கடந்த ஆண்டு இறுதியில் இருந்து, வங்கி ட்ரோஜனை விநியோகிப்பதற்கான புதிய தீங்கிழைக்கும் பிரச்சாரத்தை நாங்கள் கண்காணிக்கத் தொடங்கினோம். தாக்குபவர்கள் ரஷ்ய நிறுவனங்களை, அதாவது கார்ப்பரேட் பயனர்களை சமரசம் செய்வதில் கவனம் செலுத்தினர். தீங்கிழைக்கும் பிரச்சாரம் குறைந்தது ஒரு வருடமாவது செயலில் இருந்தது, வங்கி ட்ரோஜனைத் தவிர, தாக்குபவர்கள் பல்வேறு மென்பொருள் கருவிகளைப் பயன்படுத்தினர். இவற்றைப் பயன்படுத்தி தொகுக்கப்பட்ட சிறப்பு ஏற்றி அடங்கும் , மற்றும் ஸ்பைவேர், இது நன்கு அறியப்பட்ட முறையான Yandex Punto மென்பொருளாக மாறுவேடமிடப்படுகிறது. தாக்குபவர்கள் பாதிக்கப்பட்டவரின் கணினியை சமரசம் செய்ய முடிந்ததும், அவர்கள் ஒரு பின்கதவை நிறுவி பின்னர் ஒரு வங்கி ட்ரோஜனை நிறுவுகிறார்கள்.
அவர்களின் தீம்பொருளுக்காக, தாக்குபவர்கள் பல செல்லுபடியாகும் (அந்த நேரத்தில்) டிஜிட்டல் சான்றிதழ்கள் மற்றும் AV தயாரிப்புகளைத் தவிர்க்க சிறப்பு முறைகளைப் பயன்படுத்தினர். தீங்கிழைக்கும் பிரச்சாரம் ஏராளமான ரஷ்ய வங்கிகளை குறிவைத்தது மற்றும் குறிப்பாக ஆர்வமாக உள்ளது, ஏனெனில் தாக்குபவர்கள் பெரும்பாலும் இலக்கு தாக்குதல்களில் பயன்படுத்தப்படும் முறைகளைப் பயன்படுத்துகின்றனர், அதாவது முற்றிலும் நிதி மோசடியால் தூண்டப்படாத தாக்குதல்கள். இந்தத் தீங்கிழைக்கும் பிரச்சாரத்திற்கும் முன்னதாக பெரும் விளம்பரம் பெற்ற ஒரு பெரிய சம்பவத்திற்கும் இடையே உள்ள சில ஒற்றுமைகளை நாம் கவனிக்கலாம். வங்கி ட்ரோஜனைப் பயன்படுத்திய சைபர் கிரைமினல் குழுவைப் பற்றி நாங்கள் பேசுகிறோம் /.
விண்டோஸில் (உள்ளூர்மயமாக்கல்) ரஷ்ய மொழியை இயல்பாகப் பயன்படுத்திய கணினிகளில் மட்டுமே தாக்குபவர்கள் தீம்பொருளை நிறுவியுள்ளனர். ட்ரோஜனின் முக்கிய விநியோக திசையன் ஒரு சுரண்டலுடன் ஒரு வேர்ட் ஆவணம் ஆகும். , இது ஆவணத்தின் இணைப்பாக அனுப்பப்பட்டது. கீழே உள்ள ஸ்கிரீன்ஷாட்கள் அத்தகைய போலி ஆவணங்களின் தோற்றத்தைக் காட்டுகின்றன. முதல் ஆவணம் "விலைப்பட்டியல் எண். 522375-FLORL-14-115.doc" என்ற தலைப்பில் உள்ளது, இரண்டாவது "kontrakt87.doc", இது மொபைல் ஆபரேட்டர் Megafon மூலம் தொலைத்தொடர்பு சேவைகளை வழங்குவதற்கான ஒப்பந்தத்தின் நகலாகும்.
அரிசி. 1. ஃபிஷிங் ஆவணம்.
அரிசி. 2. ஃபிஷிங் ஆவணத்தின் மற்றொரு மாற்றம்.
