පසුගිය වසරේ අවසානයේ සිට, අපි බැංකු ට්රෝජන් බෙදා හැරීම සඳහා නව ද්වේෂ සහගත ව්යාපාරයක් ලුහුබැඳීමට පටන් ගත්තෙමු. ප්රහාරකයින් රුසියානු සමාගම්, එනම් ආයතනික පරිශීලකයින් සම්මුතියකට ලක් කිරීම කෙරෙහි අවධානය යොමු කළහ. ද්වේශසහගත ව්යාපාරය අවම වශයෙන් වසරක්වත් ක්රියාත්මක වූ අතර, බැංකු ට්රෝජන් වලට අමතරව, ප්රහාරකයින් වෙනත් විවිධ මෘදුකාංග මෙවලම් භාවිතා කිරීමට යොමු විය. මේවා භාවිතයෙන් ඇසුරුම් කරන ලද විශේෂ ලෝඩරයක් ඇතුළත් වේ , සහ ඔත්තු මෘදුකාංග, සුප්රසිද්ධ නීත්යානුකූල Yandex Punto මෘදුකාංගයක් ලෙස වෙස්වලාගත්. ප්රහාරකයින් වින්දිතයාගේ පරිගණකය සම්මුතියකට පත් කිරීමට සමත් වූ පසු, ඔවුන් පසුපස දොරක් ස්ථාපනය කර පසුව බැංකු ට්රෝජන් ස්ථාපනය කරයි.
ඔවුන්ගේ අනිෂ්ට මෘදුකාංග සඳහා, ප්රහාරකයින් වලංගු (එකල) ඩිජිටල් සහතික කිහිපයක් සහ AV නිෂ්පාදන මඟ හැරීමට විශේෂ ක්රම භාවිතා කළහ. ද්වේෂසහගත ව්යාපාරය රුසියානු බැංකු විශාල සංඛ්යාවක් ඉලක්ක කර ගත් අතර විශේෂ උනන්දුවක් දක්වන්නේ ප්රහාරකයින් ඉලක්කගත ප්රහාරවලදී බොහෝ විට භාවිතා කරන ක්රම භාවිතා කළ බැවිනි, එනම් හුදෙක් මූල්ය වංචාවෙන් පෙළඹී නැති ප්රහාර. මෙම ද්වේශ සහගත ව්යාපාරය සහ මීට පෙර විශාල ප්රචාරයක් ලැබූ ප්රධාන සිදුවීමක් අතර යම් සමානකම් අපට සටහන් කළ හැකිය. අපි කතා කරන්නේ බැංකු ට්රෝජන් භාවිතා කළ සයිබර් අපරාධ කණ්ඩායමක් ගැන ය /.
ප්රහාරකයින් අනිෂ්ට මෘදුකාංග ස්ථාපනය කළේ පෙරනිමියෙන් වින්ඩෝස් (දේශීයකරණය) හි රුසියානු භාෂාව භාවිතා කළ පරිගණකවල පමණි. ට්රෝජන් වල ප්රධාන බෙදාහැරීමේ දෛශිකය වූයේ සූරාකෑමක් සහිත වර්ඩ් ලේඛනයකි. , ලේඛනයට ඇමුණුමක් ලෙස යවන ලදී. එවැනි ව්යාජ ලේඛනවල පෙනුම පහත තිරපිටපත් වලින් දැක්වේ. පළමු ලේඛනය "ඉන්වොයිස් අංක 522375-FLORL-14-115.doc", සහ දෙවන "kontrakt87.doc", එය ජංගම ක්රියාකරු Megafon විසින් විදුලි සංදේශ සේවා සැපයීම සඳහා වන කොන්ත්රාත්තුවේ පිටපතකි.
සහල්. 1. Phishing ලේඛනය.
සහල්. 2. තතුබෑම් ලේඛනයේ තවත් වෙනස් කිරීමක්.
ප්රහාරකයින් රුසියානු ව්යාපාර ඉලක්ක කර ගනිමින් සිටි බව පහත කරුණු වලින් පෙනී යයි.
