පසුපස දොර සහ Buhtrap සංකේතනය Yandex.Direct භාවිතයෙන් බෙදා හරින ලදී

සයිබර් ප්‍රහාරයකදී ගණකාධිකාරීවරුන් ඉලක්ක කර ගැනීමට, ඔබට ඔවුන් මාර්ගගතව සොයන වැඩ ලේඛන භාවිතා කළ හැක. මෙය දළ වශයෙන් සයිබර් සමූහයක් විසින් පසුගිය මාස කිහිපය පුරාවට දන්නා පසුපස දොරටු බෙදා හරිමින් සිදු කර ඇත. බුට්රැප් и RTM, මෙන්ම ගුප්තකේතන මුදල් සොරකම් කිරීම සඳහා ගුප්තකේතන සහ මෘදුකාංග. බොහෝ ඉලක්ක රුසියාවේ පිහිටා ඇත. Yandex.Direct වෙබ් අඩවියේ අනිෂ්ට ප්‍රචාරණය කිරීම මගින් මෙම ප්‍රහාරය සිදු කර ඇත. විභව වින්දිතයින් වෙබ් අඩවියකට යොමු කරන ලද අතර එහිදී ලේඛන අච්චුවක් ලෙස වෙස්වළාගත් ද්වේෂසහගත ගොනුවක් බාගත කරන ලෙස ඉල්ලා සිටියේය. අපගේ අනතුරු ඇඟවීමෙන් පසුව Yandex විසින් අනිෂ්ට වෙළඳ දැන්වීම් ඉවත් කරන ලදී.

Buhtrap හි මූල කේතය පසුගිය කාලයේ අන්තර්ජාලය හරහා කාන්දු වී ඇති බැවින් ඕනෑම කෙනෙකුට එය භාවිතා කළ හැකිය. RTM කේත ලබා ගැනීමේ හැකියාව පිළිබඳව අපට තොරතුරු නොමැත.

ප්‍රහාරකයින් Yandex.Direct භාවිතයෙන් අනිෂ්ට මෘදුකාංග බෙදා හැර GitHub හි සත්කාරකත්වය සපයන ආකාරය මෙම පෝස්ට් එකෙන් අපි ඔබට කියන්නෙමු. අනිෂ්ට මෘදුකාංගයේ තාක්ෂණික විශ්ලේෂණයකින් ලිපිය අවසන් වේ.

Buhtrap සහ RTM නැවතත් ව්‍යාපාරයට පැමිණ ඇත

පැතිරීම සහ වින්දිතයින්ගේ යාන්ත්රණය

වින්දිතයින්ට ලබා දෙන විවිධ ගෙවීම් පොදු ප්‍රචාරණ යාන්ත්‍රණයක් බෙදා ගනී. ප්‍රහාරකයන් විසින් නිර්මාණය කරන ලද සියලුම අනිෂ්ට ගොනු විවිධ GitHub ගබඩා දෙකක තැන්පත් කර ඇත.

සාමාන්‍යයෙන්, ගබඩාවේ එක් බාගත හැකි අනිෂ්ට ගොනුවක් අඩංගු විය, එය නිතර වෙනස් වේ. GitHub ඔබට ගබඩාවක වෙනස්කම් වල ඉතිහාසය බැලීමට ඉඩ දෙන බැවින්, යම් කාල සීමාවක් තුළ බෙදා හරින ලද අනිෂ්ට මෘදුකාංග මොනවාදැයි අපට දැක ගත හැකිය. අනිෂ්ට ගොනුව බාගත කිරීමට වින්දිතයාට ඒත්තු ගැන්වීම සඳහා, ඉහත රූපයේ දැක්වෙන වෙබ් අඩවිය blanki-shabloni24[.]ru, භාවිතා කරන ලදී.

වෙබ් අඩවියේ සැලසුම සහ අනිෂ්ට ලිපිගොනු වල සියලුම නම් තනි සංකල්පයක් අනුගමනය කරයි - ආකෘති, සැකිලි, ගිවිසුම්, සාම්පල, ආදිය. Buhtrap සහ RTM මෘදුකාංග දැනටමත් ගණකාධිකාරීවරුන්ට පහර දීමේදී භාවිතා කර ඇති බව සලකන විට, අපි උපකල්පනය කළේ නව ව්‍යාපාරයේ උපායමාර්ගය ද එසේමය. එකම ප්‍රශ්නය වන්නේ වින්දිතයා ප්‍රහාරකයන්ගේ වෙබ් අඩවියට පැමිණියේ කෙසේද යන්නයි.

