🐨 🛋️ ⚔️ Node.js पर पिछले दरवाजे: क्यों, क्यों और कैसे काम करता है 🧜🏿 🕴🏽 ◀️

हाल ही में, यैंडेक्स के सहयोगियों ने हमारे साथ एक दिलचस्प ट्रोजन का एक नमूना साझा किया, जिसे हमने इस खबर में बताया था। ऐसा मैलवेयर अक्सर सामने नहीं आता है, इसलिए हमने इसे और अधिक विस्तार से अलग करने का फैसला किया, और साथ ही इस बारे में बात करते हैं कि हम शायद ही कभी ऐसे नमूनों का सामना करते हैं।

ट्रोजन जावास्क्रिप्ट में लिखा और इसे चलाने के लिए Node.js. का उपयोग करते हुए एक बहु-घटक बैकडोर है। इसके मुख्य तत्व वर्कर और अपडेटर हैं, जो बूटलोडर द्वारा सिस्टम में डाउनलोड और इंस्टॉल किए जाते हैं। पेलोड कोई भी हो सकता है, लेकिन इस मामले में, ट्रोजन xmrig माइनर को स्थापित करता है। अध्ययन के समय, डेवलपर ने टर्टलेकोइन क्रिप्टोक्यूरेंसी को खदान करने के लिए खनिक का उपयोग किया।

MonsterInstall लोकप्रिय वीडियो गेम के लिए धोखा देती साइटों के माध्यम से वितरित किया जाता है। इनमें से अधिकांश संसाधन ट्रोजन के डेवलपर के हैं, लेकिन हमने अन्य समान साइटों पर कई अधिक संक्रमित फाइलें पाईं। उनमें से एक का मालिक नियमित रूप से प्रतियोगियों के अपडेट की निगरानी करता है और ताजा सामग्री के साथ अपने संसाधन की भरपाई करता है। ऐसा करने के लिए, वह parser.php स्क्रिप्ट का उपयोग करता है, जो एक प्रॉक्सी के माध्यम से chhahappens.com पर नई धोखा देती है।

