👺 🎃 👌🏼 आरटीएम के मद्देनजर। बैंकिंग ट्रोजन से संक्रमित कंप्यूटर की फोरेंसिक जांच 🧒🏽 🥄 🙎🏽

ग्रुप-आईबी विशेषज्ञों सहित एकाउंटेंट और वित्तीय निदेशकों के खिलाफ RTM बैंकिंग ट्रोजन के हमलों के बारे में काफी कुछ लिखा गया है, लेकिन अभी तक सार्वजनिक क्षेत्र में RTM से संक्रमित उपकरणों का एक भी केस अध्ययन नहीं हुआ है। इस अन्याय को ठीक करने के लिए, कंप्यूटर फोरेंसिक ग्रुप-आईबी के प्रमुख विशेषज्ञों में से एक, ओलेग स्कुलकिन ने एक घटना प्रतिक्रिया / जांच के एक भाग के रूप में बैंकिंग ट्रोजन से संक्रमित कंप्यूटर की फोरेंसिक जांच करने के तरीके के बारे में विस्तार से बात की।

यह सब कैसे शुरू हुआ

शोधकर्ताओं ने दिसंबर 2015 में RTM आपराधिक समूह की गतिविधियों के बारे में सीखा। तब से, इस ट्रोजन को वितरित करने वाले फ़िशिंग मेल को संभावित पीड़ितों के इलेक्ट्रॉनिक मेलबॉक्सेज़ में पर्यावरणीय स्थिरता के साथ भेजा गया है।

जैसा कि आप पहले से ही जानते हैं, सितंबर से दिसंबर तक, आरटीएम समूह ने 11,000 से अधिक दुर्भावनापूर्ण ईमेल भेजे। साइबर अपराधियों ने जो हासिल किया है, उसे रोकने के लिए नहीं जा रहे हैं, जैसा कि उन सभी नई मेलिंगों द्वारा सामने आया है, जो हम अपने ग्राहकों की रक्षा करने वाले सेंसर पर और वर्तमान खतरों पर डेटा एकत्र करने के ढांचे में रिकॉर्ड करते हैं।

इस लेख में मैं आपको बताऊंगा कि बैंकिंग ट्रोजन आरटीएम से संक्रमित कंप्यूटर ड्राइव की छवि के लिए फोरेंसिक जांच, या बस फोरेंसिक का संचालन कैसे किया जाता है।

आवश्यक परिचयात्मक

कल्पना कीजिए कि हम आरटीएम कंप्यूटर के संक्रमण के बारे में नहीं जानते हैं, लेकिन केवल समझौता करने का तथ्य, जिसके परिणामस्वरूप धन की चोरी हुई थी - यह हमें अनुसंधान प्रक्रिया को और अधिक दिलचस्प बनाने की अनुमति देगा, और इसे अन्य मामलों पर भी लागू करेगा। मैं इस तथ्य पर भी ध्यान आकर्षित करना चाहता हूं कि इस लेख के ढांचे में मैं ट्रोजन की रिवर्स इंजीनियरिंग पर ध्यान केंद्रित नहीं करूंगा: सबसे पहले, यह फोरेंसिक वैज्ञानिक की क्षमता नहीं है, और दूसरी बात, मेरे सहयोगी, शमीना रोजचेव, ने पहले ही इस बारे में हैबर में विस्तार से लिखा है।

इसलिए, हमारे पास "ई 01" प्रारूप में कंप्यूटर की ड्राइव की छवि है (छवि फ़ाइल प्रारूप को एन्क्रिप्ट करें)। शुरुआत करने के लिए, यह पता लगाना अच्छा होगा कि अंदर क्या है। कम से कम, ऑपरेटिंग सिस्टम, क्योंकि यह उससे और इसके संस्करण से है, ज़ाहिर है, कि कुछ फोरेंसिक कलाकृतियों की उपस्थिति जिसकी हमें जांच करनी है निर्भर करता है।

1. हम ब्रायन कैरियर के स्लीथ किट के पैक से एमएमएलएस उपयोगिता का उपयोग करेंगे:

हमारे पास क्या है? विंडोज के समान कई NTFS विभाजन। हमें यह सुनिश्चित करने की आवश्यकता है - हम रजिस्ट्री फ़ाइलों को खोजने की कोशिश करेंगे, उदाहरण के लिए, सॉफ़्टवेयर।

