Π‘ ΠΊΠΎΠ½ΡΠ° ΠΏΡΠΎΡΠ»ΠΎΠ³ΠΎ Π³ΠΎΠ΄Π° ΠΌΡ Π½Π°ΡΠ°Π»ΠΈ ΠΎΡΡΠ»Π΅ΠΆΠΈΠ²Π°ΡΡ Π½ΠΎΠ²ΡΡ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΡΡ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΡ ΠΏΠΎ ΡΠ°ΡΠΏΡΠΎΡΡΡΠ°Π½Π΅Π½ΠΈΡ Π±Π°Π½ΠΊΠΎΠ²ΡΠΊΠΎΠ³ΠΎ ΡΡΠΎΡΠ½Π°. ΠΠ»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΎΡΠΈΠ΅Π½ΡΠΈΡΠΎΠ²Π°Π»ΠΈΡΡ Π½Π° ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅ΡΠ°ΡΠΈΡ ΡΠΎΡΡΠΈΠΉΡΠΊΠΈΡ ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΉ, Ρ. Π΅. ΠΊΠΎΡΠΏΠΎΡΠ°ΡΠΈΠ²Π½ΡΡ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ. ΠΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½Π°Ρ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΡ Π±ΡΠ»Π° Π°ΠΊΡΠΈΠ²Π½Π° ΠΊΠ°ΠΊ ΠΌΠΈΠ½ΠΈΠΌΡΠΌ Π³ΠΎΠ΄ ΠΈ ΠΊΡΠΎΠΌΠ΅ Π±Π°Π½ΠΊΠΎΠ²ΡΠΊΠΎΠ³ΠΎ ΡΡΠΎΡΠ½Π°, Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΏΡΠΈΠ±Π΅Π³Π°Π»ΠΈ ΠΊ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΡ Π΄ΡΡΠ³ΠΈΡ ΡΠ°Π·Π»ΠΈΡΠ½ΡΡ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΠ½ΡΡ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠΎΠ². Π Π½ΠΈΠΌ ΠΎΡΠ½ΠΎΡΡΡΡΡ ΡΠΏΠ΅ΡΠΈΠ°Π»ΡΠ½ΡΠΉ Π·Π°Π³ΡΡΠ·ΡΠΈΠΊ, ΡΠΏΠ°ΠΊΠΎΠ²Π°Π½Π½ΡΠΉ Ρ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½ΠΈΠ΅ΠΌ , iyo spyware, kaas oo loo ekaysiinayo sida wanaagsan ee loo yaqaan software Yandex Punto. Marka ay weerarradu ku guulaysteen inay wax u dhimaan kombiyuutarka dhibbanaha, waxay rakibaan albaabka dambe ka dibna Trojan bangi ah.
Malware-kooda, weerarradu waxay isticmaaleen dhowr saxan (waqtigaas) shahaadooyin dhijitaal ah iyo habab gaar ah si ay uga gudbaan alaabta AV. Ololaha xaasidnimada ah ayaa lagu bartilmaameedsaday tiro badan oo bangiyada Ruushka ah waana mid xiiso gaar ah leh sababtoo ah weeraryahanadu waxay adeegsadeen habab inta badan loo isticmaalo weerarrada bartilmaameedka ah, tusaale ahaan weeraro aan dhiirigelin oo kaliya khiyaano maaliyadeed. Waxaynu ogaan karnaa waxyaabaha ay iskaga shabahaan ololahan xaasidnimada ah iyo dhacdo wayn oo si wayn loo hadal hayay goor hore. Waxaan ka hadlaynaa koox dambiilayaal ah oo adeegsatay Trojan bangi /.