ආසාදනය

අවම වශයෙන් මෙම වෙබ් අඩවියේ අවසන් වූ විභව වින්දිතයින් කිහිප දෙනෙකු ද්වේෂසහගත වෙළඳ දැන්වීම් මගින් ආකර්ෂණය විය. පහත දැක්වෙන්නේ උදාහරණ URL ය:

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

සබැඳියෙන් ඔබට පෙනෙන පරිදි, බැනරය නීත්‍යානුකූල ගිණුම්කරණ සංසදයේ bb.f2[.]kz පළ කර ඇත. බැනර් විවිධ වෙබ් අඩවිවල දිස් වූ අතර, සියල්ලටම එකම ප්‍රචාරක හැඳුනුම්පතක් (blanki_rsya) තිබූ අතර බොහෝමයක් ගිණුම්කරණ හෝ නීති ආධාර සේවාවලට සම්බන්ධ බව සැලකිල්ලට ගැනීම වැදගත්ය. විභව වින්දිතයා ඉලක්කගත ප්‍රහාර පිළිබඳ අපගේ උපකල්පනයට සහාය දක්වන “ඉන්වොයිස් පෝරමය බාගන්න” ඉල්ලීම භාවිතා කළ බව URL පෙන්වයි. පහත දැක්වෙන්නේ බැනර් දර්ශනය වූ අඩවි සහ ඊට අනුරූප සෙවුම් විමසුම් ය.

• ඉන්වොයිස් පෝරමය බාගන්න - bb.f2[.]kz
• නියැදි කොන්ත්රාත්තුව - Ipopen[.]ru
• අයදුම්පත් පැමිණිලි නියැදිය - 77metrov[.]ru
• ගිවිසුම් පෝරමය - හිස්-ඩොගොවෝර්-කුප්ලි-ප්‍රොදාෂි[.]රු
• නියැදි අධිකරණ පෙත්සම - zen.yandex[.]ru
• නියැදි පැමිණිල්ල - yurday[.]ru
• නියැදි කොන්ත්රාත් ආකෘති - Regforum[.]ru
• කොන්ත්රාත් ආකෘතිය - සහායක[.]ru
• නියැදි මහල් නිවාස ගිවිසුම - napravah[.]com
• නෛතික ගිවිසුම් සාම්පල - avito[.]ru

blanki-shabloni24[.]ru අඩවිය සරල දෘශ්‍ය තක්සේරුවක් සම්මත කිරීමට වින්‍යාස කර තිබිය හැක. සාමාන්‍යයෙන්, GitHub වෙත සබැඳියක් සහිත වෘත්තීය පෙනුමක් ඇති වෙබ් අඩවියක් වෙත යොමු කරන දැන්වීමක් පැහැදිලිවම නරක දෙයක් ලෙස නොපෙනේ. ඊට අමතරව, ප්‍රහාරකයින් ද්වේශසහගත ගොනු ගබඩාවට උඩුගත කළේ සීමිත කාලයක් සඳහා පමණි, ප්‍රචාරක කාලය තුළ විය හැකිය. බොහෝ විට, GitHub ගබඩාවේ හිස් zip සංරක්ෂිතයක් හෝ හිස් EXE ගොනුවක් අඩංගු විය. මේ අනුව, ප්‍රහාරකයින්ට නිශ්චිත සෙවුම් විමසුම්වලට ප්‍රතිචාර වශයෙන් පැමිණි ගණකාධිකාරීවරුන් විසින් බොහෝ විට සංචාරය කරන ලද අඩවි මත Yandex.Direct හරහා වෙළඳ දැන්වීම් බෙදා හැරිය හැක.

මීළඟට අපි බලමු මේ විදියට බෙදාහරින විවිධ payloads ගැන.

පැටවීමේ විශ්ලේෂණය

බෙදා හැරීමේ කාල නිර්ණය

ද්වේශසහගත ව්‍යාපාරය 2018 ඔක්තෝබර් අවසානයේ ආරම්භ වූ අතර එය ලියන අවස්ථාව වන විට සක්‍රීයයි. සම්පූර්ණ ගබඩාව GitHub හි ප්‍රසිද්ධියේ ලබා ගත හැකි බැවින්, අපි විවිධ අනිෂ්ට මෘදුකාංග පවුල් හයක් බෙදා හැරීමේ නිවැරදි කාලසටහනක් සම්පාදනය කළෙමු (පහත රූපය බලන්න). අපි git ඉතිහාසය සමඟ සංසන්දනය කිරීම සඳහා ESET ටෙලිමෙට්‍රි මගින් මනිනු ලබන පරිදි, බැනර් සබැඳිය සොයාගත් විට පෙන්වන රේඛාවක් එකතු කර ඇත. ඔබට පෙනෙන පරිදි, මෙය GitHub හි ඇති ගෙවීමේ හැකියාව සමඟ හොඳින් සම්බන්ධ වේ. පෙබරවාරි අවසානයේ ඇති විෂමතාවය පැහැදිලි කළ හැක්කේ අපට එය සම්පූර්ණයෙන් ලබා ගැනීමට පෙර ගබඩාව GitHub වෙතින් ඉවත් කර ඇති නිසා වෙනස් කිරීමේ ඉතිහාසයේ කොටසක් අපට නොතිබීමෙනි.