Proxy parse done, total: 1 Use sox 84.228.64.133:1080 Error: CURL error(#52), attempts left: 10 Use sox 84.228.64.133:1080 Posts found: 30! [33mPage Satisfactory: ўЂµ№ЅµЂ +8 vCL#96731 {CheatHappens.com} already in base[0m [33mPage Borderlands: The Pre-Sequel - ўЂµ№ЅµЂ +28 v1.2019 {LinGon} already in base[0m [33mPage Borderlands - Game of the Year Enhanced: ўЂµ№ЅµЂ +19 v1.0.1 {LinGon} already in base[0m [33mPage Star Wars: Battlefront 2 (2017): ўЂµ№ЅµЂ +4 v01.04.2019 {MrAntiFun} already in base[0m [36mPage Far Cry 5: ўЂµ№ЅµЂ +23 v1.012 (+LOST ON MARS/DEAD LIVING ZOMBIES) {CheatHappens.com} added 2019-Apr-09[0m [36mPage Fate/Extella Link: ўЂµ№ЅµЂ +13 v04.09.2019 {CheatHappens.com} added 2019-Apr-09[0m [36mPage Superhot: ўЂµ№ЅµЂ +3 v2.1.01p { MrAntiFun} added 2019-Apr-09[0m [36mPage Dawn of Man: ўЂµ№ЅµЂ +7 v1.0.6 {CheatHappens.com} added 2019-Apr-08[0m [36mPage Borderlands 2: ўЂµ№ЅµЂ +14 v06.04.2019 {MrAntiFun} added 2019-Apr-08[0m [36mPage Borderlands: The Pre-Sequel - ўЂµ№ЅµЂ +17 v06.04.2019 {MrAntiFun} added 2019-Apr-08[0m [36mPage Tropico 6: ўЂµ№ЅµЂ +9 v1.01 {MrAntiFun} added 2019-Apr-08[0m [36mPage Operencia: The Stolen Sun - ўЂµ№ЅµЂ +20 v1.2.2 {CheatHappens.com} added 2019-Apr-08[0m [36mPage Enter the Gungeon: ўЂµ№ЅµЂ +6 v2.1.3 {MrAntiFun} added 2019-Apr-07[0m [36mPage The Guild 3: ўЂµ№ЅµЂ +2 v0.7.5 {MrAntiFun} added 2019-Apr-07[0m [36mPage Dead Effect 2: ўЂµ№ЅµЂ +8 v190401 {MrAntiFun} added 2019-Apr-07[0m [36mPage Assassin's Creed: Odyssey - ўЂµ№ЅµЂ +26 v1.2.0 {FLiNG} added 2019-Apr-07[0m [36mPage Assassin's Creed: Odyssey - ўЂµ№ЅµЂ +12 v1.2.0 {MrAntiFun} added 2019-Apr-06[0m [36mPage Super Dragon Ball Heroes: World Mission - ўЂµ№ЅµЂ +11 v1.0 {FLiNG} added 2019-Apr-05[0m [36mPage Tropico 6: ўЂµ№ЅµЂ +7 v1.02 97490 {CheatHappens.com} added 2019-Apr-05[0m [36mPage Risk of Rain 2: ўЂµ№ЅµЂ +10 Build 3703355 {CheatHappens.com} added 2019-Apr-05[0m [36mPage Sid Meier's Civilization 6 - Rise and Fall: ўЂµ№ЅµЂ +12 v1.0.0.314 {MrAntiFun} added 2019-Apr-05[0m [36mPage Sid Meier's Civilization 6 - Gathering Storm: ўЂµ№ЅµЂ +12 v1.0.0.314 {MrAntiFun} added 2019-Apr-05[0m [36mPage Sid Meier's Civilization 6: ўЂµ№ЅµЂ +12 v1.0.0.314 {MrAntiFun} added 2019-Apr-05[0m [36mPage Borderlands GOTY Enhanced: ўЂµ№ЅµЂ +16 v1.0 {CheatHappens.com} added 2019-Apr-05[0m [36mPage Borderlands Game of the Year Enhanced: ўЂµ№ЅµЂ +13 v1.00 {MrAntiFun} added 2019-Apr-04[0m [36mPage Assassin's Creed: Odyssey: ўЂµ№ЅµЂ +24 v1.2.0 (04.04.2019) {CheatHappens.com} added 2019-Apr-04[0m [36mPage Sekiro: Shadows Die Twice - ўЂµ№ЅµЂ +24 v1.02 {FLiNG} added 2019-Apr-04[0m [36mPage Hearts of Iron 4: ўЂµ№ЅµЂ +24 v1.6.2 {MrAntiFun} added 2019-Apr-04[0m [36mPage Wolcen: Lords of Mayhem - ўЂµ№ЅµЂ +5 v1.0.2.1 {MrAntiFun} added 2019-Apr-04[0m [36mPage Devil May Cry 5: ўЂµ№ЅµЂ +18 v1.0 (04.03.2019) {CheatHappens.com} added 2019-Apr-04[0m Parse done

डेवलपर की साइटों पर धोखाधड़ी का एक बड़ा चयन होता है, लेकिन सभी लिंक के लिए एक ही संग्रह लौटाया जाएगा। यदि आप मैलवेयर साइट से किसी भी फाइल को डाउनलोड करने का प्रयास करते हैं, तो उपयोगकर्ता को Trojan.MonsterInstall प्राप्त होगा। डाउनलोड लिंक से ट्रोजन के कुछ मापदंडों का अनुमान लगाया जा सकता है:

 https://<malicious_site>/fc/download.php?name=Borderlands%20GOTY%20Enhanced:%20%D0%A2%D1%80%D0%B5%D0%B9%D0%BD%D0%B5%D1%80%20+16%20v1.0%20{CheatHappens.com}&link=https://<malicious_site>//r.php?site=http://gtrainers.com/load/0-0-1-7081-20&password=<malicious_site>/&uid=101&sid1=1&sid2=1&charset=utf-8

