வரோனிஸ் ஒரு கிரிப்டோமினிங் வைரஸைக் கண்டுபிடித்தார்: எங்கள் விசாரணை

எங்கள் இணைய பாதுகாப்பு விசாரணைக் குழு சமீபத்தில் ஒரு நடுத்தர நிறுவனத்தில் கிரிப்டோமினிங் வைரஸால் முற்றிலும் பாதிக்கப்பட்ட நெட்வொர்க்கை ஆய்வு செய்தது. பகுப்பாய்வு
சேகரிக்கப்பட்ட தீம்பொருள் மாதிரிகள் ஒரு புதிய மாற்றம் கண்டுபிடிக்கப்பட்டதைக் காட்டியது
அத்தகைய வைரஸ்கள், என்று அழைக்கப்படுகின்றன நார்மன், அதன் இருப்பை மறைக்கும் பல்வேறு முறைகளைப் பயன்படுத்துதல். கூடுதலாக, இது கண்டுபிடிக்கப்பட்டது ஊடாடும் வலை ஷெல், இது சுரங்க ஆபரேட்டர்களுக்கு பொருத்தமானதாக இருக்கலாம்.

ஆய்வு மேலோட்டம்

• வரோனிஸ் நிறுவனம் கிரிப்டோமினர்களுடன் பெரிய அளவிலான தொற்றுநோயை அடையாளம் கண்டுள்ளது: நிறுவனத்தில் உள்ள அனைத்து சேவையகங்களும் பணிநிலையங்களும் அத்தகைய மென்பொருளால் பாதிக்கப்பட்டுள்ளன.
• ஆரம்ப நோய்த்தொற்று ஒரு வருடத்திற்கும் மேலாக இருந்து, மாற்றங்கள் மற்றும் பாதிக்கப்பட்ட சாதனங்களின் எண்ணிக்கை சீராக அதிகரித்துள்ளது
• புதிய வகை Monero கிரிப்டோமினரை (நார்மன்) கண்டுபிடித்தோம், அது கண்டறிதலைத் தவிர்ப்பதற்காக பாதுகாப்பு மென்பொருளின் பகுப்பாய்விலிருந்து மறைக்க பல்வேறு முறைகளைப் பயன்படுத்துகிறது.
• பெரும்பாலான தீம்பொருள் வகைகள் கட்டுப்பாட்டு மையத்துடன் (C&C சர்வர்கள்) இணைக்க மற்றும் உள்ளமைவு அளவுருக்களைப் பெற அல்லது புதிய தரவை அனுப்ப DuckDNS (இலவச டைனமிக் DNS சேவை) பயன்படுத்துகின்றன.
• நார்மன் என்பது ஓப்பன் சோர்ஸ் மைனர் - XMRig-ஐ அடிப்படையாகக் கொண்ட ஒரு உயர் செயல்திறன் கொண்ட Monero Cryptocurrency மைனர் ஆகும்.
• கிரிப்டோமினர்களை ஊடாடும் PHP ஷெல்லுடன் இணைக்கும் மறுக்க முடியாத சான்றுகள் எங்களிடம் இல்லை. இருப்பினும், அவர்கள் ஒரே தாக்குதலாளரிடமிருந்து வருகிறார்கள் என்று நம்புவதற்கு நல்ல காரணங்கள் உள்ளன. அத்தகைய இணைப்பின் இருப்பு அல்லது இல்லாமைக்கான கூடுதல் ஆதாரங்களை ஆராய்ச்சியாளர்கள் சேகரித்து வருகின்றனர்.
• இந்தக் கட்டுரையில் ரிமோட் வெப் ஷெல் மற்றும் கிரிப்டோமினர்களுக்கு எதிரான பாதுகாப்பு தொடர்பான வரோனிஸின் பரிந்துரைகளை நீங்கள் அறிந்து கொள்ளலாம்.

விசாரணை

அடுத்த பைலட் திட்டத்தின் போது விசாரணை தொடங்கியது மேடையில்
இணைய பாதுகாப்பு வரோனிஸ் (வரோனிஸ் டேட்டா செக்யூரிட்டி பிளாட்ஃபார்ம்), இது இணையக் கோரிக்கைகளின் போது (வலை ப்ராக்ஸி வழியாக) பிணைய மட்டத்தில் பல சந்தேகத்திற்கிடமான முரண்பாடான நிகழ்வுகளை விரைவாகக் கண்டறிவதை சாத்தியமாக்கியது, இது கோப்பு முறைமையில் முரண்பாடான செயல்களுடன் தொடர்புடையது.
எங்கள் இயங்குதளத்தால் அடையாளம் காணப்பட்ட சாதனங்களை வாடிக்கையாளர் உடனடியாக சுட்டிக்காட்டினார்
சமீபத்தில் பயன்பாட்டு செயலிழப்புகள் மற்றும் நெட்வொர்க் மந்தநிலையைப் புகாரளித்த அதே பயனர்களுக்கு சொந்தமானது.

