گذريل سال جي آخر کان وٺي، اسان بينڪنگ ٽرجن کي ورهائڻ لاءِ هڪ نئين بدسلوڪي مهم کي ٽريڪ ڪرڻ شروع ڪيو. حملي آورن روسي ڪمپنيون، يعني ڪارپوريٽ استعمال ڪندڙن کي سمجهوتو ڪرڻ تي ڌيان ڏنو. بدسلوڪي مهم گهٽ ۾ گهٽ هڪ سال تائين سرگرم هئي ۽، بينڪنگ ٽروجن کان علاوه، حملي ڪندڙن ٻين مختلف سافٽ ويئر اوزار استعمال ڪرڻ جو رستو اختيار ڪيو. انهن ۾ شامل آهي هڪ خاص لوڊر پيڪيج ٿيل استعمال ڪندي ، ۽ اسپائي ويئر، جيڪو مشهور جائز Yandex Punto سافٽ ويئر جي طور تي لڪايو ويو آهي. هڪ دفعو حملي آورن کي منظم ڪيو ويو آهي ته مقتول جي ڪمپيوٽر کي سمجهي، اهي هڪ پوئين دروازي ۽ پوء هڪ بينڪنگ ٽرجن کي نصب ڪن ٿا.
انهن جي مالويئر لاءِ، حملي آورن استعمال ڪيا ڪيترائي صحيح (ان وقت) ڊجيٽل سرٽيفڪيٽ ۽ خاص طريقا AV پروڊڪٽس کي بائي پاس ڪرڻ لاءِ. بدسلوڪي مهم روسي بينڪن جي وڏي تعداد کي نشانو بڻايو ۽ خاص دلچسپي آهي ڇو ته حملي آور طريقا استعمال ڪيا آهن جيڪي اڪثر ٽارگيٽ حملن ۾ استعمال ڪيا ويندا آهن، يعني حملا جيڪي خالص طور تي مالي فراڊ کان متاثر نه هوندا آهن. اسان هن بدسلوڪي مهم ۽ هڪ وڏي واقعي جي وچ ۾ ڪجهه هڪجهڙائي نوٽ ڪري سگهون ٿا جنهن کي اڳ ۾ وڏي پبلسٽي ملي هئي. اسان هڪ cybercriminal گروپ جي باري ۾ ڳالهائي رهيا آهن ته هڪ بئنڪنگ Trojan استعمال ڪيو /.
حملي آورن صرف انهن ڪمپيوٽرن تي مالويئر نصب ڪيو جيڪي ونڊوز ۾ روسي ٻولي استعمال ڪندا هئا (مقامي) ڊفالٽ طور. ٽروجن جو مکيه ورهائڻ وارو ویکٹر هڪ لفظ دستاويز هو هڪ استحصال سان. ، جيڪو دستاويز جي منسلڪ طور موڪليو ويو. هيٺ ڏنل اسڪرين شاٽ ظاهر ڪن ٿا اهڙي جعلي دستاويزن جي ظاهري. پهرين دستاويز جو عنوان آهي “انوائس نمبر 522375-FLORL-14-115.doc”، ۽ ٻيو “kontrakt87.doc”، اهو موبائيل آپريٽر Megafon پاران ٽيليڪميونيڪيشن سروسز جي فراهمي لاءِ معاهدي جي ڪاپي آهي.
چانور. 1. فشنگ دستاويز.
چانور. 2. فشنگ دستاويز جي هڪ ٻي ترميم.
هيٺيون حقيقتون ظاهر ڪن ٿيون ته حملي آور روسي ڪاروبار کي نشانو بڻائي رهيا هئا:
- مخصوص موضوع تي جعلي دستاويز استعمال ڪندي مالويئر جي ورڇ؛
- حملي آورن جي حڪمت عملي ۽ خراب اوزار جيڪي اهي استعمال ڪندا آهن؛
- ڪجهه قابل عمل ماڊلز ۾ ڪاروباري ايپليڪيشنن جا لنڪ؛
- خراب ڊومين جا نالا جيڪي هن مهم ۾ استعمال ڪيا ويا.
خاص سافٽ ويئر اوزار جيڪي حملو ڪندڙ هڪ سمجھوتي سسٽم تي نصب ڪن ٿا انهن کي سسٽم جي ريموٽ ڪنٽرول حاصل ڪرڻ ۽ صارف جي سرگرمين جي نگراني ڪرڻ جي اجازت ڏين ٿا. انهن ڪمن کي انجام ڏيڻ لاءِ، اهي هڪ پوئين دروازي کي انسٽال ڪندا آهن ۽ ونڊوز اڪائونٽ پاسورڊ حاصل ڪرڻ جي ڪوشش ڪندا آهن يا هڪ نئون اڪائونٽ ٺاهيندا آهن. حملو ڪندڙ هڪ Keylogger (keylogger)، هڪ ونڊوز ڪلپ بورڊ چوري ڪندڙ، ۽ سمارٽ ڪارڊ سان ڪم ڪرڻ لاءِ خاص سافٽ ويئر جي خدمتن جو پڻ استعمال ڪندا آهن. ھن گروھ ٻين ڪمپيوٽرن کي سمجھوتو ڪرڻ جي ڪوشش ڪئي جيڪي ساڳئي مقامي نيٽ ورڪ تي آھن جيئن مقتول جي ڪمپيوٽر.
اسان جو ESET LiveGrid ٽيليميٽري سسٽم، جيڪو اسان کي مالويئر جي تقسيم جي انگن اکرن کي جلدي ٽريڪ ڪرڻ جي اجازت ڏئي ٿو، اسان کي ڏنل مهم ۾ حملي ڪندڙن پاران استعمال ڪيل مالويئر جي ورڇ تي دلچسپ جاگرافيائي انگ اکر مهيا ڪري ٿو.
چانور. 3. ھن بدسلوڪي مهم ۾ استعمال ٿيل مالويئر جي جاگرافيائي ورڇ تي انگ اکر.
انسٽال ڪرڻ مالويئر
هڪ صارف کان پوءِ هڪ خراب دستاويز کوليندو آهي هڪ ڪمزور سسٽم تي استحصال سان، NSIS استعمال ڪندي پيڪيج ٿيل هڪ خاص ڊائونلوڊر ڊائون لوڊ ڪيو ويندو ۽ اتي ئي عمل ڪيو ويندو. ان جي ڪم جي شروعات ۾، پروگرام ونڊوز ماحول کي چيڪ ڪري ٿو اتي ڊيبگرز جي موجودگي يا ورچوئل مشين جي حوالي سان هلائڻ لاءِ. اهو ونڊوز جي لوڪلائيزيشن کي به چيڪ ڪري ٿو ۽ ڇا صارف برائوزر ۾ ڏنل جدول ۾ ڏنل URLs جو دورو ڪيو آهي. APIs هن لاء استعمال ڪيا ويا آهن پهرين ڳولهيو/NextUrlCacheEntry ۽ SoftwareMicrosoftInternet ExplorerTypedURLs رجسٽري چيڪ.
بوٽ لوڊر سسٽم تي هيٺين ايپليڪيشنن جي موجودگي جي جانچ ڪري ٿو.
عملن جي فهرست واقعي متاثر ڪندڙ آهي ۽، جيئن توهان ڏسي سگهو ٿا، ان ۾ نه صرف بينڪنگ ايپليڪيشنون شامل آهن. مثال طور، "scardsvr.exe" نالي هڪ قابل عمل فائل سمارٽ ڪارڊ (Microsoft SmartCard reader) سان ڪم ڪرڻ لاءِ سافٽ ويئر ڏانهن اشارو ڪري ٿو. بئنڪنگ ٽرجن پاڻ ۾ سمارٽ ڪارڊ سان ڪم ڪرڻ جي صلاحيت شامل آهي.
چانور. 4. مالويئر جي انسٽاليشن جي عمل جو عام خاڪو.
