Tan iyo dhamaadkii sanadkii hore, waxaan bilownay dabagalka olole cusub oo xaasidnimo ah oo lagu qaybinayo Trojan bangi. Weeraryahanadu waxay diiradda saareen wax u dhimista shirkadaha Ruushka, i.e. isticmaalayaasha shirkadaha. Ololaha xaasidnimada ah waxa uu socday ugu yaraan hal sano, marka laga soo tago Trojan-ka bangiga, weeraryahannadu waxa ay adeegsadeen qalab kale oo software ah. Kuwaas waxaa ka mid ah xamuulka khaaska ah oo baakadaysan iyadoo la isticmaalayo , iyo spyware, kaas oo loo ekaysiinayo sida wanaagsan ee loo yaqaan software Yandex Punto. Marka ay weerarradu ku guulaysteen inay wax u dhimaan kombiyuutarka dhibbanaha, waxay rakibaan albaabka dambe ka dibna Trojan bangi ah.
Malware-kooda, weerarradu waxay isticmaaleen dhowr saxan (waqtigaas) shahaadooyin dhijitaal ah iyo habab gaar ah si ay uga gudbaan alaabta AV. Ololaha xaasidnimada ah ayaa lagu bartilmaameedsaday tiro badan oo bangiyada Ruushka ah waana mid xiiso gaar ah leh sababtoo ah weeraryahanadu waxay adeegsadeen habab inta badan loo isticmaalo weerarrada bartilmaameedka ah, tusaale ahaan weeraro aan dhiirigelin oo kaliya khiyaano maaliyadeed. Waxaynu ogaan karnaa waxyaabaha ay iskaga shabahaan ololahan xaasidnimada ah iyo dhacdo wayn oo si wayn loo hadal hayay goor hore. Waxaan ka hadlaynaa koox dambiilayaal ah oo adeegsatay Trojan bangi /.
Weeraryahanadu waxay ku rakibeen malware-ka kaliya kombuyuutarrada luuqada Ruushka ku isticmaalay Windows (meelaynta) si toos ah. Qaybinta ugu weyn ee Trojan-ka waxay ahayd dukumeenti Word ah oo leh faa'iido. , kaas oo loo soo diray lifaaq ahaan dukumeentiga. Sawirada hoose waxay muujinayaan muuqaalka dukumentiyada been abuurka ah. Dukumeentiga koowaad waxa uu cinwaankiisu yahay βBishii No. 522375-FLORL-14-115.docβ, kan labaadna βkontrakt87.docβ, waa nuqul ka mid ah qandaraaska bixinta adeegyada isgaarsiinta ee Megafon.
Bariis 1. Dukumeenti phishing ah.
Bariis 2. Wax ka beddel kale oo lagu sameeyo dukumeentiga phishing-ka.
Xaqiiqooyinka soo socda ayaa muujinaya in weeraryahanadu ay beegsanayeen ganacsiyada Ruushka:
- qaybinta malware-ka iyadoo la adeegsanayo dukumeenti been abuur ah mawduuca la cayimay;
- xeeladaha weeraryahannada iyo aaladaha xaasidnimada leh ee ay adeegsadaan;
- isku xirka codsiyada ganacsiga ee qaybo la fulin karo;
- magacyada meelaha xaasidnimada leh ee loo adeegsaday ololahan.
Aaladaha software-ka gaarka ah ee weeraryahanadu ku rakibaan nidaamka la jabiyay ayaa u oggolaanaya inay helaan kontoroolka fog ee nidaamka oo ay la socdaan dhaqdhaqaaqa isticmaalaha. Si ay u qabtaan hawlahan, waxay rakibaan dhabarka dambe waxayna sidoo kale isku dayaan inay helaan furaha akoontiga Windows ama abuuraan akoon cusub. Weeraryahanadu waxa kale oo ay adeegsadaan adeega keylogger (keylogger), qofka xogta ka xado boorsada Windows-ka (clipboard tuuga), iyo waliba software gaar ah oo lagu shaqeeyo kaararka smart. Kooxdani waxa ay isku dayday in ay wax u dhimo kombayuutarrada kale ee ku jiray shabakad maxalli ah oo la mid ah kombayutarka dhibbanaha.