Weeraryahanadu waxay ku rakibeen malware-ka kaliya kombuyuutarrada luuqada Ruushka ku isticmaalay Windows (meelaynta) si toos ah. Qaybinta ugu weyn ee Trojan-ka waxay ahayd dukumeenti Word ah oo leh faa'iido. , kaas oo loo soo diray lifaaq ahaan dukumeentiga. Sawirada hoose waxay muujinayaan muuqaalka dukumentiyada been abuurka ah. Dukumeentiga koowaad waxa uu cinwaankiisu yahay βBishii No. 522375-FLORL-14-115.docβ, kan labaadna βkontrakt87.docβ, waa nuqul ka mid ah qandaraaska bixinta adeegyada isgaarsiinta ee Megafon.
Bariis 1. Dukumeenti phishing ah.
Bariis 2. Wax ka beddel kale oo lagu sameeyo dukumeentiga phishing-ka.
Xaqiiqooyinka soo socda ayaa muujinaya in weeraryahanadu ay beegsanayeen ganacsiyada Ruushka:
- qaybinta malware-ka iyadoo la adeegsanayo dukumeenti been abuur ah mawduuca la cayimay;
- xeeladaha weeraryahannada iyo aaladaha xaasidnimada leh ee ay adeegsadaan;
- isku xirka codsiyada ganacsiga ee qaybo la fulin karo;
- magacyada meelaha xaasidnimada leh ee loo adeegsaday ololahan.
Aaladaha software-ka gaarka ah ee weeraryahanadu ku rakibaan nidaamka la jabiyay ayaa u oggolaanaya inay helaan kontoroolka fog ee nidaamka oo ay la socdaan dhaqdhaqaaqa isticmaalaha. Si ay u qabtaan hawlahan, waxay rakibaan dhabarka dambe waxayna sidoo kale isku dayaan inay helaan furaha akoontiga Windows ama abuuraan akoon cusub. Weeraryahanadu waxa kale oo ay adeegsadaan adeega keylogger (keylogger), qofka xogta ka xado boorsada Windows-ka (clipboard tuuga), iyo waliba software gaar ah oo lagu shaqeeyo kaararka smart. Kooxdani waxa ay isku dayday in ay wax u dhimo kombayuutarrada kale ee ku jiray shabakad maxalli ah oo la mid ah kombayutarka dhibbanaha.
ΠΠ°ΡΠ° ΡΠΈΡΡΠ΅ΠΌΠ° ΡΠ΅Π»Π΅ΠΌΠ΅ΡΡΠΈΠΈ ESET LiveGrid, ΠΊΠΎΡΠΎΡΠ°Ρ ΠΏΠΎΠ·Π²ΠΎΠ»ΡΠ΅Ρ ΠΎΠΏΠ΅ΡΠ°ΡΠΈΠ²Π½ΠΎ ΠΎΡΡΠ»Π΅ΠΆΠΈΠ²Π°ΡΡ ΡΡΠ°ΡΠΈΡΡΠΈΠΊΡ ΡΠ°ΡΠΏΡΠΎΡΡΡΠ°Π½Π΅Π½ΠΈΡ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΠΎΠ³ΠΎ ΠΠ, ΠΏΡΠ΅Π΄ΠΎΡΡΠ°Π²ΠΈΠ»Π° Π½Π°ΠΌ ΠΈΠ½ΡΠ΅ΡΠ΅ΡΠ½ΡΡ Π³Π΅ΠΎΠ³ΡΠ°ΡΠΈΡΠ΅ΡΠΊΡΡ ΡΡΠ°ΡΠΈΡΡΠΈΠΊΡ ΡΠ°ΡΠΏΡΠΎΡΡΡΠ°Π½Π΅Π½ΠΈΡ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΠΎΠ³ΠΎ ΠΠ, ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π½Π½ΠΎΠ³ΠΎ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌΠΈ Π² ΡΠΏΠΎΠΌΠΈΠ½Π°Π΅ΠΌΠΎΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ.
Bariis 3. Tirakoobka qaybinta juqraafiyeed ee malware-ka loo adeegsaday ololahan xaasidnimada ah.