தாக்குதல் நடத்தியவர்கள் ரஷ்ய வணிகங்களை குறிவைத்ததாக பின்வரும் உண்மைகள் சுட்டிக்காட்டுகின்றன:
- குறிப்பிட்ட தலைப்பில் போலி ஆவணங்களைப் பயன்படுத்தி தீம்பொருளின் விநியோகம்;
- தாக்குபவர்களின் தந்திரங்கள் மற்றும் அவர்கள் பயன்படுத்தும் தீங்கிழைக்கும் கருவிகள்;
- சில இயங்கக்கூடிய தொகுதிகளில் வணிக பயன்பாடுகளுக்கான இணைப்புகள்;
- இந்த பிரச்சாரத்தில் பயன்படுத்தப்பட்ட தீங்கிழைக்கும் டொமைன்களின் பெயர்கள்.
ஒரு சமரசம் செய்யப்பட்ட கணினியில் தாக்குபவர்கள் நிறுவும் சிறப்பு மென்பொருள் கருவிகள், கணினியின் ரிமோட் கண்ட்ரோலைப் பெறவும் பயனர் செயல்பாட்டைக் கண்காணிக்கவும் அனுமதிக்கின்றன. இந்தச் செயல்பாடுகளைச் செய்ய, பின்கதவை நிறுவி, விண்டோஸ் கணக்கு கடவுச்சொல்லைப் பெறவும் அல்லது புதிய கணக்கை உருவாக்கவும் முயற்சி செய்கிறார்கள். தாக்குபவர்கள் கீலாக்கர் (கீலாக்கர்), விண்டோஸ் கிளிப்போர்டு திருடுபவர் மற்றும் ஸ்மார்ட் கார்டுகளுடன் பணிபுரியும் சிறப்பு மென்பொருள் ஆகியவற்றின் சேவைகளையும் நாடுகிறார்கள். இந்த குழு பாதிக்கப்பட்டவரின் கணினியின் அதே உள்ளூர் நெட்வொர்க்கில் உள்ள பிற கணினிகளை சமரசம் செய்ய முயற்சித்தது.
எங்கள் ESET LiveGrid டெலிமெட்ரி அமைப்பு, தீம்பொருள் விநியோக புள்ளிவிவரங்களை விரைவாகக் கண்காணிக்க அனுமதிக்கிறது, குறிப்பிடப்பட்ட பிரச்சாரத்தில் தாக்குபவர்களால் பயன்படுத்தப்படும் தீம்பொருளின் விநியோகம் குறித்த சுவாரஸ்யமான புவியியல் புள்ளிவிவரங்களை எங்களுக்கு வழங்கியது.
அரிசி. 3. இந்தத் தீங்கிழைக்கும் பிரச்சாரத்தில் பயன்படுத்தப்படும் தீம்பொருளின் புவியியல் விநியோகம் குறித்த புள்ளிவிவரங்கள்.
தீம்பொருளை நிறுவுகிறது
பாதிக்கப்படக்கூடிய கணினியில் ஒரு தீங்கிழைக்கும் ஆவணத்தை ஒரு பயனர் திறந்த பிறகு, NSIS ஐப் பயன்படுத்தி தொகுக்கப்பட்ட ஒரு சிறப்புப் பதிவிறக்கி அங்கு பதிவிறக்கம் செய்யப்பட்டு செயல்படுத்தப்படும். அதன் வேலையின் தொடக்கத்தில், நிரல் விண்டோஸ் சூழலை பிழைத்திருத்திகள் உள்ளதா அல்லது மெய்நிகர் இயந்திரத்தின் சூழலில் இயங்குவதற்கு சரிபார்க்கிறது. இது விண்டோஸின் உள்ளூர்மயமாக்கலையும், உலாவியில் உள்ள அட்டவணையில் கீழே பட்டியலிடப்பட்டுள்ள URLகளை பயனர் பார்வையிட்டாரா என்பதையும் சரிபார்க்கிறது. இதற்கு APIகள் பயன்படுத்தப்படுகின்றன FindFirst/NextUrlCacheEntry மற்றும் SoftwareMicrosoftInternet ExplorerTypedURLs ரெஜிஸ்ட்ரி கீ.