රූපය 1. අනිෂ්ට මෘදුකාංග බෙදා හැරීමේ කාල නිර්ණය.

කේත අත්සන් කිරීමේ සහතික

ප්‍රචාරණය බහු සහතික භාවිතා කළේය. සමහරක් අනිෂ්ට මෘදුකාංග පවුලකට වඩා අත්සන් කර ඇති අතර, විවිධ සාම්පල එකම ව්‍යාපාරයට අයත් බව තවදුරටත් පෙන්නුම් කරයි. පුද්ගලික යතුර තිබුණද, ක්‍රියාකරුවන් ද්විමය ක්‍රමානුකූලව අත්සන් නොකළ අතර සියලුම සාම්පල සඳහා යතුර භාවිතා නොකළේය. 2019 පෙබරවාරි මස අගදී, ප්‍රහාරකයින් ඔවුන් සතුව පුද්ගලික යතුර නොතිබූ Google සතු සහතිකයක් භාවිතයෙන් අවලංගු අත්සන් සෑදීමට පටන් ගත්හ.

ව්‍යාපාරයට සම්බන්ධ සියලුම සහතික සහ ඔවුන් අත්සන් කරන අනිෂ්ට මෘදුකාංග පවුල් පහත වගුවේ ලැයිස්තුගත කර ඇත.

අපි වෙනත් අනිෂ්ට මෘදුකාංග පවුල් සමඟ සම්බන්ධතා ඇති කර ගැනීමට මෙම කේත අත්සන් කිරීමේ සහතික භාවිතා කර ඇත. බොහෝ සහතික සඳහා, GitHub ගබඩාවක් හරහා බෙදා නොහරින ලද සාම්පල අපට හමු නොවීය. කෙසේ වෙතත්, TOV "MARIYA" සහතිකය botnet අයත් අනිෂ්ට මෘදුකාංග අත්සන් කිරීමට භාවිතා කරන ලදී Wauchos, ඇඩ්වෙයාර් සහ පතල් කම්කරුවන්. මෙම අනිෂ්ට මෘදුකාංගය මෙම ව්‍යාපාරයට සම්බන්ධ යැයි සිතිය නොහැක. බොහෝ විට, සහතිකය අඳුරු ජාලයෙන් මිලදී ගෙන ඇත.

Win32/Filecoder.Buhtrap

අපගේ අවධානයට ලක් වූ පළමු සංරචකය වූයේ අලුතින් සොයාගත් Win32/Filecoder.Buhtrap ය. මෙය සමහර විට ඇසුරුම් කර ඇති Delphi ද්විමය ගොනුවකි. එය ප්‍රධාන වශයෙන් බෙදා හරින ලද්දේ 2019 පෙබරවාරි-මාර්තු මාසවල ය. එය ransomware වැඩසටහනකට සුදුසු පරිදි හැසිරේ - එය දේශීය ධාවක සහ ජාල ෆෝල්ඩර සොයමින් සහ අනාවරණය කරගත් ගොනු සංකේතනය කරයි. එය සංකේතාංකන යතුරු යැවීමට සේවාදායකය සම්බන්ධ කර නොගන්නා නිසා එයට අන්තර්ජාල සම්බන්ධතාවයක් අවශ්‍ය නොවේ. ඒ වෙනුවට, එය කප්පම් පණිවිඩයේ අවසානයට "ටෝකනයක්" එක් කරයි, සහ ක්රියාකරුවන් සම්බන්ධ කර ගැනීමට ඊමේල් හෝ Bitmessage භාවිතා කිරීමට යෝජනා කරයි.

