గత సంవత్సరం చివరి నుండి, మేము బ్యాంకింగ్ ట్రోజన్ని పంపిణీ చేయడానికి కొత్త హానికరమైన ప్రచారాన్ని ట్రాక్ చేయడం ప్రారంభించాము. దాడి చేసేవారు రష్యన్ కంపెనీలను, అంటే కార్పొరేట్ వినియోగదారులను రాజీ చేయడంపై దృష్టి సారించారు. హానికరమైన ప్రచారం కనీసం ఒక సంవత్సరం పాటు సక్రియంగా ఉంది మరియు బ్యాంకింగ్ ట్రోజన్తో పాటు, దాడి చేసేవారు అనేక ఇతర సాఫ్ట్వేర్ సాధనాలను ఉపయోగించడాన్ని ఆశ్రయించారు. వీటిలో ఉపయోగించి ప్యాక్ చేయబడిన ప్రత్యేక లోడర్ ఉంటుంది , మరియు స్పైవేర్, ఇది సుప్రసిద్ధ చట్టబద్ధమైన Yandex Punto సాఫ్ట్వేర్ వలె మారువేషంలో ఉంది. దాడి చేసేవారు బాధితుని కంప్యూటర్తో రాజీ పడిన తర్వాత, వారు బ్యాక్డోర్ను ఇన్స్టాల్ చేసి, ఆపై బ్యాంకింగ్ ట్రోజన్ను ఇన్స్టాల్ చేస్తారు.
వారి మాల్వేర్ కోసం, దాడి చేసేవారు అనేక చెల్లుబాటు అయ్యే (ఆ సమయంలో) డిజిటల్ సర్టిఫికేట్లను మరియు AV ఉత్పత్తులను దాటవేయడానికి ప్రత్యేక పద్ధతులను ఉపయోగించారు. హానికరమైన ప్రచారం పెద్ద సంఖ్యలో రష్యన్ బ్యాంకులను లక్ష్యంగా చేసుకుంది మరియు ప్రత్యేక ఆసక్తిని కలిగి ఉంది, ఎందుకంటే దాడి చేసేవారు తరచుగా లక్షిత దాడులలో ఉపయోగించే పద్ధతులను ఉపయోగించారు, అంటే పూర్తిగా ఆర్థిక మోసంతో ప్రేరేపించబడని దాడులు. ఈ హానికరమైన ప్రచారానికి మరియు ఇంతకు ముందు గొప్ప ప్రచారం పొందిన ఒక పెద్ద సంఘటనకు మధ్య కొన్ని సారూప్యతలను మనం గమనించవచ్చు. మేము బ్యాంకింగ్ ట్రోజన్ని ఉపయోగించిన సైబర్క్రిమినల్ గ్రూప్ గురించి మాట్లాడుతున్నాము /.
దాడి చేసేవారు డిఫాల్ట్గా Windows (స్థానికీకరణ)లో రష్యన్ భాషను ఉపయోగించే కంప్యూటర్లలో మాత్రమే మాల్వేర్ను ఇన్స్టాల్ చేసారు. ట్రోజన్ యొక్క ప్రధాన పంపిణీ వెక్టర్ దోపిడీతో కూడిన వర్డ్ డాక్యుమెంట్. , ఇది పత్రానికి జోడింపుగా పంపబడింది. కింది స్క్రీన్షాట్లు అటువంటి నకిలీ పత్రాల రూపాన్ని చూపుతాయి. మొదటి పత్రం "ఇన్వాయిస్ నం. 522375-FLORL-14-115.doc", మరియు రెండవది "kontrakt87.doc", ఇది మొబైల్ ఆపరేటర్ Megafon ద్వారా టెలికమ్యూనికేషన్ సేవలను అందించడానికి ఒప్పందం యొక్క కాపీ.
అన్నం. 1. ఫిషింగ్ డాక్యుమెంట్.
అన్నం. 2. ఫిషింగ్ డాక్యుమెంట్ యొక్క మరొక సవరణ.
