ။ အန္တရာယ်မရှိပါက၊ ၎င်းသည် အသုံးပြုသူအတွက် Windows Live Toolbar ကို ထည့်သွင်းပေးသည်။ ဖြစ်နိုင်ချေ အများစုမှာ၊ တိုက်ခိုက်သူများသည် အလိုအလျောက် ဖိုင်ခွဲခြမ်းစိတ်ဖြာမှုစနစ်များနှင့် သံသယဖြစ်ဖွယ်ဖိုင်များကို လုပ်ဆောင်သည့် virtual machines များကို လှည့်ဖြားရန် အလားတူလှည့်ကွက်များကို အသုံးပြုခဲ့ကြသည်။

NSIS ဒေါင်းလုဒ်လုပ်သူမှ ဒေါင်းလုဒ်လုပ်ထားသော ဖိုင်သည် အမျိုးမျိုးသော malware module များပါရှိသော 7z မှတ်တမ်းတစ်ခုဖြစ်သည်။ အောက်ဖော်ပြပါပုံသည် ဤ malware ၏တပ်ဆင်မှုလုပ်ငန်းစဉ်တစ်ခုလုံးနှင့် ၎င်း၏အမျိုးမျိုးသော module များကိုပြသထားသည်။

ထမင်း။ 5. Malware အလုပ်လုပ်ပုံ အထွေထွေအစီအစဉ်။

တင်ထားသော module များသည် တိုက်ခိုက်သူများအတွက် မတူညီသော ရည်ရွယ်ချက်များကို ဆောင်ရွက်ပေးသော်လည်း ၎င်းတို့ကို တူညီစွာ ထုပ်ပိုးထားပြီး အများစုမှာ တရားဝင် ဒစ်ဂျစ်တယ် လက်မှတ်များဖြင့် လက်မှတ်ရေးထိုးထားသည်။ လှုံ့ဆော်မှုအစကတည်းက တိုက်ခိုက်သူများသည် အသုံးပြုခဲ့သည့် လက်မှတ်လေးခုကို ကျွန်ုပ်တို့တွေ့ရှိခဲ့သည်။ ကျွန်ုပ်တို့၏တိုင်ကြားချက်ပြီးနောက်၊ ဤလက်မှတ်များကို ရုပ်သိမ်းခဲ့ပါသည်။ မော်စကိုတွင် မှတ်ပုံတင်ထားသော ကုမ္ပဏီများသို့ လက်မှတ်များအားလုံးကို ထုတ်ပေးခဲ့ကြောင်း စိတ်ဝင်စားဖွယ် မှတ်သားဖွယ်ကောင်းသည်။

ထမင်း။ 6. malware ကို လက်မှတ်ထိုးရန် အသုံးပြုခဲ့သည့် ဒစ်ဂျစ်တယ်လက်မှတ်။

အောက်ပါဇယားသည် ဤအန္တရာယ်ရှိသောလှုံ့ဆော်မှုတွင် တိုက်ခိုက်သူများအသုံးပြုသည့် ဒစ်ဂျစ်တယ်လက်မှတ်များကို ခွဲခြားသတ်မှတ်သည်။

တိုက်ခိုက်သူများအသုံးပြုသော အန္တရာယ်ရှိသော module များအားလုံးနီးပါးတွင် ထပ်တူထည့်သွင်းခြင်းလုပ်ငန်းစဉ်တစ်ခုရှိသည်။ ၎င်းတို့သည် စကားဝှက်ဖြင့် ကာကွယ်ထားသည့် 7zip မှတ်တမ်းများကို ကိုယ်တိုင်ထုတ်ယူနေပါသည်။