नाम - संग्रह का नाम और पुरालेख में exe;
लिंक - उस फ़ाइल का लिंक जिसे उपयोगकर्ता डाउनलोड करना चाहता था (data.json में वायर्ड है);
पासवर्ड - संग्रह के लिए पासवर्ड।

मान लीजिए कि हम वांछित धोखा का चयन करते हैं और ट्रोजन के डेवलपर की साइट से "प्रचलित नाम" ExtrimHack.rar के साथ पासवर्ड से सुरक्षित 7zip संग्रह डाउनलोड करते हैं। इसके अंदर एक निष्पादन योग्य फ़ाइल, एक कॉन्फ़िगरेशन फ़ाइल, एक 7zip लाइब्रेरी, साथ ही साथ N C.js binar का उपयोग करके लॉन्च किए गए मूल C ++ पुस्तकालयों और लिपियों के साथ एक बिन संग्रह है।

उदाहरण संग्रह सामग्री:

7z.dll;
data.bin;
data.json;
ईएसपी COP GO.exe के लिए धोखा।

जब निष्पादन योग्य लॉन्च किया जाता है, तो ट्रोजन अपने ऑपरेशन के लिए आवश्यक सभी घटकों को स्थापित करेगा, और डेटा के साथ उपयोगकर्ता के लिए आवश्यक धोखा भी डाउनलोड कर सकता है। मापदंडों के साथ data.json फ़ाइल से जानकारी का उपयोग कर।

Data.json की उदाहरण सामग्री:

 {"source":[5,10,11,43],"dataVersion":[0,0,0,115],"link":"http:\/\/clearcheats.ru\/images\/dl\/csgo\/ESP_csgo.dll"}

इसकी प्रक्रिया की कई प्रतियों को काम करने से बाहर करने के लिए, ट्रोजन "कॉर्टेलमनी-सनक्यूटेक्स" म्यूटेक्स बनाता है और इसे "% WINDIR% \ WinKit \" निर्देशिका में स्थापित करता है। फिर यह देखने के लिए जाँचता है कि क्या यह रजिस्ट्री में है ([HKLM \\ Software \\ Microsoft \\ Windows Node])। यदि ऐसा है, तो यह अपने मापदंडों को पढ़ता है और डेटा में निर्दिष्ट संस्करण के साथ संस्करण की तुलना करता है। जेसन। यदि संस्करण चालू है, तो यह आगे और कुछ नहीं करता है।

उसके बाद, ट्रोजन% WINDIR% \\ WinKit \\ में data.bin की सामग्री को खोल देता है और start.js शुरू करने के लिए सेवा स्थापित करता है।

Data.bin की सामग्री:

डेमॉन;
node_modules;
7z.dll;
msnode.exe;
start.js;
startDll.dll;
update.js;
updateDll.dll।

उसी समय, msnode.exe एक निष्पादन योग्य फ़ाइल है। एक वैध डिजिटल हस्ताक्षर के साथ Node.js, और नोड_मॉड्यूल्स निर्देशिका में लाइब्रेरीज़ "ffi", "नोड-विंडो" और "रेफरी" शामिल हैं।

StartDll.dll लाइब्रेरी को start.js में लोड किया गया है और इसके mymain निर्यात को कहा जाता है, जिसमें यह रजिस्ट्री से अपने मापदंडों को पढ़ता है, "% WINDIR% \\ WinKit \\ msnode% WINDIR% \\ WinKit \\ update.js" शुरू करता है और सेवा को रोकता है "विंडोज नोड।" अपडेट .js स्क्रिप्ट, बदले में, अपडेटडीएलडॉल लाइब्रेरी को लोड करती है और इसके माइन एक्सपोर्ट को कॉल करती है। कुछ भी जटिल नहीं है।

UpdateDll.dll में, ट्रोजन आपके इंटरनेट कनेक्शन की जांच करना शुरू कर देगा। ऐसा करने के लिए, वह google.com, yahoo.com, facebook.com को हर 10 सेकंड में अनुरोध भेजेगा, जब तक कि तीनों 200 कोड वापस नहीं कर देते। तब यह s44571fu [।] Bget [।] Ru / CortelMoney / enter.php POST सर्वर के लिए कॉन्फ़िगरेशन डेटा के साथ एक अनुरोध भेजेगा:

 {"login":"NULL","mainId":"PPrn1DXeGvUtzXC7jna2oqdO2m?WUMzHAoM8hHQF","password":"NULL","source":[0,0,0,0],"updaterVersion":[0,0,0,0],"workerVersion":[0,0,0,0]}

उसी समय, एक जोड़ी "कॉर्टेल: मनी" का उपयोग बुनियादी प्राधिकरण के लिए किया जाता है, और USER AGENT उपयोगकर्ता-एजेंट के लिए सेट किया जाता है। बाद के अनुरोधों के मूल प्राधिकरण के लिए, लॉगिन: पासवर्ड का उपयोग किया जाएगा, जो सर्वर द्वारा रिपोर्ट किया जाएगा।

सर्वर इस तरह से json के साथ प्रतिक्रिया करता है:

 { "login": "240797", "password": "tdzjIF?JgEG5NOofJO6YrEPQcw2TJ7y4xPxqcz?X", "updaterVersion": [0, 0, 0, 115], "updaterLink": "http:\/\/s44571fu.bget.ru\/CortelMoney\/version\/0-0-0-115-upd.7z", "workerVersion": [0, 0, 3, 0], "workerLink": "http:\/\/s44571fu.bget.ru\/CortelMoney\/version\/0-0-3-0-work.7z" }

जैसा कि आप देख सकते हैं, सर्वर की प्रतिक्रिया में ट्रोजन के मुख्य तत्वों के संस्करण शामिल हैं। यदि उपयोगकर्ता के डिवाइस पर अपडेटर का वर्तमान संस्करण सर्वर द्वारा रिपोर्ट किए गए पुराने से अधिक है, तो ट्रोजन निर्दिष्ट लिंक से फ़ाइल डाउनलोड करता है और संग्रह को निर्देशिका में "% WINDIR% \\ WinKit \\\\" में अनपैक कर देता है, जहां इसके बजाय सर्वर प्रतिक्रिया से updaterVersion पैरामीटर का मान इंगित किया जाएगा। ।

ट्रोजन ने कार्यकर्ता फ़ाइल को% WINDIR% \\ WinKit \\ SystemNode \\ निर्देशिका में% unpacks, और उसके बाद "% WINDIR% \\ WinKit \\ SystemNode \\ sysnode \\ WinKit \\ SystemNode \\ main.js" लॉन्च किया।

कार्यकर्ता के साथ पुरालेख की सामग्री:

node_modules;
7za.exe;
कोडेक्स;
main.js;
sysnode.exe।

ट्रोजन तब विंडोज नोड गार्ड सेवा को हटा देता है, और फिर इसे फिर से बनाता है, निष्पादन योग्य फ़ाइल को विंडोज नोड सेवा फ़ाइल के साथ बदल देता है। उसी तरह, यह विंडोज नोड सेवा को फिर से बनाता है, डेमॉन \\ service.exe के साथ निष्पादन योग्य की जगह।

अगला फ़ॉर्म service.xml मापदंडों के साथ:

 <service><id>service.exe</id><executable>C:\Windows\\WinKit\0.0.0.115\msnode.exe</executable><arguments>"C:\Windows\\WinKit\0.0.0.115\start.js"</arguments></service>

अपडेटर "C: \ Windows \ Reserve Service" निर्देशिका में स्थापित है, जो सेवा द्वारा पंजीकृत है और Node.js. बाइनरी द्वारा लॉन्च किया गया है। इसमें कई js स्क्रिप्ट और देशी C ++ लाइब्रेरी भी शामिल हैं। मुख्य मॉड्यूल main.js. है

Updater के साथ संग्रह की सामग्री:

main.js;
start.js;
crypto.dll;
network.dll;
service.exe।

सबसे पहले, ट्रोजन google.com, yandex.ru या www.i.ua पर अनुरोध भेजकर वर्तमान तिथि जान लेगा। वह थोड़ी देर बाद प्राप्त जानकारी का उपयोग करता है। इसके बाद crypto.dll लाइब्रेरी का उपयोग करके bootList.json फ़ाइल की सामग्री को मिटा देता है।