2. हम मुख्य फाइल टेबल (एमएफटी) में संबंधित रिकॉर्ड संख्या का पता लगाने के लिए यूटिलिटीज एफएल (स्लीथ किट) का उपयोग करेंगे और खोज करेंगे:

ठीक है, अब हम उस फ़ाइल की प्रतिलिपि बना सकते हैं जिसे हमें icat (Sleuth Kit) का उपयोग करके और विश्लेषण की आवश्यकता है:

icat -o 718848 E: \ RTM.E01 234782> सॉफ़्टवेयर

तो, हमारे पास एक सॉफ़्टवेयर रजिस्ट्री फ़ाइल है, हम सबसे महत्वपूर्ण जानकारी निकाल सकते हैं, उदाहरण के लिए, RegRipper Harlan Carvey का उपयोग करके। वर्तमान में हम Microsoft \ Windows NT \ CurrentVersion अनुभाग की सामग्री में रुचि रखते हैं:

अब हम जानते हैं कि अध्ययन के तहत कंप्यूटर सर्विस पैक SP1 के साथ विंडोज 7 प्रोफेशनल चला रहा था, जिसका अर्थ है कि हम जानते हैं कि हम किन फोरेंसिक कलाकृतियों का सामना कर सकते हैं और जिन्हें हमें आवश्यकता हो सकती है।

हमारी खोज कहाँ से शुरू करें? जेसी कोर्नब्लम के विरोधाभास को याद करें: "मैलवेयर छिप सकता है, लेकिन इसे चलाना होगा।" एक अच्छी शुरुआत उस सिस्टम में संभावित लॉकिंग मैकेनिज्म की खोज हो सकती है जो कंप्यूटर रीबूट के बाद दुर्भावनापूर्ण प्रोग्राम को फिर से शुरू करने की अनुमति देता है।

चलो एक साधारण से शुरू करते हैं: उपयोगकर्ता निर्देशिका से NTUSER.DAT रजिस्ट्री फ़ाइल लें (C: \ Users \% उपयोगकर्ता नाम% \) सबसे हाल ही में संशोधन की तारीख के साथ और उसी RegRipper का उपयोग करके इससे डेटा निकालें। यदि हम फ़ाइल की रिकॉर्ड संख्या प्राप्त करना चाहते हैं, जिसे हमें fls और फिर से उपयोग करने की आवश्यकता है, तो हमें fl में –p विकल्प जोड़ना होगा - यह उपयोगिता को फ़ाइलों को पूर्ण पथ प्रदर्शित करने की अनुमति देगा। इसकी आवश्यकता क्यों है? तथ्य यह है कि प्रत्येक उपयोगकर्ता के पास निर्देशिका में एक NTUSER.DAT फ़ाइल है, और सॉफ़्टवेयर पूरे सिस्टम के लिए केवल एक है, इसलिए इस मामले में एक विशिष्ट फ़ाइल का रिकॉर्ड नंबर प्राप्त करना महत्वपूर्ण है। सामान्य तौर पर, स्लीथ किट का उपयोग करना बिल्कुल भी आवश्यक नहीं है, अधिक सुविधाजनक उपकरण हैं, उदाहरण के लिए, एफटीके इमेजर , एक मुफ्त एक्सेसडाटा विकास उपकरण है जिसका उपयोग न केवल फोरेंसिक प्रतियां बनाने के लिए किया जा सकता है, बल्कि उनकी सामग्री की जांच करने के लिए भी किया जा सकता है:

चलिए कम लटकने वाले फलों से शुरुआत करते हैं, तथाकथित "रन कीज़" :

तो हमारे पास क्या है? अनुभाग को पिछली बार 7 नवंबर को संशोधित किया गया था, और हम देखते हैं कि जब उपयोगकर्ता लॉग इन करता है, तो apg.exe फ़ाइल एक गैर-मानक स्थान से लॉन्च की जाती है। आइए देखें कि b7mg81 डायरेक्टरी में और क्या-क्या मिल सकता है:

TeamViewer? यह तो इंटरेस्टिंग है। चलो apg.exe पर करीब से नज़र डालें - PPEE का उपयोग करें :