جيڪڏهن سڀئي چيڪ ڪاميابيءَ سان مڪمل ٿي ويا آهن، ته لوڊر ريموٽ سرور مان هڪ خاص فائل (آرڪائيو) ڊائون لوڊ ڪري ٿو، جنهن ۾ حملي آورن پاران استعمال ڪيل تمام بدڪاري ايگزيڪيوٽو ماڊل شامل آهن. اهو نوٽ ڪرڻ دلچسپ آهي ته مٿين چيڪن جي عمل جي بنياد تي، ريموٽ C&C سرور تان ڊائون لوڊ ڪيل آرڪائيوز مختلف ٿي سگهن ٿا. آرڪائيو خراب ٿي سگھي ٿو يا نه ٿي سگھي. جيڪڏهن خراب نه آهي، اهو انسٽال ڪري ٿو Windows Live Toolbar صارف لاءِ. گهڻو ڪري، حملو ڪندڙ پاڻمرادو فائل تجزيو سسٽم ۽ ورچوئل مشينن کي ٺڳيءَ لاءِ ساڳين چالن جو استعمال ڪيو جن تي مشڪوڪ فائلن تي عمل ڪيو ويو آهي.
NSIS ڊائون لوڊ ڪندڙ طرفان ڊائون لوڊ ڪيل فائل هڪ 7z آرڪائيو آهي جنهن ۾ مختلف مالويئر ماڊل شامل آهن. هيٺ ڏنل تصوير هن مالويئر ۽ ان جي مختلف ماڊلز جي پوري تنصيب واري عمل کي ڏيکاري ٿي.
چانور. 5. عام اسڪيم ته ڪيئن مالويئر ڪم ڪري ٿو.
جيتوڻيڪ لوڊ ٿيل ماڊل حملي ڪندڙن لاءِ مختلف مقصدن جي خدمت ڪن ٿا، اهي هڪجهڙائي سان ڀريل آهن ۽ انهن مان ڪيترائي صحيح ڊجيٽل سرٽيفڪيٽ سان دستخط ڪيا ويا آهن. اسان کي چار اهڙا سرٽيفڪيٽ مليا جيڪي حملي آورن مهم جي شروعات کان وٺي استعمال ڪيا. اسان جي شڪايت جي پٺيان، اهي سرٽيفڪيٽ رد ڪيا ويا. اها ڳالهه نوٽ ڪرڻ جي قابل آهي ته سڀ سرٽيفڪيٽ ماسڪو ۾ رجسٽرڊ ڪمپنين کي جاري ڪيا ويا.
چانور. 6. ڊجيٽل سرٽيفڪيٽ جيڪو مالويئر کي سائن ڪرڻ لاء استعمال ڪيو ويو.
هيٺ ڏنل جدول انهن ڊجيٽل سرٽيفڪيٽن جي سڃاڻپ ڪري ٿو جيڪي حملي آور هن بدسلوڪي مهم ۾ استعمال ڪيا آهن.
حملي آورن پاران استعمال ڪيل تقريبن تمام خراب ماڊلز ۾ هڪجهڙائي واري انسٽاليشن جي طريقيڪار آهي. اهي 7zip آرڪائيو پاڻ ڪڍڻ وارا آهن جيڪي پاسورڊ محفوظ آهن.
چانور. 7. install.cmd بيچ فائل جو ٽڪرو.
بيچ .cmd فائل سسٽم تي مالويئر نصب ڪرڻ ۽ مختلف حملي ڪندڙ اوزار شروع ڪرڻ جو ذميوار آهي. جيڪڏهن عملدرآمد جي ضرورت آهي گم ٿيل انتظامي حقن، بدسلوڪي ڪوڊ انهن کي حاصل ڪرڻ لاء ڪيترن ئي طريقن کي استعمال ڪري ٿو (UAC کي پاس ڪرڻ). پهرين طريقي کي لاڳو ڪرڻ لاء، ٻه قابل عمل فائلون l1.exe ۽ cc1.exe استعمال ڪيا ويا آهن، جيڪي UAC کي استعمال ڪندي بائي پاس ڪرڻ ۾ ماهر آهن. ڪاربرپ سورس ڪوڊ. ٻيو طريقو CVE-2013-3660 جي ڪمزورين جي استحصال تي ٻڌل آهي. هر مالويئر ماڊل جنهن کي استحقاق وڌائڻ جي ضرورت آهي ان ۾ استحصال جو هڪ 32-bit ۽ 64-bit نسخو شامل آهي.
هن مهم کي ٽريڪ ڪرڻ دوران، اسان ڪيترن ئي آرڪائيوز جو تجزيو ڪيو جيڪو ڊائون لوڊ ڪندڙ طرفان اپلوڊ ڪيو ويو. آرڪائيوز جو مواد مختلف آهي، مطلب ته حملو ڪندڙ مختلف مقصدن لاء بدسلوڪي ماڊلز کي ترتيب ڏئي سگھن ٿا.
استعمال ڪندڙ سمجھوتا
جيئن اسان مٿي ذڪر ڪيو آهي، حملي ڪندڙ خاص اوزار استعمال ڪندا آهن صارفين جي ڪمپيوٽرن کي سمجهوتو ڪرڻ لاء. انهن اوزارن ۾ شامل آهن پروگرامن سان گڏ قابل عمل فائل نالن mimi.exe ۽ xtm.exe. اهي حملي آورن کي متاثر جي ڪمپيوٽر تي ڪنٽرول ڪرڻ ۾ مدد ڪن ٿا ۽ هيٺين ڪمن کي انجام ڏيڻ ۾ ماهر آهن: ونڊوز اڪائونٽس لاءِ پاسورڊ حاصل ڪرڻ/ بحال ڪرڻ، آر ڊي پي سروس کي فعال ڪرڻ، او ايس ۾ نئون اڪائونٽ ٺاهڻ.
mimi.exe executable ۾ شامل آھي ھڪ سڃاتل اوپن سورس ٽول جو تبديل ٿيل ورزن . هي اوزار توهان کي Windows صارف اڪائونٽ پاسورڊ حاصل ڪرڻ جي اجازت ڏئي ٿو. حملي ڪندڙن کي Mimikatz مان حصو هٽايو ويو جيڪو صارف جي رابطي لاء ذميوار آهي. ايگزيڪيوٽو ڪوڊ ۾ به ترميم ڪئي وئي آهي ته جيئن لانچ ڪيو وڃي، Mimikatz استحقاق::debug ۽ sekurlsa:logonPasswords ڪمانڊ سان هلندو آهي.
هڪ ٻي قابل عمل فائل، xtm.exe، خاص اسڪرپٽ شروع ڪري ٿي جيڪا سسٽم ۾ RDP سروس کي فعال ڪري ٿي، او ايس ۾ هڪ نئون اڪائونٽ ٺاهڻ جي ڪوشش ڪريو، ۽ سسٽم سيٽنگون پڻ تبديل ڪري ٿي ته ڪيترن ئي صارفين کي RDP ذريعي هڪ سمجھوتي ڪمپيوٽر سان ڳنڍڻ جي اجازت ڏين ٿيون. ظاهر آهي، اهي قدم ضروري آهن ته سمجهوتي نظام جو مڪمل ڪنٽرول حاصل ڪرڻ لاءِ.
چانور. 8. سسٽم تي xtm.exe پاران جاري ڪيل حڪم.
حملو ڪندڙ هڪ ٻي قابل عمل فائل استعمال ڪندا آهن جنهن کي impack.exe سڏيو ويندو آهي، جيڪو سسٽم تي خاص سافٽ ويئر نصب ڪرڻ لاء استعمال ڪيو ويندو آهي. هن سافٽ ويئر کي LiteManager سڏيو ويندو آهي ۽ حملي ڪندڙن طرفان استعمال ڪيو ويندو آهي پٺئين دروازي جي طور تي.
چانور. 9. LiteManager انٽرفيس.
هڪ دفعو صارف جي سسٽم تي نصب ڪيو ويو، LiteManager حملي ڪندڙن کي سڌو سنئون انهي سسٽم سان ڳنڍڻ ۽ ان کي ريموٽ ڪنٽرول ڪرڻ جي اجازت ڏئي ٿو. ھن سافٽ ويئر ۾ خاص ڪمانڊ لائين پيٽرول آھن ان جي پوشیدہ تنصيب لاءِ، خاص فائر وال قاعدن جي ٺاھڻ، ۽ ان جي ماڊل کي لانچ ڪرڻ. سڀئي پيٽرول حملن پاران استعمال ڪيا ويا آهن.
مالويئر پيڪيج جو آخري ماڊل حملو ڪندڙن پاران استعمال ڪيو ويو آهي هڪ بينڪنگ مالويئر پروگرام (بينڪر) جنهن تي عمل ڪندڙ فائل جو نالو pn_pack.exe آهي. هوءَ صارف تي جاسوسي ڪرڻ ۾ ماهر آهي ۽ سي ۽ سي سرور سان لهه وچڙ جي ذميوار آهي. بينڪر کي جائز Yandex Punto سافٽ ويئر استعمال ڪندي شروع ڪيو ويو آهي. Punto استعمال ڪيو ويو حملي ڪندڙن پاران بدسلوڪي DLL لائبريرين کي لانچ ڪرڻ لاءِ (DLL سائڊ لوڊ ڪرڻ جو طريقو). مالويئر پاڻ ھيٺ ڏنل ڪم ڪري سگھي ٿو:
- ٽريڪ ڪيبورڊ ڪي اسٽروڪس ۽ ڪلپ بورڊ مواد انهن جي ايندڙ ٽرانسميشن لاءِ ريموٽ سرور ڏانهن؛
- سسٽم ۾ موجود سڀئي سمارٽ ڪارڊ لسٽ ڪريو؛
- ريموٽ سي ۽ سي سرور سان رابطو ڪريو.
مالويئر ماڊل، جيڪو انهن سڀني ڪمن کي انجام ڏيڻ جو ذميوار آهي، هڪ اينڪرپٽ ٿيل ڊي ايل ايل لائبريري آهي. اهو Punto جي عمل دوران ميموري ۾ ڊسڪ ڪيو ويو ۽ لوڊ ڪيو ويو آهي. مٿين ڪمن کي انجام ڏيڻ لاء، ڊي ايل ايل قابل عمل ڪوڊ شروع ٿئي ٿو ٽي موضوع.
حقيقت اها آهي ته حملي ڪندڙن پنٽو سافٽ ويئر کي انهن جي مقصدن لاء چونڊيو ڪو تعجب ناهي: ڪجهه روسي فورم کليل طور تي تفصيلي معلومات مهيا ڪن ٿا انهن موضوعن تي جيئن ته جائز سافٽ ويئر ۾ خاميون استعمال ڪندي استعمال ڪندڙن کي سمجهوتو ڪرڻ لاء.
بدسلوڪي لائبريري RC4 الگورٿم استعمال ڪري ٿي ان جي تارن کي انڪرپٽ ڪرڻ لاءِ، ۽ گڏوگڏ نيٽ ورڪ رابطي دوران C&C سرور سان. اهو سرور سان هر ٻن منٽن سان رابطو ڪري ٿو ۽ اتي سڀني ڊيٽا کي منتقل ڪري ٿو جيڪو هن عرصي دوران سمجھوتي نظام تي گڏ ڪيو ويو.
چانور. 10. بوٽ ۽ سرور جي وچ ۾ نيٽ ورڪ رابطي جو ٽڪرو.
ھيٺ ڏنل ڪجھ C&C سرور ھدايتون آھن جيڪي لائبريري حاصل ڪري سگھن ٿيون.
C&C سرور کان هدايتون حاصل ڪرڻ جي جواب ۾، مالويئر هڪ اسٽيٽس ڪوڊ سان جواب ڏئي ٿو. اهو نوٽ ڪرڻ دلچسپ آهي ته سڀئي بينڪر ماڊلز جن جو اسان تجزيو ڪيو (تازو تازو هڪ تاليف جي تاريخ 18 جنوري سان) ۾ "TEST_BOTNET" اسٽرنگ شامل آهي، جيڪو هر پيغام ۾ C&C سرور ڏانهن موڪليو ويو آهي.
ٿڪل
ڪارپوريٽ استعمال ڪندڙن کي سمجھوتو ڪرڻ لاء، حملي ڪندڙ پھرين اسٽيج تي ڪمپني جي ھڪڙي ملازم کي سمجھوتي ڪندي ھڪڙي فشنگ پيغام موڪلڻ سان ھڪڙي استحصال سان. اڳيون، هڪ دفعو سسٽم تي مالويئر نصب ٿي ويندو، اهي سافٽ ويئر اوزار استعمال ڪندا جيڪي انهن کي سسٽم تي پنهنجو اختيار وڌائڻ ۽ ان تي اضافي ڪم انجام ڏيڻ ۾ مدد ڏين ٿا: ڪارپوريٽ نيٽ ورڪ تي ٻين ڪمپيوٽرن کي سمجھوتو ۽ صارف تي جاسوسي، گڏوگڏ بئنڪنگ ٽرانزيڪشن جيڪو هو انجام ڏئي ٿو.
جو ذريعو: www.habr.com