- නිශ්චිත මාතෘකාව මත ව්යාජ ලේඛන භාවිතා කරමින් අනිෂ්ට මෘදුකාංග බෙදා හැරීම;
- ප්රහාරකයන්ගේ උපක්රම සහ ඔවුන් භාවිතා කරන ද්වේෂසහගත මෙවලම්;
- සමහර ක්රියාත්මක කළ හැකි මොඩියුලවල ව්යාපාරික යෙදුම් වෙත සබැඳි;
- මෙම ව්යාපාරයේ භාවිතා කරන ලද අනිෂ්ට වසම් වල නම්.
ප්රහාරකයින් සම්මුතිගත පද්ධතියක ස්ථාපනය කරන විශේෂ මෘදුකාංග මෙවලම් ඔවුන්ට පද්ධතියේ දුරස්ථ පාලනය ලබා ගැනීමට සහ පරිශීලක ක්රියාකාරකම් නිරීක්ෂණය කිරීමට ඉඩ සලසයි. මෙම කාර්යයන් ඉටු කිරීම සඳහා, ඔවුන් පිටුපස දොරක් ස්ථාපනය කර වින්ඩෝස් ගිණුමේ මුරපදය ලබා ගැනීමට හෝ නව ගිණුමක් සෑදීමට උත්සාහ කරයි. ප්රහාරකයින් Keylogger (keylogger), වින්ඩෝස් ක්ලිප්බෝඩ් සොරකම් කරන්නෙකු සහ ස්මාර්ට් කාඩ්පත් සමඟ වැඩ කිරීම සඳහා විශේෂ මෘදුකාංගවල සේවාවන් ද ලබා ගනී. මෙම කණ්ඩායම වින්දිතයාගේ පරිගණකය හා සමාන දේශීය ජාලයේ ඇති අනෙකුත් පරිගණකවලට හානි කිරීමට උත්සාහ කළේය.
අනිෂ්ට මෘදුකාංග බෙදා හැරීමේ සංඛ්යාලේඛන ඉක්මනින් හඹා යාමට අපට ඉඩ සලසන අපගේ ESET LiveGrid ටෙලිමෙට්රි පද්ධතිය, සඳහන් ප්රචාරණයේදී ප්රහාරකයන් විසින් භාවිතා කරන අනිෂ්ට මෘදුකාංග බෙදා හැරීම පිළිබඳ සිත්ගන්නා භූගෝලීය සංඛ්යාලේඛන අපට ලබා දුන්නේය.
සහල්. 3. මෙම අනිෂ්ට ව්යාපාරයේ භාවිතා වන අනිෂ්ට මෘදුකාංගවල භූගෝලීය ව්යාප්තිය පිළිබඳ සංඛ්යාලේඛන.
අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීම
පරිශීලකයෙකු අවදානමට ලක්විය හැකි පද්ධතියක සූරාකෑමක් සහිත අනිෂ්ට ලේඛනයක් විවෘත කළ පසු, NSIS භාවිතයෙන් ඇසුරුම් කරන ලද විශේෂ බාගැනීම්කරුවෙකු බාගත කර එහි ක්රියාත්මක කරනු ඇත. එහි වැඩ ආරම්භයේදී, වැඩසටහන වින්ඩෝස් පරිසරය එහි දෝශ නිරාකරණ තිබේද යන්න හෝ අථත්ය යන්ත්රයක සන්දර්භය තුළ ක්රියාත්මක වීම සඳහා පරීක්ෂා කරයි. එය වින්ඩෝස් හි ප්රාදේශීයකරණය සහ පරිශීලකයා බ්රවුසරයේ වගුවේ පහත ලැයිස්තුගත කර ඇති URL වෙත ගොස් තිබේද යන්න ද පරීක්ෂා කරයි. මේ සඳහා API භාවිතා වේ FindFirst/NextUrlCacheEntry සහ SoftwareMicrosoftInternet ExplorerTypedURLs රෙජිස්ට්රි යතුර.
