Lati opin ọdun to kọja, a bẹrẹ ipasẹ ipolongo irira tuntun kan lati pin kaakiri Tirojanu ile-ifowopamọ. Awọn ikọlu naa dojukọ lori ibajẹ awọn ile-iṣẹ Russia, ie awọn olumulo ile-iṣẹ. Ipolongo irira naa ṣiṣẹ fun o kere ju ọdun kan ati, ni afikun si Tirojanu ile-ifowopamọ, awọn ikọlu naa bẹrẹ si lilo ọpọlọpọ awọn irinṣẹ sọfitiwia miiran. Iwọnyi pẹlu agberu pataki ti a ṣajọ ni lilo , ati spyware, eyiti o jẹ parada bi sọfitiwia Yandex Punto ti a mọ daradara. Ni kete ti awọn ikọlu naa ti ṣakoso lati ba kọnputa ti olufaragba naa jẹ, wọn fi sii ẹhin ẹhin ati lẹhinna Tirojanu ile-ifowopamọ.
Fun malware wọn, awọn ikọlu lo ọpọlọpọ wulo (ni akoko yẹn) awọn iwe-ẹri oni nọmba ati awọn ọna pataki lati fori awọn ọja AV. Ipolongo irira naa ṣe ifọkansi nọmba nla ti awọn ile-ifowopamọ Russia ati pe o jẹ iwulo pataki nitori awọn ikọlu lo awọn ọna ti a lo nigbagbogbo ninu awọn ikọlu ti a fojusi, ie awọn ikọlu ti ko ni iwuri nikan nipasẹ jibiti owo. A le ṣe akiyesi diẹ ninu awọn ibajọra laarin ipolongo irira yii ati iṣẹlẹ pataki kan ti o gba ikede nla ni iṣaaju. A n sọrọ nipa ẹgbẹ cybercriminal kan ti o lo Tirojanu ile-ifowopamọ /.
Awọn ikọlu ti fi malware sori ẹrọ nikan lori awọn kọnputa wọnyẹn ti o lo ede Rọsia ni Windows (agbegbe) nipasẹ aiyipada. Awọn fekito pinpin akọkọ ti Tirojanu jẹ iwe Ọrọ pẹlu ilokulo. , eyi ti a firanṣẹ gẹgẹbi asomọ si iwe-ipamọ naa. Awọn sikirinisoti ti o wa ni isalẹ fihan hihan iru awọn iwe aṣẹ iro. Iwe akọkọ ni ẹtọ ni "Iṣiro No. 522375-FLORL-14-115.doc", ati "kontrakt87.doc" keji, o jẹ ẹda ti adehun fun ipese awọn iṣẹ ibaraẹnisọrọ nipasẹ oniṣẹ ẹrọ alagbeka Megafon.
Iresi. 1. Fishing iwe.
Iresi. 2. Iyipada miiran ti iwe-ararẹ.
Awọn otitọ wọnyi fihan pe awọn ikọlu naa n fojusi awọn iṣowo Russia:
- pinpin malware nipa lilo awọn iwe aṣẹ iro lori koko pato;
- awọn ilana ti awọn ikọlu ati awọn irinṣẹ irira ti wọn lo;
- awọn ọna asopọ si awọn ohun elo iṣowo ni diẹ ninu awọn modulu ṣiṣe;
- awọn orukọ ti awọn ibugbe irira ti a lo ninu ipolongo yii.
Awọn irinṣẹ sọfitiwia pataki ti awọn ikọlu fi sori ẹrọ lori eto ti o gbogun gba wọn laaye lati ni iṣakoso latọna jijin ti eto naa ati ṣetọju iṣẹ ṣiṣe olumulo. Lati ṣe awọn iṣẹ wọnyi, wọn fi sori ẹrọ ẹhin ẹhin ati tun gbiyanju lati gba ọrọ igbaniwọle akọọlẹ Windows tabi ṣẹda akọọlẹ tuntun kan. Awọn ikọlu tun lo si awọn iṣẹ ti keylogger (keylogger), jija agekuru Windows kan, ati sọfitiwia pataki fun ṣiṣẹ pẹlu awọn kaadi smart. Ẹgbẹ yii gbiyanju lati fi ẹnuko awọn kọnputa miiran ti o wa lori nẹtiwọọki agbegbe kanna bi kọnputa olufaragba naa.
Eto telemetry ESET LiveGrid wa, eyiti o fun wa laaye lati tọpa awọn iṣiro pinpin malware ni iyara, pese wa pẹlu awọn iṣiro agbegbe ti o nifẹ lori pinpin malware ti awọn olukapa lo ninu ipolongo mẹnuba.
Iresi. 3. Awọn iṣiro lori pinpin agbegbe ti malware ti a lo ninu ipolongo irira yii.
Fifi malware sori ẹrọ
Lẹhin ti olumulo kan ṣii iwe irira kan pẹlu ilokulo lori eto alailewu, olugbasilẹ pataki kan ti o ṣajọpọ nipa lilo NSIS yoo ṣe igbasilẹ ati ṣiṣẹ nibẹ. Ni ibẹrẹ iṣẹ rẹ, eto naa ṣayẹwo agbegbe Windows fun wiwa awọn olutọpa nibẹ tabi fun ṣiṣe ni aaye ti ẹrọ foju kan. O tun ṣayẹwo agbegbe ti Windows ati boya olumulo ti ṣabẹwo si awọn URL ti a ṣe akojọ si isalẹ ninu tabili ni ẹrọ aṣawakiri. Awọn API ni a lo fun eyi FindFirst/Titẹ siiUrlCache ati SoftwareMicrosoftInternet ExplorerTypedURLs bọtini iforukọsilẹ.
Awọn bootloader sọwedowo fun wiwa awọn ohun elo atẹle lori eto naa.
Atokọ awọn ilana jẹ iwunilori gaan ati, bi o ti le rii, kii ṣe awọn ohun elo ile-ifowopamọ nikan. Fun apẹẹrẹ, faili ti o le ṣiṣẹ ti a npè ni “scardsvr.exe” tọka si sọfitiwia fun ṣiṣẹ pẹlu awọn kaadi smati (oluka Microsoft SmartCard). Tirojanu ile-ifowopamọ funrararẹ pẹlu agbara lati ṣiṣẹ pẹlu awọn kaadi smati.
Iresi. 4. Aworan gbogbogbo ti ilana fifi sori malware.
Ti gbogbo awọn sọwedowo ba pari ni aṣeyọri, agberu naa ṣe igbasilẹ faili pataki kan (ipamọ) lati olupin latọna jijin, eyiti o ni gbogbo awọn modulu imuṣiṣẹ irira ti awọn ikọlu lo. O jẹ iyanilenu lati ṣe akiyesi pe da lori ipaniyan ti awọn sọwedowo loke, awọn iwe pamosi ti a ṣe igbasilẹ lati olupin C&C latọna jijin le yatọ. Ile-ipamọ le tabi ko le jẹ irira. Ti ko ba ṣe irira, o fi Windows Live Toolbar sori ẹrọ fun olumulo. O ṣeese julọ, awọn ikọlu naa lo si awọn ẹtan ti o jọra lati tan awọn ọna ṣiṣe itupalẹ faili laifọwọyi ati awọn ẹrọ foju lori eyiti awọn faili ifura ti ṣiṣẹ.
Faili ti o gba lati ayelujara nipasẹ olugbasilẹ NSIS jẹ ile-ipamọ 7z ti o ni ọpọlọpọ awọn modulu malware ninu. Aworan ti o wa ni isalẹ fihan gbogbo ilana fifi sori ẹrọ ti malware yii ati awọn modulu oriṣiriṣi rẹ.
Iresi. 5. Gbogbogbo eni ti bi malware ṣiṣẹ.
Botilẹjẹpe awọn modulu ti kojọpọ ṣe iranṣẹ awọn idi oriṣiriṣi fun awọn ikọlu, wọn ṣe akopọ ni aami ati pe ọpọlọpọ ninu wọn ni a fowo si pẹlu awọn iwe-ẹri oni nọmba to wulo. A rii iru awọn iwe-ẹri mẹrin ti awọn ikọlu lo lati ibẹrẹ ti ipolongo naa. Ni atẹle ẹdun wa, awọn iwe-ẹri wọnyi ti fagile. O jẹ iyanilenu lati ṣe akiyesi pe gbogbo awọn iwe-ẹri ni a fun si awọn ile-iṣẹ ti o forukọsilẹ ni Ilu Moscow.
Iresi. 6. Ijẹrisi oni nọmba ti a lo lati fowo si malware.
Tabili ti o tẹle n ṣe idanimọ awọn iwe-ẹri oni-nọmba ti awọn ikọlu lo ninu ipolongo irira yii.
Fere gbogbo awọn modulu irira ti awọn ikọlu lo ni ilana fifi sori ẹrọ kanna. Wọn jẹ awọn ile-ipamọ 7zip ti o yọkuro funrararẹ ti o jẹ aabo ọrọ igbaniwọle.
Iresi. 7. Ajeku ti install.cmd ipele faili.
Faili ipele .cmd jẹ iduro fun fifi malware sori ẹrọ ati ifilọlẹ awọn irinṣẹ ikọlu lọpọlọpọ. Ti ipaniyan ba nilo awọn ẹtọ iṣakoso ti o padanu, koodu irira nlo awọn ọna pupọ lati gba wọn (nipasẹ UAC). Lati ṣe ọna akọkọ, awọn faili ṣiṣe ṣiṣe meji ti a pe ni l1.exe ati cc1.exe ni a lo, eyiti o ṣe amọja ni yiyọ UAC nipa lilo Awọn koodu orisun Carberp. Ọna miiran da lori ilokulo ailagbara CVE-2013-3660. Modulu malware kọọkan ti o nilo igbega anfani ni awọn mejeeji 32-bit ati ẹya 64-bit ti ilokulo.
Lakoko titọpa ipolongo yii, a ṣe itupalẹ ọpọlọpọ awọn ile-ipamọ ti a gbejade nipasẹ olugbasilẹ. Awọn akoonu inu awọn ile ifi nkan pamosi yatọ, afipamo pe awọn ikọlu le ṣe adaṣe awọn modulu irira fun awọn idi oriṣiriṣi.
Olumulo adehun
Gẹgẹbi a ti sọ loke, awọn ikọlu lo awọn irinṣẹ pataki lati ba awọn kọnputa olumulo jẹ. Awọn irinṣẹ wọnyi pẹlu awọn eto pẹlu awọn orukọ faili ṣiṣe mimi.exe ati xtm.exe. Wọn ṣe iranlọwọ fun awọn ikọlu lati gba iṣakoso ti kọnputa ti olufaragba ati amọja ni ṣiṣe awọn iṣẹ ṣiṣe wọnyi: gbigba / gbigba awọn ọrọ igbaniwọle pada fun awọn akọọlẹ Windows, mu iṣẹ RDP ṣiṣẹ, ṣiṣẹda akọọlẹ tuntun ni OS.
Mimi.exe executable pẹlu ẹya ti a tunṣe ti irinṣẹ orisun ṣiṣi ti a mọ daradara . Ọpa yii gba ọ laaye lati gba awọn ọrọ igbaniwọle akọọlẹ olumulo olumulo Windows. Awọn ikọlu naa yọ apakan kuro lati Mimikatz ti o jẹ iduro fun ibaraenisepo olumulo. Koodu imuṣiṣẹ naa tun ti yipada nitori pe nigba ifilọlẹ, Mimikatz nṣiṣẹ pẹlu anfani :: yokokoro ati sekurlsa:logonPasswords awọn pipaṣẹ.
Faili miiran ti o le ṣiṣẹ, xtm.exe, ṣe ifilọlẹ awọn iwe afọwọkọ pataki ti o jẹ ki iṣẹ RDP ṣiṣẹ ninu eto naa, gbiyanju lati ṣẹda akọọlẹ tuntun kan ninu OS, ati tun yi awọn eto eto pada lati gba ọpọlọpọ awọn olumulo laaye lati sopọ ni akoko kanna si kọnputa ti o gbogun nipasẹ RDP. O han ni, awọn igbesẹ wọnyi jẹ pataki lati ni iṣakoso ni kikun ti eto ti o gbogun.
Iresi. 8. Awọn aṣẹ ti a ṣe nipasẹ xtm.exe lori eto naa.
Awọn ikọlu lo faili imuṣiṣẹ miiran ti a pe ni impack.exe, eyiti o lo lati fi sọfitiwia pataki sori ẹrọ naa. Sọfitiwia yii ni a pe ni LiteManager ati pe o jẹ lilo nipasẹ awọn ikọlu bi ẹnu-ọna ẹhin.
Iresi. 9. LiteManager ni wiwo.
Ni kete ti fi sori ẹrọ lori eto olumulo kan, LiteManager ngbanilaaye awọn ikọlu lati sopọ taara si eto yẹn ati ṣakoso rẹ latọna jijin. Sọfitiwia yii ni awọn aye laini aṣẹ pataki fun fifi sori ẹrọ ti o farapamọ, ṣiṣẹda awọn ofin ogiriina pataki, ati ifilọlẹ module rẹ. Gbogbo awọn paramita ti wa ni lilo nipasẹ awọn ikọlu.
Ẹya ikẹhin ti package malware ti awọn ikọlu lo jẹ eto malware ile-ifowopamọ (banki) pẹlu orukọ faili ṣiṣe pn_pack.exe. O ṣe amọja ni ṣiṣe amí lori olumulo ati pe o ni iduro fun ibaraenisepo pẹlu olupin C&C. A ṣe ifilọlẹ banki naa ni lilo sọfitiwia Yandex Punto ti o tọ. Punto jẹ lilo nipasẹ awọn ikọlu lati ṣe ifilọlẹ awọn ile-ikawe DLL irira (Ọna ikojọpọ ẹgbẹ DLL). malware funrararẹ le ṣe awọn iṣẹ wọnyi:
- tọpa awọn bọtini bọtini itẹwe ati awọn akoonu agekuru agekuru fun gbigbe wọn atẹle si olupin latọna jijin;
- akojö gbogbo smati awọn kaadi ti o wa ninu awọn eto;
- nlo pẹlu olupin C&C latọna jijin.
Module malware, eyiti o ni iduro fun ṣiṣe gbogbo awọn iṣẹ ṣiṣe wọnyi, jẹ ile-ikawe DLL ti paroko. O ti wa ni decrypted ati ki o kojọpọ sinu iranti nigba Punto ipaniyan. Lati ṣe awọn iṣẹ ṣiṣe ti o wa loke, koodu imuṣiṣẹ DLL bẹrẹ awọn okun mẹta.
Otitọ pe awọn ikọlu yan sọfitiwia Punto fun awọn idi wọn kii ṣe iyalẹnu: diẹ ninu awọn apejọ Ilu Rọsia ni gbangba pese alaye ni kikun lori iru awọn akọle bii lilo awọn abawọn ninu sọfitiwia ẹtọ lati fi ẹnuko awọn olumulo.
Ile-ikawe irira nlo algorithm RC4 lati parọ awọn okun rẹ, bakannaa lakoko awọn ibaraẹnisọrọ nẹtiwọọki pẹlu olupin C&C. O kan si olupin naa ni gbogbo iṣẹju meji ati gbejade nibẹ gbogbo data ti a gba lori eto ti o gbogun lakoko akoko yii.
Iresi. 10. Ajeku ti ibaraenisepo nẹtiwọki laarin bot ati olupin naa.
Ni isalẹ wa diẹ ninu awọn ilana olupin C&C ti ile-ikawe le gba.
Ni idahun si gbigba awọn itọnisọna lati ọdọ olupin C&C, malware ṣe idahun pẹlu koodu ipo kan. O jẹ iyanilenu lati ṣe akiyesi pe gbogbo awọn modulu banki ti a ṣe atupale (eyiti o ṣẹṣẹ julọ pẹlu ọjọ akopọ ti Oṣu Kini Ọjọ 18th) ni okun “TEST_BOTNET” ninu, eyiti a firanṣẹ ni ifiranṣẹ kọọkan si olupin C&C.
ipari
Lati fi ẹnuko awọn olumulo ile-iṣẹ, awọn ikọlu ni ipele akọkọ ba oṣiṣẹ kan ti ile-iṣẹ jẹ nipa fifiranṣẹ ifiranṣẹ aṣiri-ararẹ pẹlu ilokulo. Nigbamii ti, ni kete ti a ti fi malware sori ẹrọ naa, wọn yoo lo awọn irinṣẹ sọfitiwia ti yoo ṣe iranlọwọ fun wọn ni pataki faagun aṣẹ wọn lori eto naa ati ṣe awọn iṣẹ ṣiṣe afikun lori rẹ: fi ẹnuko awọn kọnputa miiran lori nẹtiwọọki ile-iṣẹ ati ṣe amí lori olumulo, bakanna bi awọn iṣowo ile-ifowopamọ ti o ṣe.
orisun: www.habr.com