எங்கள் குழு வாடிக்கையாளரின் சூழலை கைமுறையாக ஆய்வு செய்தது, Varonis பிளாட்ஃபார்ம் மூலம் உருவாக்கப்பட்ட விழிப்பூட்டல்களுக்கு ஏற்ப பாதிக்கப்பட்ட ஒரு நிலையத்திலிருந்து மற்றொரு நிலையத்திற்கு நகர்கிறது. சம்பவ மறுமொழி குழு சிறப்பு விதியை உருவாக்கியுள்ளது டேட்டாஅலர்ட் தொகுதி தீவிரமாக சுரங்கம் செய்யும் கணினிகளைக் கண்டறிய, இது அச்சுறுத்தலை விரைவாக அகற்ற உதவியது. சேகரிக்கப்பட்ட தீம்பொருளின் மாதிரிகள் தடயவியல் மற்றும் மேம்பாட்டுக் குழுக்களுக்கு அனுப்பப்பட்டன, அவர்கள் மாதிரிகளை மேலும் ஆய்வு செய்வது அவசியம் என்று அறிவுறுத்தினர்.
அவர்கள் செய்த அழைப்புகள் காரணமாக பாதிக்கப்பட்ட முனைகள் கண்டுபிடிக்கப்பட்டன டக்டிஎன்எஸ், ஒரு டைனமிக் டிஎன்எஸ் சேவையானது அதன் பயனர்கள் தங்கள் சொந்த டொமைன் பெயர்களை உருவாக்கி, ஐபி முகவரிகளை மாற்றுவதற்கு விரைவாக வரைபடத்தை அனுமதிக்கிறது. மேலே குறிப்பிட்டுள்ளபடி, சம்பவத்தில் உள்ள பெரும்பாலான தீம்பொருள் கட்டுப்பாட்டு மையத்துடன் (C&C) இணைக்க DuckDNS ஐ அணுகியது, மற்றவை உள்ளமைவு அளவுருக்களை அணுகியது அல்லது புதிய தரவை அனுப்பியது.

கிட்டத்தட்ட அனைத்து சர்வர்கள் மற்றும் கணினிகள் தீம்பொருளால் பாதிக்கப்பட்டுள்ளன. முக்கியமாக பயன்படுத்தப்படுகிறது
கிரிப்டோமினர்களின் பொதுவான மாறுபாடுகள். பிற தீம்பொருளில் கடவுச்சொல் டம்ப் கருவிகள் மற்றும் PHP ஷெல்களும் அடங்கும், அதே நேரத்தில் பல கருவிகள் பல ஆண்டுகளாக வேலை செய்து கொண்டிருந்தன.

வாடிக்கையாளருக்கு முடிவுகளை வழங்கினோம், அவர்களின் சூழலில் இருந்து தீம்பொருளை அகற்றி, மேலும் தொற்றுநோய்களை நிறுத்தினோம்.

கிரிப்டோமினர்களின் கண்டுபிடிக்கப்பட்ட அனைத்து மாதிரிகளிலும், ஒன்று தனித்து நின்றது. அவருக்குப் பெயர் வைத்தோம் நார்மன்.

எங்களை சந்திக்கவும்! நார்மன். கிரிப்டோமினர்

நார்மன் என்பது XMRig குறியீட்டை அடிப்படையாகக் கொண்ட ஒரு உயர் செயல்திறன் கொண்ட Monero கிரிப்டோகரன்சி மைனர் ஆகும். கண்டறியப்பட்ட மற்ற சுரங்க மாதிரிகள் போலல்லாமல், நோர்மன் அதைக் கண்டறிவதைத் தவிர்க்கவும் மேலும் பரவாமல் தடுக்கவும் பாதுகாப்பு மென்பொருளின் பகுப்பாய்விலிருந்து அதை மறைக்க நுட்பங்களைப் பயன்படுத்துகிறார்.

முதல் பார்வையில், இந்த தீம்பொருள் svchost.exe என்ற பெயரில் மறைந்திருக்கும் வழக்கமான சுரங்கமாகும். இருப்பினும், கண்டறிதலில் இருந்து மறைக்க மற்றும் விஷயங்களை இயங்க வைக்க இது மிகவும் சுவாரஸ்யமான முறைகளைப் பயன்படுத்துகிறது என்று ஆய்வு கண்டறிந்துள்ளது.

இந்த தீம்பொருளின் வரிசைப்படுத்தல் செயல்முறையை மூன்று நிலைகளாகப் பிரிக்கலாம்:

• செயல்திறன்;
• செயல்படுத்தல்;
• சுரங்கம்.

படிப்படியான பகுப்பாய்வு

நிலை 1. செயல்படுத்தல்

முதல் நிலை இயங்கக்கூடிய கோப்பு svchost.exe உடன் தொடங்குகிறது.

Вредоносное ПО компилируется с помощью NSIS (Nullsoft Scriptable Install System), что является необычным. NSIS представляет собой систему с открытым исходным кодом, используемую для создания установщиков Windows. Как и SFX, данная система создает архив файлов и файл сценария, который выполняется во время работы установщика. Файл сценария сообщает программе, какие файлы нужно запускать, и может взаимодействовать с другими файлами в архиве.