टीम व्यूअर की तरह दिखता है, टीमव्यूअर के रूप में साइन अप किया गया है, तो क्या यह टीम व्यूअर है? ऐसा लगता है। लेकिन यह इतना आसान नहीं है। आइए आयात तालिका देखें:

तो, msi.dll, कहीं न कहीं हम पहले ही इस फाइल को देख चुके हैं, और यह C: \ Windows \ System32 नहीं है, लेकिन एक ही b7mg81 निर्देशिका है। आकार को देखते हुए, इसका मूल msi.dll से कोई लेना-देना नहीं है, जिसका अर्थ है कि यह उपलब्ध है - DLL सर्च ऑर्डर अपहरण : ऑपरेटिंग सिस्टम वर्तमान निर्देशिका से आवश्यक पुस्तकालयों की खोज करना शुरू कर देता है, जिसका अर्थ है कि वैध msi.dll के बजाय, जो स्थित है उसे लोड किया जाएगा। in b7mg81

एक और दिलचस्प फ़ाइल TeamViewer.ini है :

और यहाँ काउंटर-फोरेंसिक है: कॉन्फ़िगरेशन फ़ाइल द्वारा देखते हुए, हमारे टीमव्यूअर ने कोई लॉग नहीं रखा, और, जाहिर है, एक आरएटी के रूप में उपयोग किया गया था। खैर, बुरा नहीं है। यह पता लगाने का समय है कि क्या यह बिल्कुल शुरू हुआ।

विंडोज पर काफी कुछ कलाकृतियां हैं जो इंगित करती हैं कि निष्पादन योग्य फाइलें चल रही हैं। रजिस्ट्री के साथ काम करना जारी रखें, इस बार सिस्टम फ़ाइल के साथ । इससे डेटा निकालने के लिए, आप फिर से RegRipper का उपयोग कर सकते हैं।

हम ControlSet001 \ Control \ Session Manager \ AppCompatCache में रुचि रखते हैं। यहां हम उनके लिए पथों के साथ निष्पादन योग्य फ़ाइलों की एक सूची पाते हैं, अंतिम संशोधन की तारीखें ($ STANDARD_INFORMATION विशेषता के अनुसार), साथ ही एक ध्वज इंगित करता है कि फ़ाइल लॉन्च की गई थी या नहीं:

महान, हमारी फ़ाइल कम से कम एक बार लॉन्च की गई थी। इसलिए, हमारे पास कुछ "धुरी बिंदु" है, हम जानते हैं कि 7 नवंबर को टीमव्यूअर कंप्यूटर के ड्राइव पर दिखाई दिया, जो लॉग नहीं रखता था, और सबसे अधिक संभावना उपयोगकर्ता को दिखाई नहीं दे रही थी, क्योंकि वैध पुस्तकालय के बजाय यह एक है जो इसके साथ एक में लोड है निर्देशिका।

यह समयरेखा बनाने का समय है। मुझे लगता है कि स्लीथ किट का उपयोग करके बनाया जा सकता है। चलिए शुरू करते हैं fls उपयोगिता से जिन्हें हम पहले से जानते हैं:

fls.exe -m "C: /" -o 718848 -r -z GMT D: \ RTM.E01> bodyfile.txt

अब परिणामी फ़ाइल को समयरेखा में बदलने के लिए mactime का उपयोग करें:

mactime.pl -d -b bodyfile.txt> समयरेखा.csv

एरिक ज़िमरमैन के टाइमलाइन एक्सप्लोरर में विश्लेषण के लिए समयरेखा बहुत सुविधाजनक है। हमारी समयरेखा में केवल फ़ाइल सिस्टम ईवेंट शामिल होंगे। यदि आप चाहते हैं कि यह रजिस्ट्री, पत्रिकाओं आदि में बदलाव को शामिल करे, तो आप प्लासो का उपयोग कर सकते हैं। व्यक्तिगत रूप से, मैं इसका उपयोग बहुत कम ही करता हूं, क्योंकि डेटा प्रोसेसिंग में बहुत लंबा समय लगता है, और इसका परिणाम अक्सर काफी बेमानी होता है।

वापस टाइमलाइन पर। 7 नवंबर, 2018 को 13:59:37 पर b7mg81 कैटलॉग बनाया गया था:

और इससे दो सेकंड पहले, 21DA.tmp फ़ाइल बनाई गई है:

यदि आप इसके चेकसम को देखते हैं, उदाहरण के लिए, वायरसटोटल पर, तो हमें काफी दिलचस्प परिणाम मिलेंगे:

जाहिर है, इस फाइल से हमारा RAT अनपैक्ड था। आगे बढ़ो:

पहले भी, LocalDataNT निर्देशिका को काफी रोचक फाइलों के साथ बनाया गया है। उदाहरण के लिए, WinPrintSvc.exe पर एक नज़र डालें:

रिमोट यूटिलिटीज एक और रिमोट मैनेजमेंट टूल है। और यहाँ एक और संदिग्ध फ़ाइल कुछ सेकंड पहले बनाई गई है:

इसका चेकसम चेक करें:

कई एंटी-वायरस उत्पाद तुरंत इसे " रिमोटएडमिन " के रूप में पहचानते हैं । जाहिर है, वह रिमोट यूटिलिटीज का स्रोत है। जाँच करें कि क्या पता RAT लॉन्च किया गया था। इस बार हम C: \ Windows \ AppCompat \ Programs से AmCache.hve रजिस्ट्री फ़ाइल का उपयोग करेंगे (वही RegRipper एक सुपाच्य रूप में इससे डेटा प्राप्त करने की अनुमति देगा):

जैसा कि आप दृष्टांत में देख सकते हैं, AmCache हमें न केवल पहले लॉन्च की तारीख, बल्कि फ़ाइल के चेकसम की भी अनुमति देता है।

इसलिए, हमारे पास दो आरएटी हैं, लेकिन वे कहां से आए? अच्छा सवाल! यदि आप अभी भी समयरेखा स्क्रॉल करते हैं, तो हम एक संदिग्ध निर्देशिका और फ़ाइल बनाने के निशान देखेंगे:

अजीब विस्तार के बावजूद, fnbfdnja.hej में एक परिचित शीर्षक है:

VirusTotal चेकसम खोज हमें क्या दिखाएगी? और यहाँ है:

जैसा कि आप चित्रण में देख सकते हैं, कुछ एंटी-वायरस सॉफ़्टवेयर हमारी फ़ाइल का काफी पता लगाते हैं - हम आरटीएम के साथ काम कर रहे हैं। VT हमारी कुछ और मदद कर सकता है। यदि हम "संबंध" टैब को देखते हैं, तो हम इसे देखेंगे:

ऐसा लगता है कि हमें इस अवसर का नायक मिला - यह "अक्टूबर के लिए दस्तावेज़" है। या शायद नहीं, हमारी फ़ाइल से जुड़ा नाम अलग है, हालांकि चेकसम समान है। तो, फिर से .exe, जिसका अर्थ है कि हमें फिर से स्टार्टअप के निशान तलाशने होंगे। व्यक्तिगत रूप से, मुझे वास्तव में रजिस्ट्री के साथ काम करना पसंद है, इसलिए फिर से मैं पहले से ही प्रसिद्ध NTUSER.DAT और RegRipper फ़ाइल की मदद का उपयोग करूंगा। इस बार UserAssist पर एक नज़र डालें - इसमें से हमें फ़ाइलों के नाम और रास्ते मिलते हैं, उनके अंतिम लॉन्च की तारीखें, साथ ही साथ इन लॉन्च की संख्या भी। फ़ाइल "October.exe के लिए दस्तावेज़" दिखाई नहीं दे रहा है, लेकिन एक और फ़ाइल दिखाई दे रही है:

C: \ Users \% उपयोगकर्ता नाम% \ Desktop \ Documents environment.exe

खैर, यह वही लगता है जो हमें चाहिए। सच है, एक छोटी सी समस्या है - सही जगह पर कोई फ़ाइल नहीं है। वापस टाइमलाइन पर। Fnbfdnja.hej फ़ाइल बनाने के बाद, यह वही होता है:

Temp निर्देशिका में फ़ाइलें शायद RTM से संबंधित हैं, लेकिन हम उनमें रुचि नहीं रखते हैं। हम $ R6K21RQ.exe और $ I6K21RQ.exe फाइलों में रुचि रखते हैं। यह वह है जो रीसायकल बिन में रखी गई फ़ाइलों की तरह दिखती है - पहले वाले में स्वयं डेटा होता है, दूसरे में मेटाडेटा होता है। यदि हम $ I6K21RQ.exe की सामग्री को देखते हैं, तो हम तुरंत वांछित फ़ाइल का पथ देखते हैं - "दस्तावेज़ पर्यावरण। Exe"।

वीटी हमें अपने चेकसम के लिए क्या पेशकश करेगा, इस पर एक नज़र रखने का समय है:

हम पहले से ही परिचित परिचितों को देखते हैं - "आरटीएम"। जैसा कि यह पता चला, हमारी फ़ाइल का चेकसम चेकसम "अक्टूबर.exe के लिए दस्तावेज़" के साथ मेल खाता था। इसके अलावा, VT एक ही चेकसम के साथ कुछ और फाइलें जानता है:

समझौता के कुछ प्रकार के नेटवर्क संकेतक प्राप्त करना अच्छा होगा। हमारे पास मेमोरी डंप, नेटवर्क ट्रैफ़िक डंप भी नहीं है, मुझे क्या करना चाहिए? स्वैप फ़ाइल! लेकिन एक हिस्टैक में सुई कैसे खोजें? और यहाँ VT हमारी थोड़ी मदद करेगा, इस बार व्यवहार टैब:

सी 2 की तरह लगता है, है ना? आइए देखते हैं कि हमारी स्वैप फ़ाइल (pagefile.sys) में ऐसा कुछ है या नहीं। बेशक, वहाँ हैं:

इसलिए, हमने पुष्टि की कि हमारी फ़ाइल ने 185.141.61 [।] 246 के साथ बातचीत की। आइए अधिक नेटवर्क संकेतक खोजने का प्रयास करें। RATs में से एक टीम व्यूअर था, हम इसकी आईडी के समान कुछ खोजने की कोशिश करेंगे। इसके लिए, आप, उदाहरण के लिए, नियमित अभिव्यक्ति का उपयोग कर सकते हैं:

महान, हमारे पास एक और नेटवर्क संकेतक है - 195.123.219 [।] 87। बेशक, स्वैप फाइलें न केवल नेटवर्क संकेतक खोजने के लिए उपयुक्त हैं। यदि हम VT पर व्यवहार टैब पर लौटते हैं, तो हम देखेंगे कि हमारी फ़ाइल शेड्यूलर में कार्य बनाती है। यदि हम "fnbfdnja.hej" लाइन को देखते हैं, तो हम यह पाते हैं:

बनाया कार्य rundll32.exe के माध्यम से fnbfdnja.hej लॉन्च करता है।

खैर, यह दौर बंद करने का है। यह निर्धारित करने का समय है कि फ़ाइल "दस्तावेज़ पर्यावरण। Exe" कहां से आई है। हम पहले से ही जानते हैं कि यह आरटीएम है, और चूंकि यह आरटीएम है, संक्रमण की सबसे अधिक संभावना वेक्टर एक फ़िशिंग ईमेल है। इस मामले में, पीड़ित ने Microsoft आउटलुक का उपयोग किया था, इसलिए हमें सामान्य स्थान पर मेल के साथ .ost फ़ाइल मिली, और इसमें उसी तरह के फ़िशिंग फ़ाइल थे:

हालांकि, मैं इस पर अपनी पोस्ट खत्म नहीं करना चाहता, लेकिन एक और दिलचस्प कलाकृति पर। यदि हम NTUSER.DAT फ़ाइल पर वापस जाते हैं और सॉफ़्टवेयर "Microsoft \ Windows \ NT \ CurrentVersion \ Winlogon" के "शेल" पैरामीटर के मूल्य को देखते हैं, तो सामान्य "explorer.exe" के बजाय हम इसे देखेंगे:

और इसका मतलब यह है कि एक्सप्लोरर को लॉन्च करने के बजाय उपयोगकर्ता लॉग करने के बाद, सिस्टम बंद हो जाएगा, और इसके साथ यह लेख पूरा हो जाएगा।

आरटीएम के मद्देनजर। बैंकिंग ट्रोजन से संक्रमित कंप्यूटर की फोरेंसिक जांच

यह सब कैसे शुरू हुआ

More articles: