Оршил
Бид ихэвчлэн хортой програм хангамжид хэрхэн халдварладаг вэ гэдгийг бид ихэвчлэн асуудаг. Бидний хариулт бараг үргэлж ижил байдаг: (spear) фишинг. Мэдээлэл, байгалиас заяа, дараа нь, эсвэл дараа нь, эсвэл халдагч нь аль хэдийнэ, эсвэл халдагч сүлжээнд байгаа бол тэд аль хэдийнэ холбоосоор байвал тэд PSEXEC гэх мэт хэрэгслийг ашиглах болно. Гэхдээ энэ бол ихэнх тохиолдолд, ихэнх тохиолдолд.
Өнгөрсөн сард бид янз бүрийн хортой програмын кампанит ажилд ашигласан халдварын аргуудад анхаарлаа хандуулсан. Энэ блогын нийтлэлд бид эдгээр тайлангуудаас ишлэл өгөх болно.
BlackBasta: Тархалтын шинэ арга
BlackBasta, бид өмнө нь бичсэн ёс бус Рансомогийн тухай, саяхан шинэчлэгдсэн шинэчлэлтийг хүлээн авсан. Энэ нь одоо хоёр дахь командын шугамын мөрний параметртэй байна: "-bomb".
Тэр параметрийг ашиглах үед хортой програм дараахь зүйлийг хийдэг.
- Сүлжээнд байгаа, сүлжээн дээрх машинуудын жагсаалтыг авах,
- машинуудын жагсаалтыг ашиглан машин бүрт өөрөө хуулж,
- Component объектын загварыг ашиглан машин тус бүр дээр алсаас ажиллуулна.
LDAP функцийг харуулсан код
Түгээмэл тархах аргыг ашиглах нь ашиг тусыг ашиглах нь энэ нь системд цөөн хэдэн ул мөр үлдээдэг бөгөөд энэ нь олон нийтийн хэрэгслийг ашиглахаас хамаагүй юм. Жишээлбэл, халдагчдын дуртай хэрэгсэл, Psexec, Psexec, сүлжээнд амархан илрүүлдэг. Шинэ арга нь сүлжээг хор хөнөөлтэй үйл ажиллагааг илрүүлэх боломжоос цөөн боломжуудаас нуудаг.
Cloader: Хортой torrents халдварлах
Cybercriminals нь зорилгоо биелүүлэхийн тулд хортой torrents ашигладаг. Гэсэн хэдий ч энэ нь Cloader-ийн нотолгоонд нотлогдож болохгүй, үүнийг зайлуулах ёслолын арга юм.
Cloader-ийг 202 оны 4-р сард нээсэн. Энэ нь эвдэрсэн тоглоомууд, програм хангамжийг ашиглан хор хөнөөлтэй хэрэглэгчид суулгаж байгаа юм. Татаж авсан файлууд нь NSIS суулгасан, суулгалтын скриптэд хортой код агуулсан байна.
Хортой скрипт: Улаан өнгийн хэсгүүдийн хэсгүүд нь Malware татаж авах кодыг заана
Нийт, бид татаж авсан зургаан өөр ачааллыг ажигласан:
- Микроллер хорлонтой прокси: Халдвартай машин дээр прокси хэлбэрээр ажилладаг.
- Paybiz Heakiczy Proxy: Халдвар авсан машин дээр прокси хэлбэрээр ажилладаг.
- MediaCACHal Downloper: Системд цаашдын програмыг суулгаж магадгүй юм.
- CSDI татаж авах: Системд цаашдын програмыг суулгаж магадгүй,
- Хостуин64 Татаж авагч: Системд цаашдын програмыг суулгаж магадгүй,
- Inlog Backdoor: Машин руу алсын зайд нэвтрэхийн тулд хууль ёсны NetSupport програмыг суулгана.
Бид хохирогогдлоо үзэхэд хэрэглэгчид даяар хэрэглэгчид шинээр хөгждөг, жинхэнэ, АНУ-д ихэвчлэн АНУ-д итгэдэг.
Onionopoison: Хуурамч TOR хөтөчөөр халдварладаг
8-р сард 2022 онд бид дор хаяж 1-р сар, Хятад хэлээр ярьдаг хэрэглэгчдэд анхаарлаа төвлөрүүлж байсан кампанит ажил. Онлайнаар нэрээ нууцлахын тулд YouTube Youtube-ийн суваг нь Tor Browser-ийг суулгах заавар бүхий видео бичлэгийг нийтэлсэн. Торыг ХУДАЛДАН АВАХ, ХУДАЛДАН АВАХ БОЛОМЖТОЙ БОЛОМЖТОЙ. Гэсэн хэдий ч, хэрэглэгч тайлбарын холбоос дээр дарж байгаа бол TO TOR BROWER-ийн халдвар авсан хувилбарыг татаж авбал.
Халдварлагдсан хувилбар нь анхны хувилбартай бараг ижил байдаг тул хэрэглэгч ямар ч зөрүүг анзаардаггүй. БИЧЛЭГИЙН НЭГДҮГЭЭР ҮНЭГҮЙ:
- Суулгагч дижитал гарын үсэг дутмаг байна;
- Анхны хувилбартай ирдэг dlls (freeBl3.dll) нь арын код агуулсан байх ёстой;
- Шинэ файл багтсан (FORBL.DLL.DLL) нь анхны freebl3.dll-тай ижил байна;
- Тор-ыг багцласан firefox хоёртын хоёртын хувь нь анхны, шинэчлэлтэд ашигласан URL-ийн нэг тэмдэгтээс ялгаатай. Довтолгоонууд нь хөтөчийг өөрөө шинэчлэхээс сэргийлдэг;
- Хөтчийн тохиргооны файлыг нэрээ нууцлахын тулд өөрчлөгдсөн байна. Жишээлбэл, үзэх түүхийг одоо диск дээр хадгалсан болно.
Нөөцлөгдсөн FreeBl3.dll-ийн арын функциональ байдал нь нэлээд энгийн юм. Энэ нь бүх функцийг анхны dll-д хандаж, мөн C2-ээс нэмэлт dll татаж авдаг.
Татаж авсан DLL нь хортой үйл ажиллагааны ихэнхийг агуулдаг. Бусад зүйлсийн дунд, энэ нь:
- Систем дэх командыг гүйцэтгэх,
- Торыг үзэх Тэргүүн түүхийг C2 руу илгээх,
- Хохирогчийн Wechat болон QQ дансны ID-г C2 руу илгээх.
AdvancedIPSpyware: Буцах, гарын үсэг зурсан ба гарын үсэг зурах
Хууль бус үйл ажиллагаа, заль мэхийг нуух зорилгоор хортой програм хангамжийг нэмж, хэрэглэгч нь илүү олон удаа тулгардаг техник юм. Энэ нь бидний байнга харагддаггүй зүйл бол арын хоёртын хоёртын гарын үсэг зурсан. Энэ нь Нарийвчилсан програм хангамжийн програм бөгөөд сүлжээний админуудыг удирдан чиглүүлэхэд ашигладаг хууль ёсны IP сканнерын арын сканнерын арын сканнердах. Хорт програмыг гарын үсэг зурахад ашигладаг гэрчилгээ нь хамгийн их хулгайлдаг. Хуурамч програмыг хоёр сайт дээр байрлуулсан хоёр сайт дээр байрлуулсан, URL-д ялгаатай байсан. Цаашилбал, вэбсайтууд ижил харагдаж байна. Ганц ялгаа нь хортой вэбсайт дээрх "Free татаж авах" товчлуур юм.
Хууль ёсны vs хортой гарын үсэг бүхий хоёртын
Нарийвчилсан програмын өөр нэг ховор шинж чанар бол түүний модулиуд юм. Ихэвчлэн, модультологийн архитектур нь гэмт хэрэгт холбогдоогүй, гэмт хэрэгт холбогдоогүй байдаг. Дараахь гурван модулиудыг IPC-ээр дамжуулан харилцахад дараах гурван модулийг ажиглав.
- Үндсэн модуль: Өөрчлөлтийг өөрөө шинэчилж, эсвэл устгадаг, эсвэл өөр нэг жишээ
- Commub Execiation Module: Мэдээлэл цуглуулах, командын гүйцэтгэл гэх мэт ердийн тагнуулын функц.
- Сүлжээний холбооны модуль: Бүх сүлжээний холбогдох функцийг зохицуулах (зүрхний цохилтын мессеж гэх мэт).
Нарийвчилсан програм хангамжийн кампанит ажил нь өргөн хүрээний хохирогчтой. Бид Латин Америк, Африк, Африк, Баруун Европ, Өмнөд Европ, Австрали, болон CIS-д хэд хэдэн хохирогчдыг илрүүллээ. Аяны хичээлийн дээгүүр халдвар авсан хохирогчдын нийт тоо 80 орчим байна.
Төгсгөл
Хэдийгээр хортой үйлдлүүд нь анхдагч халдвартай вектор, бусад аргууд, бусад аргыг ашиглах ёсгүй. Typosquate болон Cracksquate болон Croods PANTONTONICACE нь гэмт хэрэгтнүүдийг систем дээрээ суулгасан тохиолдолд хохирогчдод хохирогчдод зориулж хохирогчдодоо хэрэглэдэг.
Ransomware хөгжүүлэгчид өөрсдийн вирусаа шинэчилж байна. Энэ удаад Блэкбаста нэмж, илрүүлэлт, илрүүлэлт, илрүүлэлтийг одоо илүү хэцүү болгодог функцийг илүү хэцүү болгодог.
Хэрэв та гэмт хэрэгтнүүдийн ашигласан хамгийн сүүлийн үеийн TTPS-ийг гэмт хэрэгтнүүдийн талаар мэдээлэх эсвэл хувийн тайлангийн талаар асуух, эсвэл хувийн тайлангийн талаар асуулт байвал CrimewareIntel@kaspersky.com хаягаар холбоо бариарай.
