د تیر کال له پای راهیسې، موږ د بانکي ټروجن ویشلو لپاره د نوي ناوړه کمپاین تعقیب پیل کړ. برید کوونکو د روسي شرکتونو، د بیلګې په توګه د کارپوریټ کاروونکو په جوړجاړي تمرکز درلود. ناوړه کمپاین لږترلږه د یو کال لپاره فعال و او د بانکي ټروجن سربیره، برید کونکو د نورو سافټویر وسایلو کارولو ته لاره هواره کړه. پدې کې یو ځانګړي لوډر شامل دي چې په کارولو سره بسته شوي ، او سپایویر، کوم چې د مشهور مشروع Yandex Punto سافټویر په توګه پټ شوی. یوځل چې برید کونکي د قرباني کمپیوټر سره موافقت وکړي ، دوی یو شاته دروازه او بیا د بانکي ټروجن نصبوي.
د دوی د مالویر لپاره، برید کونکو د AV محصولاتو څخه د تیریدو لپاره ډیری معتبر (په هغه وخت کې) ډیجیټل سندونه او ځانګړي میتودونه کارولي. ناوړه کمپاین یو لوی شمیر روسی بانکونه په نښه کړل او د ځانګړې علاقې وړ دي ځکه چې برید کونکو هغه میتودونه کارولي چې ډیری وختونه په هدفي بریدونو کې کارول کیږي ، د بیلګې په توګه هغه بریدونه چې خالص د مالي درغلیو له امله نه هڅول شوي. موږ کولی شو د دې ناوړه کمپاین او یوې لویې پیښې تر مینځ یو څه ورته والی یادونه وکړو چې دمخه یې لوی شهرت ترلاسه کړ. موږ د سایبر جرمي ډلې په اړه خبرې کوو چې د بانکي ټروجن کارول /.
برید کونکو یوازې په هغه کمپیوټرونو کې مالویر نصب کړی چې په وینډوز (لوکلیزیشن) کې یې په ډیفالټ کې روسي ژبه کارولې. د ټروجن اصلي ویش ویکتور د کارونې سره د Word سند و. ، کوم چې د سند سره د ضمیمې په توګه لیږل شوی و. لاندې سکرین شاټونه د داسې جعلي اسنادو بڼه ښیې. لومړی سند د "انوائس نمبر 522375-FLORL-14-115.doc" په نوم دی، او دویم "kontrakt87.doc"، دا د ګرځنده آپریټر میګافون لخوا د مخابراتي خدماتو چمتو کولو قرارداد یوه کاپي ده.
وريجې. 1. د فشینګ سند.
وريجې. 2. د فشینګ سند بل تعدیل.
لاندې حقایق په ډاګه کوي چې بریدګر د روسیې سوداګري په نښه کوله:
- په ټاکل شوې موضوع کې د جعلي اسنادو په کارولو سره د مالویر ویش؛
- د برید کوونکو تاکتیکونه او ناوړه وسیلې چې دوی یې کاروي؛
- په ځینو اجرایوي ماډلونو کې د سوداګرۍ غوښتنلیکونو سره اړیکې؛
- د ناوړه ډومینونو نومونه چې په دې کمپاین کې کارول شوي.
ځانګړي سافټویر وسیلې چې برید کونکي په جوړ شوي سیسټم کې نصب کوي دوی ته اجازه ورکوي چې د سیسټم ریموټ کنټرول ترلاسه کړي او د کارونکي فعالیت وڅاري. د دې دندو ترسره کولو لپاره، دوی یو شاته دروازه نصبوي او هڅه کوي د وینډوز حساب پټنوم ترلاسه کړي یا یو نوی حساب جوړ کړي. برید کوونکي د کیلوګر (کیلاګر)، د وینډوز کلپ بورډ غلا کونکي، او د سمارټ کارتونو سره د کار کولو لپاره ځانګړي سافټویر ته هم کار کوي. دې ډلې هڅه وکړه چې نور کمپیوټرونه جوړ کړي چې په ورته محلي شبکه کې د قرباني کمپیوټر په څیر وو.
زموږ د ESET LiveGrid ټیلی میټری سیسټم، کوم چې موږ ته اجازه راکوي چې په چټکۍ سره د مالویر توزیع احصایې تعقیب کړو، موږ ته په یاد شوي کمپاین کې د برید کونکو لخوا کارول شوي مالویر ویشلو په اړه په زړه پورې جغرافیایي احصایې چمتو کړي.
وريجې. 3. په دې ناوړه کمپاین کې د مالویر د جغرافیایي ویش په اړه احصایې.
د مالویر نصب کول
وروسته له دې چې یو کارونکي په زیان منونکي سیسټم کې د استحصال سره ناوړه سند خلاصوي، د NSIS په کارولو سره یو ځانګړی ډاونلوډر به ډاونلوډ او اعدام شي. د خپل کار په پیل کې، برنامه د وینډوز چاپیریال د ډیبګرانو شتون یا د مجازی ماشین په شرایطو کې د چلولو لپاره ګوري. دا د وینډوز ځایی کول هم چیک کوي او ایا کارونکي په براوزر کې لاندې جدول کې لیست شوي URLs لیدلي. APIs د دې لپاره کارول کیږي لومړی ومومئ/NextUrlCacheEntry او د SoftwareMicrosoftInternet ExplorerTypedURLs راجسټری کیلي.
بوټلوډر په سیسټم کې د لاندې غوښتنلیکونو شتون چیک کوي.
د پروسو لیست واقعیا اغیزمن دی او لکه څنګه چې تاسو لیدلی شئ ، پدې کې نه یوازې د بانکي غوښتنلیکونه شامل دي. د مثال په توګه، د "scardsvr.exe" په نوم د اجرا وړ فایل د سمارټ کارتونو سره کار کولو لپاره سافټویر ته اشاره کوي (د مایکروسافټ سمارټ کارډ ریډر). د بانکدارۍ ټروجن پخپله د سمارټ کارتونو سره د کار کولو وړتیا شامله ده.
وريجې. 4. د مالویر نصبولو پروسې عمومي ډیاګرام.
که ټول چکونه په بریالیتوب سره بشپړ شي، لوډر د ریموټ سرور څخه یو ځانګړی فایل (آرشیف) ډاونلوډ کوي، کوم چې د برید کونکو لخوا کارول شوي ټول ناوړه اجرا وړ ماډلونه لري. دا په زړه پورې ده چې یادونه وکړو چې د پورته چکونو اجرا کولو پورې اړه لري، د ریموټ C&C سرور څخه ډاونلوډ شوي آرشیفونه ممکن توپیر ولري. آرشیف کیدای شي ناوړه وي یا نه وي. که ناوړه نه وي، دا د کارونکي لپاره د وینډوز لایو وسیلې بار نصبوي. ډیری احتمال، برید کونکو ورته چلونو څخه کار اخیستی ترڅو د اتوماتیک فایل تحلیل سیسټمونه او مجازی ماشینونه غلا کړي په کوم کې چې شکمن فایلونه اعدام شوي.
د NSIS ډاونلوډر لخوا ډاونلوډ شوی فایل د 7z آرشیف دی چې مختلف مالویر ماډلونه لري. لاندې انځور د دې مالویر د نصبولو ټوله پروسه او د هغې مختلف ماډلونه ښیې.
وريجې. 5. د مالویر د کار کولو د څرنګوالي عمومي سکیم.
که څه هم بار شوي ماډلونه د برید کونکو لپاره مختلف اهداف لري، دوی په ورته ډول بسته شوي او ډیری یې د معتبر ډیجیټل سندونو سره لاسلیک شوي. موږ څلور داسې سندونه وموندل چې بریدګرو د کمپاین له پیل څخه کار اخیست. زموږ د شکایت په تعقیب، دا سندونه لغوه شول. دا په زړه پورې ده چې په یاد ولرئ چې ټول سندونه په مسکو کې ثبت شوي شرکتونو ته صادر شوي.
وريجې. 6. ډیجیټل سند چې د مالویر لاسلیک کولو لپاره کارول شوی و.
لاندې جدول هغه ډیجیټل سندونه په ګوته کوي چې بریدګر په دې ناوړه کمپاین کې کارولي.
نږدې ټول ناوړه ماډلونه چې د برید کونکو لخوا کارول کیږي د نصب کولو ورته کړنلاره لري. دوی د ځان استخراج 7zip آرشیفونه دي چې د پټنوم خوندي دي.
وريجې. 7. د install.cmd بیچ فایل ټوټه.
د بیچ .cmd فایل په سیسټم کې د مالویر نصبولو او د برید کونکي مختلف وسیلو په لاره اچولو مسؤلیت لري. که چیرې اعدام د اداري حقونو له لاسه ورکولو ته اړتیا ولري، ناوړه کوډ د دوی د ترلاسه کولو لپاره ډیری میتودونه کاروي (د UAC په پام کې نیولو سره). د لومړۍ میتود پلي کولو لپاره ، دوه د اجرا وړ فایلونه چې l1.exe او cc1.exe نومیږي کارول کیږي ، کوم چې د UAC په کارولو سره د بای پاس کولو تخصص لري. د کاربرپ سرچینې کوډ بله طریقه د CVE-2013-3660 زیانونو څخه د ګټې اخیستنې پر بنسټ والړ ده. د مالویر هر ماډل چې د امتیازاتو زیاتوالی ته اړتیا لري د استحصال دواړه 32-bit او 64-bit نسخه لري.
د دې کمپاین د تعقیب پرمهال، موږ د ډاونلوډر لخوا پورته شوي ډیری آرشیفونه تحلیل کړل. د آرشیف مینځپانګې توپیر لري ، پدې معنی چې برید کونکي کولی شي د مختلف اهدافو لپاره ناوړه ماډلونه تطبیق کړي.
د کارونکي جوړجاړی
لکه څنګه چې موږ پورته یادونه وکړه، برید کونکي د کاروونکو کمپیوټرونو سره موافقت لپاره ځانګړي وسیلې کاروي. په دې وسایلو کې هغه پروګرامونه شامل دي چې د اجرا وړ فایل نومونه mimi.exe او xtm.exe لري. دوی د برید کونکو سره مرسته کوي چې د قرباني کمپیوټر کنټرول کړي او د لاندې دندو په ترسره کولو کې تخصص ولري: د وینډوز حسابونو لپاره د پاسورډونو ترلاسه کول / بیرته ترلاسه کول ، د RDP خدمت فعالول ، په OS کې نوی حساب رامینځته کول.
د mimi.exe اجرا وړ د خلاصې سرچینې وسیلې د پیژندل شوي ترمیم شوي نسخه شامله ده . دا وسیله تاسو ته اجازه درکوي د وینډوز کارونکي حساب پاسورډونه ترلاسه کړئ. برید کوونکو د Mimikatz څخه هغه برخه لیرې کړه چې د کاروونکي متقابل عمل مسولیت لري. د اجرا وړ کوډ هم تعدیل شوی ترڅو کله چې پیل شي، Mimikatz به د امتیازاتو سره چلیږي::debug او sekurlsa:logonPasswords کمانډونه.
بله د اجرا وړ فایل، xtm.exe، ځانګړي سکریپټونه په لاره اچوي چې په سیسټم کې د RDP خدمت فعالوي، په OS کې د نوي حساب جوړولو هڅه وکړئ، او د سیسټم ترتیبات هم بدل کړئ ترڅو ډیری کاروونکو ته اجازه ورکړي چې په ورته وخت کې د RDP له لارې جوړ شوي کمپیوټر سره وصل شي. په ښکاره ډول، دا ګامونه د جوړ شوي سیسټم بشپړ کنټرول ترلاسه کولو لپاره اړین دي.
وريجې. 8. په سیسټم کې د xtm.exe لخوا اجرا شوي کمانډونه.
برید کوونکي د impack.exe په نوم یو بل اجرا وړ فایل کاروي، کوم چې په سیسټم کې د ځانګړي سافټویر نصبولو لپاره کارول کیږي. دا سافټویر د LiteManager په نوم یادیږي او د برید کونکي لخوا د شاته دروازې په توګه کارول کیږي.
وريجې. 9. د LiteManager انٹرفیس.
