پچھلے سال کے آخر سے، ہم نے بینکنگ ٹروجن کو تقسیم کرنے کے لیے ایک نئی بدنیتی پر مبنی مہم کا سراغ لگانا شروع کیا۔ حملہ آوروں نے روسی کمپنیوں، یعنی کارپوریٹ صارفین سے سمجھوتہ کرنے پر توجہ مرکوز کی۔ بدنیتی پر مبنی مہم کم از کم ایک سال تک سرگرم رہی اور، بینکنگ ٹروجن کے علاوہ، حملہ آوروں نے مختلف دیگر سافٹ ویئر ٹولز کا استعمال کیا۔ ان میں ایک خصوصی لوڈر شامل ہے جو استعمال کرتے ہوئے پیک کیا گیا ہے۔
حملہ آوروں نے میلویئر صرف ان کمپیوٹرز پر انسٹال کیا جو پہلے سے طے شدہ طور پر ونڈوز (لوکلائزیشن) میں روسی زبان استعمال کرتے تھے۔ ٹروجن کا بنیادی تقسیم ویکٹر ایک ورڈ دستاویز تھا جس میں ایک استحصال تھا۔
چاول۔ 1. فشنگ دستاویز۔
چاول۔ 2. فشنگ دستاویز میں ایک اور ترمیم۔
درج ذیل حقائق بتاتے ہیں کہ حملہ آور روسی کاروباری اداروں کو نشانہ بنا رہے تھے۔
- مخصوص موضوع پر جعلی دستاویزات کا استعمال کرتے ہوئے میلویئر کی تقسیم؛
- حملہ آوروں کے ہتھکنڈے اور نقصان دہ ٹولز جو وہ استعمال کرتے ہیں۔
- کچھ قابل عمل ماڈیولز میں کاروباری ایپلی کیشنز کے لنکس؛
- نقصان دہ ڈومینز کے نام جو اس مہم میں استعمال کیے گئے تھے۔
خاص سافٹ ویئر ٹولز جو حملہ آور کسی سمجھوتہ شدہ سسٹم پر انسٹال کرتے ہیں انہیں سسٹم کا ریموٹ کنٹرول حاصل کرنے اور صارف کی سرگرمیوں کی نگرانی کرنے کی اجازت دیتے ہیں۔ ان افعال کو انجام دینے کے لیے، وہ بیک ڈور انسٹال کرتے ہیں اور ونڈوز اکاؤنٹ کا پاس ورڈ حاصل کرنے یا نیا اکاؤنٹ بنانے کی بھی کوشش کرتے ہیں۔ حملہ آور کیلاگر (کیلاگر)، ونڈوز کلپ بورڈ چوری کرنے والے، اور سمارٹ کارڈز کے ساتھ کام کرنے کے لیے خصوصی سافٹ ویئر کی خدمات کا بھی سہارا لیتے ہیں۔ اس گروپ نے دوسرے کمپیوٹرز سے سمجھوتہ کرنے کی کوشش کی جو متاثرہ کے کمپیوٹر کے طور پر اسی مقامی نیٹ ورک پر تھے۔
ہمارا ESET LiveGrid ٹیلی میٹری سسٹم، جو ہمیں میلویئر کی تقسیم کے اعدادوشمار کو تیزی سے ٹریک کرنے کی اجازت دیتا ہے، ہمیں مذکورہ مہم میں حملہ آوروں کے ذریعے استعمال کیے گئے مالویئر کی تقسیم کے بارے میں دلچسپ جغرافیائی اعدادوشمار فراہم کرتا ہے۔
چاول۔ 3. اس بدنیتی پر مبنی مہم میں استعمال ہونے والے مالویئر کی جغرافیائی تقسیم کے اعدادوشمار۔
میلویئر انسٹال کرنا
کسی صارف کے کمزور نظام پر استحصال کے ساتھ ایک نقصان دہ دستاویز کھولنے کے بعد، NSIS کا استعمال کرتے ہوئے پیک کیا گیا ایک خصوصی ڈاؤنلوڈر وہاں ڈاؤن لوڈ اور اس پر عمل درآمد کیا جائے گا۔ اپنے کام کے آغاز میں، پروگرام ونڈوز کے ماحول کو وہاں ڈیبگرز کی موجودگی یا ورچوئل مشین کے تناظر میں چلانے کے لیے چیک کرتا ہے۔ یہ ونڈوز کے لوکلائزیشن کو بھی چیک کرتا ہے اور آیا صارف نے براؤزر میں ٹیبل میں درج ذیل یو آر ایل کو دیکھا ہے۔ اس کے لیے APIs کا استعمال کیا جاتا ہے۔ فائنڈ فرسٹ/NextUrlCacheEntry اور SoftwareMicrosoftInternet ExplorerTypedURLs رجسٹری کلید۔