Ku rakibida malware
Ka dib marka isticmaaluhu furo dukumeenti xaasidnimo leh oo uu kaga faa'iidaysto nidaamka nugul, soodejiye gaar ah oo baakadaysan iyadoo la isticmaalayo NSIS ayaa la soo dejin doonaa oo lagu fulin doonaa halkaas. Bilawga shaqadiisa, barnaamijku wuxuu hubinayaa deegaanka Windows joogitaanka cilladaha ama ku shaqeynta macnaha mashiinka farsamada. Waxa kale oo ay hubisaa meelaynta Windows iyo haddii adeegsaduhu booqday URL-yada hoos ku qoran shaxda browserka. API-yada ayaa loo isticmaalaa tan FindFirst/NextUrlCacheEntry iyo furaha diiwaanka ee SoftwareMicrosoftInternet ExplorerTypedURLs.
ΠΠ°Π³ΡΡΠ·ΡΠΈΠΊ ΠΏΡΠΎΠ²Π΅ΡΡΠ΅Ρ ΠΏΡΠΈΡΡΡΡΡΠ²ΠΈΠ΅ Π² ΡΠΈΡΡΠ΅ΠΌΠ΅ ΡΠ»Π΅Π΄ΡΡΡΠΈΡ
ΠΏΡΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΉ.
Liiska habraacyadu runtii waa mid cajiib ah, sida aad arki karto, kuma jiraan kaliya codsiyada bangiyada. Tusaale ahaan, faylka la fulin karo ee lagu magacaabo "scardsvr.exe" waxa loola jeedaa software-ka ku shaqeeya kaararka casriga ah (Microsoft SmartCard reader). Trojan-ka bangiga laftiisa waxaa ka mid ah awoodda uu kula shaqeeyo kaararka casriga ah.
Bariis 4. Jaantuska guud ee habka rakibidda malware.
Haddii dhammaan jeegaga si guul leh loo dhammeeyo, raruhu wuxuu soo dejinayaa fayl gaar ah (archive) server-ka fog, kaas oo ka kooban dhammaan qaybaha xunxun ee la fulin karo ee ay adeegsadaan weeraryahannada. Waxaa xiiso leh in la ogaado in ku xiran tahay fulinta jeegaga sare, kaydadka laga soo dejiyey serverka fog ee C&C way kala duwanaan karaan. Kaydka ayaa laga yaabaa ama ma noqon karo mid xaasidnimo ah. Haddii aanay xaasid ahayn, waxay u rakibaysaa isticmaalaha Windows Live Toolbar. Waxay u badan tahay, weeraryahannadu waxay ku dhaqaaqeen khiyaamo la mid ah si ay u khiyaameeyaan nidaamyada falanqaynta tooska ah ee faylka iyo mashiinnada casriga ah ee faylalka shakiga leh lagu fuliyo.
Π‘ΠΊΠ°ΡΠΈΠ²Π°Π΅ΠΌΡΠΉ NSIS Π·Π°Π³ΡΡΠ·ΡΠΈΠΊΠΎΠΌ ΡΠ°ΠΉΠ» ΠΏΡΠ΅Π΄ΡΡΠ°Π²Π»ΡΠ΅Ρ ΠΈΠ· ΡΠ΅Π±Ρ 7z Π°ΡΡ ΠΈΠ², ΠΊΠΎΡΠΎΡΡΠΉ ΡΠΎΠ΄Π΅ΡΠΆΠΈΡ ΡΠ°Π·Π»ΠΈΡΠ½ΡΠ΅ ΠΌΠΎΠ΄ΡΠ»ΠΈ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΡΡ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌ. ΠΠ° ΡΠΈΡΡΠ½ΠΊΠ΅ Π½ΠΈΠΆΠ΅ ΠΏΠΎΠΊΠ°Π·Π°Π½ Π²Π΅ΡΡ ΠΏΡΠΎΡΠ΅ΡΡ ΡΡΡΠ°Π½ΠΎΠ²ΠΊΠΈ ΡΡΠΎΠ³ΠΎ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΠΎΠ³ΠΎ ΠΠ ΠΈ Π΅Π³ΠΎ ΡΠ°Π·Π»ΠΈΡΠ½ΡΠ΅ ΠΌΠΎΠ΄ΡΠ»ΠΈ.