கணினியில் பின்வரும் பயன்பாடுகள் உள்ளனவா என்பதை துவக்க ஏற்றி சரிபார்க்கிறது.
செயல்முறைகளின் பட்டியல் உண்மையிலேயே சுவாரஸ்யமாக உள்ளது, நீங்கள் பார்க்க முடியும் என, இது வங்கி பயன்பாடுகள் மட்டுமல்ல. எடுத்துக்காட்டாக, "scardsvr.exe" என்ற இயங்கக்கூடிய கோப்பு ஸ்மார்ட் கார்டுகளுடன் (மைக்ரோசாப்ட் ஸ்மார்ட் கார்டு ரீடர்) வேலை செய்வதற்கான மென்பொருளைக் குறிக்கிறது. வங்கி ட்ரோஜனில் ஸ்மார்ட் கார்டுகளுடன் வேலை செய்யும் திறன் உள்ளது.
அரிசி. 4. தீம்பொருள் நிறுவல் செயல்முறையின் பொதுவான வரைபடம்.
அனைத்து சரிபார்ப்புகளும் வெற்றிகரமாக முடிந்தால், லோடர் ரிமோட் சர்வரில் இருந்து ஒரு சிறப்பு கோப்பை (காப்பகம்) பதிவிறக்குகிறது, இதில் தாக்குபவர்கள் பயன்படுத்தும் அனைத்து தீங்கிழைக்கும் இயங்கக்கூடிய தொகுதிகள் உள்ளன. மேலே உள்ள காசோலைகளின் செயல்பாட்டைப் பொறுத்து, தொலைநிலை C&C சேவையகத்திலிருந்து பதிவிறக்கம் செய்யப்பட்ட காப்பகங்கள் வேறுபடலாம் என்பது குறிப்பிடத்தக்கது. காப்பகம் தீங்கிழைக்கும் அல்லது இல்லாமல் இருக்கலாம். தீங்கிழைக்கவில்லை என்றால், அது பயனருக்கான Windows Live கருவிப்பட்டியை நிறுவுகிறது. சந்தேகத்திற்கிடமான கோப்புகள் செயல்படுத்தப்படும் தானியங்கி கோப்பு பகுப்பாய்வு அமைப்புகள் மற்றும் மெய்நிகர் இயந்திரங்களை ஏமாற்ற, தாக்குபவர்கள் இதேபோன்ற தந்திரங்களை நாடியிருக்கலாம்.
NSIS டவுன்லோடரால் பதிவிறக்கம் செய்யப்பட்ட கோப்பு 7z காப்பகமாகும், இதில் பல்வேறு தீம்பொருள் தொகுதிகள் உள்ளன. கீழே உள்ள படம் இந்த தீம்பொருளின் முழு நிறுவல் செயல்முறையையும் அதன் பல்வேறு தொகுதிகளையும் காட்டுகிறது.
அரிசி. 5. தீம்பொருள் எவ்வாறு செயல்படுகிறது என்பதற்கான பொதுவான திட்டம்.
ஏற்றப்பட்ட தொகுதிகள் தாக்குபவர்களுக்கு வெவ்வேறு நோக்கங்களுக்காக சேவை செய்தாலும், அவை ஒரே மாதிரியாக தொகுக்கப்பட்டன மற்றும் அவற்றில் பல சரியான டிஜிட்டல் சான்றிதழ்களுடன் கையொப்பமிடப்பட்டுள்ளன. பிரச்சாரத்தின் ஆரம்பத்திலிருந்தே தாக்குதல் நடத்தியவர்கள் பயன்படுத்திய நான்கு சான்றிதழ்களை நாங்கள் கண்டறிந்தோம். எங்கள் புகாரை அடுத்து, இந்த சான்றிதழ்கள் ரத்து செய்யப்பட்டன. மாஸ்கோவில் பதிவுசெய்யப்பட்ட நிறுவனங்களுக்கு அனைத்து சான்றிதழ்களும் வழங்கப்பட்டன என்பது சுவாரஸ்யமானது.
அரிசி. 6. தீம்பொருளில் கையொப்பமிடப் பயன்படுத்தப்பட்ட டிஜிட்டல் சான்றிதழ்.
இந்தத் தீங்கிழைக்கும் பிரச்சாரத்தில் தாக்குபவர்கள் பயன்படுத்திய டிஜிட்டல் சான்றிதழ்களை பின்வரும் அட்டவணை அடையாளம் காட்டுகிறது.
தாக்குபவர்கள் பயன்படுத்தும் கிட்டத்தட்ட அனைத்து தீங்கிழைக்கும் தொகுதிகளும் ஒரே மாதிரியான நிறுவல் செயல்முறையைக் கொண்டுள்ளன. அவை கடவுச்சொல் பாதுகாக்கப்பட்ட 7zip காப்பகங்களை சுயமாக பிரித்தெடுக்கின்றன.
அரிசி. 7. install.cmd தொகுதி கோப்பின் துண்டு.
தொகுதி .cmd கோப்பு கணினியில் தீம்பொருளை நிறுவுவதற்கும் பல்வேறு தாக்குதல் கருவிகளைத் தொடங்குவதற்கும் பொறுப்பாகும். மரணதண்டனைக்கு நிர்வாக உரிமைகள் இல்லாதிருந்தால், தீங்கிழைக்கும் குறியீடு அவற்றைப் பெற பல முறைகளைப் பயன்படுத்துகிறது (UAC ஐத் தவிர்த்து). முதல் முறையைச் செயல்படுத்த, l1.exe மற்றும் cc1.exe எனப்படும் இரண்டு இயங்கக்கூடிய கோப்புகள் பயன்படுத்தப்படுகின்றன, அவை UAC ஐப் பயன்படுத்துவதில் நிபுணத்துவம் பெற்றவை. கார்பர்ப் மூலக் குறியீடு. மற்றொரு முறை CVE-2013-3660 பாதிப்பைப் பயன்படுத்துவதை அடிப்படையாகக் கொண்டது. சிறப்புரிமை அதிகரிப்பு தேவைப்படும் ஒவ்வொரு மால்வேர் தொகுதியும் 32-பிட் மற்றும் 64-பிட் சுரண்டல் பதிப்பு இரண்டையும் கொண்டுள்ளது.
இந்த பிரச்சாரத்தை கண்காணிக்கும் போது, பதிவிறக்குபவர் பதிவேற்றிய பல காப்பகங்களை நாங்கள் பகுப்பாய்வு செய்தோம். காப்பகங்களின் உள்ளடக்கங்கள் வேறுபட்டவை, அதாவது தாக்குபவர்கள் பல்வேறு நோக்கங்களுக்காக தீங்கிழைக்கும் தொகுதிகளை மாற்றியமைக்கலாம்.
பயனர் சமரசம்
நாம் மேலே குறிப்பிட்டுள்ளபடி, தாக்குபவர்கள் பயனர்களின் கணினிகளை சமரசம் செய்ய சிறப்பு கருவிகளைப் பயன்படுத்துகின்றனர். இந்த கருவிகளில் இயங்கக்கூடிய கோப்பு பெயர்கள் mimi.exe மற்றும் xtm.exe கொண்ட நிரல்களும் அடங்கும். தாக்குபவர்கள் பாதிக்கப்பட்டவரின் கணினியைக் கட்டுப்படுத்தவும், பின்வரும் பணிகளைச் செய்வதில் நிபுணத்துவம் பெறவும் அவை உதவுகின்றன: Windows கணக்குகளுக்கான கடவுச்சொற்களைப் பெறுதல்/மீட்டமைத்தல், RDP சேவையை இயக்குதல், OS இல் புதிய கணக்கை உருவாக்குதல்.
mimi.exe இயங்கக்கூடியது நன்கு அறியப்பட்ட திறந்த மூல கருவியின் மாற்றியமைக்கப்பட்ட பதிப்பை உள்ளடக்கியது . இந்த கருவி விண்டோஸ் பயனர் கணக்கு கடவுச்சொற்களைப் பெற உங்களை அனுமதிக்கிறது. தாக்குபவர்கள் பயனர் தொடர்புக்கு பொறுப்பான பகுதியை Mimikatz இலிருந்து அகற்றினர். இயங்கக்கூடிய குறியீடும் மாற்றியமைக்கப்பட்டுள்ளது, அதனால் துவக்கப்படும் போது, Mimikatz சிறப்புரிமை ::debug மற்றும் sekurlsa:logonPasswords கட்டளைகளுடன் இயங்கும்.
மற்றொரு இயங்கக்கூடிய கோப்பு, xtm.exe, கணினியில் RDP சேவையை செயல்படுத்தும் சிறப்பு ஸ்கிரிப்ட்களை அறிமுகப்படுத்துகிறது, OS இல் புதிய கணக்கை உருவாக்க முயற்சிக்கவும், மேலும் பல பயனர்கள் RDP வழியாக சமரசம் செய்யப்பட்ட கணினியுடன் ஒரே நேரத்தில் இணைக்க அனுமதிக்கும் அமைப்பு அமைப்புகளை மாற்றவும். வெளிப்படையாக, சமரசம் செய்யப்பட்ட அமைப்பின் முழு கட்டுப்பாட்டைப் பெற இந்த படிகள் அவசியம்.
அரிசி. 8. கணினியில் xtm.exe ஆல் செயல்படுத்தப்படும் கட்டளைகள்.
தாக்குபவர்கள் மற்றொரு இயங்கக்கூடிய கோப்பை Impack.exe ஐப் பயன்படுத்துகின்றனர், இது கணினியில் சிறப்பு மென்பொருளை நிறுவ பயன்படுகிறது. இந்த மென்பொருள் லைட்மேனேஜர் என்று அழைக்கப்படுகிறது மற்றும் தாக்குபவர்களால் பின்கதவாகப் பயன்படுத்தப்படுகிறது.
அரிசி. 9. லைட்மேனேஜர் இடைமுகம்.
பயனரின் கணினியில் நிறுவப்பட்டதும், தாக்குபவர்களை நேரடியாக அந்த கணினியுடன் இணைக்கவும், தொலைவிலிருந்து அதைக் கட்டுப்படுத்தவும் LiteManager அனுமதிக்கிறது. இந்த மென்பொருள் அதன் மறைக்கப்பட்ட நிறுவலுக்கும், சிறப்பு ஃபயர்வால் விதிகளை உருவாக்குவதற்கும், அதன் தொகுதியைத் தொடங்குவதற்கும் சிறப்பு கட்டளை வரி அளவுருக்களைக் கொண்டுள்ளது. அனைத்து அளவுருக்களும் தாக்குபவர்களால் பயன்படுத்தப்படுகின்றன.
தாக்குபவர்களால் பயன்படுத்தப்படும் தீம்பொருள் தொகுப்பின் கடைசி தொகுதியானது pn_pack.exe என்ற இயங்கக்கூடிய கோப்பு பெயருடன் கூடிய வங்கி தீம்பொருள் நிரல் (வங்கியாளர்) ஆகும். அவர் பயனரை உளவு பார்ப்பதில் நிபுணத்துவம் பெற்றவர் மற்றும் C&C சர்வருடன் தொடர்புகொள்வதற்கான பொறுப்பு. முறையான யாண்டெக்ஸ் புன்டோ மென்பொருளைப் பயன்படுத்தி வங்கியாளர் தொடங்கப்பட்டது. தீங்கிழைக்கும் டிஎல்எல் நூலகங்களை (டிஎல்எல் சைட்-லோடிங் முறை) தொடங்க தாக்குபவர்களால் புன்டோ பயன்படுத்தப்படுகிறது. தீம்பொருளே பின்வரும் செயல்பாடுகளைச் செய்ய முடியும்:
- விசைப்பலகை விசை அழுத்தங்கள் மற்றும் கிளிப்போர்டு உள்ளடக்கங்களை ரிமோட் சேவையகத்திற்கு அவற்றின் அடுத்தடுத்த பரிமாற்றத்திற்காக கண்காணிக்கவும்;
- கணினியில் இருக்கும் அனைத்து ஸ்மார்ட் கார்டுகளையும் பட்டியலிடுங்கள்;
- தொலைநிலை C&C சேவையகத்துடன் தொடர்புகொள்ளவும்.