Nidaamkeena telemetry ee ESET LiveGrid, kaas oo noo ogolaanaya inaan si dhakhso ah ula socono tirakoobyada qaybinta malware, waxay na siisay tirokoob juquraafi ah oo xiiso leh oo ku saabsan qaybinta malware-ka ee ay isticmaaleen weeraryahanada ololaha aan soo sheegnay.
Bariis 3. Tirakoobka qaybinta juqraafiyeed ee malware-ka loo adeegsaday ololahan xaasidnimada ah.
Ku rakibida malware
Ka dib marka isticmaaluhu furo dukumeenti xaasidnimo leh oo uu kaga faa'iidaysto nidaamka nugul, soodejiye gaar ah oo baakadaysan iyadoo la isticmaalayo NSIS ayaa la soo dejin doonaa oo lagu fulin doonaa halkaas. Bilawga shaqadiisa, barnaamijku wuxuu hubinayaa deegaanka Windows joogitaanka cilladaha ama ku shaqeynta macnaha mashiinka farsamada. Waxa kale oo ay hubisaa meelaynta Windows iyo haddii adeegsaduhu booqday URL-yada hoos ku qoran shaxda browserka. API-yada ayaa loo isticmaalaa tan FindFirst/NextUrlCacheEntry iyo furaha diiwaanka ee SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader-ku wuxuu hubinayaa joogitaanka codsiyada soo socda ee nidaamka.
Liiska habraacyadu runtii waa mid cajiib ah, sida aad arki karto, kuma jiraan kaliya codsiyada bangiyada. Tusaale ahaan, faylka la fulin karo ee lagu magacaabo "scardsvr.exe" waxa loola jeedaa software-ka ku shaqeeya kaararka casriga ah (Microsoft SmartCard reader). Trojan-ka bangiga laftiisa waxaa ka mid ah awoodda uu kula shaqeeyo kaararka casriga ah.
Bariis 4. Jaantuska guud ee habka rakibidda malware.
Haddii dhammaan jeegaga si guul leh loo dhammeeyo, raruhu wuxuu soo dejinayaa fayl gaar ah (archive) server-ka fog, kaas oo ka kooban dhammaan qaybaha xunxun ee la fulin karo ee ay adeegsadaan weeraryahannada. Waxaa xiiso leh in la ogaado in ku xiran tahay fulinta jeegaga sare, kaydadka laga soo dejiyey serverka fog ee C&C way kala duwanaan karaan. Kaydka ayaa laga yaabaa ama ma noqon karo mid xaasidnimo ah. Haddii aanay xaasid ahayn, waxay u rakibaysaa isticmaalaha Windows Live Toolbar. Waxay u badan tahay, weeraryahannadu waxay ku dhaqaaqeen khiyaamo la mid ah si ay u khiyaameeyaan nidaamyada falanqaynta tooska ah ee faylka iyo mashiinnada casriga ah ee faylalka shakiga leh lagu fuliyo.
Faylka uu soo dejiyay soo dejiyaha NSIS waa kayd 7z oo ka kooban qaybo kala duwan oo malware ah. Sawirka hoose wuxuu muujinayaa dhammaan habka rakibidda malware-ka iyo qaybihiisa kala duwan.
Bariis 5. Nidaamka guud ee sida malware-ku u shaqeeyo.
In kasta oo qaybaha la raray ay u adeegaan ujeeddooyin kala duwan kuwa weerarka soo qaaday, si isku mid ah ayaa loo baakadeeyay oo qaar badan oo iyaga ka mid ah waxaa lagu saxiixay shahaadooyin dhijitaal ah oo sax ah. Waxaan helnay afar shahaado oo caynkaas ah oo kuwii weerarka geystay ay isticmaaleen bilowgii ololaha. Ka dib cabashadayada, shahaadooyinkaas waa lagala noqday. Waxaa xiiso leh in la ogaado in dhammaan shahaadooyinka la siiyay shirkadaha ka diiwaangashan Moscow.
Bariis 6. Shahaadada dhijitaalka ah ee loo isticmaalay in lagu saxiixo malware.
Jadwalka soo socda ayaa tilmaamaya shahaadooyinka dhijitaalka ah ee ay weeraryahannadu u adeegsadeen ololahan xaasidnimada ah.
Ku dhawaad ββdhammaan qaybaha xaasidnimada leh ee ay adeegsadaan weeraryahanadu waxay leeyihiin hab rakibid isku mid ah. Waxay yihiin kayd 7zip ah oo iskood u soo saaraya kuwaas oo sirta ah la ilaaliyo.
Bariis 7. Jajab faylka install.cmd.
Faylka dufcadda .cmd ayaa mas'uul ka ah ku rakibida malware-ka nidaamka iyo soo saarida qalabyada kala duwan ee weerarka. Haddii fulintu u baahan tahay xuquuq maamul oo maqan, koodhka xaasidnimada leh wuxuu isticmaalaa dhowr habab si loo helo (oo laga gudbo UAC). Si loo hirgeliyo habka ugu horreeya, laba faylal oo la fulin karo oo la yiraahdo l1.exe iyo cc1.exe ayaa la isticmaalaa, kuwaas oo ku takhasusay ka gudubka UAC iyadoo la adeegsanayo Koodhka isha ee Carberp. Hab kale ayaa ku salaysan ka faa'iidaysiga dayacanka CVE-2013-3660. Qayb kasta oo malware ah oo u baahan mudnaanta mudnaanta ayaa ka kooban 32-bit iyo nooca 64-bit ee ka faa'iidaysiga labadaba.
Intii aan raadinaynay ololahan, waxaan falanqeynay dhowr kayd oo uu soo dejiyuhu soo geliyey. Waxa ku jira kaydku way kala duwanaayeen, taasoo la micno ah in weeraryahanadu la qabsan karaan qaybo xaasidnimo ah ujeedooyin kala duwan.
Isticmaalka tanaasul
Sida aan kor ku soo sheegnay, weeraryahanadu waxay isticmaalaan qalab gaar ah si ay u dhibaateeyaan kombuyuutarrada isticmaalaha. Qalabkan waxaa ka mid ah barnaamijyo leh magacyo faylal la fulin karo mimi.exe iyo xtm.exe. Waxay ka caawiyaan weeraryahannada inay gacanta ku dhigaan kombiyuutarka dhibbanaha oo ay ku takhasusaan fulinta hawlaha soo socda: helitaanka / soo kabashada furaha sirta ah ee xisaabaadka Windows, awood u siinta adeegga RDP, abuurista akoon cusub OS.
Mimi.exe executable waxa ku jira nooc wax laga beddelay oo ah qalab il furan oo caan ah . Qalabkani wuxuu kuu ogolaanayaa inaad hesho furaha akoonka isticmaalaha Windows. Weeraryahanadu waxay ka saareen qaybta Mimikatz ee ka mas'uulka ah isdhexgalka isticmaalaha. Koodhka la fulin karo ayaa sidoo kale wax laga beddelay si marka la bilaabo, Mimikatz ay ku shaqeyso mudnaanta :: debug iyo sekurlsa: logonPasswords amarada.
Fayl kale oo la fulin karo, xtm.exe, wuxuu soo bandhigayaa qoraallo gaar ah oo awood u siinaya adeegga RDP ee nidaamka, isku day inaad ku abuurto akoon cusub OS, iyo sidoo kale beddelo goobaha nidaamka si loogu oggolaado dhowr isticmaale inay isku mar ku xiraan kombuyuutar la jabsaday iyada oo loo marayo RDP. Sida iska cad, tillaabooyinkan ayaa lagama maarmaan u ah in si buuxda loo xakameeyo nidaamka la jabiyay.
Bariis 8. Amarada uu fuliyo xtm.exe ee nidaamka.
Weeraryahanadu waxay isticmaalaan fayl kale oo la fulin karo oo loo yaqaan impack.exe, kaas oo loo isticmaalo in lagu rakibo software gaar ah nidaamka. Software-kan waxa loo yaqaan LiteManager waxana ay u isticmaalaan weeraryahanadu albaab danbe.
Bariis 9. LiteManager interface.