Bariis 5. Nidaamka guud ee sida malware-ku u shaqeeyo.
In kasta oo qaybaha la raray ay u adeegaan ujeeddooyin kala duwan kuwa weerarka soo qaaday, si isku mid ah ayaa loo baakadeeyay oo qaar badan oo iyaga ka mid ah waxaa lagu saxiixay shahaadooyin dhijitaal ah oo sax ah. Waxaan helnay afar shahaado oo caynkaas ah oo kuwii weerarka geystay ay isticmaaleen bilowgii ololaha. Ka dib cabashadayada, shahaadooyinkaas waa lagala noqday. Waxaa xiiso leh in la ogaado in dhammaan shahaadooyinka la siiyay shirkadaha ka diiwaangashan Moscow.
Bariis 6. Shahaadada dhijitaalka ah ee loo isticmaalay in lagu saxiixo malware.
Π ΡΠ»Π΅Π΄ΡΡΡΠ΅ΠΉ ΡΠ°Π±Π»ΠΈΡΠ΅ ΡΠΊΠ°Π·Π°Π½Ρ ΡΠΈΡΡΠΎΠ²ΡΠ΅ ΡΠ΅ΡΡΠΈΡΠΈΠΊΠ°ΡΡ, ΠΊΠΎΡΠΎΡΡΠ΅ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°Π»ΠΈ Π² ΡΡΠΎΠΉ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½ΠΎΠΉ ΠΊΠ°ΠΌΠΏΠ°Π½ΠΈΠΈ.
Ku dhawaad ββdhammaan qaybaha xaasidnimada leh ee ay adeegsadaan weeraryahanadu waxay leeyihiin hab rakibid isku mid ah. Waxay yihiin kayd 7zip ah oo iskood u soo saaraya kuwaas oo sirta ah la ilaaliyo.
Bariis 7. Jajab faylka install.cmd.
Faylka dufcadda .cmd ayaa mas'uul ka ah ku rakibida malware-ka nidaamka iyo soo saarida qalabyada kala duwan ee weerarka. Haddii fulintu u baahan tahay xuquuq maamul oo maqan, koodhka xaasidnimada leh wuxuu isticmaalaa dhowr habab si loo helo (oo laga gudbo UAC). Si loo hirgeliyo habka ugu horreeya, laba faylal oo la fulin karo oo la yiraahdo l1.exe iyo cc1.exe ayaa la isticmaalaa, kuwaas oo ku takhasusay ka gudubka UAC iyadoo la adeegsanayo Koodhka isha ee Carberp. Hab kale ayaa ku salaysan ka faa'iidaysiga dayacanka CVE-2013-3660. Qayb kasta oo malware ah oo u baahan mudnaanta mudnaanta ayaa ka kooban 32-bit iyo nooca 64-bit ee ka faa'iidaysiga labadaba.
Intii aan raadinaynay ololahan, waxaan falanqeynay dhowr kayd oo uu soo dejiyuhu soo geliyey. Waxa ku jira kaydku way kala duwanaayeen, taasoo la micno ah in weeraryahanadu la qabsan karaan qaybo xaasidnimo ah ujeedooyin kala duwan.
Isticmaalka tanaasul
ΠΠ°ΠΊ ΠΌΡ ΡΠΏΠΎΠΌΠΈΠ½Π°Π»ΠΈ Π²ΡΡΠ΅, Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠΈ ΠΈΡΠΏΠΎΠ»ΡΠ·ΡΡΡ ΡΠΏΠ΅ΡΠΈΠ°Π»ΡΠ½ΡΠ΅ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΡ Π΄Π»Ρ ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅ΡΠ°ΡΠΈΠΈ ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΠΎΠ² ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ. Π ΡΠ°ΠΊΠΈΠΌ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠ°ΠΌ ΠΎΡΠ½ΠΎΡΡΡΡΡ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΡ Ρ Π½Π°Π·Π²Π°Π½ΠΈΡΠΌΠΈ ΠΈΡΠΏΠΎΠ»Π½ΡΠ΅ΠΌΡΡ ΡΠ°ΠΉΠ»ΠΎΠ² mimi.exe and xtm.exe. ΠΠ½ΠΈ ΠΏΠΎΠΌΠΎΠ³Π°ΡΡ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠ°ΠΌ ΡΡΡΠ°Π½ΠΎΠ²ΠΈΡΡ ΠΊΠΎΠ½ΡΡΠΎΠ»Ρ Π·Π° ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΠΎΠΌ ΠΆΠ΅ΡΡΠ²Ρ ΠΈ ΡΠΏΠ΅ΡΠΈΠ°Π»ΠΈΠ·ΠΈΡΡΡΡΡΡ Π½Π° Π²ΡΠΏΠΎΠ»Π½Π΅Π½ΠΈΠΈ ΡΠ»Π΅Π΄ΡΡΡΠΈΡ Π·Π°Π΄Π°Ρ: ΠΏΠΎΠ»ΡΡΠ΅Π½ΠΈΠ΅/Π²ΠΎΡΡΡΠ°Π½ΠΎΠ²Π»Π΅Π½ΠΈΠ΅ ΠΏΠ°ΡΠΎΠ»Π΅ΠΉ ΠΊ Π°ΠΊΠΊΠ°ΡΠ½ΡΠ°ΠΌ ΡΡΠ΅ΡΠ½ΡΡ Π·Π°ΠΏΠΈΡΠ΅ΠΉ Windows, Π²ΠΊΠ»ΡΡΠ΅Π½ΠΈΠ΅ ΡΠ΅ΡΠ²ΠΈΡΠ° RDP, ΡΠΎΠ·Π΄Π°Π½ΠΈΠ΅ Π½ΠΎΠ²ΠΎΠ³ΠΎ Π°ΠΊΠΊΠ°ΡΠ½ΡΠ° (ΡΡΠ΅ΡΠ½ΠΎΠΉ Π·Π°ΠΏΠΈΡΠΈ) Π² ΠΠ‘.
Mimi.exe executable waxa ku jira nooc wax laga beddelay oo ah qalab il furan oo caan ah . Qalabkani wuxuu kuu ogolaanayaa inaad hesho furaha akoonka isticmaalaha Windows. Weeraryahanadu waxay ka saareen qaybta Mimikatz ee ka mas'uulka ah isdhexgalka isticmaalaha. Koodhka la fulin karo ayaa sidoo kale wax laga beddelay si marka la bilaabo, Mimikatz ay ku shaqeyso mudnaanta :: debug iyo sekurlsa: logonPasswords amarada.
Fayl kale oo la fulin karo, xtm.exe, wuxuu soo bandhigayaa qoraallo gaar ah oo awood u siinaya adeegga RDP ee nidaamka, isku day inaad ku abuurto akoon cusub OS, iyo sidoo kale beddelo goobaha nidaamka si loogu oggolaado dhowr isticmaale inay isku mar ku xiraan kombuyuutar la jabsaday iyada oo loo marayo RDP. Sida iska cad, tillaabooyinkan ayaa lagama maarmaan u ah in si buuxda loo xakameeyo nidaamka la jabiyay.
Π ΠΈΡ. 8. ΠΠΎΠΌΠ°Π½Π΄Ρ, ΠΈΡΠΏΠΎΠ»Π½ΡΠ΅ΠΌΡΠ΅ xtm.exe Π² ΡΠΈΡΡΠ΅ΠΌΠ΅.
Weeraryahanadu waxay isticmaalaan fayl kale oo la fulin karo oo loo yaqaan impack.exe, kaas oo loo isticmaalo in lagu rakibo software gaar ah nidaamka. Software-kan waxa loo yaqaan LiteManager waxana ay u isticmaalaan weeraryahanadu albaab danbe.
Bariis 9. LiteManager interface.
Marka lagu rakibo nidaamka isticmaalaha, LiteManager wuxuu u oggolaanayaa weeraryahannada inay si toos ah ugu xidhmaan nidaamkaas oo ay meel fog uga xakameeyaan. Software-kani waxa uu leeyahay xuduudo gaar ah oo talis ah oo loogu talagalay rakibaadda qarsoon, abuurista xeerar gaar ah oo dab-damis ah, iyo bilaabista cutubkiisa. Dhammaan halbeegyada waxaa isticmaala weeraryahannada.
Qaabka ugu dambeeya ee xirmada malware-ka ee ay adeegsadaan weeraryahanadu waa barnaamij bangi malware ah (bangiye) oo leh magaca faylka la fulin karo pn_pack.exe. Waxay ku takhasustay basaasnimada isticmaalaha waxayna mas'uul ka tahay la macaamilka serverka C&C. Bangiga waxa lagu bilaabay isticmaalka software Yandex Punto ee sharciga ah. Punto waxa isticmaala weeraryahanadu si ay u bilaabaan maktabadaha DLL ee xaasidka ah (qaabka-Loading DLL). Malware laftiisa ayaa qaban kara hawlaha soo socda:
- la soco furayaasha furaha kiiboodhka iyo waxa ku jira sabuuradaha si ay ugu gudbinayaan server-ka fog;
- qor dhammaan kaararka casriga ah ee ku jira nidaamka;
- la falgeli serverka fog ee C&C
Module-ka malware-ka, kaas oo mas'uul ka ah fulinta dhammaan hawlahan, waa maktabad DLL ah oo qarsoon. Waa la furfuraa oo lagu shubaa xusuusta inta lagu guda jiro fulinta Punto. Si loo fuliyo hawlaha kor ku xusan, DLL code la fulin karo wuxuu bilaabmaa saddex qaybood.
Xaqiiqda ah in weerarradu ay u doorteen software Punto ujeeddooyinkooda maahan wax la yaab leh: qaar ka mid ah golayaasha Ruushka waxay si cad u bixiyaan macluumaad faahfaahsan oo ku saabsan mawduucyadan sida isticmaalka cilladaha softiweerka sharciga ah si ay u waxyeeleeyaan isticmaaleyaasha.
Maktabadda xaasidnimada leh waxay isticmaashaa algorithmamka RC4 si ay u xafiddo xadhkaheeda, iyo sidoo kale inta lagu jiro isdhexgalka shabakada ee serverka C&C. Waxay la xiriirtaa server-ka labadii daqiiqoba mar waxayna u gudbisaa halkaas dhammaan xogta lagu soo ururiyay nidaamka waxyeellada leh muddadaas.
Bariis 10. Qayb ka mid ah isdhexgalka shabakada ee u dhexeeya bot iyo serverka.
Hoos waxaa ku yaal qaar ka mid ah tilmaamaha server-ka C&C ee ay maktabaddu heli karto.
Iyada oo laga jawaabayo helitaanka tilmaamaha server-ka C&C, malware-ku wuxuu kaga jawaabaa koodka xaaladda. Waxaa xiiso leh in la ogaado in dhammaan qaybaha bangiyada ee aan falanqeynay (kuwii u dambeeyay ee la sameeyay taariikhda Janaayo 18-keeda) ay ka kooban yihiin xarigga "TEST_BOTNET", kaas oo fariin kasta loo diro server-ka C&C.
gunaanad
ΠΠ»Ρ ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅ΡΠ°ΡΠΈΠΈ ΠΊΠΎΡΠΏΠΎΡΠ°ΡΠΈΠ²Π½ΡΡ ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΉ Π·Π»ΠΎΡΠΌΡΡΠ»Π΅Π½Π½ΠΈΠΊΠΈ Π½Π° ΠΏΠ΅ΡΠ²ΠΎΠΌ ΡΡΠ°ΠΏΠ΅ ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅ΡΠΈΡΡΡΡ ΠΎΠ΄Π½ΠΎΠ³ΠΎ ΡΠΎΡΡΡΠ΄Π½ΠΈΠΊΠ° ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ ΠΏΡΡΠ΅ΠΌ ΠΎΡΠΏΡΠ°Π²ΠΊΠΈ ΡΠΈΡΠΈΠ½Π³ΠΎΠ²ΠΎΠ³ΠΎ ΡΠΎΠΎΠ±ΡΠ΅Π½ΠΈΡ Ρ ΡΠΊΡΠΏΠ»ΠΎΠΉΡΠΎΠΌ. ΠΠ°Π»Π΅Π΅, ΠΊΠ°ΠΊ ΡΠΎΠ»ΡΠΊΠΎ Π²ΡΠ΅Π΄ΠΎΠ½ΠΎΡΠ½Π°Ρ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΠ° Π±ΡΠ΄Π΅Ρ ΡΡΡΠ°Π½ΠΎΠ²Π»Π΅Π½Π° Π² ΡΠΈΡΡΠ΅ΠΌΡ, ΠΎΠ½ΠΈ Π²ΠΎΡΠΏΠΎΠ»ΡΠ·ΡΡΡΡΡ ΠΏΡΠΎΠ³ΡΠ°ΠΌΠΌΠ½ΡΠΌΠΈ ΠΈΠ½ΡΡΡΡΠΌΠ΅Π½ΡΠ°ΠΌΠΈ, ΠΊΠΎΡΠΎΡΡΠ΅ ΠΏΠΎΠΌΠΎΠ³ΡΡ ΠΈΠΌ Π·Π½Π°ΡΠΈΡΠ΅Π»ΡΠ½ΠΎ ΡΠ°ΡΡΠΈΡΠΈΡΡ ΠΏΠΎΠ»Π½ΠΎΠΌΠΎΡΠΈΡ Π² ΡΠΈΡΡΠ΅ΠΌΠ΅ ΠΈ Π²ΡΠΏΠΎΠ»Π½ΡΡΡ Π½Π° Π½Π΅ΠΉ Π΄ΠΎΠΏΠΎΠ»Π½ΠΈΡΠ΅Π»ΡΠ½ΡΠ΅ Π·Π°Π΄Π°ΡΠΈ: ΠΊΠΎΠΌΠΏΡΠΎΠΌΠ΅ΡΠΈΡΠΎΠ²Π°ΡΡ Π΄ΡΡΠ³ΠΈΠ΅ ΠΊΠΎΠΌΠΏΡΡΡΠ΅ΡΡ Π² ΠΊΠΎΡΠΏΠΎΡΠ°ΡΠΈΠ²Π½ΠΎΠΉ ΡΠ΅ΡΠΈ ΠΈ ΡΠΏΠΈΠΎΠ½ΠΈΡΡ Π·Π° ΠΏΠΎΠ»ΡΠ·ΠΎΠ²Π°ΡΠ΅Π»Π΅ΠΌ, Π° ΡΠ°ΠΊΠΆΠ΅ Π·Π° Π±Π°Π½ΠΊΠΎΠ²ΡΠΊΠΈΠΌΠΈ ΡΡΠ°Π½Π·Π°ΠΊΡΠΈΡΠΌΠΈ, ΠΊΠΎΡΠΎΡΡΠ΅ ΠΎΠ½ Π²ΡΠΏΠΎΠ»Π½ΡΠ΅Ρ.
Source: www.habr.com