దాడి చేసేవారు రష్యన్ వ్యాపారాలను లక్ష్యంగా చేసుకున్నారని కింది వాస్తవాలు సూచిస్తున్నాయి:
- పేర్కొన్న అంశంపై నకిలీ పత్రాలను ఉపయోగించి మాల్వేర్ పంపిణీ;
- దాడి చేసేవారి వ్యూహాలు మరియు వారు ఉపయోగించే హానికరమైన సాధనాలు;
- కొన్ని ఎక్జిక్యూటబుల్ మాడ్యూల్స్లోని వ్యాపార అనువర్తనాలకు లింక్లు;
- ఈ ప్రచారంలో ఉపయోగించిన హానికరమైన డొమైన్ల పేర్లు.
దాడి చేసేవారు రాజీపడిన సిస్టమ్లో ఇన్స్టాల్ చేసే ప్రత్యేక సాఫ్ట్వేర్ సాధనాలు సిస్టమ్ యొక్క రిమోట్ కంట్రోల్ని పొందడానికి మరియు వినియోగదారు కార్యాచరణను పర్యవేక్షించడానికి వారిని అనుమతిస్తాయి. ఈ విధులను నిర్వహించడానికి, వారు బ్యాక్డోర్ను ఇన్స్టాల్ చేస్తారు మరియు Windows ఖాతా పాస్వర్డ్ను పొందేందుకు లేదా కొత్త ఖాతాను సృష్టించడానికి కూడా ప్రయత్నిస్తారు. దాడి చేసేవారు కీలాగర్ (కీలాగర్), విండోస్ క్లిప్బోర్డ్ స్టీలర్ మరియు స్మార్ట్ కార్డ్లతో పని చేయడానికి ప్రత్యేక సాఫ్ట్వేర్ సేవలను కూడా ఆశ్రయిస్తారు. ఈ గుంపు బాధితుడి కంప్యూటర్ వలె అదే స్థానిక నెట్వర్క్లో ఉన్న ఇతర కంప్యూటర్లను రాజీ చేయడానికి ప్రయత్నించింది.
మా ESET LiveGrid టెలిమెట్రీ సిస్టమ్, మాల్వేర్ పంపిణీ గణాంకాలను త్వరగా ట్రాక్ చేయడానికి అనుమతిస్తుంది, పేర్కొన్న ప్రచారంలో దాడి చేసేవారు ఉపయోగించే మాల్వేర్ పంపిణీపై ఆసక్తికరమైన భౌగోళిక గణాంకాలను మాకు అందించింది.
అన్నం. 3. ఈ హానికరమైన ప్రచారంలో ఉపయోగించిన మాల్వేర్ యొక్క భౌగోళిక పంపిణీపై గణాంకాలు.
మాల్వేర్ను ఇన్స్టాల్ చేస్తోంది
ఒక వినియోగదారు హాని కలిగించే సిస్టమ్పై దోపిడీతో హానికరమైన పత్రాన్ని తెరిచిన తర్వాత, NSISని ఉపయోగించి ప్యాక్ చేయబడిన ఒక ప్రత్యేక డౌన్లోడ్ డౌన్లోడ్ చేయబడుతుంది మరియు అక్కడ అమలు చేయబడుతుంది. దాని పని ప్రారంభంలో, ప్రోగ్రామ్ విండోస్ వాతావరణాన్ని అక్కడ డీబగ్గర్ల ఉనికి కోసం లేదా వర్చువల్ మెషీన్ సందర్భంలో అమలు చేయడం కోసం తనిఖీ చేస్తుంది. ఇది Windows యొక్క స్థానికీకరణను మరియు బ్రౌజర్లోని పట్టికలో దిగువ జాబితా చేయబడిన URLలను వినియోగదారు సందర్శించారో లేదో కూడా తనిఖీ చేస్తుంది. దీని కోసం APIలు ఉపయోగించబడతాయి FindFirst/NextUrlCacheEntry మరియు SoftwareMicrosoftInternet ExplorerTypedURLs రిజిస్ట్రీ కీ.
సిస్టమ్లో కింది అప్లికేషన్ల ఉనికిని బూట్లోడర్ తనిఖీ చేస్తుంది.
ప్రక్రియల జాబితా నిజంగా ఆకట్టుకుంటుంది మరియు మీరు చూడగలిగినట్లుగా, ఇది బ్యాంకింగ్ అప్లికేషన్లను మాత్రమే కలిగి ఉంటుంది. ఉదాహరణకు, "scardsvr.exe" పేరుతో ఎక్జిక్యూటబుల్ ఫైల్ స్మార్ట్ కార్డ్లతో (మైక్రోసాఫ్ట్ స్మార్ట్ కార్డ్ రీడర్) పని చేసే సాఫ్ట్వేర్ను సూచిస్తుంది. బ్యాంకింగ్ ట్రోజన్ స్మార్ట్ కార్డ్లతో పని చేసే సామర్థ్యాన్ని కలిగి ఉంటుంది.
అన్నం. 4. మాల్వేర్ ఇన్స్టాలేషన్ ప్రాసెస్ యొక్క సాధారణ రేఖాచిత్రం.
అన్ని తనిఖీలు విజయవంతంగా పూర్తయినట్లయితే, లోడర్ రిమోట్ సర్వర్ నుండి ఒక ప్రత్యేక ఫైల్ (ఆర్కైవ్)ను డౌన్లోడ్ చేస్తుంది, ఇందులో దాడి చేసేవారు ఉపయోగించే అన్ని హానికరమైన ఎక్జిక్యూటబుల్ మాడ్యూల్లు ఉంటాయి. ఎగువ తనిఖీల అమలుపై ఆధారపడి, రిమోట్ C&C సర్వర్ నుండి డౌన్లోడ్ చేయబడిన ఆర్కైవ్లు విభిన్నంగా ఉండవచ్చని గమనించడం ఆసక్తికరంగా ఉంటుంది. ఆర్కైవ్ హానికరమైనది కావచ్చు లేదా కాకపోవచ్చు. హానికరమైనది కాకపోతే, ఇది వినియోగదారు కోసం Windows Live టూల్బార్ను ఇన్స్టాల్ చేస్తుంది. అనుమానాస్పద ఫైల్లు అమలు చేయబడిన ఆటోమేటిక్ ఫైల్ అనాలిసిస్ సిస్టమ్లు మరియు వర్చువల్ మిషన్లను మోసగించడానికి దాడి చేసేవారు ఇలాంటి మాయలను ఆశ్రయించి ఉండవచ్చు.
NSIS డౌన్లోడర్ ద్వారా డౌన్లోడ్ చేయబడిన ఫైల్ వివిధ మాల్వేర్ మాడ్యూల్లను కలిగి ఉన్న 7z ఆర్కైవ్. దిగువన ఉన్న చిత్రం ఈ మాల్వేర్ మరియు దాని వివిధ మాడ్యూల్స్ యొక్క మొత్తం ఇన్స్టాలేషన్ ప్రక్రియను చూపుతుంది.
అన్నం. 5. మాల్వేర్ ఎలా పనిచేస్తుందనే సాధారణ పథకం.
లోడ్ చేయబడిన మాడ్యూల్లు దాడి చేసేవారికి వేర్వేరు ప్రయోజనాలను అందించినప్పటికీ, అవి ఒకేలా ప్యాక్ చేయబడ్డాయి మరియు వాటిలో చాలా వరకు చెల్లుబాటు అయ్యే డిజిటల్ సర్టిఫికేట్లతో సంతకం చేయబడ్డాయి. దాడి చేసేవారు ప్రచారం ప్రారంభం నుండి ఉపయోగించిన నాలుగు సర్టిఫికేట్లను మేము కనుగొన్నాము. మా ఫిర్యాదును అనుసరించి, ఈ సర్టిఫికేట్లు రద్దు చేయబడ్డాయి. మాస్కోలో నమోదైన కంపెనీలకు అన్ని సర్టిఫికేట్లు జారీ చేయబడటం ఆసక్తికరంగా ఉంది.
అన్నం. 6. మాల్వేర్పై సంతకం చేయడానికి ఉపయోగించిన డిజిటల్ ప్రమాణపత్రం.