බූට්ලෝඩරය පද්ධතියේ පහත යෙදුම් තිබේදැයි පරීක්ෂා කරයි.
ක්රියාවලි ලැයිස්තුව සැබවින්ම ආකර්ෂණීය වන අතර, ඔබට පෙනෙන පරිදි, එය බැංකු යෙදුම් පමණක් නොවේ. උදාහරණයක් ලෙස, "scardsvr.exe" නම් ක්රියාත්මක කළ හැකි ගොනුවක් යනු ස්මාර්ට් කාඩ්පත් (Microsoft SmartCard reader) සමඟ වැඩ කිරීම සඳහා මෘදුකාංගයකි. බැංකු ට්රෝජන් ස්මාර්ට් කාඩ්පත් සමඟ වැඩ කිරීමේ හැකියාව ඇතුළත් වේ.
සහල්. 4. අනිෂ්ට මෘදුකාංග ස්ථාපන ක්රියාවලියේ සාමාන්ය රූප සටහන.
සියලුම චෙක්පත් සාර්ථකව සම්පූර්ණ කර ඇත්නම්, ලෝඩරය දුරස්ථ සේවාදායකයෙන් විශේෂ ගොනුවක් (ලේඛනාගාරය) බාගත කරයි, ප්රහාරකයන් විසින් භාවිතා කරන සියලුම අනිෂ්ට ක්රියාත්මක කළ හැකි මොඩියුල අඩංගු වේ. ඉහත චෙක්පත් ක්රියාත්මක කිරීම මත පදනම්ව, දුරස්ථ C&C සේවාදායකයෙන් බාගත කළ ලේඛනාගාර වෙනස් විය හැකි බව සටහන් කිරීම සිත්ගන්නා කරුණකි. සංරක්ෂිතය අනිෂ්ට විය හැකිය හෝ නොවිය හැක. අනිෂ්ට නොවේ නම්, එය පරිශීලකයා සඳහා Windows Live මෙවලම් තීරුව ස්ථාපනය කරයි. බොහෝ දුරට ඉඩ ඇති පරිදි, ප්රහාරකයන් ස්වයංක්රීය ගොනු විශ්ලේෂණ පද්ධති සහ සැක සහිත ලිපිගොනු ක්රියාත්මක කරන අතථ්ය යන්ත්ර රැවටීමට සමාන උපක්රම භාවිතා කර ඇත.
NSIS බාගැනීම්කරු විසින් බාගත කරන ලද ගොනුව විවිධ අනිෂ්ට මෘදුකාංග මොඩියුල අඩංගු 7z සංරක්ෂිතයකි. පහත රූපයේ දැක්වෙන්නේ මෙම අනිෂ්ට මෘදුකාංගයේ සම්පූර්ණ ස්ථාපන ක්රියාවලිය සහ එහි විවිධ මොඩියුලයන්ය.
සහල්. 5. අනිෂ්ට මෘදුකාංග ක්රියා කරන ආකාරය පිළිබඳ සාමාන්ය යෝජනා ක්රමය.
පටවන ලද මොඩියුල ප්රහාරකයින් සඳහා විවිධ අරමුණු සඳහා සේවය කරන නමුත්, ඒවා එක හා සමානව ඇසුරුම් කර ඇති අතර ඒවායින් බොහොමයක් වලංගු ඩිජිටල් සහතික සමඟ අත්සන් කර ඇත. ප්රහාරකයන් ප්රචාරණයේ ආරම්භයේ සිටම භාවිතා කළ එවැනි සහතික හතරක් අපට හමු විය. අපගේ පැමිණිල්ලෙන් පසුව, මෙම සහතික අවලංගු කරන ලදී. මොස්කව්හි ලියාපදිංචි සමාගම් සඳහා සියලුම සහතික නිකුත් කර ඇති බව සැලකිල්ලට ගැනීම සිත්ගන්නා කරුණකි.