හැකි තරම් සංවේදී සම්පත් සංකේතනය කිරීමට, Filecoder.Buhtrap සංකේතනයට බාධා කළ හැකි වටිනා තොරතුරු අඩංගු විවෘත ගොනු හසුරුවන්න ඇති ප්‍රධාන මෘදුකාංග වසා දැමීමට නිර්මාණය කර ඇති නූලක් ධාවනය කරයි. ඉලක්ක ක්‍රියාවලීන් ප්‍රධාන වශයෙන් දත්ත සමුදා කළමනාකරණ පද්ධති (DBMS) වේ. මීට අමතරව, Filecoder.Buhtrap දත්ත ප්රතිසාධනය අපහසු කිරීම සඳහා ලොග් ගොනු සහ උපස්ථ මකා දමයි. මෙය සිදු කිරීම සඳහා, පහත බැච් ස්ක්‍රිප්ට් එක ධාවනය කරන්න.

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap වෙබ් අඩවි නරඹන්නන් පිළිබඳ තොරතුරු රැස් කිරීමට නිර්මාණය කර ඇති නීත්‍යානුකූල සබැඳි IP Logger සේවාවක් භාවිතා කරයි. මෙය විධාන රේඛාවේ වගකීම වන ransomware හි ගොදුරු වූවන් නිරීක්ෂණය කිරීමට අදහස් කරයි:

mshta.exe "javascript:document.write('');"

එන්ක්රිප්ෂන් සඳහා ගොනු ඒවා බැහැර කිරීමේ ලැයිස්තු තුනකට නොගැලපේ නම් තෝරා ගනු ලැබේ. පළමුව, පහත දිගු සහිත ගොනු සංකේතනය කර නොමැත: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys සහ .වවුලා. දෙවනුව, පහත ලැයිස්තුවෙන් සම්පූර්ණ මාර්ගයෙහි නාමාවලි තන්තු අඩංගු සියලුම ගොනු බැහැර කර ඇත.

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

තෙවනුව, ඇතැම් ගොනු නාම සංකේතාංකනයෙන් බැහැර කර ඇත, ඒවා අතර කප්පම් පණිවිඩයේ ගොනු නාමය. ලැයිස්තුව පහත දැක්වේ. පැහැදිලිවම, මෙම ව්‍යතිරේක සියල්ල යන්ත්‍රය ක්‍රියාත්මක කිරීමට අදහස් කරන නමුත් අවම මාර්ග යෝග්‍යතාවයක් ඇත.

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

ගොනු සංකේතාංකන යෝජනා ක්රමය

ක්‍රියාත්මක වූ පසු, අනිෂ්ට මෘදුකාංගය 512-bit RSA යතුරු යුගලයක් ජනනය කරයි. පුද්ගලික ඝාතකය (d) සහ මාපාංකය (n) පසුව දෘඪ-කේතගත 2048-bit public key (public exponent සහ modulus), zlib-packed සහ base64 කේතනය කර සංකේතනය කර ඇත. මේ සඳහා වගකිව යුතු කේතය රූප සටහන 2 හි දැක්වේ.

රූපය 2. 512-bit RSA යතුරු යුගල උත්පාදන ක්‍රියාවලියේ Hex-කිරණ විසංයෝජනයේ ප්‍රතිඵලය.

පහත දැක්වෙන්නේ ජනනය කරන ලද පුද්ගලික යතුරක් සහිත සරල පෙළ සඳහා උදාහරණයකි, එය කප්පම් පණිවිඩයට අමුණා ඇති සංකේතයකි.

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

ප්‍රහාරකයන්ගේ පොදු යතුර පහත දැක්වේ.

e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD

ගොනු 128-bit යතුරක් සමඟ AES-256-CBC භාවිතයෙන් සංකේතනය කර ඇත. එක් එක් සංකේතාත්මක ගොනුවක් සඳහා, නව යතුරක් සහ නව ආරම්භක දෛශිකයක් ජනනය වේ. සංකේතාත්මක ගොනුවේ අවසානයට ප්රධාන තොරතුරු එකතු කරනු ලැබේ. සංකේතනය කළ ගොනුවේ ආකෘතිය සලකා බලමු.
සංකේතනය කළ ගොනුවලට පහත ශීර්ෂය ඇත:

VEGA මැජික් අගය එකතු කිරීම සමඟ මූලාශ්‍ර ගොනු දත්ත පළමු බයිට් 0x5000 වෙත සංකේතනය කර ඇත. සියලුම විකේතන තොරතුරු පහත ව්‍යුහය සහිත ගොනුවකට අමුණා ඇත:

- ගොනු ප්‍රමාණයේ සලකුණෙහි ගොනුව බයිට් 0x5000 ට වඩා විශාලද යන්න දැක්වෙන සලකුණක් අඩංගු වේ.
— AES යතුරු බ්ලොබ් = ZlibCompress(RSAEncrypt(AES යතුර + IV, ජනනය කරන ලද RSA යතුරු යුගලයේ පොදු යතුර))
- RSA යතුර බ්ලොබ් = ZlibCompress(RSAEncrypt(ජනනය කරන ලද RSA පුද්ගලික යතුර, දෘඪ-කේතිත RSA පොදු යතුර))

Win32/ClipBanker

Win32/ClipBanker යනු 2018 ඔක්තෝබර් අග සිට දෙසැම්බර් මුල දක්වා කඩින් කඩ බෙදා හරින ලද සංරචකයකි. එහි කාර්යභාරය වන්නේ ක්ලිප්බෝඩ් එකේ අන්තර්ගතය නිරීක්ෂණය කිරීමයි, එය ගුප්තකේතන මුදල් පසුම්බිවල ලිපිනයන් සොයයි. ඉලක්ක පසුම්බි ලිපිනය තීරණය කිරීමෙන් පසු, ClipBanker එය ක්‍රියාකරුවන්ට අයත් යැයි විශ්වාස කරන ලිපිනයකින් ප්‍රතිස්ථාපනය කරයි. අප පරීක්ෂා කළ සාම්පල කොටු කර හෝ අපැහැදිලි වූ ඒවා නොවේ. හැසිරීම් වසං කිරීමට භාවිතා කරන එකම යාන්ත්‍රණය තන්තු සංකේතනයයි. ක්රියාකරු පසුම්බි ලිපින RC4 භාවිතයෙන් සංකේතනය කර ඇත. ඉලක්කගත cryptocurrencies නම් Bitcoin, Bitcoin cash, Dogecoin, Ethereum සහ Ripple වේ.

අනිෂ්ට මෘදුකාංගය ප්‍රහාරකයින්ගේ බිට්කොයින් පසුම්බි වෙත පැතිර ගිය කාලය තුළ, කුඩා මුදලක් VTS වෙත යවන ලද අතර එය ව්‍යාපාරයේ සාර්ථකත්වය පිළිබඳව සැක පහළ කරයි. මීට අමතරව, මෙම ගනුදෙනු කිසිසේත්ම ClipBanker හා සම්බන්ධ බවට යෝජනා කිරීමට කිසිදු සාක්ෂියක් නොමැත.

Win32/RTM

Win32/RTM සංරචකය 2019 මාර්තු මස මුලදී දින කිහිපයක් සඳහා බෙදා හරින ලදී. RTM යනු දුරස්ථ බැංකු පද්ධති ඉලක්ක කරගත් Delphi හි ලියා ඇති ට්‍රෝජන් බැංකුකරුවෙකි. 2017 දී ESET පර්යේෂකයන් විසින් ප්‍රකාශයට පත් කරන ලදී සවිස්තරාත්මක විශ්ලේෂණය මෙම වැඩසටහනේ, විස්තරය තවමත් අදාළ වේ. 2019 ජනවාරි මාසයේදී Palo Alto Networks ද නිකුත් කරන ලදී RTM ගැන බ්ලොග් සටහන.

බුට්‍රැප් ලෝඩරය

යම් කාලයක් සඳහා, පෙර Buhtrap මෙවලම් හා සමාන නොවන බාගත කරන්නෙකු GitHub මත ලබා ගත හැකි විය. ඔහු හැරෙනවා https://94.100.18[.]67/RSS.php?<some_id> ඊළඟ අදියර ලබා ගැනීමට සහ එය සෘජුවම මතකයට පටවනු ලැබේ. දෙවන අදියර කේතයේ හැසිරීම් දෙකක් අපට වෙන්කර හඳුනාගත හැකිය. පළමු URL එකෙහි, RSS.php සෘජුවම Buhtrap backdoor පසුකර ගියේය - මෙම backdoor මූලාශ්‍ර කේතය කාන්දු වූ පසු තිබෙන එකට බොහෝ සමාන වේ.

සිත්ගන්නා කරුණ නම්, අපි Buhtrap පිටුපස දොර සමඟ ව්‍යාපාර කිහිපයක් දකිමු, ඒවා විවිධ ක්‍රියාකරුවන් විසින් මෙහෙයවනු ලැබේ. මෙම අවස්ථාවෙහිදී, ප්රධාන වෙනස වන්නේ පිටුපස දොර සෘජුවම මතකයට පටවා ඇති අතර අප කතා කළ DLL යෙදවීමේ ක්රියාවලිය සමඟ සුපුරුදු යෝජනා ක්රමය භාවිතා නොකිරීමයි. පෙරාතුව. මීට අමතරව, ක්‍රියාකරුවන් විසින් C&C සේවාදායකය වෙත ජාල ගමනාගමනය සංකේතනය කිරීමට භාවිතා කරන RC4 යතුර වෙනස් කරන ලදී. අප දැක ඇති බොහෝ ප්‍රචාරණ ව්‍යාපාර වලදී, ක්‍රියාකරුවන් මෙම යතුර වෙනස් කිරීමට කරදර වූයේ නැත.