ఈ హానికరమైన ప్రచారంలో దాడి చేసేవారు ఉపయోగించిన డిజిటల్ ప్రమాణపత్రాలను క్రింది పట్టిక గుర్తిస్తుంది.
దాడి చేసేవారు ఉపయోగించే దాదాపు అన్ని హానికరమైన మాడ్యూల్లు ఒకే విధమైన ఇన్స్టాలేషన్ విధానాన్ని కలిగి ఉంటాయి. అవి పాస్వర్డ్ రక్షిత 7జిప్ ఆర్కైవ్లను స్వీయ-సంగ్రహించడం.
అన్నం. 7. install.cmd బ్యాచ్ ఫైల్ యొక్క ఫ్రాగ్మెంట్.
బ్యాచ్ .cmd ఫైల్ సిస్టమ్లో మాల్వేర్ను ఇన్స్టాల్ చేయడానికి మరియు వివిధ దాడి చేసే సాధనాలను ప్రారంభించడానికి బాధ్యత వహిస్తుంది. అమలు చేయడానికి తప్పిపోయిన నిర్వాహక హక్కులు అవసరమైతే, హానికరమైన కోడ్ వాటిని పొందేందుకు అనేక పద్ధతులను ఉపయోగిస్తుంది (UACని దాటవేయడం). మొదటి పద్ధతిని అమలు చేయడానికి, l1.exe మరియు cc1.exe అనే రెండు ఎక్జిక్యూటబుల్ ఫైల్లు ఉపయోగించబడతాయి, ఇవి UACని బైపాస్ చేయడంలో ప్రత్యేకత కలిగి ఉంటాయి. కార్బర్ప్ సోర్స్ కోడ్. మరొక పద్ధతి CVE-2013-3660 దుర్బలత్వాన్ని ఉపయోగించుకోవడంపై ఆధారపడి ఉంటుంది. ప్రివిలేజ్ ఎస్కలేషన్ అవసరమయ్యే ప్రతి మాల్వేర్ మాడ్యూల్ దోపిడీ యొక్క 32-బిట్ మరియు 64-బిట్ వెర్షన్ రెండింటినీ కలిగి ఉంటుంది.
ఈ ప్రచారాన్ని ట్రాక్ చేస్తున్నప్పుడు, డౌన్లోడ్ చేసినవారు అప్లోడ్ చేసిన అనేక ఆర్కైవ్లను మేము విశ్లేషించాము. ఆర్కైవ్ల కంటెంట్లు మారుతూ ఉంటాయి, అంటే దాడి చేసేవారు వివిధ ప్రయోజనాల కోసం హానికరమైన మాడ్యూల్లను స్వీకరించగలరు.
వినియోగదారు రాజీ
మేము పైన పేర్కొన్నట్లుగా, దాడి చేసేవారు వినియోగదారుల కంప్యూటర్లను రాజీ చేయడానికి ప్రత్యేక సాధనాలను ఉపయోగిస్తారు. ఈ సాధనాల్లో ఎక్జిక్యూటబుల్ ఫైల్ పేర్లతో ప్రోగ్రామ్లు ఉన్నాయి mimi.exe మరియు xtm.exe. వారు దాడి చేసేవారికి బాధితుని కంప్యూటర్ను నియంత్రించడంలో సహాయపడతారు మరియు కింది పనులను చేయడంలో నైపుణ్యం పొందుతారు: Windows ఖాతాల కోసం పాస్వర్డ్లను పొందడం/రికవరీ చేయడం, RDP సేవను ప్రారంభించడం, OSలో కొత్త ఖాతాను సృష్టించడం.
mimi.exe ఎక్జిక్యూటబుల్ బాగా తెలిసిన ఓపెన్ సోర్స్ సాధనం యొక్క సవరించిన సంస్కరణను కలిగి ఉంటుంది . ఈ సాధనం మీరు Windows యూజర్ ఖాతా పాస్వర్డ్లను పొందేందుకు అనుమతిస్తుంది. దాడి చేసేవారు మిమికాట్జ్ నుండి వినియోగదారు పరస్పర చర్యకు బాధ్యత వహించే భాగాన్ని తొలగించారు. ఎక్జిక్యూటబుల్ కోడ్ కూడా సవరించబడింది, తద్వారా ప్రారంభించబడినప్పుడు, Mimikatz ప్రత్యేక హక్కు::డీబగ్ మరియు sekurlsa:logonPasswords ఆదేశాలతో నడుస్తుంది.