ထမင်း။ 7. install.cmd batch ဖိုင်၏အပိုင်းအစ။

batch .cmd ဖိုင်သည် စနစ်တွင် malware ထည့်သွင်းခြင်းနှင့် တိုက်ခိုက်သူကိရိယာ အမျိုးမျိုးကို စတင်ခြင်းအတွက် တာဝန်ရှိသည်။ စီမံအုပ်ချုပ်မှုဆိုင်ရာ အခွင့်အရေးများ လွဲမှားနေပါက၊ ၎င်းတို့ကို ရယူရန် အန္တရာယ်ရှိသော ကုဒ်သည် နည်းလမ်းများစွာကို အသုံးပြုသည် (UAC ကို ကျော်ဖြတ်ခြင်း)။ ပထမနည်းလမ်းကိုအကောင်အထည်ဖော်ရန်အတွက် l1.exe နှင့် cc1.exe ဟုခေါ်သော executable file နှစ်ခုကိုအသုံးပြုပြီး UAC ကိုကျော်ဖြတ်ရာတွင် အထူးပြုပါသည်။ ပေါက်ကြားခဲ့သည်။ Carberp အရင်းအမြစ်ကုဒ်။ အခြားနည်းလမ်းမှာ CVE-2013-3660 အားနည်းချက်ကို အသုံးချခြင်းအပေါ် အခြေခံသည်။ အထူးအခွင့်အရေးတိုးမြှင့်မှုလိုအပ်သည့် မဲလ်ဝဲ module တစ်ခုစီတွင် exploit ၏ 32-bit နှင့် 64-bit ဗားရှင်းနှစ်မျိုးလုံးပါရှိသည်။

За время отслеживания этой кампании мы проанализировали несколько архивов загружаемых загрузчиком. Содержимое архивов различалось, т. е. злоумышленники могли адаптировать вредоносные модули под различные цели.

အသုံးပြုသူအပေးအယူ

အထက်ဖော်ပြပါအတိုင်း၊ တိုက်ခိုက်သူများသည် သုံးစွဲသူများ၏ ကွန်ပျူတာများကို အပေးအယူလုပ်ရန် အထူးကိရိယာများကို အသုံးပြုကြသည်။ ဤကိရိယာများတွင် လည်ပတ်နိုင်သော ဖိုင်အမည် mimi.exe နှင့် xtm.exe တို့ပါ၀င်သည်။ တိုက်ခိုက်သူများသည် သားကောင်၏ကွန်ပျူတာကို ထိန်းချုပ်နိုင်ပြီး အောက်ပါတာဝန်များကို လုပ်ဆောင်ရာတွင် အထူးပြုကူညီပေးသည်- Windows အကောင့်များအတွက် စကားဝှက်များရယူခြင်း/ပြန်လည်ရယူခြင်း၊ RDP ဝန်ဆောင်မှုကိုဖွင့်ခြင်း၊ OS တွင် အကောင့်အသစ်တစ်ခုဖန်တီးခြင်း။

mimi.exe executable တွင် လူသိများသော open source tool ၏ ပြုပြင်ထားသောဗားရှင်းတစ်ခု ပါဝင်သည်။ မီမီကတ်ဇ်. ဤကိရိယာသည် သင့်အား Windows အသုံးပြုသူအကောင့် စကားဝှက်များကို ရယူရန် ခွင့်ပြုသည်။ တိုက်ခိုက်သူများသည် အသုံးပြုသူ အပြန်အလှန်တုံ့ပြန်မှုအတွက် တာဝန်ရှိသည့် Mimikatz မှ အစိတ်အပိုင်းကို ဖယ်ရှားခဲ့သည်။ စတင်သောအခါ၊ Mimikatz သည် အခွင့်ထူးခံ::debug နှင့် sekurlsa:logonPasswords အမိန့်များနှင့်အတူ လုပ်ဆောင်နိုင်စေရန် စီမံကုဒ်ကိုလည်း ပြုပြင်မွမ်းမံထားသည်။

နောက်ထပ် executable ဖိုင်ဖြစ်သည့် xtm.exe သည် စနစ်အတွင်း RDP ဝန်ဆောင်မှုကို ဖွင့်ပေးသည့် အထူး scripts များကို ဖွင့်ပေးသည်၊ OS တွင် အကောင့်အသစ်တစ်ခု ဖန်တီးရန်နှင့် RDP မှတစ်ဆင့် သုံးစွဲသူများစွာကို အန္တရာယ်ရှိသော ကွန်ပျူတာသို့ တစ်ပြိုင်နက် ချိတ်ဆက်နိုင်စေရန် စနစ်ဆက်တင်များကို ပြောင်းလဲပေးပါသည်။ အပေးအယူခံစနစ်၏ အပြည့်အဝထိန်းချုပ်မှုရရှိရန် ဤအဆင့်များသည် ထင်ရှားပါသည်။

ထမင်း။ 8. စနစ်တွင် xtm.exe မှလုပ်ဆောင်သောအမိန့်များ။

တိုက်ခိုက်သူများသည် စနစ်တွင် အထူးဆော့ဖ်ဝဲကို ထည့်သွင်းရန် အသုံးပြုသည့် အခြားသော executable file ဖြစ်သော impack.exe ကို အသုံးပြုသည်။ ဤဆော့ဖ်ဝဲလ်ကို LiteManager ဟုခေါ်ပြီး တိုက်ခိုက်သူများသည် နောက်ခံတံခါးအဖြစ် အသုံးပြုသည်။

Рис. 9. Интерфейс LiteManager.

အသုံးပြုသူ၏စနစ်တွင် ထည့်သွင်းပြီးသည်နှင့် LiteManager သည် တိုက်ခိုက်သူများကို အဆိုပါစနစ်သို့ တိုက်ရိုက်ချိတ်ဆက်ကာ ၎င်းအား အဝေးမှ ထိန်းချုပ်နိုင်စေမည်ဖြစ်သည်။ ဤဆော့ဖ်ဝဲတွင် ၎င်း၏လျှို့ဝှက်တပ်ဆင်မှု၊ အထူး firewall စည်းမျဉ်းများဖန်တီးခြင်းနှင့် ၎င်း၏ module ကိုစတင်ခြင်းအတွက် အထူးအမိန့်ပေးလိုင်းဘောင်ဘောင်များပါရှိသည်။ ကန့်သတ်ချက်များအားလုံးကို တိုက်ခိုက်သူများသည် အသုံးပြုသည်။

တိုက်ခိုက်သူများအသုံးပြုသည့် malware ပက်ကေ့ခ်ျ၏ နောက်ဆုံး module သည် executable file name pn_pack.exe ဖြင့် ဘဏ်လုပ်ငန်းမဲလ်ဝဲပရိုဂရမ် (ဘဏ်လုပ်ငန်းရှင်) ဖြစ်သည်။ သူမသည် အသုံးပြုသူအပေါ် သူလျှိုလုပ်ခြင်းတွင် အထူးကျွမ်းကျင်ပြီး C&C ဆာဗာနှင့် အပြန်အလှန်တုံ့ပြန်မှုအတွက် တာဝန်ရှိသည်။ ဘဏ်လုပ်ငန်းရှင်သည် တရားဝင် Yandex Punto ဆော့ဖ်ဝဲလ်ကို အသုံးပြု၍ စတင်ခဲ့သည်။ Punto ကို တိုက်ခိုက်သူများသည် အန္တရာယ်ရှိသော DLL စာကြည့်တိုက်များ (DLL Side-Loading နည်းလမ်း) ကိုဖွင့်ရန် အသုံးပြုသည်။ Malware ကိုယ်တိုင်က အောက်ပါလုပ်ဆောင်ချက်များကို လုပ်ဆောင်နိုင်သည်-

• အဝေးထိန်းဆာဗာသို့ ၎င်းတို့၏ နောက်ဆက်တွဲ ထုတ်လွှင့်မှုအတွက် ကီးဘုတ်ခလုတ်များနှင့် ကလစ်ဘုတ်အကြောင်းအရာများကို ခြေရာခံပါ။
• စနစ်တွင်ပါရှိသော စမတ်ကတ်များအားလုံးကို စာရင်းပြုစုပါ။
• အဝေးထိန်း C&C ဆာဗာနှင့် အပြန်အလှန် တုံ့ပြန်ပါ။

ဤအလုပ်များအားလုံးကို လုပ်ဆောင်ရန် တာဝန်ရှိသည့် malware module သည် ကုဒ်ဝှက်ထားသော DLL စာကြည့်တိုက်တစ်ခုဖြစ်သည်။ ၎င်းကို Punto ကွပ်မျက်စဉ်အတွင်း ၎င်းကို ကုဒ်ဝှက်ပြီး မှတ်ဉာဏ်ထဲသို့ ထည့်သွင်းထားသည်။ အထက်ဖော်ပြပါ လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန်၊ DLL စီမံလုပ်ဆောင်နိုင်သော ကုဒ်သည် စာတွဲသုံးခုကို စတင်သည်။

တိုက်ခိုက်သူများသည် ၎င်းတို့၏ရည်ရွယ်ချက်အတွက် Punto ဆော့ဖ်ဝဲလ်ကို ရွေးချယ်ခဲ့ခြင်းမှာ အံ့သြစရာမဟုတ်ပါ- အချို့သောရုရှားဖိုရမ်များသည် သုံးစွဲသူများအား အပေးအယူလုပ်ရန် တရားဝင်ဆော့ဖ်ဝဲလ်တွင် ချို့ယွင်းချက်များကို အသုံးပြုခြင်းကဲ့သို့သော အကြောင်းအရာများနှင့်ပတ်သက်သည့် အသေးစိတ်အချက်အလက်များကို ပွင့်လင်းမြင်သာစွာ ပေးဆောင်ပါသည်။

အန္တရာယ်ရှိသောစာကြည့်တိုက်သည် ၎င်း၏စာကြောင်းများကို စာဝှက်ရန် RC4 အယ်လဂိုရီသမ်ကို အသုံးပြုသည့်အပြင် C&C ဆာဗာနှင့် ကွန်ရက် အပြန်အလှန်ဆက်သွယ်မှုများအတွင်း ၎င်းသည် နှစ်မိနစ်တိုင်း ဆာဗာကို ဆက်သွယ်ပြီး ဤကာလအတွင်း အပေးအယူခံစနစ်တွင် စုဆောင်းထားသည့် ဒေတာအားလုံးကို ထိုနေရာသို့ ပို့လွှတ်ပါသည်။

ထမင်း။ 10. bot နှင့် ဆာဗာကြားရှိ ကွန်ရက် အပြန်အလှန် ဆက်သွယ်မှုအပိုင်း။

အောက်တွင် စာကြည့်တိုက်မှ ရရှိနိုင်သော C&C ဆာဗာ ညွှန်ကြားချက်အချို့ဖြစ်သည်။

C&C ဆာဗာမှ ညွှန်ကြားချက်များကို လက်ခံရရှိခြင်းအတွက်၊ malware သည် အခြေအနေကုဒ်တစ်ခုဖြင့် တုံ့ပြန်သည်။ ကျွန်ုပ်တို့ ခွဲခြမ်းစိတ်ဖြာခဲ့သော ဘဏ်လုပ်ငန်း module များအားလုံး (ဇန်နဝါရီ 18 ရက်၏ စုစည်းရက်စွဲပါသော) တွင် C&C ဆာဗာသို့ မက်ဆေ့ချ်တစ်ခုစီတွင် ပေးပို့သည့် “TEST_BOTNET” စာကြောင်းပါရှိသည်ကို သတိပြုရန်မှာ စိတ်ဝင်စားစရာကောင်းပါသည်။

ကောက်ချက်

ကော်ပိုရိတ်အသုံးပြုသူများကို အပေးအယူလုပ်ရန် ပထမအဆင့်တွင် တိုက်ခိုက်သူများသည် အသုံးချမှုတစ်ခုဖြင့် phishing message ပေးပို့ခြင်းဖြင့် ကုမ္ပဏီ၏ဝန်ထမ်းတစ်ဦးကို အပေးအယူလုပ်ကြသည်။ ထို့နောက်၊ စနစ်တွင် Malware ကို ထည့်သွင်းပြီးသည်နှင့်၊ ၎င်းတို့သည် ၎င်းတို့အား စနစ်တွင် ၎င်းတို့၏ လုပ်ပိုင်ခွင့်အာဏာကို သိသာထင်ရှားစွာ ချဲ့ထွင်ပြီး ၎င်းတွင် နောက်ထပ်လုပ်ဆောင်စရာများကို လုပ်ဆောင်ရန် ကူညီပေးမည့် ဆော့ဖ်ဝဲလ်ကိရိယာများကို အသုံးပြုလိမ့်မည်- ကော်ပိုရိတ်ကွန်ရက်ရှိ အခြားကွန်ပျူတာများကို အပေးအယူလုပ်ကာ အသုံးပြုသူအား ထောက်လှမ်းရေးအပြင်၊ သူလုပ်ဆောင်နေသော ဘဏ်လုပ်ငန်းကိစ္စများ။

source: www.habr.com