இந்த அனைத்து பணிகளையும் செய்வதற்கு பொறுப்பான தீம்பொருள் தொகுதி, ஒரு மறைகுறியாக்கப்பட்ட DLL நூலகமாகும். புன்டோ செயல்படுத்தும் போது இது மறைகுறியாக்கப்பட்டு நினைவகத்தில் ஏற்றப்படுகிறது. மேலே உள்ள பணிகளைச் செய்ய, DLL இயங்கக்கூடிய குறியீடு மூன்று நூல்களைத் தொடங்குகிறது.
தாக்குபவர்கள் தங்கள் நோக்கங்களுக்காக Punto மென்பொருளைத் தேர்ந்தெடுத்ததில் ஆச்சரியமில்லை: சில ரஷ்ய மன்றங்கள் பயனர்களை சமரசம் செய்ய முறையான மென்பொருளில் உள்ள குறைபாடுகளைப் பயன்படுத்துவது போன்ற தலைப்புகளில் விரிவான தகவல்களை வெளிப்படையாக வழங்குகின்றன.
தீங்கிழைக்கும் நூலகம் அதன் சரங்களை குறியாக்க RC4 அல்காரிதத்தைப் பயன்படுத்துகிறது, அதே போல் C&C சேவையகத்துடன் பிணைய தொடர்புகளின் போது. இது ஒவ்வொரு இரண்டு நிமிடங்களுக்கும் சேவையகத்தைத் தொடர்புகொண்டு, இந்த காலகட்டத்தில் சமரசம் செய்யப்பட்ட கணினியில் சேகரிக்கப்பட்ட அனைத்து தரவையும் அங்கு அனுப்புகிறது.
அரிசி. 10. போட் மற்றும் சர்வர் இடையே பிணைய தொடர்பு துண்டு.
நூலகம் பெறக்கூடிய சில C&C சர்வர் வழிமுறைகள் கீழே உள்ளன.
C&C சேவையகத்திலிருந்து வழிமுறைகளைப் பெறுவதற்கு பதிலளிக்கும் விதமாக, தீம்பொருள் நிலைக் குறியீட்டுடன் பதிலளிக்கிறது. நாங்கள் பகுப்பாய்வு செய்த அனைத்து வங்கி மாட்யூல்களிலும் (சமீபத்தில் ஜனவரி 18 தொகுக்கப்பட்ட தேதி) “TEST_BOTNET” என்ற சரம் உள்ளது, இது ஒவ்வொரு செய்தியிலும் C&C சர்வருக்கு அனுப்பப்படும்.
முடிவுக்கு
கார்ப்பரேட் பயனர்களை சமரசம் செய்ய, முதல் கட்டத்தில் தாக்குதல் நடத்துபவர்கள் ஒரு சுரண்டலுடன் ஃபிஷிங் செய்தியை அனுப்புவதன் மூலம் நிறுவனத்தின் ஒரு ஊழியரை சமரசம் செய்கிறார்கள். அடுத்து, கணினியில் தீம்பொருள் நிறுவப்பட்டதும், அவர்கள் கணினியில் தங்கள் அதிகாரத்தை கணிசமாக விரிவுபடுத்துவதற்கும் கூடுதல் பணிகளைச் செய்வதற்கும் உதவும் மென்பொருள் கருவிகளைப் பயன்படுத்துவார்கள்: கார்ப்பரேட் நெட்வொர்க்கில் உள்ள மற்ற கணினிகளை சமரசம் செய்து பயனரை உளவு பார்க்கவும். அவர் செய்யும் வங்கி பரிவர்த்தனைகள்.
ஆதாரம்: www.habr.com