بوٹ لوڈر سسٹم پر درج ذیل ایپلیکیشنز کی موجودگی کو چیک کرتا ہے۔
عمل کی فہرست واقعی متاثر کن ہے اور جیسا کہ آپ دیکھ سکتے ہیں، اس میں نہ صرف بینکنگ ایپلی کیشنز شامل ہیں۔ مثال کے طور پر، "scardsvr.exe" نامی ایک قابل عمل فائل سے مراد اسمارٹ کارڈز (Microsoft SmartCard ریڈر) کے ساتھ کام کرنے کے لیے سافٹ ویئر ہے۔ خود بینکنگ ٹروجن میں سمارٹ کارڈز کے ساتھ کام کرنے کی صلاحیت شامل ہے۔
چاول۔ 4. میلویئر کی تنصیب کے عمل کا عمومی خاکہ۔
اگر تمام چیکس کامیابی کے ساتھ مکمل ہو جاتے ہیں، تو لوڈر ریموٹ سرور سے ایک خاص فائل (آرکائیو) ڈاؤن لوڈ کرتا ہے، جس میں حملہ آوروں کے ذریعے استعمال کیے جانے والے تمام نقصاندہ قابل عمل ماڈیولز ہوتے ہیں۔ یہ نوٹ کرنا دلچسپ ہے کہ مندرجہ بالا چیک کے عمل پر منحصر ہے، ریموٹ C&C سرور سے ڈاؤن لوڈ کردہ آرکائیوز مختلف ہو سکتے ہیں۔ آرکائیو بدنیتی پر مبنی ہو سکتا ہے یا نہیں۔ اگر بدنیتی پر مبنی نہیں ہے، تو یہ صارف کے لیے ونڈوز لائیو ٹول بار کو انسٹال کرتا ہے۔ غالباً، حملہ آوروں نے فائلوں کے خودکار تجزیہ کرنے والے نظاموں اور ورچوئل مشینوں کو دھوکہ دینے کے لیے ایسی ہی چالوں کا سہارا لیا جن پر مشکوک فائلیں چلائی جاتی ہیں۔
NSIS ڈاؤنلوڈر کے ذریعے ڈاؤن لوڈ کی گئی فائل ایک 7z آرکائیو ہے جس میں مختلف میلویئر ماڈیولز شامل ہیں۔ نیچے دی گئی تصویر میں اس میلویئر اور اس کے مختلف ماڈیولز کی تنصیب کا پورا عمل دکھایا گیا ہے۔
چاول۔ 5. میلویئر کیسے کام کرتا ہے اس کی عمومی اسکیم۔
اگرچہ بھری ہوئی ماڈیول حملہ آوروں کے لیے مختلف مقاصد کی تکمیل کرتے ہیں، لیکن وہ ایک جیسے پیک کیے گئے ہیں اور ان میں سے بہت سے درست ڈیجیٹل سرٹیفکیٹس کے ساتھ دستخط کیے گئے ہیں۔ ہمیں چار ایسے سرٹیفکیٹ ملے جو حملہ آوروں نے مہم کے آغاز سے ہی استعمال کیے تھے۔ ہماری شکایت کے بعد، یہ سرٹیفکیٹ منسوخ کر دیے گئے۔ یہ نوٹ کرنا دلچسپ ہے کہ تمام سرٹیفکیٹ ماسکو میں رجسٹرڈ کمپنیوں کو جاری کیے گئے تھے۔
چاول۔ 6. ڈیجیٹل سرٹیفکیٹ جو میلویئر پر دستخط کرنے کے لیے استعمال کیا گیا تھا۔
مندرجہ ذیل جدول ان ڈیجیٹل سرٹیفیکیٹس کی نشاندہی کرتا ہے جو حملہ آوروں نے اس بدنیتی پر مبنی مہم میں استعمال کیے تھے۔
حملہ آوروں کے ذریعہ استعمال ہونے والے تقریباً تمام بدنیتی پر مبنی ماڈیولز کی تنصیب کا طریقہ ایک جیسا ہوتا ہے۔ وہ 7zip آرکائیوز کو خود سے نکال رہے ہیں جو پاس ورڈ سے محفوظ ہیں۔