डिक्रिप्शन एल्गोरिथम:

 key = '123' s = '' for i in range(len(d)): s += chr((ord(d[i]) - ord(key[i % len(key)])) & 0xff)

वहाँ से प्रबंधन सर्वरों की एक सूची मिलती है:

 [{"node":"http://cortel8x.beget.tech/reserve","weight":10},{"node":"http://reserve-system.ru/work","weight":10}]

फिर ट्रोजन रजिस्ट्री से जानकारी पढ़ता है:

 function getInfo() { var WindowsNodeInfo = new Object(); WindowsNodeInfo.mainId = windowsLib.getStringRegKey("HLM\\SOFTWARE\\Microsoft\\Windows Node", "mainId"); WindowsNodeInfo.login = windowsLib.getStringRegKey("HLM\\SOFTWARE\\Microsoft\\Windows Node", "log"); WindowsNodeInfo.password = windowsLib.getStringRegKey("HLM\\SOFTWARE\\Microsoft\\Windows Node", "pass"); WindowsNodeInfo.source = windowsLib.getStringRegKey("HLM\\SOFTWARE\\Microsoft\\Windows Node", "source"); WindowsNodeInfo.updaterVersion = windowsLib.getStringRegKey("HLM\\SOFTWARE\\Microsoft\\Windows Node", "updaterVersion"); WindowsNodeInfo.workerVersion = windowsLib.getStringRegKey("HLM\\SOFTWARE\\Microsoft\\Windows Node", "workerVersion"); var ReserveSystemInfo = new Object(); ReserveSystemInfo.workerVersion = windowsLib.getStringRegKey("HLM\\SOFTWARE\\Microsoft\\Reserve System", "updaterVersion"); var myInfo = new Object(); myInfo.windowsNode = WindowsNodeInfo; myInfo.reserveSystem = ReserveSystemInfo; return JSON.stringify(myInfo); }

फिर यह "कॉर्टेल: मनी" जोड़ी के अनुरूप बुनियादी प्राधिकरण के HTTP हेडर को जोड़ता है, और इसे पहले डिक्रिप्ट किए गए प्रबंधन सर्वर के लिए पोस्ट अनुरोध के साथ भेजता है।
प्रतिक्रिया में, सर्वर प्राप्त करता है:

 { "data": { "updaterVersion": [0, 0, 0, 1], "updaterLink": "/upd.7z", "updaterVerify": "£ñß(\u0012Ä\ti¾$ë5ž»\u001c²\u001c\fÙ=±÷ö‚´èUnŽÐÂBÔ\n\u001dW6?u½\u0005Œn\u000fp:üÍ\u0019\u0000\u000bSý«\u00137÷\u0013”'ì¥û§s7F\u0016ó\\\u000f%6ñê\"7î<ýoäƒƒ0Æ%t ñÅv‚S¡\r\u001e•ÅÆ¡¿N)v\\f8\u0004F\fUS¯‰³§ oIõŒiÆîGÝª\u0017êH/8Ö1-°™[P 5E7X‡Fø%S ŠXÕ6Oþ=Vô‰…ˆ:.3Œ‚i\u000eÁù9Ã&¾ŒM\u001eÛªé$\u0006#IèÞÛ\u0018À\u001b^è,ÁòÑCTXb\u001d$ç\u0004„ð¶0UVÕ»e\u001f\b\u001e¡Ä¼è+Fjúÿoâz\r !çô3xØs—_\u000b\u0017\u001fY]\u0001¥j^û\\W", "dateTime": 1534868028000, "bootList": [{ "node": "http://cortel8x.beget.tech/reserve/", "weight": 10 }, { "node": "http://reserve-system.ru/work/", "weight": 10 }] }, "dataInfo": "I`ù@ÀP'ÈcÊÛ´#iè Ò~\u0007<\u0001Ýìûl«ÔÆq\u0013àÛ\u0003\b\u0017ÑLÁ}ÿÚ˜DS']\u0003bf\u0003!¿Cð¸q¸ÖÜ'B¢CÄAMˆÀA¤d\u001c5¨d -\u0013‰\u0011Ñ¼F'|SB[¬°(Ü¹ÈÒÜ £L\u00071¾:`\u001bŒìýKõ\"²Ÿ¸$´3™UºÅ¨J†¨cƒf¿}r;Öeì¶x‰ØKt¥‹„47a\u001e¸Ô‡ˆy\u0006•\u001b\u0004‚‹„„•ó\u001a\u0019\nu>¨)bkæ…'\u00127@é‹7µæy3ÈNrS'Mð‡\u0018\u0019¾òÓ[Žå5H‡ƒ·¦k'¿ÉŠ&PÂÈîåÚ~M\u0010ðnáHæ“ªxÃv c×“\u0013…T…ïÑÝ\tœŽ\u0018†Æ\u00148$”Ôî" }