සහල්. 6. අනිෂ්ට මෘදුකාංග අත්සන් කිරීමට භාවිතා කරන ලද ඩිජිටල් සහතිකය.
මෙම අනිෂ්ට ව්යාපාරයේදී ප්රහාරකයන් භාවිතා කළ ඩිජිටල් සහතික පහත වගුව මගින් හඳුනා ගනී.
ප්රහාරකයින් විසින් භාවිතා කරන සියලුම අනිෂ්ට මොඩියුල වලට සමාන ස්ථාපන ක්රියා පටිපාටියක් ඇත. ඒවා මුරපද ආරක්ෂිත 7zip ලේඛනාගාර ස්වයං උපුටා ගැනීමකි.
සහල්. 7. install.cmd කාණ්ඩයේ ගොනුවේ කොටස.
පද්ධතිය මත අනිෂ්ට මෘදුකාංග ස්ථාපනය කිරීම සහ විවිධ ප්රහාරක මෙවලම් දියත් කිරීම සඳහා batch .cmd ගොනුව වගකිව යුතුය. ක්රියාත්මක කිරීම සඳහා අතුරුදහන් වූ පරිපාලන අයිතිවාසිකම් අවශ්ය නම්, අනිෂ්ට කේතය ඒවා ලබා ගැනීමට ක්රම කිහිපයක් භාවිතා කරයි (UAC මඟ හැරීම). පළමු ක්රමය ක්රියාත්මක කිරීම සඳහා, l1.exe සහ cc1.exe ලෙස හැඳින්වෙන ක්රියාත්මක කළ හැකි ගොනු දෙකක් භාවිතා කරනු ලැබේ, ඒවා UAC මඟහැර යාමේ විශේෂත්වය Carberp මූල කේතය. තවත් ක්රමයක් පදනම් වන්නේ CVE-2013-3660 අවදානම් ප්රයෝජනයට ගැනීම මතය. වරප්රසාද උත්සන්න කිරීම අවශ්ය සෑම අනිෂ්ට මෘදුකාංග මොඩියුලයකම සූරාකෑමේ 32-bit සහ 64-bit අනුවාදයක් අඩංගු වේ.
මෙම ව්යාපාරය හඹා යන අතරතුර, අපි බාගත කරන්නා විසින් උඩුගත කරන ලද සංරක්ෂිත කිහිපයක් විශ්ලේෂණය කළෙමු. ලේඛනාගාරයේ අන්තර්ගතය වෙනස් විය, එනම් ප්රහාරකයන්ට විවිධ අරමුණු සඳහා අනිෂ්ට මොඩියුල අනුවර්තනය කළ හැකිය.
පරිශීලක සම්මුතිය
අප ඉහත සඳහන් කළ පරිදි, ප්රහාරකයන් පරිශීලකයින්ගේ පරිගණකවලට හානි කිරීමට විශේෂ මෙවලම් භාවිතා කරයි. මෙම මෙවලම් වලට mimi.exe සහ xtm.exe යන ක්රියාත්මක කළ හැකි ගොනු නාම සහිත වැඩසටහන් ඇතුළත් වේ. ඔවුන් ප්රහාරකයන්ට වින්දිතයාගේ පරිගණකය පාලනය කිරීමට සහ පහත සඳහන් කාර්යයන් ඉටු කිරීමට විශේෂත්වයක් ලබා දෙයි: Windows ගිණුම් සඳහා මුරපද ලබා ගැනීම/ප්රතිසාධනය කිරීම, RDP සේවාව සක්රීය කිරීම, OS හි නව ගිණුමක් නිර්මාණය කිරීම.
mimi.exe executable හි ප්රසිද්ධ විවෘත මූලාශ්ර මෙවලමක වෙනස් කළ අනුවාදයක් ඇතුළත් වේ . මෙම මෙවලම ඔබට වින්ඩෝස් පරිශීලක ගිණුම් මුරපද ලබා ගැනීමට ඉඩ සලසයි. ප්රහාරකයින් Mimikatz වෙතින් පරිශීලක අන්තර්ක්රියා සඳහා වගකිව යුතු කොටස ඉවත් කර ඇත. ක්රියාත්මක කළ හැකි කේතය ද වෙනස් කර ඇති අතර එමඟින් දියත් කළ විට, Mimikatz වරප්රසාද:: debug සහ sekurlsa:logonPasswords විධාන සමඟින් ක්රියාත්මක වේ.
තවත් ක්රියාත්මක කළ හැකි ගොනුවක්, xtm.exe, පද්ධතිය තුළ RDP සේවාව සක්රීය කරන විශේෂ ස්ක්රිප්ට් දියත් කරයි, OS හි නව ගිණුමක් සෑදීමට උත්සාහ කරයි, සහ පරිශීලකයින් කිහිප දෙනෙකුට RDP හරහා සම්මුතියට පත් පරිගණකයට එකවර සම්බන්ධ වීමට පද්ධති සැකසුම් වෙනස් කරයි. පැහැදිලිවම, සම්මුතිවාදී පද්ධතියේ පූර්ණ පාලනය ලබා ගැනීම සඳහා මෙම පියවරයන් අවශ්ය වේ.
සහල්. 8. පද්ධතිය මත xtm.exe මඟින් ක්රියාත්මක කරන ලද විධාන.
ප්රහාරකයින් impack.exe නම් තවත් ක්රියාත්මක කළ හැකි ගොනුවක් භාවිතා කරයි, එය පද්ධතියේ විශේෂ මෘදුකාංග ස්ථාපනය කිරීමට භාවිතා කරයි. මෙම මෘදුකාංගය LiteManager ලෙස හඳුන්වන අතර එය ප්රහාරකයන් විසින් backdoor ලෙස භාවිතා කරයි.
සහල්. 9. LiteManager අතුරුමුහුණත.
පරිශීලකයෙකුගේ පද්ධතියක ස්ථාපනය කළ පසු, LiteManager මඟින් ප්රහාරකයන්ට එම පද්ධතියට සෘජුවම සම්බන්ධ වීමට සහ එය දුරස්ථව පාලනය කිරීමට ඉඩ සලසයි. මෙම මෘදුකාංගය එහි සැඟවුණු ස්ථාපනය, විශේෂ ෆයර්වෝල් නීති නිර්මාණය කිරීම සහ එහි මොඩියුලය දියත් කිරීම සඳහා විශේෂ විධාන රේඛා පරාමිතීන් ඇත. සියලුම පරාමිති ප්රහාරකයන් විසින් භාවිතා කරනු ලැබේ.
ප්රහාරකයන් විසින් භාවිතා කරන අනිෂ්ට මෘදුකාංග පැකේජයේ අවසාන මොඩියුලය pn_pack.exe ක්රියාත්මක කළ හැකි ගොනු නාමය සහිත බැංකු අනිෂ්ට මෘදුකාංග වැඩසටහනකි (බැංකුකරු). ඇය පරිශීලකයා පිළිබඳ ඔත්තු බැලීමේ විශේෂඥතාවක් ඇති අතර C&C සේවාදායකය සමඟ අන්තර්ක්රියා කිරීමේ වගකීම දරයි. බැංකුකරු නීත්යානුකූල Yandex Punto මෘදුකාංගය භාවිතයෙන් දියත් කර ඇත. Punto ප්රහාරකයන් විසින් අනිෂ්ට DLL පුස්තකාල දියත් කිරීමට භාවිතා කරයි (DLL Side-Loading method). අනිෂ්ට මෘදුකාංගයට පහත කාර්යයන් ඉටු කළ හැකිය:
- දුරස්ථ සේවාදායකයකට පසුව සම්ප්රේෂණය කිරීම සඳහා යතුරුපුවරු යතුරු එබීම් සහ ක්ලිප්බෝඩ් අන්තර්ගතය නිරීක්ෂණය කරන්න;
- පද්ධතියේ පවතින සියලුම ස්මාර්ට් කාඩ්පත් ලැයිස්තුගත කරන්න;
- දුරස්ථ C&C සේවාදායකයක් සමඟ අන්තර් ක්රියා කරයි.