چاول۔ 7. install.cmd بیچ فائل کا ٹکڑا۔
بیچ .cmd فائل سسٹم پر میلویئر انسٹال کرنے اور حملہ آور کے مختلف ٹولز شروع کرنے کی ذمہ دار ہے۔ اگر عمل درآمد کے لیے لاپتہ انتظامی حقوق درکار ہیں، تو بدنیتی پر مبنی کوڈ انہیں حاصل کرنے کے لیے کئی طریقے استعمال کرتا ہے (UAC کو نظرانداز کرتے ہوئے)۔ پہلے طریقہ کو نافذ کرنے کے لیے، l1.exe اور cc1.exe نامی دو قابل عمل فائلیں استعمال کی جاتی ہیں، جو UAC کو بائی پاس کرنے میں مہارت رکھتی ہیں۔
اس مہم کو ٹریک کرتے ہوئے، ہم نے ڈاؤنلوڈر کے ذریعے اپ لوڈ کیے گئے کئی آرکائیوز کا تجزیہ کیا۔ آرکائیوز کے مواد مختلف ہیں، یعنی حملہ آور مختلف مقاصد کے لیے بدنیتی پر مبنی ماڈیولز کو اپنا سکتے ہیں۔
صارف کا سمجھوتہ
جیسا کہ ہم نے اوپر ذکر کیا ہے، حملہ آور صارفین کے کمپیوٹر سے سمجھوتہ کرنے کے لیے خصوصی ٹولز استعمال کرتے ہیں۔ ان ٹولز میں قابل عمل فائل کے نام mimi.exe اور xtm.exe والے پروگرام شامل ہیں۔ وہ حملہ آوروں کو متاثرہ کے کمپیوٹر پر کنٹرول حاصل کرنے اور درج ذیل کاموں کو انجام دینے میں مہارت حاصل کرنے میں مدد کرتے ہیں: Windows اکاؤنٹس کے لیے پاس ورڈ حاصل کرنا/ بازیافت کرنا، RDP سروس کو فعال کرنا، OS میں نیا اکاؤنٹ بنانا۔
mimi.exe ایگزیکیوٹیبل میں ایک معروف اوپن سورس ٹول کا ترمیم شدہ ورژن شامل ہے۔
ایک اور قابل عمل فائل، xtm.exe، خصوصی اسکرپٹس لانچ کرتی ہے جو سسٹم میں RDP سروس کو فعال کرتی ہے، OS میں ایک نیا اکاؤنٹ بنانے کی کوشش کرتی ہے، اور سسٹم سیٹنگز کو بھی تبدیل کرتی ہے تاکہ کئی صارفین کو RDP کے ذریعے ایک ساتھ کمپرومائزڈ کمپیوٹر سے جڑنے کی اجازت دی جا سکے۔ ظاہر ہے، یہ اقدامات سمجھوتہ کرنے والے نظام پر مکمل کنٹرول حاصل کرنے کے لیے ضروری ہیں۔
چاول۔ 8. سسٹم پر xtm.exe کے ذریعے عمل میں آنے والے کمانڈز۔
حملہ آور ایک اور قابل عمل فائل کا استعمال کرتے ہیں جسے impack.exe کہتے ہیں، جو سسٹم پر خصوصی سافٹ ویئر انسٹال کرنے کے لیے استعمال ہوتی ہے۔ یہ سافٹ ویئر LiteManager کہلاتا ہے اور اسے حملہ آور بیک ڈور کے طور پر استعمال کرتے ہیں۔
چاول۔ 9. LiteManager انٹرفیس۔
صارف کے سسٹم پر انسٹال ہونے کے بعد، LiteManager حملہ آوروں کو اس سسٹم سے براہ راست جڑنے اور اسے دور سے کنٹرول کرنے کی اجازت دیتا ہے۔ اس سافٹ ویئر میں اس کی پوشیدہ تنصیب، فائر وال کے خصوصی قواعد کی تخلیق، اور اس کے ماڈیول کو لانچ کرنے کے لیے خصوصی کمانڈ لائن پیرامیٹرز ہیں۔ تمام پیرامیٹرز حملہ آور استعمال کرتے ہیں۔
حملہ آوروں کے ذریعے استعمال کیے جانے والے میلویئر پیکج کا آخری ماڈیول ایک بینکنگ میلویئر پروگرام (بینکر) ہے جس میں قابل عمل فائل کا نام pn_pack.exe ہے۔ وہ صارف کی جاسوسی میں مہارت رکھتی ہے اور C&C سرور کے ساتھ تعامل کی ذمہ دار ہے۔ بینکر کو جائز Yandex Punto سافٹ ویئر کا استعمال کرتے ہوئے لانچ کیا گیا ہے۔ پنٹو کو حملہ آور نقصان دہ DLL لائبریریوں (DLL سائیڈ لوڈنگ کا طریقہ) شروع کرنے کے لیے استعمال کرتے ہیں۔ میلویئر خود مندرجہ ذیل افعال انجام دے سکتا ہے:
- کی بورڈ کی اسٹروکس اور کلپ بورڈ کے مشمولات کو ان کی ریموٹ سرور تک منتقلی کے لیے ٹریک کریں۔
- سسٹم میں موجود تمام سمارٹ کارڈز کی فہرست بنائیں؛
- ریموٹ C&C سرور کے ساتھ تعامل کریں۔
میلویئر ماڈیول، جو ان تمام کاموں کو انجام دینے کا ذمہ دار ہے، ایک خفیہ کردہ DLL لائبریری ہے۔ پنٹو پر عمل درآمد کے دوران اسے ڈکرپٹ اور میموری میں لوڈ کیا جاتا ہے۔ مندرجہ بالا کاموں کو انجام دینے کے لیے، DLL ایگزیکیوٹیبل کوڈ تین تھریڈز شروع کرتا ہے۔
یہ حقیقت کہ حملہ آوروں نے اپنے مقاصد کے لیے پنٹو سافٹ ویئر کا انتخاب کیا، کوئی تعجب کی بات نہیں ہے: کچھ روسی فورمز کھلے عام ایسے موضوعات پر تفصیلی معلومات فراہم کرتے ہیں جیسے صارفین سے سمجھوتہ کرنے کے لیے جائز سافٹ ویئر میں خامیوں کا استعمال۔
بدنیتی پر مبنی لائبریری RC4 الگورتھم کا استعمال اپنے تاروں کو خفیہ کرنے کے ساتھ ساتھ C&C سرور کے ساتھ نیٹ ورک کے تعامل کے دوران کرتی ہے۔ یہ ہر دو منٹ بعد سرور سے رابطہ کرتا ہے اور وہاں وہ تمام ڈیٹا منتقل کرتا ہے جو اس مدت کے دوران کمپرومائزڈ سسٹم پر جمع کیا گیا تھا۔
چاول۔ 10. بوٹ اور سرور کے درمیان نیٹ ورک کے تعامل کا ٹکڑا۔
ذیل میں سی اینڈ سی سرور کی کچھ ہدایات ہیں جو لائبریری کو موصول ہو سکتی ہیں۔
C&C سرور سے ہدایات موصول ہونے کے جواب میں، مالویئر اسٹیٹس کوڈ کے ساتھ جواب دیتا ہے۔ یہ نوٹ کرنا دلچسپ ہے کہ تمام بینکر ماڈیولز جن کا ہم نے تجزیہ کیا ہے (18 جنوری کی تالیف کی تاریخ کے ساتھ تازہ ترین) اسٹرنگ "TEST_BOTNET" پر مشتمل ہے، جو ہر پیغام میں C&C سرور کو بھیجا جاتا ہے۔
حاصل يہ ہوا
کارپوریٹ صارفین سے سمجھوتہ کرنے کے لیے، حملہ آور پہلے مرحلے پر کمپنی کے ایک ملازم کو ایک استحصال کے ساتھ فشنگ پیغام بھیج کر سمجھوتہ کرتے ہیں۔ اس کے بعد، سسٹم پر میلویئر انسٹال ہونے کے بعد، وہ سافٹ ویئر ٹولز استعمال کریں گے جو انہیں سسٹم پر اپنی اتھارٹی کو نمایاں طور پر بڑھانے اور اس پر اضافی کام انجام دینے میں مدد کریں گے: کارپوریٹ نیٹ ورک پر دوسرے کمپیوٹرز سے سمجھوتہ کریں اور صارف کی جاسوسی کریں، اور ساتھ ہی بینکنگ لین دین جو وہ کرتا ہے۔
ماخذ: www.habr.com