குறிப்பு: இயங்கக்கூடிய கோப்பிலிருந்து NSIS ஸ்கிரிப்ட் கோப்பைப் பெற, நீங்கள் 7zip பதிப்பு 9.38 ஐப் பயன்படுத்த வேண்டும், ஏனெனில் பிந்தைய பதிப்புகள் இந்த அம்சத்தை செயல்படுத்தவில்லை.

NSIS காப்பகப்படுத்தப்பட்ட தீம்பொருள் பின்வரும் கோப்புகளைக் கொண்டுள்ளது:

• CallAnsiPlugin.dll, CLR.dll - .NET DLL செயல்பாடுகளை அழைப்பதற்கான NSIS தொகுதிகள்;
• 5zmjbxUIOVQ58qPR.dll - முக்கிய பேலோட் DLL;
• 4jy4sobf.acz, es1qdxg2.5pk, OIM1iVhZ.txt - பேலோட் கோப்புகள்;
• Retreat.mp3, Cropped_controller_config_controller_i_lb.png ஆகியவை தீங்கிழைக்கும் செயல்களுடன் எந்த வகையிலும் தொடர்பில்லாத கோப்புகள்.

பேலோடை இயக்கும் NSIS ஸ்கிரிப்ட் கோப்பின் கட்டளை கீழே கொடுக்கப்பட்டுள்ளது.

தீம்பொருள் 5zmjbxUIOVQ58qPR.dll செயல்பாட்டை அழைப்பதன் மூலம் செயல்படுத்தப்படுகிறது, இது மற்ற கோப்புகளை அளவுருக்களாக எடுத்துக்கொள்கிறது.

நிலை 2. செயல்படுத்தல்

5zmjbxUIOVQ58qPR.dll கோப்பு முக்கிய பேலோட் ஆகும், மேலே உள்ள NSIS ஸ்கிரிப்டில் இருந்து பார்க்க முடியும். மெட்டாடேட்டாவின் விரைவான பகுப்பாய்வு DLL ஆனது முதலில் Norman.dll என்று அழைக்கப்பட்டது, எனவே நாங்கள் அதற்கு பெயரிட்டோம்.

DLL கோப்பு .NET இல் உருவாக்கப்பட்டது மற்றும் மூன்று தெளிவின்மை மூலம் தலைகீழ் பொறியியலில் இருந்து பாதுகாக்கப்படுகிறது
நன்கு அறியப்பட்ட வணிக தயாரிப்பு Agile .NET Obfuscator ஐப் பயன்படுத்துகிறது.

மரணதண்டனையின் போது, ​​சுய ஊசியின் பல செயல்பாடுகள் அதன் சொந்த செயல்முறையிலும், மற்ற செயல்முறைகளிலும் ஈடுபட்டுள்ளன. OS பிட் ஆழத்தைப் பொறுத்து, தீம்பொருள் இருக்கும்
கணினி கோப்புறைகளுக்கு வெவ்வேறு பாதைகளைத் தேர்ந்தெடுத்து வெவ்வேறு செயல்முறைகளைத் தொடங்கவும்.

கணினி கோப்புறை பாதையின் அடிப்படையில், தீம்பொருள் இயங்குவதற்கு வெவ்வேறு செயல்முறைகளைத் தேர்ந்தெடுக்கும்.

உட்செலுத்தப்பட்ட பேலோடு இரண்டு முக்கிய செயல்பாடுகளைக் கொண்டுள்ளது: கிரிப்டோமினரை இயக்குதல் மற்றும் கண்டறிவதைத் தடுப்பது.

OS 64-பிட் என்றால்

அசல் svchosts.exe கோப்பு (NSIS கோப்பு) செயல்படுத்தப்படும் போது, ​​அது அதன் சொந்த ஒரு புதிய செயல்முறையை உருவாக்கி அதில் பேலோடை (1) செலுத்துகிறது. விரைவில், அது notepad.exe அல்லது explorer.exe ஐ அறிமுகப்படுத்துகிறது, மேலும் கிரிப்டோமினரை அதில் செலுத்துகிறது (2).

இதற்குப் பிறகு, அசல் svchost.exe கோப்பு வெளியேறுகிறது, மேலும் புதிய svchost.exe கோப்பு மைனர் செயல்முறையை கண்காணிக்கும் ஒரு நிரலாகப் பயன்படுத்தப்படுகிறது.

OS 32-பிட் என்றால்

அசல் svchosts.exe கோப்பு (NSIS கோப்பு) இயங்கும் போது, ​​அது அதன் சொந்த செயல்முறையை நகலெடுத்து, 64-பிட் பதிப்பைப் போலவே பேலோடை அதில் செலுத்துகிறது.

இந்த வழக்கில், தீம்பொருள் பயனரின் explorer.exe செயல்முறையில் ஒரு பேலோடை செலுத்துகிறது. அங்கிருந்து, தீங்கிழைக்கும் குறியீடு ஒரு புதிய செயல்முறையைத் தொடங்குகிறது (wuapp.exe அல்லது vchost.exe) மற்றும் ஒரு சுரங்கத் தொழிலாளியை அதில் செலுத்துகிறது.