මෙම සියලු කාර්යයන් ඉටු කිරීම සඳහා වගකිව යුතු අනිෂ්ට මෘදුකාංග මොඩියුලය සංකේතාත්මක DLL පුස්තකාලයකි. Punto ක්රියාත්මක කිරීමේදී එය විකේතනය කර මතකයට පටවනු ලැබේ. ඉහත කාර්යයන් ඉටු කිරීම සඳහා, DLL ක්රියාත්මක කළ හැකි කේතය නූල් තුනක් ආරම්භ කරයි.
ප්රහාරකයින් ඔවුන්ගේ අරමුණු සඳහා Punto මෘදුකාංගය තෝරා ගැනීම අරුමයක් නොවේ: සමහර රුසියානු සංසද පරිශීලකයින් සම්මුතියකට පත් කිරීම සඳහා නීත්යානුකූල මෘදුකාංගවල දෝෂ භාවිතා කිරීම වැනි මාතෘකා පිළිබඳ සවිස්තරාත්මක තොරතුරු විවෘතව සපයයි.
අනිෂ්ට පුස්තකාලය එහි තන්තු සංකේතනය කිරීමට මෙන්ම C&C සේවාදායකය සමඟ ජාල අන්තර්ක්රියා වලදී RC4 ඇල්ගොරිතම භාවිතා කරයි. එය සෑම මිනිත්තු දෙකකට වරක් සේවාදායකයට සම්බන්ධ වන අතර මෙම කාල සීමාව තුළ සම්මුතියට ලක් වූ පද්ධතියේ එකතු කරන ලද සියලුම දත්ත එහි සම්ප්රේෂණය කරයි.
සහල්. 10. bot සහ server අතර ජාල අන්තර්ක්රියා කොටස.
පුස්තකාලයට ලැබිය හැකි C&C සේවාදායක උපදෙස් කිහිපයක් පහත දැක්වේ.
C&C සේවාදායකයෙන් උපදෙස් ලැබීමට ප්රතිචාර වශයෙන්, අනිෂ්ට මෘදුකාංග තත්ව කේතයක් සමඟ ප්රතිචාර දක්වයි. අප විශ්ලේෂණය කළ සියලුම බැංකු මොඩියුලවල (ජනවාරි 18 සම්පාදනය කරන දිනය සහිත නවතම එක) “TEST_BOTNET” තන්තුව අඩංගු වන බව සටහන් කිරීම සිත්ගන්නා කරුණකි, එය එක් එක් පණිවිඩය තුළ C&C සේවාදායකය වෙත යවනු ලැබේ.
නිගමනය
ආයතනික පරිශීලකයින් සම්මුතියක් ඇති කිරීම සඳහා, ප්රහාරකයින් පළමු අදියරේදී සමාගමේ එක් සේවකයෙකුට සූරාකෑමක් සහිත තතුබෑම් පණිවිඩයක් යැවීමෙන් සම්මුතියක් ඇති කරයි. ඊළඟට, අනිෂ්ට මෘදුකාංග පද්ධතිය මත ස්ථාපනය කළ පසු, ඔවුන් පද්ධතිය මත ඔවුන්ගේ අධිකාරිය සැලකිය යුතු ලෙස පුළුල් කිරීමට සහ ඒ මත අමතර කාර්යයන් ඉටු කිරීමට උපකාරී වන මෘදුකාංග මෙවලම් භාවිතා කරනු ඇත: ආයතනික ජාලයේ අනෙකුත් පරිගණක සම්මුතියක් ඇති කර පරිශීලකයා පිළිබඳ ඔත්තු බැලීම, මෙන්ම ඔහු සිදු කරන බැංකු ගනුදෙනු.
මූලාශ්රය: www.habr.com