మరొక ఎక్జిక్యూటబుల్ ఫైల్, xtm.exe, సిస్టమ్లో RDP సేవను ప్రారంభించే ప్రత్యేక స్క్రిప్ట్లను ప్రారంభిస్తుంది, OSలో కొత్త ఖాతాను సృష్టించడానికి ప్రయత్నించండి మరియు RDP ద్వారా రాజీపడిన కంప్యూటర్కు అనేక మంది వినియోగదారులు ఏకకాలంలో కనెక్ట్ అయ్యేలా సిస్టమ్ సెట్టింగ్లను కూడా మార్చండి. సహజంగానే, రాజీపడిన వ్యవస్థపై పూర్తి నియంత్రణను పొందడానికి ఈ దశలు అవసరం.
అన్నం. 8. సిస్టమ్లో xtm.exe ద్వారా అమలు చేయబడిన ఆదేశాలు.
దాడి చేసేవారు impack.exe అని పిలువబడే మరొక ఎక్జిక్యూటబుల్ ఫైల్ను ఉపయోగిస్తారు, ఇది సిస్టమ్లో ప్రత్యేక సాఫ్ట్వేర్ను ఇన్స్టాల్ చేయడానికి ఉపయోగించబడుతుంది. ఈ సాఫ్ట్వేర్ను లైట్మేనేజర్ అని పిలుస్తారు మరియు దాడి చేసేవారు బ్యాక్డోర్గా ఉపయోగించబడుతుంది.
అన్నం. 9. లైట్మేనేజర్ ఇంటర్ఫేస్.
వినియోగదారు సిస్టమ్లో ఇన్స్టాల్ చేసిన తర్వాత, దాడి చేసేవారిని నేరుగా ఆ సిస్టమ్కి కనెక్ట్ చేయడానికి మరియు రిమోట్గా నియంత్రించడానికి LiteManager అనుమతిస్తుంది. ఈ సాఫ్ట్వేర్ దాని దాచిన ఇన్స్టాలేషన్, ప్రత్యేక ఫైర్వాల్ నియమాల సృష్టి మరియు దాని మాడ్యూల్ను ప్రారంభించడం కోసం ప్రత్యేక కమాండ్ లైన్ పారామితులను కలిగి ఉంది. అన్ని పారామీటర్లను దాడి చేసేవారు ఉపయోగిస్తారు.
దాడి చేసేవారు ఉపయోగించే మాల్వేర్ ప్యాకేజీ యొక్క చివరి మాడ్యూల్ pn_pack.exe అనే ఎక్జిక్యూటబుల్ ఫైల్ పేరుతో బ్యాంకింగ్ మాల్వేర్ ప్రోగ్రామ్ (బ్యాంకర్). ఆమె వినియోగదారుపై గూఢచర్యం చేయడంలో నైపుణ్యం కలిగి ఉంది మరియు C&C సర్వర్తో పరస్పర చర్య చేయడానికి బాధ్యత వహిస్తుంది. బ్యాంకర్ చట్టబద్ధమైన Yandex Punto సాఫ్ట్వేర్ను ఉపయోగించి ప్రారంభించబడింది. హానికరమైన DLL లైబ్రరీలను (DLL సైడ్-లోడింగ్ పద్ధతి) ప్రారంభించడానికి దాడి చేసేవారు Puntoని ఉపయోగిస్తారు. మాల్వేర్ స్వయంగా కింది విధులను నిర్వర్తించగలదు:
- రిమోట్ సర్వర్కు తదుపరి ప్రసారం కోసం కీబోర్డ్ కీస్ట్రోక్లు మరియు క్లిప్బోర్డ్ విషయాలను ట్రాక్ చేయండి;
- సిస్టమ్లో ఉన్న అన్ని స్మార్ట్ కార్డ్లను జాబితా చేయండి;
- రిమోట్ C&C సర్వర్తో పరస్పర చర్య చేస్తుంది.
ఈ పనులన్నింటికీ బాధ్యత వహించే మాల్వేర్ మాడ్యూల్ ఎన్క్రిప్టెడ్ DLL లైబ్రరీ. ఇది పుంటో ఎగ్జిక్యూషన్ సమయంలో డీక్రిప్ట్ చేయబడి మెమరీలోకి లోడ్ చేయబడుతుంది. పై పనులను నిర్వహించడానికి, DLL ఎక్జిక్యూటబుల్ కోడ్ మూడు థ్రెడ్లను ప్రారంభిస్తుంది.
దాడి చేసేవారు తమ ప్రయోజనాల కోసం Punto సాఫ్ట్వేర్ను ఎంచుకున్నారనే వాస్తవం ఆశ్చర్యం కలిగించదు: కొన్ని రష్యన్ ఫోరమ్లు వినియోగదారులను రాజీ చేయడానికి చట్టబద్ధమైన సాఫ్ట్వేర్లోని లోపాలను ఉపయోగించడం వంటి అంశాలపై వివరణాత్మక సమాచారాన్ని బహిరంగంగా అందిస్తాయి.
హానికరమైన లైబ్రరీ దాని స్ట్రింగ్లను గుప్తీకరించడానికి RC4 అల్గారిథమ్ను ఉపయోగిస్తుంది, అలాగే C&C సర్వర్తో నెట్వర్క్ పరస్పర చర్యల సమయంలో. ఇది ప్రతి రెండు నిమిషాలకు సర్వర్ని సంప్రదిస్తుంది మరియు ఈ సమయంలో రాజీపడిన సిస్టమ్లో సేకరించిన మొత్తం డేటాను అక్కడకు ప్రసారం చేస్తుంది.
అన్నం. 10. బోట్ మరియు సర్వర్ మధ్య నెట్వర్క్ పరస్పర చర్య యొక్క భాగం.
లైబ్రరీ అందుకోగలిగే కొన్ని C&C సర్వర్ సూచనలు క్రింద ఉన్నాయి.
C&C సర్వర్ నుండి సూచనలను స్వీకరించడానికి ప్రతిస్పందనగా, మాల్వేర్ స్థితి కోడ్తో ప్రతిస్పందిస్తుంది. మేము విశ్లేషించిన అన్ని బ్యాంకర్ మాడ్యూల్స్ (జనవరి 18 సంకలన తేదీతో ఇటీవలిది) "TEST_BOTNET" స్ట్రింగ్ను కలిగి ఉన్నాయని గమనించడం ఆసక్తికరంగా ఉంది, ఇది ప్రతి సందేశంలో C&C సర్వర్కు పంపబడుతుంది.
తీర్మానం
కార్పొరేట్ వినియోగదారులతో రాజీ పడేందుకు, మొదటి దశలో దాడి చేసే వ్యక్తులు దోపిడీతో ఫిషింగ్ సందేశాన్ని పంపడం ద్వారా కంపెనీలోని ఒక ఉద్యోగితో రాజీ పడతారు. తర్వాత, సిస్టమ్లో మాల్వేర్ ఇన్స్టాల్ చేయబడిన తర్వాత, వారు సిస్టమ్పై తమ అధికారాన్ని గణనీయంగా విస్తరించడానికి మరియు దానిపై అదనపు పనులను నిర్వహించడానికి సహాయపడే సాఫ్ట్వేర్ సాధనాలను ఉపయోగిస్తారు: కార్పొరేట్ నెట్వర్క్లోని ఇతర కంప్యూటర్లను రాజీ చేసి వినియోగదారుపై గూఢచర్యం చేయడం. అతను నిర్వహించే బ్యాంకింగ్ లావాదేవీలు.
మూలం: www.habr.com