Marka lagu rakibo nidaamka isticmaalaha, LiteManager wuxuu u oggolaanayaa weeraryahannada inay si toos ah ugu xidhmaan nidaamkaas oo ay meel fog uga xakameeyaan. Software-kani waxa uu leeyahay xuduudo gaar ah oo talis ah oo loogu talagalay rakibaadda qarsoon, abuurista xeerar gaar ah oo dab-damis ah, iyo bilaabista cutubkiisa. Dhammaan halbeegyada waxaa isticmaala weeraryahannada.
Qaabka ugu dambeeya ee xirmada malware-ka ee ay adeegsadaan weeraryahanadu waa barnaamij bangi malware ah (bangiye) oo leh magaca faylka la fulin karo pn_pack.exe. Waxay ku takhasustay basaasnimada isticmaalaha waxayna mas'uul ka tahay la macaamilka serverka C&C. Bangiga waxa lagu bilaabay isticmaalka software Yandex Punto ee sharciga ah. Punto waxa isticmaala weeraryahanadu si ay u bilaabaan maktabadaha DLL ee xaasidka ah (qaabka-Loading DLL). Malware laftiisa ayaa qaban kara hawlaha soo socda:
- la soco furayaasha furaha kiiboodhka iyo waxa ku jira sabuuradaha si ay ugu gudbinayaan server-ka fog;
- qor dhammaan kaararka casriga ah ee ku jira nidaamka;
- la falgeli serverka fog ee C&C
Module-ka malware-ka, kaas oo mas'uul ka ah fulinta dhammaan hawlahan, waa maktabad DLL ah oo qarsoon. Waa la furfuraa oo lagu shubaa xusuusta inta lagu guda jiro fulinta Punto. Si loo fuliyo hawlaha kor ku xusan, DLL code la fulin karo wuxuu bilaabmaa saddex qaybood.
Xaqiiqda ah in weerarradu ay u doorteen software Punto ujeeddooyinkooda maahan wax la yaab leh: qaar ka mid ah golayaasha Ruushka waxay si cad u bixiyaan macluumaad faahfaahsan oo ku saabsan mawduucyadan sida isticmaalka cilladaha softiweerka sharciga ah si ay u waxyeeleeyaan isticmaaleyaasha.
Maktabadda xaasidnimada leh waxay isticmaashaa algorithmamka RC4 si ay u xafiddo xadhkaheeda, iyo sidoo kale inta lagu jiro isdhexgalka shabakada ee serverka C&C. Waxay la xiriirtaa server-ka labadii daqiiqoba mar waxayna u gudbisaa halkaas dhammaan xogta lagu soo ururiyay nidaamka waxyeellada leh muddadaas.
Bariis 10. Qayb ka mid ah isdhexgalka shabakada ee u dhexeeya bot iyo serverka.
Hoos waxaa ku yaal qaar ka mid ah tilmaamaha server-ka C&C ee ay maktabaddu heli karto.
Iyada oo laga jawaabayo helitaanka tilmaamaha server-ka C&C, malware-ku wuxuu kaga jawaabaa koodka xaaladda. Waxaa xiiso leh in la ogaado in dhammaan qaybaha bangiyada ee aan falanqeynay (kuwii u dambeeyay ee la sameeyay taariikhda Janaayo 18-keeda) ay ka kooban yihiin xarigga "TEST_BOTNET", kaas oo fariin kasta loo diro server-ka C&C.
gunaanad
Si loo dhimo isticmaalayaasha shirkadda, weeraryahannada marxaladda koowaad waxay u tanaasulaan mid ka mid ah shaqaalaha shirkadda iyagoo diraya fariin phishing ah oo leh faa'iido. Marka xigta, mar alla markii lagu rakibo malware-ka nidaamka, waxay isticmaali doonaan aaladaha softiweerka ah ee ka caawin doona inay si weyn u ballaariyaan awooddooda nidaamka oo ay ku qabtaan hawlo dheeri ah: inay u tanaasulaan kombuyuutarrada kale ee shabakadda shirkadaha iyo basaasnimada isticmaaleyaasha, iyo sidoo kale macaamilka bangiyada ee uu sameeyo.
Source: www.habr.com