தீம்பொருள் அது தன்னை explorer.exe இல் உட்செலுத்தியது என்ற உண்மையை மறைக்கிறது, முன்பு உட்செலுத்தப்பட்ட குறியீட்டை wuapp.exe மற்றும் வெற்று மதிப்புகளுக்குப் பாதையுடன் மேலெழுதுகிறது.

64-பிட் சூழலில் இயங்கும் போது, ​​அசல் svchost.exe செயல்முறை வெளியேறும், மேலும் இரண்டாவது செயலி பயனரால் நிறுத்தப்பட்டால் explorer.exe இல் தீங்கிழைக்கும் குறியீட்டை மீண்டும் செலுத்தப் பயன்படுகிறது.

செயல்படுத்தல் அல்காரிதம் முடிவில், தீம்பொருள் எப்போதும் ஒரு கிரிப்டோமினரை அது தொடங்கும் முறையான செயல்பாட்டில் செலுத்துகிறது.

பயனர் பணி நிர்வாகியைத் தொடங்கும்போது சுரங்கத் தொழிலாளியை நிறுத்துவதன் மூலம் கண்டறிதலைத் தடுக்க இது வடிவமைக்கப்பட்டுள்ளது.

பணி நிர்வாகியைத் தொடங்கிய பிறகு, wuapp.exe செயல்முறை முடிவடைகிறது என்பதை நினைவில் கொள்ளவும்.

பணி நிர்வாகியை மூடிய பிறகு, தீம்பொருள் wuapp.exe செயல்முறையை மீண்டும் மீண்டும் தொடங்குகிறது
சுரங்கத் தொழிலாளி அதை அதில் செலுத்துகிறான்.

நிலை 3. மைனர்

மேலே குறிப்பிட்டுள்ள XMRig மைனரைக் கவனியுங்கள்.

தீம்பொருள் மைனரின் மாறுவேடமிட்ட UPX பதிப்பை நோட்பேட், exe, explorer.exe, ஆகியவற்றில் செலுத்துகிறது.
svchost.exe அல்லது wuapp.exe, OS பிட் ஆழம் மற்றும் செயல்படுத்தும் அல்காரிதத்தின் நிலை ஆகியவற்றைப் பொறுத்து.

மைனரில் உள்ள PE தலைப்பு அகற்றப்பட்டது, கீழே உள்ள ஸ்கிரீன்ஷாட்டில் அது UPX மூலம் மறைக்கப்பட்டிருப்பதைக் காணலாம்.

ஒரு டம்ப்பை உருவாக்கி, இயங்கக்கூடியதை மீண்டும் கட்டியெழுப்பிய பிறகு, எங்களால் அதை இயக்க முடிந்தது:

இலக்கு XMR தளத்திற்கான அணுகல் மறுக்கப்பட்டது என்பதை கவனத்தில் கொள்ள வேண்டும், இது இந்த சுரங்கத் தொழிலாளியை திறம்பட நடுநிலையாக்குகிறது.

சுரங்க கட்டமைப்பு:

"url": "pool.minexmr.com:5555","user":
"49WvfokdnuK6ojQePe6x2M3UCD59v3BQiBszkuTGE7wmNJuyAvHM9ojedgxMwNx9tZA33P84EeMLte7t6qZhxNHqHyfq9xA","pass":"x"

மர்மமான PHP ஷெல் C&Cக்கு தரவை அனுப்புகிறது

இந்த விசாரணையின் போது, ​​எங்கள் தடயவியல் குழு அவர்களின் கவனத்தை ஈர்த்த XSL கோப்பை கண்டுபிடித்தது. மாதிரியின் ஆழமான பகுப்பாய்விற்குப் பிறகு, ஒரு புதிய PHP ஷெல் கண்டுபிடிக்கப்பட்டது, அது தொடர்ந்து கட்டுப்பாட்டு மையத்துடன் (C&C சர்வர்) இணைக்கிறது.

На нескольких серверах в среде заказчика был найден файл XSL, запускаемый известным исполняемым файлом Windows (mscorsv.exe) из папки в каталоге sysWOW64.

தீம்பொருள் கோப்புறையானது AutoRecover என அழைக்கப்பட்டு அதில் அடங்கியுள்ளது பல கோப்புகள்:

• XSL கோப்பு: xml.XSL
• ஒன்பது DLL கோப்புகள்

இயங்கக்கூடிய கோப்புகள்:

• Mscorsv.exe
• Wmiprvse.exe

XSL கோப்பு

XSL கோப்புகள், XML ஆவணத்தை எவ்வாறு காட்டுவது என்பதை விவரிக்கும் CSS இல் பயன்படுத்தப்படுவதைப் போன்ற நடை தாள்கள் ஆகும்.

நோட்பேடைப் பயன்படுத்தி, அது உண்மையில் XSL கோப்பு அல்ல, மாறாக PHP குறியீடு Zend Guard ஆல் குழப்பப்பட்டது என்று நாங்கள் தீர்மானித்தோம். இந்த வினோதமான உண்மை அது என்று பரிந்துரைத்தது
தீம்பொருளை அதன் செயல்படுத்தும் அல்காரிதம் அடிப்படையில் பேலோட் செய்கிறது.