දෙවන, වඩාත් සංකීර්ණ හැසිරීම වූයේ RSS.php URL වෙනත් පූරකයකට ලබා දීමයි. එය ගතික ආනයන වගුව නැවත ගොඩ නැගීම වැනි යම් අපැහැදිලි කිරීම් ක්‍රියාත්මක කළේය. ඇරඹුම් කාරකයේ අරමුණ C&C සේවාදායකය සම්බන්ධ කර ගැනීමයි msiofficeupd[.]com/api/F27F84EDA4D13B15/2, ලඝු-සටහන් යවා ප්‍රතිචාරයක් සඳහා රැඳී සිටින්න. එය ප්‍රතිචාරය බ්ලොබ් එකක් ලෙස සකසයි, එය මතකයට පටවා එය ක්‍රියාත්මක කරයි. මෙම ලෝඩරය ක්‍රියාත්මක කරන බව අප දුටු පේලෝඩ් එකම බුට්‍රැප් පිටුපස දොර විය, නමුත් වෙනත් සංරචක තිබිය හැකිය.

Android/Spy.Banker

සිත්ගන්නා කරුණ නම්, ඇන්ඩ්‍රොයිඩ් සඳහා වන සංරචකයක් GitHub ගබඩාවේ ද සොයා ගැනීමයි. ඔහු ප්‍රධාන ශාඛාවේ සිටියේ එක් දිනක් පමණි - 1 නොවැම්බර් 2018. GitHub හි පළ කිරීමට අමතරව, ESET ටෙලිමෙට්‍රි මෙම අනිෂ්ට මෘදුකාංග බෙදා හරින බවට කිසිදු සාක්ෂියක් සොයා නොගනී.

සංරචකය Android යෙදුම් පැකේජයක් (APK) ලෙස සත්කාරකත්වය සපයන ලදී. එය දැඩි ලෙස අපැහැදිලි ය. ද්වේශසහගත හැසිරීම APK හි ඇති සංකේතාත්මක JAR එකක සඟවා ඇත. මෙම යතුර භාවිතයෙන් එය RC4 සමඟ සංකේතනය කර ඇත:

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

තන්තු සංකේතනය කිරීමට එකම යතුර සහ ඇල්ගොරිතම භාවිතා වේ. JAR පිහිටා ඇත APK_ROOT + image/files. ගොනුවේ පළමු බයිට් 4 තුළ සංකේතාත්මක JAR හි දිග අඩංගු වේ, එය දිග ක්ෂේත්‍රයෙන් පසුව වහාම ආරම්භ වේ.

ගොනුව විකේතනය කිරීමෙන් පසුව, එය Anubis බව අපි සොයා ගත්තෙමු - කලින් ලේඛනගත කර ඇත Android සඳහා බැංකුකරු. අනිෂ්ට මෘදුකාංගයට පහත විශේෂාංග ඇත:

• මයික්රොෆෝන පටිගත කිරීම
• තිරපිටපත් ගැනීම
• GPS ඛණ්ඩාංක ලබා ගැනීම
• keylogger
• උපාංග දත්ත සංකේතනය සහ කප්පම් ඉල්ලුම
• ස්පෑම් යැවීම

සිත්ගන්නා කරුණ නම්, බැංකුකරු වෙනත් C&C සේවාදායකයක් ලබා ගැනීම සඳහා උපස්ථ සන්නිවේදන නාලිකාවක් ලෙස Twitter භාවිතා කළේය. අපි විශ්ලේෂණය කළ නියැදිය @JonesTrader ගිණුම භාවිතා කළ නමුත් විශ්ලේෂණය කරන විට එය දැනටමත් අවහිර කර ඇත.

බැංකුකරු Android උපාංගයේ ඉලක්ක යෙදුම් ලැයිස්තුවක් අඩංගු වේ. එය සොෆොස් අධ්‍යයනයෙන් ලබාගත් ලැයිස්තුවට වඩා දිගු වේ. මෙම ලැයිස්තුවට බොහෝ බැංකු යෙදුම්, Amazon සහ eBay වැනි අන්තර්ජාල සාප්පු සවාරි වැඩසටහන් සහ ගුප්තකේතන මුදල් සේවා ඇතුළත් වේ.

MSIL/ClipBanker.IH

මෙම ව්‍යාපාරයේ කොටසක් ලෙස බෙදා හරින ලද අවසාන සංරචකය වූයේ 2019 මාර්තු මාසයේදී දර්ශනය වූ .NET Windows ක්‍රියාත්මක කළ හැකි ය. අධ්‍යයනය කරන ලද බොහෝ අනුවාද ConfuserEx v1.0.0 සමඟ ඇසුරුම් කර ඇත. ClipBanker මෙන්, මෙම සංරචකය පසුරු පුවරුව භාවිතා කරයි. ඔහුගේ ඉලක්කය වන්නේ පුළුල් පරාසයක ගුප්තකේතන මුදල්, මෙන්ම Steam මත පිරිනැමීම්. මීට අමතරව, ඔහු Bitcoin පුද්ගලික WIF යතුර සොරකම් කිරීමට IP Logger සේවාව භාවිතා කරයි.

ආරක්ෂණ යාන්ත්රණ
ConfuserEx මගින් දෝශ නිරාකරණය, ඉවත දැමීම සහ විකෘති කිරීම වැළැක්වීමේ ප්‍රතිලාභ වලට අමතරව, සංරචකයට ප්‍රති-වයිරස නිෂ්පාදන සහ අථත්‍ය යන්ත්‍ර හඳුනා ගැනීමේ හැකියාව ඇතුළත් වේ.

එය අතථ්‍ය යන්ත්‍රයක ක්‍රියාත්මක වන බව තහවුරු කිරීම සඳහා, අනිෂ්ට මෘදුකාංගය BIOS තොරතුරු ඉල්ලා සිටීමට ඇති Windows WMI විධාන රේඛාව (WMIC) භාවිතා කරයි, එනම්:

wmic bios

එවිට වැඩසටහන විධාන ප්‍රතිදානය විග්‍රහ කර මූල පද සොයයි: VBOX, VirtualBox, XEN, qemu, bochs, VM.

ප්‍රති-වයිරස නිෂ්පාදන හඳුනා ගැනීමට, අනිෂ්ට මෘදුකාංග භාවිතා කරමින් Windows Security Center වෙත Windows Management Instrumentation (WMI) ඉල්ලීමක් යවයි. ManagementObjectSearcher පහත දැක්වෙන පරිදි API. Base64 වෙතින් විකේතනය කිරීමෙන් පසු ඇමතුම මේ ආකාරයෙන් පෙනේ:

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

රූපය 3. ප්රතිවෛරස නිෂ්පාදන හඳුනාගැනීමේ ක්රියාවලිය.

ඊට අමතරව, අනිෂ්ට මෘදුකාංගය පරීක්ෂා කරයි CryptoClipWatcher, ක්ලිප්බෝඩ් ප්‍රහාර වලින් ආරක්ෂා වීමට මෙවලමක් සහ, ධාවනය කරන්නේ නම්, එම ක්‍රියාවලියේ සියලුම නූල් අත්හිටුවයි, එමගින් ආරක්ෂාව අක්‍රිය කරයි.

නොනැසී පැවතීම

අප අධ්‍යයනය කළ අනිෂ්ට මෘදුකාංග අනුවාදය එයම පිටපත් කරයි %APPDATA%googleupdater.exe සහ google නාමාවලිය සඳහා "සැඟවුණු" ගුණාංගය සකසයි. එවිට ඇය අගය වෙනස් කරයි SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell වින්ඩෝස් රෙජිස්ට්රි තුළ සහ මාර්ගය එකතු කරයි updater.exe. මේ ආකාරයට, පරිශීලකයා ලොග් වන සෑම අවස්ථාවකම අනිෂ්ට මෘදුකාංගය ක්‍රියාත්මක වේ.

ද්වේෂසහගත හැසිරීම

ClipBanker මෙන්, අනිෂ්ට මෘදුකාංගය ක්ලිප්බෝඩ් එකේ අන්තර්ගතය නිරීක්ෂණය කරන අතර ගුප්තකේතන මුදල් පසුම්බි ලිපින සොයන අතර, සොයාගත් විට, එය ක්‍රියාකරුගේ ලිපිනයකින් ප්‍රතිස්ථාපනය කරයි. පහත දැක්වෙන්නේ කේතයේ ඇති දේ මත පදනම් වූ ඉලක්ක ලිපින ලැයිස්තුවකි.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

