په وروستیو کلونو کې، ګرځنده ټروجنونه په فعاله توګه د PC ټروجنونو ځای نیسي، نو د دې باوري وسیلو په نښه کولو لپاره د نوي مالویر راڅرګندیدل او د سایبر مجرمینو لخوا د دوی پراخه کارول، که څه هم بدبختانه، بیا هم یو پرمختګ دی. په دې وروستیو کې، د ګروپ-IB 24/7 CERT (د مخابراتو بیړني غبرګون مرکز) یو غیر معمولي فشینګ بریښنالیک کشف کړ چې د نوي PC مالویر پروګرام په څیر پټ شوی و چې د Keylogger او PasswordStealer فعالیت سره یوځای کوي. شنونکي هغه میتود ته متوجه شول چې له مخې یې سپایویر د کارونکي ماشین ته ننوتل - د یو مشهور غږ میسنجر له لارې. ایلیا پومیرانتسیفد CERT ګروپ-IB مالویر تحلیل متخصص تشریح کړه چې مالویر څنګه کار کوي، د هغې خطرونه، او حتی د هغې جوړونکی یې وموند - په لرې عراق کې.
نو، راځئ چې ګام په ګام لاړ شو. په دې برېښنالیک کې یو انځور د ضمیمې په توګه و، چې کله کلیک شي، کاروونکی ویب پاڼې ته یوړل شي. cdn.discordapp.com په اړه، او له هغه ځایه یو ناوړه فایل ډاونلوډ شو.
د ډیسکارډ کارول، چې د غږ او متن وړیا پیغام رسولو اپلیکیشن دی، خورا غیر دودیز دی. معمولا، د دې موخو لپاره نور پیغام رسولو اپلیکیشنونه یا ټولنیزې شبکې کارول کیږي.
یوې ډیرې مفصلې تحلیل د مالویر کورنۍ وپیژندله. دا د مالویر بازار ته نوی راغلی و - ۴۰۴ کیلاګر.
د کیلاګر د خرڅلاو لپاره لومړی اعلان په د هیک فورمونه د اګست په ۸مه د "۴۰۴ کوډر" په نوم د یو کارونکي لخوا.
د هټۍ ډومین په دې وروستیو کې ثبت شوی و - د سپتمبر په 7، 2019.
لکه څنګه چې پراختیا ورکوونکي په ویب پاڼه کې ډاډ ورکوي ۴۰۴ پروژې[.]xyz, 404 — یوه وسیله ده چې د شرکتونو سره د خپلو پیرودونکو د کړنو په اړه زده کړې کې مرسته کوي (د دوی په اجازې سره) یا د هغو کسانو لپاره اړین دی چې غواړي خپل بائنری فایلونه د ریورس انجینرۍ څخه خوندي کړي. مخکې په لټه کې، موږ به ووایو چې وروستی دنده 404 دا خامخا کار نه کوي.
موږ پریکړه وکړه چې د فایلونو څخه یوه بیرته انجینر کړو او وګورو چې "غوره سمارټ کیلوګر" څه شی دی.
د VPO ایکوسیستم
بوټلوډر ۱ (اتیلا کریپټر)
اصلي فایل د دې سره خوندي دی د ایکسو اوبفسکیټر او دوه مرحلې ډاونلوډ ترسره کوي په پروټکټ کې د سرچینو برخې څخه. په ویروس ټوټل کې موندل شوي نورو نمونو تحلیل څرګنده کړه چې دا مرحله د پراختیا کونکي لخوا نه وه ټاکل شوې بلکه د پیرودونکي لخوا اضافه شوې وه. وروسته معلومه شوه چې دا لوډر اټیلا کریپټر و.
لوډر ۲ (AtProtect)
په حقیقت کې، دا لوډر د مالویر یوه نه بېلېدونکې برخه ده او د پراختیا کونکي د ارادې سره سم، باید د تحلیل ضد فعالیت په غاړه واخلي.
په هرصورت، په عمل کې، د ساتنې میکانیزمونه خورا لومړني دي، او زموږ سیسټمونه په بریالیتوب سره دا مالویر کشفوي.
اصلي ماډل د کارولو سره بار شوی دی فرنچی شیل کوډ مختلف نسخې. په هرصورت، موږ دا نه ردوو چې نور انتخابونه کارول کیدی شي، د مثال په توګه، رن پي ای.
د ترتیب فایل
په سیسټم کې یووالی
بوټلوډر ډاډ ورکوي چې سیسټم سم دی. په پروټکټ کې، که اړونده بیرغ تنظیم شوی وي.
- فایل د لارې په اوږدو کې کاپي شوی دی ٪ اپ ډیټا ٪ GFqaakZpzwm.exe.
- یوه فایل جوړیږي ٪ اپ ډیټا ٪ GFqaakWinDriv.url، پیل کول Zpzwm.exe.
- په څانګه کې HKCUS سافټویر مایکروسافټWindowsاوسنی ویش د لانچ کیلي جوړه شوې ده د WinDriv.url.
د C&C سره تعامل
د اټ پروټکټ لوډر
که چیرې اړونده بیرغ شتون ولري، مالویر کولی شي پټه پروسه پیل کړي. iexplorer او د خبرتیا لپاره ورکړل شوی لینک تعقیب کړئ سرور د بریالي انتان په اړه.
د معلوماتو غلا کوونکی
پرته له دې چې کومه طریقه کارول شوې وي، د شبکې اړیکه د یوې سرچینې په کارولو سره د قرباني د بهرني IP ترلاسه کولو سره پیل کیږي. [http]: // چیکپ[.]ډینډنز[.]org/.
د کارونکي اجنټ: موزیلا/۴.۰ (مطابق؛ MSIE ۶.۰؛ Windows NT 5.2; .NET CLR1.0.3705;)
د پیغام عمومي جوړښت ورته دی. سرلیک لري.
|——- ۴۰۴ کیلاګر — {ډول} ——-|چیرته {ډول} د لیږدول شوي معلوماتو ډول سره مطابقت لري.
لاندې د سیسټم په اړه معلومات دي:
_______ + د قربانیانو معلومات + _______
IP: {بهرنی IP}
د مالک نوم: {د کمپیوټر نوم}
د عملیاتي سیسټم نوم: {د عملیاتي سیسټم نوم}
د عملیاتي سیسټم نسخه: {د عملیاتي سیسټم نسخه}
د عملیاتي سیسټم پلیټ فارم: {پلیټ فارم}
د RAM اندازه: {د RAM اندازه}
______________________________
او بالاخره، هغه معلومات چې لیږدول کیږي.
SMTP
د لیک موضوع په لاندې ډول ده: ۴۰۴ K | {د پیغام ډول} | د مراجع نوم: {د کارونکي نوم}.
دا په زړه پورې ده چې مراجعینو ته د لیکونو رسولو لپاره ۴۰۴ کیلاګر د پراختیا کونکو د SMTP سرور کارول کیږي.
دې کار د ځینو مراجعینو پیژندلو او همدارنګه د یو پراختیا کونکي بریښنالیک پته ممکنه کړه.
FTP
کله چې دا طریقه کارول کیږي، راټول شوي معلومات په یوه فایل کې خوندي کیږي او سمدلاسه له هغه ځایه لوستل کیږي.
د دې عمل تر شا منطق په بشپړه توګه روښانه نه دی، مګر دا د چلند قواعدو لیکلو لپاره یو اضافي هنري اثر رامینځته کوي.
%HOMEDRIVE%%HOMEPATH%DocumentsA{هر ډول شمیره}.txt
Pastebin
د تحلیل په وخت کې، دا طریقه په ځانګړي ډول د غلا شوي پاسورډونو لیږدولو لپاره کارول کیږي. سربیره پردې، دا د لومړیو دوو میتودونو سره موازي کارول کیږي، نه د بدیل په توګه. حالت د ثابت ارزښت "Vavaa" دی، احتمالا د مراجعینو نوم.
تعامل د https پروتوکول له لارې د API له لارې ترسره کیږي. پیسټبین. مطلب د شخصي_پیسټ_اپی مساوي بې نوملړ_پیسټ کړئ، کوم چې د داسې پاڼو لټون منع کوي په پیسټبین.
د کوډ کولو الګوریتمونه
د سرچینو څخه د فایل استخراج کول
پېلوډ د لوډر سرچینو کې زیرمه کیږي. په پروټکټ کې د بټ میپ انځورونو په بڼه. استخراج په څو مرحلو کې ترسره کیږي:
- د بایټونو یوه لړۍ له انځور څخه ایستل کیږي. هر پکسل د BGR په ترتیب کې د دریو بایټونو د ترتیب په توګه چلند کیږي. د استخراج وروسته، د صف لومړني څلور بایټونه د پیغام اوږدوالی ذخیره کوي، او لاندې څلور بایټونه پخپله پیغام ذخیره کوي.
- کیلي محاسبه کیږي. د دې کولو لپاره، MD5 د "ZpzwmjMJyfTNiRalKVrcSkxCN" ارزښت څخه محاسبه کیږي چې د پټنوم په توګه مشخص شوی. پایله لرونکی هش دوه ځله لیکل کیږي.
- ډیکریپشن د ECB حالت کې د AES الګوریتم په کارولو سره ترسره کیږي.
ناوړه فعالیت
ښکته
په بوټلوډر کې پلي شوی په پروټکټ کې.
- د اپیل له لارې [فعال لینک-بدلون] د سرور حالت د فایل رسولو لپاره د چمتووالي په اړه غوښتل شوی دی. سرور باید بیرته راشي "پر".
- لینک [د لینک ډاونلوډ بدلول] د پېلوډ ډاونلوډ کېدونکی دی.
- د مرستې په مرسته فرانچي شیل کوډ د بار بار په پروسه کې داخلېږي [انج-بدلون].
د ډومین تحلیل په جریان کې ۴۰۴ پروژې[.]xyz په VirusTotal کې اضافي قضیې پیژندل شوې ۴۰۴ کیلاګر، او همدارنګه د بار وړونکو څو ډولونه.
په دودیز ډول، دوی په دوه ډوله ویشل شوي دي:
- ډاونلوډ کول د سرچینې څخه ترسره کیږي ۴۰۴ پروژې[.]xyz.
معلومات په Base64 کې کوډ شوي او AES کوډ شوي دي. - دا اختیار څو مرحلې لري او ډیری احتمال د بوټلوډر سره په ګډه کارول کیږي. په پروټکټ کې.
- په لومړي پړاو کې، معلومات له پیسټبین او د فنکشن په کارولو سره ډیکوډ شوي دي هیکس ټو بایټ.
- په دوهم پړاو کې، د بارولو سرچینه پخپله ده ۴۰۴ پروژې[.]xyzد ډیکمپریشن او کوډ کولو دندې د ډیټا سټیلر کې موندل شوي سره ورته دي. احتمال لري چې اصلي پلان په اصلي ماډل کې د لوډر فعالیت پلي کول وو.
- په دې مرحله کې، پېلوډ لا دمخه د سرچینې په منشور کې په کمپریس شوي بڼه کې دی. ورته استخراجي دندې په اصلي ماډل کې هم وموندل شوې.
د تحلیل شویو فایلونو په منځ کې لوډرونه وموندل شول. njRat, سپای ګیټ او نور RATs.
کیليګر
د لاګ لیږلو موده: 30 دقیقې.
ټول حروف ملاتړ شوي دي. ځانګړي حروف فرار شوي دي. د بیک سپیس او ډیلیټ کیلي ملاتړ شوي دي. د قضیې حساس.
کلپ بورډ لاګر
د لاګ لیږلو موده: 30 دقیقې.
د بفر رای ورکولو موده: 0,1 ثانیې.
د لینک فرار پلي شوی دی.
سکرین لاګر
د لاګ لیږلو موده: 60 دقیقې.
سکرین شاټونه په کې خوندي شوي دي %کور ډرایو%%کورپاتھ% اسناد404k404pic.png.
د فولډر له لیږلو وروسته 404k حذف کیږي.
د پټنوم غلا کوونکی
| براوزرونه | د برېښنالیک مراجعین | د FTP مراجعین |
|---|---|---|
| کروم | Outlook | فایلزیلا |
| د فایرفوکس | تندرډر | |
| سمندر سمندري | فاکس میل | |
| آیس ډریگن | ||
| پیلیمون | ||
| سایبر فاکس | ||
| کروم | ||
| زړور براوزر | ||
| د QQ براوزر | ||
| ایریډیم براوزر | ||
| د ایکسواسټ براوزر | ||
| چیډوټ | ||
| ۳۶۰ براوزر | ||
| کوموډو ډریگن | ||
| ۳۶۰ کروم | ||
| سوپر برډ | ||
| CentBrowser | ||
| د ګوسټ براوزر | ||
| د اوسپنې براوزر | ||
| کروموم | ||
| ویالیلدي | ||
| سلیم جیټ براوزر | ||
| مدار | ||
| کوکوک | ||
| تورچ | ||
| UCBrowser | ||
| ایپیک براوزر | ||
| بلسک براوزر | ||
| اوپرا |
د متحرک تحلیل سره مقابله
- د دې چک کول چې ایا یوه پروسه د تحلیل لاندې ده
دا د پروسې لټون په کارولو سره ترسره کیږي کاريګرم, پروسس هیکر, د پروکس ایکسپ ۶۴, پروس ایکسپ, پروکمونکه لږ تر لږه یو وموندل شي، مالویر ختمیږي.
- وګورئ چې ایا تاسو په مجازی چاپیریال کې یاست
دا د پروسې لټون په کارولو سره ترسره کیږي vmtoolsd د, د VGAuth خدمت, vmacthlp د, د وي بکس خدمت, د وی بکس ټریکه لږ تر لږه یو وموندل شي، مالویر ختمیږي.
- د پنځو ثانیو لپاره ویده کیدل
- د ډیالوګ بکسونو د مختلفو ډولونو ښودنه
د ځینو شګو بکسونو د تېرېدو لپاره کارول کیدی شي.
- د UAC بای پاس
دا د راجسټری کیلي د سمولو له لارې ترسره کیږي. LUA فعال کړئ د ګروپ پالیسۍ ترتیباتو کې.
- پټ خاصیت په اوسني فایل کې تطبیق کړئ.
- د اوسني فایل د حذف کولو وړتیا.
غیر فعال ځانګړتیاوې
د بوټلوډر او اصلي ماډل تحلیل هغه دندې ښکاره کړې چې د اضافي فعالیت لپاره مسؤل دي، مګر دوی په هیڅ ځای کې نه کارول کیږي. دا احتمال لري ځکه چې مالویر لاهم د پراختیا په حال کې دی، او د هغې فعالیت به ډیر ژر پراخ شي.
د اټ پروټکټ لوډر
یوه دنده وموندل شوه چې د پروسې د بارولو او داخلولو مسؤلیت لري msiexec.exe خپل سري ماډل.
د معلوماتو غلا کوونکی
- په سیسټم کې یووالی
- د کمپریشن او ډیکریپشن دندې
د شبکې مخابراتو لپاره د معلوماتو کوډ کول به ډیر ژر پلي شي. - د انټي ویروس پروسې ختمول
| zlclient | د Dvp95_0 | پاوچید | اوسط خدمت ۹ |
| ایګوی | د ایک انجن | پاو | د avgserv9schedapp په اړه |
| بي ډيجنټ | ایساف | پیسیومون | اوسط |
| د npfmsg | ایسپ واچ | د PCCMAIN | اشویبسو |
| اولیډ بي جي | د F-Agnt95 | د Pccwin98 | اشډیسپ |
| aubis | فاینډ ویرو | د پی سی ایف والیکون | اشمایسو |
| ویسټشیر | فروټ | پرسف ډبلیو | اشسرو |
| اواستوي | F-Prot | د POP3TRAP معرفي کول | aswUpdSv |
| _Avp32 | ایف-پروټ۹۵ | PVIEW95 د | سم ډبلیو ایس سي |
| د vsmon | ایف پی-وین | راو 7 | Norton |
| mbam | وروره | راو۷وین | نورټون آټو-پروټیکټ |
| د کی سکریمبلر | ایف سټاپ | د ژغورنې د | نورټون_ایو |
| _ اې وي پي سي سي | زه اپ | سیف ویب | نورټوناو |
| _ د ماسپښین مهال | آیامسرو | سکین ۳۲ | سي سي سي ټي ايم جي آر |
| اکوین ۳۲ | ابماسان | سکین ۳۲ | د CCevtmgr |
| پوسټ | ایبماوسپ | سکین پی ایم | اواډمین |
| د ټروجان ضد | آی کلاډ ۹۵ | سکرسکین | د اور مرکز |
| انټي وایرس | آیکلوډنټ | خدمت ۹۵ | اوسط |
| اپ وی ایکس ډوین | ایکمون | Smc | ایوګارډ |
| اتریک | د Icsupp95 | د SMCSERVICE | خبر ورکول |
| اتوماتیک | د Icsuppnt | سحر | ایوسکان |
| ایوکونسول | آی فېس | په منڅنی | ګارډګی |
| Ave32 | آیومون ۹۸ | سویپ95 | نوډ۳۲کرن |
| اوسط کنټرولر | Jedi | سمپروکسی ایس وی سی | nod32kui |
| اوکسرو | لاک ډاون ۲۰۰۰ | ټي بي سکن | کلیم سکین |
| اوونټ | پام کوه | ټي سي اې | کلیم ټری |
| Avp | لوال | د Tds2-98 | کلیم وین |
| د AVP32 | mcafee | د Tds2-Nt | تازه کلیم |
| اې وي پي سي سي | مولیو | ټرمینټ | اولاد |
| د Avpdos32 | ایم پی ایف ټرای | ویټ ۹۵ | سیګټول |
| اوسط وخت | د N32 سکین | ویټری | د w9xpopen |
| د Avptc32 | د NAVAPSVC | د Vscan40 | نږدې |
| د Avpupd | د NAVAPW32 معرفي کول | ویس کامر | سي ایم ګرډیان |
| د Avsched32 | د NAVLU32 | ویشوین ۳۲ | الګسرو |
| د AVSYNMGR په اړه | ناوېنټ | د Vsstat | مکشیلډ |
| اوون ۹۵ | ناور | ویب سکینکس | vshwin32 د Android لپاره |
| Avwupd32 د Android لپاره | نوی ۳۲ | ویبټریپ | ایوکونسول |
| تور | نوینټ | د Wfindv32 | د سټاټ په پرتله |
| تور آيس | نیو واچ | زون الارم | د avsynmgr |
| سیفیاډمین | NISSERV د | لاک ډاون ۲۰۰۰ | اې وي سي ایم ډي |
| سی ایف ای آډیټ | نسیم | ژغورنه ۳۲ | ایو کنفیګ |
| سیفینیټ | نومین | لوکوم سرور | د لايسنس |
| سیفینیټ ۳۲ | نورمیسټ | اوسط سي سي | مهالویش شوی |
| کلی95 | نورتون | اوسط سي سي | مخکې له مخکې |
| پنجه ۹۵cf | نوی اپ گریڈ | د اوګامس وی آر | د MsMpEng په اړه |
| پاکونکی | این وي سي ۹۵ | د vgupsvc | د MSASCui شرکت |
| کلینر ۳ | پوسټ | اوسط | اویرا. سیسټری |
| ډیف واچ | پډمین | اوسط سي سي ۳۲ | |
| ډي وي پي ۹۵ | پاولکل | اوسط |
- ځان وژنه
- د ټاکل شوي سرچینې مینیفیسټ څخه معلومات بارول
- د یوې لارې فایل کاپي کول %Temp%tmpG[اوسنی نیټه او وخت په ملی ثانیو کې].tmp
په زړه پورې خبره دا ده چې د اجنټ ټیسلا سافټویر کې ورته فعالیت شتون لري. - د چینجي فعالیت
مالویر د لرې کولو وړ رسنیو لیست ترلاسه کوي. د مالویر یوه کاپي د رسنیو د فایل سیسټم په ریښه کې د نوم سره رامینځته کیږي سیس.ایکسآټوسټارټ د فایل په کارولو سره پلي کیږي autorun.inf.
د بریدګر پروفایل
د قوماندې مرکز د تحلیل په جریان کې، موږ وکولای شو چې د پراختیا کونکي بریښنالیک پته او کارن نوم وپیژنو: Razer، aka Brwa، Brwa65، HiDDen PerSOn، 404 Coder. بیا موږ د یوټیوب یوه په زړه پورې ویډیو وموندله چې د جوړونکي ښودنه کوي.
دې کار د اصلي پراختیا کونکي چینل موندل ممکن کړل.
دا څرګنده شوه چې هغه د کریپټو اسعارو لیکلو تجربه درلوده. د ټولنیزو رسنیو پاڼو ته لینکونه هم وو، او همدارنګه د لیکوال اصلي نوم هم. هغه یو عراقی شو.
دا هغه څه دي چې د 404 Keylogger جوړونکی یې داسې ښکاري. دا عکس د هغه د شخصي فیسبوک پروفایل څخه اخیستل شوی دی.
د ګروپ-آی بي سي ای آر ټي، چې په بحرین کې د سایبر امنیت د ګواښونو د څارنې او غبرګون مرکز (SOC) دی، یو نوی خبرداری خپور کړی دی - 404 کیلاګر.
سرچینه: www.habr.com