ஒன்பது டி.எல்.எல்

XSL கோப்பின் ஆரம்ப பகுப்பாய்வு, அத்தகைய எண்ணின் இருப்பு என்ற முடிவுக்கு வழிவகுத்தது
DLL களுக்கு ஒரு குறிப்பிட்ட அர்த்தம் உள்ளது. பிரதான கோப்புறையில் php.dll எனப்படும் DLL மற்றும் SSL மற்றும் MySQL தொடர்பான மூன்று நூலகங்கள் உள்ளன. துணை கோப்புறைகளில், வல்லுநர்கள் நான்கு PHP நூலகங்களையும் ஒரு Zend Guard நூலகத்தையும் கண்டறிந்தனர். அவை அனைத்தும் முறையானவை, மேலும் அவை PHP நிறுவல் தொகுப்பிலிருந்து அல்லது வெளிப்புற dllகளாக பெறப்படுகின்றன.

இந்த கட்டத்தில், தீம்பொருள் PHP ஐ அடிப்படையாகக் கொண்டு உருவாக்கப்பட்டதாகவும், Zend Guard ஆல் குழப்பமடைந்ததாகவும் கருதப்படுகிறது.

இயங்கக்கூடிய கோப்புகள்

இந்த கோப்புறையில் இரண்டு இயங்கக்கூடிய கோப்புகள் இருந்தன: Mscorsv.exe மற்றும் Wmiprvse.exe.

mscorsv.exe கோப்பை பகுப்பாய்வு செய்த பிறகு, மைக்ரோசாப்ட் கையொப்பமிடவில்லை என்பதை நாங்கள் தீர்மானித்தோம், இருப்பினும் அதன் தயாரிப்பு பெயர் அளவுரு “மைக்ரோசாஃப்ட்” என அமைக்கப்பட்டது. நிகர கட்டமைப்பு".
முதலில் இது விசித்திரமாகத் தோன்றியது, ஆனால் Wmiprvse.exe ஐ பகுப்பாய்வு செய்வது நிலைமையை நன்கு புரிந்துகொள்ள எங்களுக்கு அனுமதித்தது.

Wmiprvse.exe கோப்பு கையொப்பமிடப்படவில்லை, ஆனால் PHP குழு பதிப்புரிமை சின்னம் மற்றும் PHP ஐகானைக் கொண்டுள்ளது. அதன் வரிகளை விரைவாகப் பார்த்தால், PHP உதவியிலிருந்து கட்டளைகள் கிடைத்தன. -version ஸ்விட்ச் மூலம் செயல்படுத்தப்பட்ட போது, ​​அது Zend Guard ஐ இயக்க வடிவமைக்கப்பட்ட ஒரு இயங்கக்கூடிய கோப்பு என்று கண்டுபிடிக்கப்பட்டது.

mscorsv.exe இதே வழியில் தொடங்கப்பட்டபோது, ​​அதே தரவு திரையில் காட்டப்பட்டது. இந்த இரண்டு கோப்புகளின் பைனரி தரவையும் ஒப்பிட்டு, மெட்டாடேட்டாவைத் தவிர, அவை ஒரே மாதிரியாக இருப்பதைக் கண்டோம்
பதிப்புரிமை மற்றும் நிறுவனத்தின் பெயர்/தயாரிப்பு பெயர்.

இதன் அடிப்படையில், XSL கோப்பில் mscorsv.exe என்ற பெயரில் மறைக்கப்பட்ட Zend Guard இயங்கக்கூடிய கோப்பைப் பயன்படுத்தி இயங்கும் PHP குறியீடு உள்ளது என்று முடிவு செய்யப்பட்டது.

XSL கோப்பை பாகுபடுத்துகிறது

இணையத் தேடலைப் பயன்படுத்தி, வல்லுநர்கள் Zend Guard deobfuscation கருவியை விரைவாகப் பெற்று xml.XSL கோப்பின் அசல் தோற்றத்தை மீட்டெடுத்தனர்:

தீம்பொருளே PHP ஷெல் ஆகும், அது தொடர்ந்து கட்டுப்பாட்டு மையத்துடன் (C&C சர்வர்) இணைக்கப்பட்டுள்ளது.

அது அனுப்பும் மற்றும் பெறும் கட்டளைகளும் வெளியீடுகளும் குறியாக்கம் செய்யப்பட்டுள்ளன. எங்களிடம் மூல குறியீடு இருப்பதால், குறியாக்க விசை மற்றும் கட்டளைகள் இரண்டும் எங்களிடம் உள்ளன.

இந்த தீம்பொருள் பின்வரும் உள்ளமைக்கப்பட்ட செயல்பாடுகளைக் கொண்டுள்ளது:

• Eval - பொதுவாக குறியீட்டில் இருக்கும் மாறிகளை மாற்றப் பயன்படுகிறது
• உள்ளூர் கோப்பு பதிவு
• தரவுத்தளத்துடன் பணிபுரிவதற்கான சாத்தியக்கூறுகள்
• PSEXEC உடன் பணிபுரிவதற்கான வாய்ப்புகள்
• மறைக்கப்பட்ட மரணதண்டனை
• மேப்பிங் செயல்முறைகள் மற்றும் சேவைகள்

தீம்பொருள் பல பதிப்புகளைக் கொண்டுள்ளது என்பதை பின்வரும் மாறிகள் தெரிவிக்கின்றன.