එක් එක් ආකාරයේ ලිපින සඳහා අනුරූප නිත්‍ය ප්‍රකාශනයක් ඇත. STEAM_URL අගය Steam පද්ධතියට පහර දීමට භාවිතා කරයි, බෆරය තුළ අර්ථ දැක්වීමට භාවිතා කරන සාමාන්‍ය ප්‍රකාශනයෙන් දැකිය හැක:

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

පිටකිරීමේ නාලිකාව

බෆරයේ ලිපින ප්‍රතිස්ථාපනය කිරීමට අමතරව, අනිෂ්ට මෘදුකාංගය Bitcoin, Bitcoin Core සහ Electrum Bitcoin wallets හි පුද්ගලික WIF යතුරු ඉලක්ක කරයි. වැඩසටහන WIF පුද්ගලික යතුර ලබා ගැනීම සඳහා exfiltration නාලිකාවක් ලෙස plogger.org භාවිතා කරයි. මෙය සිදු කිරීම සඳහා, පහත දැක්වෙන පරිදි, ක්‍රියාකරුවන් පුද්ගලික යතුරු දත්ත පරිශීලක නියෝජිත HTTP ශීර්ෂයට එක් කරයි.

රූපය 4. නිමැවුම් දත්ත සහිත IP Logger කොන්සෝලය.

ක්‍රියාකරුවන් පසුම්බි ඉවත් කිරීමට iplogger.org භාවිතා කළේ නැත. ක්ෂේත්‍රයේ අක්ෂර 255 සීමාව නිසා ඔවුන් වෙනත් ක්‍රමයක් අනුගමනය කරන්න ඇති User-AgentIP Logger වෙබ් අතුරු මුහුණතෙහි ප්‍රදර්ශනය කෙරේ. අප අධ්‍යයනය කළ සාම්පලවල අනෙක් ප්‍රතිදාන සේවාදායකය පරිසර විචල්‍යයේ ගබඩා කර ඇත DiscordWebHook. පුදුමයට කරුණක් නම්, මෙම පරිසර විචල්‍යය කේතයේ කොතැනකවත් පවරා නොමැත. මෙයින් ඇඟවෙන්නේ අනිෂ්ට මෘදුකාංගය තවමත් සංවර්ධනය වෙමින් පවතින අතර විචල්‍යය ක්‍රියාකරුගේ පරීක්ෂණ යන්ත්‍රයට පවරා ඇති බවයි.

වැඩසටහන සංවර්ධනය වෙමින් පවතින බවට තවත් ලකුණක් තිබේ. ද්විමය ගොනුවට iplogger.org URL දෙකක් ඇතුළත් වන අතර, දත්ත පිටකිරීමේදී දෙකම විමසනු ලැබේ. මෙම URL වලින් එකකට කරන ඉල්ලීමකදී, Referer ක්ෂේත්‍රයේ අගයට පෙර “DEV /” යෙදේ. ConfuserEx භාවිතයෙන් ඇසුරුම් නොකළ අනුවාදයක් ද අපට හමු විය, මෙම URL සඳහා ලබන්නා DevFeedbackUrl ලෙස නම් කර ඇත. පාරිසරික විචල්‍ය නාමය මත පදනම්ව, ක්‍රියාකරුවන් නීත්‍යානුකූල සේවාවක් වන Discord සහ එහි වෙබ් අන්තර්ක්‍රියා පද්ධතිය cryptocurrency පසුම්බි සොරකම් කිරීමට භාවිතා කිරීමට සැලසුම් කරමින් සිටින බව අපි විශ්වාස කරමු.

නිගමනය

මෙම ව්‍යාපාරය සයිබර් ප්‍රහාරවලදී නීත්‍යානුකූල වෙළඳ ප්‍රචාරණ සේවා භාවිතය පිළිබඳ උදාහරණයකි. මෙම යෝජනා ක්‍රමය රුසියානු සංවිධාන ඉලක්ක කර ඇති නමුත් රුසියානු නොවන සේවාවන් භාවිතා කරමින් එවැනි ප්‍රහාරයක් දැකීම අප පුදුමයට පත් නොවනු ඇත. සම්මුතිය වළක්වා ගැනීම සඳහා, පරිශීලකයන් තමන් බාගත කරන මෘදුකාංගයේ මූලාශ්‍රයේ කීර්තිය ගැන විශ්වාස කළ යුතුය.

සම්මුති සහ MITER ATT&CK ගුණාංග පිළිබඳ සම්පූර්ණ දර්ශක ලැයිස්තුවක් ලබා ගත හැකිය ලින්ක්.

මූලාශ්රය: www.habr.com