یوځل چې د کارونکي سیسټم نصب شي ، لایټ مینجر برید کونکو ته اجازه ورکوي چې مستقیم له دې سیسټم سره وصل شي او په لرې ډول یې کنټرول کړي. دا سافټویر د خپل پټ نصبولو، د ځانګړي فایروال مقرراتو رامینځته کولو، او د دې ماډل پیلولو لپاره ځانګړي کمانډ لاین پیرامیټونه لري. ټول پیرامیټونه د برید کونکو لخوا کارول کیږي.
د مالویر کڅوړې وروستی ماډل د برید کونکو لخوا کارول شوی د بانکي مالویر برنامه (بانکر) دی چې د اجرا وړ فایل نوم pn_pack.exe سره. هغه د کارونکي په جاسوسۍ کې تخصص لري او د C&C سرور سره د متقابل عمل مسؤلیت لري. بانکر د مشروع Yandex Punto سافټویر په کارولو سره پیل شوی. Punto د برید کونکو لخوا د ناوړه DLL کتابتونونو د پیلولو لپاره کارول کیږي (DLL اړخ-لوډ کولو میتود). مالویر پخپله کولی شي لاندې دندې ترسره کړي:
- د کیبورډ کیسټروکونه او د کلیپبورډ مینځپانګې د ریموټ سرور ته د دوی راتلونکي لیږد لپاره تعقیب کړئ؛
- ټول سمارټ کارتونه لیست کړئ چې په سیسټم کې شتون لري؛
- د ریموټ C&C سرور سره اړیکه ونیسئ.
د مالویر ماډل، کوم چې د دې ټولو دندو ترسره کولو مسولیت لري، یو کوډ شوی DLL کتابتون دی. دا د Punto اجرا کولو په جریان کې ډیکریټ شوی او په حافظه کې بار شوی. د پورتنیو دندو د ترسره کولو لپاره، د DLL اجرا وړ کوډ درې تارونه پیل کوي.
دا حقیقت چې برید کونکو د خپلو اهدافو لپاره Punto سافټویر غوره کړی د حیرانتیا خبره نه ده: ځینې روسي فورمونه په ښکاره ډول د داسې موضوعاتو په اړه مفصل معلومات وړاندې کوي لکه د مشروع سافټویر نیمګړتیاو کارول ترڅو د کاروونکو سره جوړجاړی وکړي.
ناوړه کتابتون د RC4 الګوریتم کاروي ترڅو خپل تارونه کوډ کړي، او همدارنګه د C&C سرور سره د شبکې تعاملاتو په جریان کې. دا په هر دوه دقیقو کې له سرور سره اړیکه نیسي او هلته ټول هغه معلومات لیږدوي چې د دې مودې په جریان کې په جوړ شوي سیسټم کې راټول شوي.
وريجې. 10. د بوټ او سرور ترمنځ د شبکې متقابل عمل ټوټه.
لاندې د C&C سرور لارښوونې ځینې دي چې کتابتون یې ترلاسه کولی شي.
د C&C سرور څخه د لارښوونو ترلاسه کولو په ځواب کې، مالویر د وضعیت کوډ سره ځواب ورکوي. دا په زړه پورې ده چې یادونه وکړو چې د بانکر ټول ماډلونه چې موږ یې تحلیل کړي (د جنوري د 18 د تالیف نیټې سره خورا وروستي) د "TEST_BOTNET" تار لري، کوم چې په هر پیغام کې د C&C سرور ته لیږل کیږي.
پایلې
د کارپوریټ کاروونکو سره موافقت کولو لپاره ، برید کونکي په لومړي مرحله کې د شرکت یو کارمند د استحصال سره د فشینګ پیغام لیږلو سره موافقت کوي. بیا ، یوځل چې په سیسټم کې مالویر نصب شي ، دوی به د سافټویر وسیلې وکاروي چې دوی سره به په سیسټم کې د دوی واک د پام وړ پراخولو کې مرسته وکړي او پدې کې اضافي دندې ترسره کړي: په کارپوریټ شبکه کې د نورو کمپیوټرونو سره موافقت کول او د کارونکي جاسوسي کول. بانکي معاملې چې هغه ترسره کوي.
سرچینه: www.habr.com