மாதிரிகளை சேகரிக்கும் போது, ​​பின்வரும் பதிப்புகள் கண்டுபிடிக்கப்பட்டன:

• 0.5f
• 0.4p
• 0.4o

கணினியில் தீம்பொருளின் நிலையான இருப்பை உறுதி செய்வதற்கான ஒரே செயல்பாடானது, செயல்படுத்தப்படும் போது, ​​அது தன்னைச் செயல்படுத்தும் ஒரு சேவையை உருவாக்குகிறது மற்றும் அதன் பெயர்
பதிப்பிலிருந்து பதிப்புக்கு மாறுகிறது.

வல்லுநர்கள் இணையத்தில் இதே போன்ற மாதிரிகளைக் கண்டுபிடிக்க முயன்றனர் மற்றும் தீம்பொருளைக் கண்டுபிடித்தனர்
இது அவர்களின் கருத்துப்படி, ஏற்கனவே உள்ள மாதிரியின் முந்தைய பதிப்பாகும். கோப்புறையின் உள்ளடக்கங்கள் ஒரே மாதிரியாக இருந்தன, ஆனால் XSL கோப்பு வேறுபட்டது மற்றும் வேறுபட்ட பதிப்பு எண்ணைக் கொண்டிருந்தது.

பார்லே-வு மால்வேரா?

தீம்பொருள் பிரான்ஸ் அல்லது பிற பிரெஞ்சு மொழி பேசும் நாட்டில் தோன்றியிருக்கலாம்: SFX கோப்பில் பிரெஞ்சு மொழியில் கருத்துகள் இருந்தன, அதை உருவாக்க ஆசிரியர் WinRAR இன் பிரெஞ்சு பதிப்பைப் பயன்படுத்தினார் என்பதைக் குறிக்கிறது.

மேலும், குறியீட்டில் உள்ள சில மாறிகள் மற்றும் செயல்பாடுகள் பிரெஞ்சு மொழியில் பெயரிடப்பட்டன.

செயல்படுத்துவதை கண்காணித்தல் மற்றும் புதிய கட்டளைகளுக்காக காத்திருக்கிறது

வல்லுநர்கள் தீம்பொருள் குறியீட்டை மாற்றியமைத்து, ஏற்கனவே மாற்றியமைக்கப்பட்டதை பாதுகாப்பாக அறிமுகப்படுத்தினர்
பெற்ற கட்டளைகளைப் பற்றிய தகவல்களைச் சேகரிக்கும் பதிப்பு.

முதல் தகவல்தொடர்பு அமர்வின் முடிவில், EVAL64 வெளியீட்டு விசைக்கான வாதமாக Base64 ஐப் பயன்படுத்தி குறியாக்கம் செய்யப்பட்ட கட்டளையை தீம்பொருள் பெற்றிருப்பதை நிபுணர்கள் கண்டனர்.
இந்த கட்டளை டிகோட் செய்யப்பட்டு செயல்படுத்தப்படுகிறது. இது பல உள் மாறிகளை மாற்றுகிறது (பஃபர் அளவுகளைப் படிக்கவும் எழுதவும்), அதன் பிறகு தீம்பொருள் கட்டளைகளுக்காக காத்திருக்கும் பணி சுழற்சியில் நுழைகிறது.

தற்போது, ​​புதிய கட்டளைகள் எதுவும் பெறப்படவில்லை.

ஊடாடும் PHP ஷெல் மற்றும் கிரிப்டோமினர்: அவை தொடர்புடையதா?

இந்த அனுமானத்திற்கு ஆதரவாகவும் எதிராகவும் வலுவான வாதங்கள் இருப்பதால், நார்மன் ஒரு PHP ஷெல்லுடன் தொடர்புடையதா என்பது வரோனிஸ் நிபுணர்களுக்குத் தெரியவில்லை:

அவை ஏன் தொடர்புடையதாக இருக்கலாம்?

• தீங்கிழைக்கும் கிரிப்டோமினிங் சாப்ட்வேர் மாதிரிகள் எதுவும் பிற அமைப்புகளுக்கு சுயாதீனமாக பரவும் திறனைக் கொண்டிருக்கவில்லை, இருப்பினும் அவை பல்வேறு நெட்வொர்க் பிரிவுகளில் பல்வேறு சாதனங்களில் காணப்பட்டன. தாக்குபவர் ஒவ்வொரு கணுவையும் தனித்தனியாகத் தொற்றியிருக்கலாம் (ஒருவேளை நோயாளி ஜீரோவைப் பாதிக்கும்போது அதே தாக்குதல் திசையன்களைப் பயன்படுத்தலாம்), இருப்பினும் தாக்குதலுக்கு இலக்கான நெட்வொர்க் முழுவதும் பரவுவதற்கு PHP ஷெல்லைப் பயன்படுத்துவது மிகவும் பயனுள்ளதாக இருக்கும்.
• ஒரு குறிப்பிட்ட நிறுவனத்திற்கு எதிராக இயக்கப்படும் பெரிய அளவிலான, இலக்கு தானியங்கி பிரச்சாரங்கள் பெரும்பாலும் தொழில்நுட்ப கலைப்பொருட்கள் அல்லது இணைய பாதுகாப்பு அச்சுறுத்தல்களின் அடையாளம் காணக்கூடிய தடயங்களை விட்டுச்செல்கின்றன. இந்த வழக்கில், அத்தகைய எதுவும் கிடைக்கவில்லை.
• நார்மன் மற்றும் PHP ஷெல் இரண்டும் DuckDNS சேவையைப் பயன்படுத்தின.

அவர்கள் ஏன் தொடர்பில்லாதிருக்கலாம்?

• கிரிப்டோமைனிங் மால்வேர் வகைகளுக்கும் PHP ஷெல்லுக்கும் இடையே தொழில்நுட்ப ஒற்றுமைகள் எதுவும் இல்லை. தீங்கிழைக்கும் கிரிப்டோமினர் C++ இல் உருவாக்கப்பட்டது, மேலும் ஷெல் PHP இல் உள்ளது. மேலும், குறியீடு கட்டமைப்பில் எந்த ஒற்றுமையும் இல்லை, மேலும் நெட்வொர்க் செயல்பாடுகள் வித்தியாசமாக செயல்படுத்தப்படுகின்றன.
• மால்வேர் மாறுபாடுகள் மற்றும் PHP ஷெல் ஆகியவற்றுக்கு இடையே தரவு பரிமாற்றத்திற்கு நேரடி தொடர்பு இல்லை.
• அவை டெவலப்பர் கருத்துகள், கோப்புகள், மெட்டாடேட்டா அல்லது டிஜிட்டல் கைரேகைகளைப் பகிராது.

ரிமோட் ஷெல்களுக்கு எதிராக பாதுகாப்பதற்கான மூன்று பரிந்துரைகள்

மால்வேர், இயங்குவதற்கு கட்டுப்பாட்டு மையத்திலிருந்து (C&C சர்வர்கள்) கட்டளைகள் தேவைப்படும், வழக்கமான வைரஸ்கள் போல் இல்லை. அவரது செயல்கள் கணிக்க முடியாதவை மற்றும் தானியங்கி கருவிகள் அல்லது ஸ்கிரிப்டுகள் இல்லாமல் செய்யப்படும் ஹேக்கர் அல்லது பென்டெஸ்டரின் செயல்களைப் போலவே இருக்கும். எனவே, மால்வேர் கையொப்பங்கள் இல்லாமல் இந்த தாக்குதல்களைக் கண்டறிவது வழக்கமான வைரஸ் தடுப்பு ஸ்கேனிங்கை விட மிகவும் சவாலானது.

ரிமோட் ஷெல்களிலிருந்து நிறுவனங்களைப் பாதுகாப்பதற்கான மூன்று பரிந்துரைகள் கீழே உள்ளன:

1. அனைத்து மென்பொருட்களையும் புதுப்பித்த நிலையில் வைத்திருங்கள்
   தாக்குதல் செய்பவர்கள் பெரும்பாலும் மென்பொருள் மற்றும் இயக்க முறைமைகளில் உள்ள பாதிப்புகளைப் பயன்படுத்தி ஒரு நிறுவனத்தின் நெட்வொர்க்கில் பரவி, ஆர்வமுள்ள தரவைத் தேடுகின்றனர்.
   திருட்டு. சரியான நேரத்தில் ஒட்டுதல் இத்தகைய அச்சுறுத்தல்களின் அபாயத்தை கணிசமாகக் குறைக்கிறது.
2. ஒழுங்கற்ற தரவு அணுகல் நிகழ்வுகளைக் கண்காணிக்கவும்
   பெரும்பாலும், தாக்குபவர்கள் அமைப்பின் ரகசியத் தரவை எல்லைக்கு அப்பால் எடுக்க முயற்சிப்பார்கள். இந்தத் தரவிற்கான முரண்பாடான அணுகல் நிகழ்வுகளைக் கண்காணிப்பது அனுமதிக்கும்
   சமரசம் செய்யப்பட்ட பயனர்கள் மற்றும் உண்மையில் தாக்குபவர்களின் கைகளில் விழக்கூடிய கோப்புறைகள் மற்றும் கோப்புகளின் முழு தொகுப்பையும் கண்டறியவும், மேலும் இந்த பயனர்களுக்கு கிடைக்கும் எல்லா தரவையும் மட்டும் கருத்தில் கொள்ளாமல்.
3. நெட்வொர்க் போக்குவரத்தை கண்காணிக்கவும்
   ஃபயர்வால் மற்றும்/அல்லது ப்ராக்ஸி சர்வரைப் பயன்படுத்துவது தீங்கிழைக்கும் இணைப்புகளைக் கண்டறிந்து தடுக்கலாம்.
   சுற்றளவு தரவு.

சாம்பல் சுரங்க பிரச்சினை பற்றி கவலை? பாதுகாப்பிற்கான ஆறு பரிந்துரைகள்:

1. அனைத்து இயக்க முறைமைகளையும் புதுப்பித்த நிலையில் வைத்திருங்கள்
   ஆதாரங்களை தவறாகப் பயன்படுத்துதல் மற்றும் தீம்பொருள் தொற்றுகளைத் தடுக்க பேட்ச் மேலாண்மை மிகவும் முக்கியமானது.
2. நெட்வொர்க் ட்ராஃபிக் மற்றும் இணைய ப்ராக்ஸிகளைக் கட்டுப்படுத்தவும்
   சில தாக்குதல்களைக் கண்டறியவும், அவற்றில் சிலவற்றைத் தடுக்கவும் தீங்கிழைக்கும் டொமைன்களைப் பற்றிய தகவலின் அடிப்படையில் போக்குவரத்தைத் தடுக்கலாம் அல்லது தேவையற்ற தரவு பரிமாற்ற சேனல்களைக் கட்டுப்படுத்தலாம்.
3. வைரஸ் தடுப்பு தீர்வுகள் மற்றும் இறுதிப்புள்ளி பாதுகாப்பு அமைப்புகளைப் பயன்படுத்தவும் பராமரிக்கவும் (ஆனால் எந்த வகையிலும் பாதுகாப்பின் இந்த அடுக்கைப் பயன்படுத்துவதற்கு உங்களை கட்டுப்படுத்த வேண்டாம்).
   எண்ட்பாயிண்ட் தயாரிப்புகள் நன்கு அறியப்பட்ட கிரிப்டோமினர்களைக் கண்டறிந்து, அவை கணினி செயல்திறன் மற்றும் ஆற்றல் பயன்பாட்டிற்கு சேதம் விளைவிக்கும் முன் நோய்த்தொற்றுகளைத் தடுக்கும். புதிய மாற்றங்கள் அல்லது கண்டறிதலைத் தடுக்கும் புதிய முறைகள் அதே தீம்பொருளின் புதிய பதிப்புகளைக் கண்டறிய முடிவடையாத பாதுகாப்புக்கு வழிவகுக்கும் என்பதை நினைவில் கொள்ளவும்.
4. கணினி CPU செயல்பாட்டைக் கண்காணிக்கவும்
   பொதுவாக, கிரிப்டோ சுரங்கத் தொழிலாளர்கள் கணினியின் மைய செயலியை சுரங்கத்திற்கு பயன்படுத்துகின்றனர். செயல்திறன் குறைவது பற்றிய எந்த செய்திகளையும் பகுப்பாய்வு செய்வது அவசியம் (“எனது கணினி மெதுவாகத் தொடங்கியது.”).
5. டைனமிக் டிஎன்எஸ் சேவைகளின் வழக்கத்திற்கு மாறான பயன்பாட்டிற்காக டிஎன்எஸ்ஸைக் கண்காணிக்கவும் (டக்டிஎன்எஸ் போன்றவை)

   DuckDNS மற்றும் பிற டைனமிக் DNS சேவைகள் இயல்பாகவே கணினிக்கு தீங்கு விளைவிக்கவில்லை என்றாலும், மால்வேர் மூலம் DuckDNS ஐப் பயன்படுத்துவது, பாதிக்கப்பட்ட ஹோஸ்ட்களைக் கண்டறிவதை எங்கள் புலனாய்வுக் குழுக்களுக்கு எளிதாக்கியது.

6. ஒரு நிகழ்வு பதில் திட்டத்தை உருவாக்கவும்
   சாம்பல் கிரிப்டோ மைனிங்கின் அச்சுறுத்தலைத் தானாகக் கண்டறிவதற்கும், கட்டுப்படுத்துவதற்கும், தணிப்பதற்கும் இதுபோன்ற சம்பவங்களுக்குத் தேவையான நடைமுறைகள் உங்களிடம் உள்ளதா என்பதை உறுதிப்படுத்திக் கொள்ளுங்கள்.

Varonis வாடிக்கையாளர்களுக்கு குறிப்பு.
வரோனிஸ் டேட்டாஅலர்ட் கிரிப்டோமினிங் மால்வேரைக் கண்டறியும் அச்சுறுத்தல் மாதிரிகள் அடங்கும். தடுப்புப்பட்டியலுக்கான வேட்பாளர்களாக இருக்கும் டொமைன்களின் அடிப்படையில் மென்பொருள் கண்டறிதலை இலக்காகக் கொள்ள வாடிக்கையாளர்கள் தனிப்பயன் விதிகளை உருவாக்கலாம். DatAlert இன் சமீபத்திய பதிப்பை நீங்கள் இயக்குகிறீர்கள் மற்றும் சரியான அச்சுறுத்தல் மாதிரிகளைப் பயன்படுத்துகிறீர்கள் என்பதை உறுதிப்படுத்த, உங்கள் விற்பனை பிரதிநிதி அல்லது வரோனிஸ் ஆதரவைத் தொடர்புகொள்ளவும்.

ஆதாரம்: www.habr.com