Kuyambira kumapeto kwa chaka chatha, tinayamba kutsatira kampeni yatsopano yoyipa yogawa Trojan yakubanki. Otsutsawo adayang'ana kwambiri kusokoneza makampani aku Russia, mwachitsanzo, ogwiritsa ntchito makampani. Kampeni yoyipayi idagwira ntchito kwa chaka chimodzi ndipo, kuphatikiza pa Trojan yakubanki, owukirawo adagwiritsa ntchito zida zina zamapulogalamu. Izi zikuphatikizapo chojambulira chapadera chogwiritsidwa ntchito , ndi mapulogalamu aukazitape, omwe amabisala ngati pulogalamu yodziwika bwino ya Yandex Punto. Otsutsawo akatha kusokoneza kompyuta ya wozunzidwayo, amaika chitseko chakumbuyo kenako ndi Trojan yakubanki.
Pa pulogalamu yaumbanda, owukirawo adagwiritsa ntchito ziphaso zingapo zovomerezeka (panthawiyo) za digito ndi njira zapadera zolambalala zida za AV. Kampeni yoyipayi idayang'ana mabanki ambiri aku Russia ndipo ili ndi chidwi kwambiri chifukwa owukirawo adagwiritsa ntchito njira zomwe zimagwiritsidwa ntchito nthawi zambiri polimbana ndi zomwe akufuna, mwachitsanzo, kuwukira komwe sikumayendetsedwa ndi chinyengo chachuma. Titha kuona kufanana pakati pa kampeni yoyipayi ndi chochitika chachikulu chomwe chidadziwika kwambiri m'mbuyomu. Tikukamba za gulu la cybercriminal lomwe limagwiritsa ntchito banki Trojan /.
Owukirawo adayika pulogalamu yaumbanda pamakompyuta omwe amagwiritsa ntchito chilankhulo cha Chirasha mu Windows (localization) mwachisawawa. Choyimira chachikulu chogawa cha Trojan chinali chikalata cha Mawu chokhala ndi ntchito. , yomwe idatumizidwa ngati cholumikizira ku chikalatacho. Zithunzi zomwe zili pansipa zikuwonetsa mawonekedwe a zikalata zabodza. Chikalata choyamba chili ndi mutu wakuti "Invoice No. 522375-FLORL-14-115.doc", ndipo yachiwiri "kontrakt87.doc", ndi chikalata cha mgwirizano wopereka mauthenga a telecommunication ndi megafon woyendetsa mafoni.
Mpunga. 1. Chikalata chachinyengo.
Mpunga. 2. Kusintha kwina kwa chikalata cha phishing.
Zotsatirazi zikuwonetsa kuti omwe akuwukirawo amayang'ana mabizinesi aku Russia:
- kugawa pulogalamu yaumbanda pogwiritsa ntchito zikalata zabodza pamutu womwe watchulidwa;
- machenjerero a owukira ndi zida zoyipa zomwe amagwiritsa ntchito;
- maulalo kuzinthu zamabizinesi muma module omwe angathe kukwaniritsidwa;
- mayina a madera oyipa omwe adagwiritsidwa ntchito pa kampeni iyi.
Zida zapadera zamapulogalamu zomwe owukira amaziyika pamakina osokonekera zimawalola kuti azitha kuyang'anira pulogalamuyo ndikuwunika zochita za ogwiritsa ntchito. Kuti achite izi, amaika chitseko chakumbuyo ndikuyesanso kupeza mawu achinsinsi a akaunti ya Windows kapena kupanga akaunti yatsopano. Zigawenga zimagwiritsanso ntchito makina a keylogger (keylogger), kuba Windows clipboard, ndi mapulogalamu apadera ogwirira ntchito ndi makadi anzeru. Gululi lidayesa kusokoneza makompyuta ena omwe anali pa netiweki yam'deralo ngati kompyuta ya wozunzidwayo.
Dongosolo lathu la telemetry la ESET LiveGrid, lomwe limatithandiza kutsata mwachangu ziwerengero zogawira pulogalamu yaumbanda, lidatipatsa ziwerengero zochititsa chidwi za malo okhudza kugawa kwa pulogalamu yaumbanda yomwe imagwiritsidwa ntchito ndi omwe akuukira pa kampeni yomwe tatchulayi.
Mpunga. 3. Ziwerengero za kugawidwa kwa pulogalamu yaumbanda yomwe imagwiritsidwa ntchito pa kampeni yoyipayi.
Kuyika pulogalamu yaumbanda
Wogwiritsa ntchito akatsegula chikalata choyipa ndikugwiritsa ntchito pulogalamu yomwe ili pachiwopsezo, chotsitsa chapadera chomwe chayikidwa pogwiritsa ntchito NSIS chidzatsitsidwa ndikuphedwa pamenepo. Kumayambiriro kwa ntchito yake, pulogalamuyo imayang'ana malo a Windows kuti akhalepo ochotsa zolakwika pamenepo kapena kuti ayendetse pamakina enieni. Imayang'ananso kumasulira kwa Windows komanso ngati wogwiritsa ntchito adayendera ma URL omwe ali pansipa patebulo la msakatuli. Ma API amagwiritsidwa ntchito pa izi FindFirst/NextUrlCacheEntry ndi kiyi ya registry ya SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader imayang'ana kupezeka kwa mapulogalamu otsatirawa padongosolo.
Mndandanda wazinthu ndi wochititsa chidwi kwambiri ndipo, monga mukuwonera, umaphatikizapo osati mabanki okha. Mwachitsanzo, fayilo yomwe ingagwiritsidwe ntchito yotchedwa "scardsvr.exe" imatanthawuza mapulogalamu ogwiritsira ntchito makadi anzeru (Microsoft SmartCard reader). Banking Trojan palokha imaphatikizapo kuthekera kogwira ntchito ndi makadi anzeru.
Mpunga. 4. General chithunzi cha pulogalamu yaumbanda unsembe.
Ngati macheke onse atsirizidwa bwino, chotsitsa chimatsitsa fayilo yapadera (archive) kuchokera pa seva yakutali, yomwe ili ndi ma module onse oyipa omwe amagwiritsidwa ntchito ndi omwe akuukira. Ndizosangalatsa kudziwa kuti kutengera cheke pamwambapa, zosungidwa zomwe zidatsitsidwa kuchokera pa seva yakutali ya C&C zitha kusiyana. Malo osungiramo zinthu zakale atha kukhala oyipa kapena ayi. Ngati sichoyipa, imayika Windows Live Toolbar kwa wogwiritsa ntchito. Mwachiwonekere, owukirawo adagwiritsa ntchito njira zofananira kuti anyenge makina owunikira mafayilo odziwikiratu ndi makina enieni omwe mafayilo okayikitsa amamangidwira.
Fayilo yomwe idatsitsidwa ndi wotsitsa wa NSIS ndi malo osungira 7z omwe ali ndi ma module osiyanasiyana a pulogalamu yaumbanda. Chithunzi chomwe chili pansipa chikuwonetsa njira yonse yoyika pulogalamu yaumbandayi ndi ma module ake osiyanasiyana.
Mpunga. 5. General chiwembu mmene pulogalamu yaumbanda ntchito.
Ngakhale ma module odzaza amagwira ntchito zosiyanasiyana kwa omwe akuwukirawo, amapakidwa mofanana ndipo ambiri aiwo adasainidwa ndi ziphaso zovomerezeka za digito. Tidapeza ziphaso zinayi zotere zomwe owukirawo adagwiritsa ntchito kuyambira pachiyambi cha kampeni. Kutsatira dandaulo lathu, ziphaso izi zidathetsedwa. Ndizosangalatsa kudziwa kuti ziphaso zonse zidaperekedwa kumakampani omwe adalembetsedwa ku Moscow.
Mpunga. 6. Satifiketi ya digito yomwe idagwiritsidwa ntchito kusaina pulogalamu yaumbanda.
Gome lotsatirali likuwonetsa masatifiketi a digito omwe achiwembu adagwiritsa ntchito kampeni yoyipayi.
Pafupifupi ma module onse oyipa omwe amagwiritsidwa ntchito ndi owukira amakhala ndi njira yofananira yoyika. Akudzitulutsa okha zakale za 7zip zomwe zimatetezedwa ndi mawu achinsinsi.
Mpunga. 7. Chidutswa cha fayilo ya batch install.cmd.
Fayilo ya batch .cmd ili ndi udindo woyika pulogalamu yaumbanda pakompyuta ndikuyambitsa zida zosiyanasiyana zowukira. Ngati kuphedwa kumafuna kuphonya kwaulamuliro, nambala yoyipa imagwiritsa ntchito njira zingapo kuti iwapeze (kudutsa UAC). Kuti mugwiritse ntchito njira yoyamba, mafayilo awiri omwe angathe kuchitidwa otchedwa l1.exe ndi cc1.exe amagwiritsidwa ntchito, omwe amagwiritsa ntchito kwambiri kudutsa UAC pogwiritsa ntchito Carberp source kodi. Njira ina ikutengera kugwiritsa ntchito chiopsezo cha CVE-2013-3660. Gawo lililonse la pulogalamu yaumbanda yomwe imafuna kukwezedwa kwamwayi imakhala ndi 32-bit ndi 64-bit mtundu wakugwiritsa ntchito.
Potsata kampeni iyi, tidasanthula zolemba zingapo zomwe zidakwezedwa ndi otsitsa. Zomwe zili m'malo osungiramo zakale zimasiyanasiyana, kutanthauza kuti owukira amatha kusintha ma module oyipa pazolinga zosiyanasiyana.
Kusagwirizana kwa ogwiritsa ntchito
Monga tafotokozera pamwambapa, owukira amagwiritsa ntchito zida zapadera kuti asokoneze makompyuta a ogwiritsa ntchito. Zida izi zikuphatikiza mapulogalamu okhala ndi mayina afayilo omwe angathe kuchitidwa mimi.exe ndi xtm.exe. Amathandizira owukira kuti azitha kuyang'anira kompyuta ya wozunzidwayo ndikukhazikika pakuchita izi: kupeza / kubwezeretsanso mawu achinsinsi aakaunti ya Windows, kuthandizira ntchito ya RDP, kupanga akaunti yatsopano mu OS.
The mimi.exe executable imaphatikizapo kusinthidwa kwa chida chodziwika bwino chotsegula . Chida ichi chimakupatsani mwayi wopeza mawu achinsinsi a akaunti ya Windows. Owukirawo adachotsa gawolo ku Mimikatz lomwe limayang'anira kuyanjana kwa ogwiritsa ntchito. Khodi yoyeserera yasinthidwanso kuti ikakhazikitsidwa, Mimikatz azithamanga ndi mwayi::debug ndi sekurlsa:logonPasswords malamulo.
Fayilo ina yomwe ingathe kuchitidwa, xtm.exe, imayambitsa zolemba zapadera zomwe zimathandiza ntchito ya RDP mu dongosolo, kuyesa kupanga akaunti yatsopano mu OS, komanso kusintha machitidwe a dongosolo kuti alole ogwiritsa ntchito angapo kuti agwirizane ndi kompyuta yowonongeka kudzera pa RDP. Mwachiwonekere, masitepewa ndi ofunikira kuti alandire ulamuliro wonse wa dongosolo losokonezeka.
Mpunga. 8. Malamulo ochitidwa ndi xtm.exe pa dongosolo.
Owukira amagwiritsa ntchito fayilo ina yomwe ingathe kuchitidwa yotchedwa impack.exe, yomwe imagwiritsidwa ntchito kukhazikitsa mapulogalamu apadera padongosolo. Pulogalamuyi imatchedwa LiteManager ndipo imagwiritsidwa ntchito ndi owukira ngati backdoor.
Mpunga. 9. LiteManager mawonekedwe.
Ikayikidwa pamakina a wosuta, LiteManager imalola owukira kuti alumikizane mwachindunji ndi dongosololi ndikuwongolera patali. Pulogalamuyi ili ndi magawo apadera a mzere wamalamulo pakuyika kwake kobisika, kupanga malamulo apadera a firewall, ndikuyambitsa gawo lake. Ma parameter onse amagwiritsidwa ntchito ndi owukira.
Gawo lomaliza la pulogalamu yaumbanda yogwiritsidwa ntchito ndi omwe akuwukira ndi pulogalamu yaumbanda yakubanki (banki) yokhala ndi dzina la fayilo lomwe lingathe kuchitidwa pn_pack.exe. Amagwira ntchito mwaukazitape wogwiritsa ntchito ndipo ali ndi udindo wolumikizana ndi seva ya C&C. Wobankiyo amayambitsidwa pogwiritsa ntchito pulogalamu yovomerezeka ya Yandex Punto. Punto imagwiritsidwa ntchito ndi owukira kukhazikitsa malaibulale oyipa a DLL (njira ya DLL Side-Loading). Pulogalamu yaumbanda yokha imatha kuchita izi:
- tsatirani makiyi a kiyibodi ndi zomwe zili pa bolodi kuti muwatumize ku seva yakutali;
- lembani makadi onse anzeru omwe alipo mudongosolo;
- lumikizanani ndi seva yakutali ya C&C.
Gawo la pulogalamu yaumbanda, lomwe limayang'anira ntchito zonsezi, ndi laibulale ya DLL yosungidwa. Imasinthidwa ndikusungidwa mu kukumbukira nthawi ya Punto. Kuti mugwire ntchito zomwe zili pamwambapa, nambala yoyeserera ya DLL imayamba ulusi atatu.
Mfundo yakuti owukirawo adasankha mapulogalamu a Punto pazolinga zawo sizodabwitsa: mabwalo ena aku Russia amapereka momveka bwino zambiri zankhani monga kugwiritsa ntchito zolakwika mu mapulogalamu ovomerezeka kuti asokoneze ogwiritsa ntchito.
Laibulale yoyipa imagwiritsa ntchito algorithm ya RC4 kubisa zingwe zake, komanso panthawi yolumikizana ndi seva ya C&C. Imalumikizana ndi seva mphindi ziwiri zilizonse ndikutumiza komweko zonse zomwe zidasonkhanitsidwa pamakina osokonekera panthawiyi.
Mpunga. 10. Chigawo cha kuyanjana kwa maukonde pakati pa bot ndi seva.
Pansipa pali malangizo ena a seva ya C&C omwe laibulale ingalandire.
Poyankha kulandira malangizo kuchokera ku seva ya C&C, pulogalamu yaumbanda imayankha ndi code code. Ndizosangalatsa kudziwa kuti ma module onse amabanki omwe tidasanthula (aposachedwa kwambiri ndi tsiku lophatikiza la Januware 18th) ali ndi chingwe "TEST_BOTNET", chomwe chimatumizidwa mu uthenga uliwonse ku seva ya C&C.
Pomaliza
Kuti asokoneze ogwiritsa ntchito akampani, oukira pa gawo loyamba amasokoneza wantchito m'modzi wakampani potumiza uthenga wachinyengo ndi chinyengo. Pambuyo pake, pulogalamu yaumbanda ikakhazikitsidwa padongosolo, adzagwiritsa ntchito zida zamapulogalamu zomwe zingawathandize kukulitsa mphamvu zawo pamakina ndikuchita zina zowonjezera: kusokoneza makompyuta ena pamaneti amakampani ndi kuzonda wogwiritsa ntchito, komanso ntchito za banki zomwe amachita.
Source: www.habr.com