और यहां पहले से प्राप्त वर्तमान तिथि आती है। ट्रोजन सर्वर द्वारा पारित डेटाटाइम पैरामीटर के खिलाफ इसकी जांच करता है। यदि तिथियों के बीच का अंतर एक सप्ताह (मिलीसेकंड के संदर्भ में) से अधिक है, तो ट्रोजन आदेशों को निष्पादित नहीं करेगा। डेटाइन्फो पैरामीटर में डेटा हस्ताक्षर (डेटा फ़ील्ड) भी होता है, यह main.js. में वायर्ड सार्वजनिक कुंजी का उपयोग करके जांचा जाता है। और "बूटलिस्ट" पैरामीटर में सर्वरों की एक सूची होती है, जो ट्रोजन "bootList.json" में एन्क्रिप्ट और संग्रहीत करता है।

उसके बाद, ट्रोजन updaterVersion पैरामीटर में निर्दिष्ट एक के खिलाफ अपने संस्करण की जांच करता है। यदि स्थापित संस्करण नवीनतम से कम नहीं है, तो ट्रोजन पैरामीटर "main.js" को पारित करके "upd \\ upd.exe" लॉन्च करता है। यदि सर्वर की प्रतिक्रिया से संस्करण नया है, तो ट्रोजन "updaterLink" पैरामीटर upd.7z से लिंक का उपयोग करके अपडेट संग्रह डाउनलोड करता है, अपने हस्ताक्षर की जांच करता है और इसे अनपैक करता है। फिर यह रजिस्ट्री के अपडेट के संस्करण को लिखता है [HKLM \\ SOFTWARE \\ Microsoft \\ रिजर्व सिस्टम] 'updaterVersion', जिसके बाद यह फिर से "upd \\ upd.exe" को लॉन्च करता है, इसे पैरामीटर "main.js" के साथ पास करता है।

ट्रोजन का कार्यकर्ता यह जाँचता है कि घटकों में से एक पहले ही स्थापित हो चुका है, और अनुप्रयोगों को स्थापित करने के बारे में निर्णय लेता है। सबसे पहले, वह MoonTitleWorker म्यूटेक्स बनाता है, फिर कोड XX को स्ट्रिंग "Xor" के साथ फाइल करता है और इसे निष्पादित करता है। उसके बाद जानकारी के साथ जोंस बनता है:

 {"userId": id, "starter": [], "worker": [], "source": [], "osInfo": {"isX64": True, "osString": "Windows 7 Enterprise"}}

यह जानकारी http: // <malicious_site> [।] Xyz: 1001 / getApps (शालीनता के लिए, हम एक डोमेन नाम निर्दिष्ट नहीं करते हैं, लेकिन यह यहां पाया जा सकता है ।) उन अनुप्रयोगों के बारे में जानकारी हो सकती है जिनमें उन अनुप्रयोगों के बारे में जानकारी हो सकती है जिन्हें इंस्टॉल करने की आवश्यकता है।

उत्तर उदाहरण:

 { "body": { "apps": [{ "hash": "452f8e156c5c3206b46ea0fe61a47b247251f24d60bdba31c41298cd5e8eba9a", "size": 8137466, "version": [2, 0, 0, 2], "link": "xmr-1-64.7z", "path": "%pf%\\Microsoft JDX\\64", "runComand": "%path%\\moonlight.exe start.js", "name": "xmr64" }] }, "head": "O~¨^Óå+ßzIçsG¬üS„Ê¶$êL–LùÎ¸Z\f\u0019ÐÐ\u000e \u0004\u001cÀU¯\u0011š)áUÚ\u001flß²A\u001fôÝÔìˆ±y%\"DP» ^¯«FUâ\u001cÔû\u001dµ´Jï#¬ÌÈ¹ÎÚª?\r—]Yj·÷õ³—\u001e°ÖÒ\\é‰¤d'BT\u0019·¦FõVQ°Aç')\u001cõªµ¦ýûHlbÍ¸þ}éŒ\u0000jvÔ%S;Ã×þA\u0011ß'I[´\u0004ýÚ\u0007Z:ZÂ\n–ñz#ÈBö›²2\u0007ÎJw±èTVoŸå\bÖR3½ù;ƒó\u0011ÉÌ€ÅÖàð06ÓeÕþˆ”7Ùš\u0011•»”˜¢5µgôÛc˜&L\u000fê.?!Çæ}¨\u001eÕ—J#A¼_Ì\u0015càñb" }

यदि डिवाइस में ऐसा कोई एप्लिकेशन नहीं है, तो ट्रोजन URL http: // <malicious_site> [।] Xyz: 1001 / पर एक POST अनुरोध भेजकर इसे डाउनलोड करता है, जहां सर्वर प्रतिक्रिया से संबंधित एप्लिकेशन के लिंक पैरामीटर को इसके बजाय इंगित किया जाएगा। यदि ऐसा कोई अनुप्रयोग है, लेकिन एक पुराना संस्करण है, तो इसे वर्तमान में अपडेट किया जाता है।

ट्रोजन हैश और आकार के मापदंडों में सर्वर द्वारा निर्दिष्ट जानकारी के साथ डाउनलोड की गई फ़ाइल के आकार और हैश की जांच करता है। यदि डेटा रूपांतरित होता है, तो यह पथ पैरामीटर से पथ के साथ फ़ाइल को स्थानांतरित करता है और रनकमांड फ़ील्ड में निर्दिष्ट कमांड चलाता है। डाउनलोड किए गए एप्लिकेशन के बारे में जानकारी रजिस्ट्री [HKLM \\ SOFTWARE \\ Microsoft \\ MoonTitle \\ apps \\] में संग्रहीत है।

फिलहाल, पिछले दरवाजे का उपयोग करके xmrig खनन किया जा रहा है। सिस्टम की क्षमता के आधार पर, ट्रोजन एक xmr-1.7z या xmr-1-64.7z संग्रह डाउनलोड करता है। Start.js में, यह xmrig.dll लाइब्रेरी को लोड करता है और mymain निर्यात को कॉल करता है, जहां यह अपने पर्यावरण चर को दर्शाती है और प्रक्रियाओं को मारता है:

% sys32_86% \\ xmr;
% sys32_86% \\ xmr64;
% pf_86% \\ Microsoft JDX \\ 32 \\ windows-update.exe;
% pf_86% \\ Microsoft JDX \\ 64 \\ windows-update.exe।

यदि xmrig.exe फ़ाइल पास है, तो ट्रोजन इसे वर्तमान प्रक्रिया की मेमोरी में लोड करता है, MZ हस्ताक्षर को मिटाता है, इसे Xx का उपयोग करके 0x39 के साथ डिक्रिप्ट करता है, और फिर डंप फ़ाइल में इसके डंप को बचाता है। यदि ट्रोजन को उसी निर्देशिका में "डंप" फ़ाइल मिलती है, तो यह उसी तरह से डिक्रिप्ट करता है, windows-update.exe लॉन्च करता है और डिक्रिप्टेड पेलोड को इसमें एम्बेड करता है।

ट्रोजन एकत्रित करता है और URL के लिए POST अनुरोध द्वारा भेजता है: चेरी-पॉट [] शीर्ष / RemoteApps / xmr / main.php निम्नलिखित सिस्टम जानकारी: {"कार्रवाई": "दर्ज करें", "आर्किटेक्चर": "INTEL," cpuAES " : सच है, "cpuCache": 8192, "cpuSpeed": 3392.0, "cpuThreads": 2, "cpuVendorString": "Intel® Core (TM) i5-462S CPU @ 3.20GHz \ u0000", "hightPages": "false" लॉगिन ":" null "," पासवर्ड ":" null "," ramPhysicalSize ": 3071," xmrigVersion ": [2,10,0]}

जवाब में, सर्वर माइनर कॉन्फ़िगरेशन भेजता है:

 {"maxCpuLoad":1000,"minCpuLoad ":0,"algo":"cryptonight-pico/trtl","av":0,"background":false,"donate-level":1,"max-cpu-usage":75,"retries":5,"retry-pause":5,"cpu-priority":1,"pools":[{"url":"185.224.133.91:5511","keepalive":true,"nicehash":true}]}

ट्रोजन config.json में कॉन्फ़िगरेशन को सहेजने के बाद, यह स्वचालित रूप से शुरू और खनन शुरू करेगा।

MonsterInstall में अन्य संशोधन हैं। उदाहरण के लिए, गेम के लिए धोखा देने के अलावा, मालवरी डेवलपर ने इसे क्रोम ब्राउज़र इंस्टॉलर और फाइलों की जांच करने के लिए एक कार्यक्रम की आड़ में वितरित किया। ट्रोजन के बाद के संस्करणों में, डेवलपर ने सुरक्षा के बारे में सोचा और स्ट्रिंग एन्क्रिप्शन को जोड़ा, साथ ही साथ कुछ फ़ाइलों के लिए पासवर्ड दर्ज करने की आवश्यकता थी। इसके अलावा, ट्रोजन के एक संस्करण के बूटलोडर में भी ट्रोजन के डेवलपर के डोमेन पर होस्ट किए गए लाइसेंस समझौते का लिंक है।

(इस तरह के समझौतों के कानूनी बल के बारे में प्रश्न, दुर्भाग्य से, इस लेख के दायरे से परे हैं, लेकिन अगर आप इस विषय पर सामग्री पढ़ने के लिए इच्छुक होंगे, तो हमें टिप्पणियों में बताएं)।

निष्कर्ष

Node.js वायरस लेखकों के लिए सबसे व्यावहारिक समाधान नहीं है। यदि इस तरह के ट्रोजन का आकार छोटा हो सकता है, तो मानक मालवारी की तुलना में Node.js बाइंडिंग (निष्पादन योग्य फ़ाइल और लाइब्रेरी) काफी "भारी" होगी। इस चुनाव ने क्या तय किया? एक नियम के रूप में, डेवलपर्स ऐसे उपकरण चुनते हैं जिनसे वे परिचित हैं। इसलिए, यहां तक कि प्रजनकों के मामले में, प्रौद्योगिकी का विकल्प अधिक व्यक्तिगत प्राथमिकता का मामला है। हालांकि, Node.js के अपने फायदे हैं, जिनमें से एक वैध हस्ताक्षर है। सिस्टम में, ऐसी प्रक्रिया को नोड.जेएस के रूप में हस्ताक्षरित किया जाएगा, जो शायद ही कभी संदेह उठाता है।

संक्षेप में, यह ध्यान दिया जा सकता है कि, टूल के दिलचस्प विकल्प के बावजूद, इसने पिछले दरवाजे डेवलपर को कोई महत्वपूर्ण लाभ नहीं दिया। यह संभावना नहीं है कि भविष्य में हम Node.js. का उपयोग करके अधिक मैलवेयर देखेंगे।

हमेशा की तरह, हम समझौता के संकेतक साझा करते हैं।

Node.js पर पिछले दरवाजे: क्यों, क्यों और कैसे काम करता है

More articles: