ऑपरेशन TA505, भाग चार। मिथुन राशि

हम हैकर समूह TA505 की गतिविधियों के बारे में बात करना जारी रखते हैं। प्रसिद्ध वाक्यांश "नई अच्छी तरह से भूल गया पुराना है" समूह TA505 के बारे में कहानी के अगले अध्याय के लिए एक एपीग्राफ के रूप में सबसे उपयुक्त है। सच है, इस बार "पुराना" इतना "भूला" नहीं है, क्योंकि इसमें सुधार और सुधार किया गया है।

सितंबर की शुरुआत में, हमने समूह के विशेष पीई-पैकर के साथ पैक किए गए कई दुर्भावनापूर्ण डाउनलोडर्स की खोज की, जो हमने पहले लिखे थे । पहली नज़र में, वे जाने-माने FlawedAmmyy पिछले दरवाजे की तरह लग रहे थे। लेकिन एक गहन विश्लेषण से पता चला कि ऐसा नहीं है। कोड लिखने के लिए सबसे उन्नत तकनीकों ने हमें निष्पादन की गुणवत्ता के मामले में मौलिक रूप से विपरीत पेलोड में नहीं लाया है।

इस अनुच्छेद में, हम पाए गए औजारों पर करीब से नज़र डालेंगे और जो पहले से ही ज्ञात है, उसके साथ समानताएं आकर्षित करेंगे।

बूटलोडर ट्विन

सबसे पहले, निम्नलिखित उत्सुक है: सभी बूटलोडर के नमूने जिन्हें हम एकत्र करने में कामयाब रहे, उनमें से केवल एक में डिजिटल हस्ताक्षर हैं:



अंजीर। 1. बूटलोडर का डिजिटल हस्ताक्षर

PEAR SOLUTIONS LTD के नाम से जारी किया गया प्रमाण पत्र। वैसे, यह पहली बार नहीं है कि एक समूह अपने उपकरणों पर हस्ताक्षर करता है, उन्हें काल्पनिक संगठनों के वैध सॉफ़्टवेयर के रूप में बंद कर रहा है। यहाँ कुछ अन्य नाम दिए गए हैं जो अन्य मैलवेयर परिवारों के लिए TA505 का उपयोग करते हैं:

• एट होम्स लिमिटेड,
• फिट और फ्लेक्स लिमिटेड,
• MISHA लंदन लिमिटेड,
• SATOJI KAIDA MB,
• बहुत टेली लिमिटेड

चूँकि पहचाने गए बूटलोडर्स आपस में भिन्न नहीं होते हैं, हम एक हस्ताक्षरित उक्त का चयन करते हैं और उस पर अधिक विस्तार से ध्यान केंद्रित करते हैं।

मैलवेयर के काम के दौरान, लगभग हर क्रिया लॉग फ़ाइल में लिखी जाती है और जो कुछ भी होता है उसका डिबग आउटपुट होता है:



अंजीर। 2. डिबग आउटपुट और लॉगिंग

ऐसी अनुरेखण न केवल फ़ाइल के स्थैतिक विश्लेषण को आसान बनाती है, बल्कि यह भी पता लगाने में मदद करती है कि गतिशील विश्लेषण प्रणालियों में क्या गलत है:



अंजीर। 3. ऑनलाइन विश्लेषक में किसी भी डिबग आउटपुट

ट्रॉयन कीबोर्ड की भाषा लेआउट की जांच करता है - और रूस और पड़ोसी देशों में काम नहीं करता है:



अंजीर। 4. कीबोर्ड की भाषा लेआउट की जाँच करना
फिर यह Global\system32_mutant_service mutex बनाता है Global\system32_mutant_service google.com पर HTTP GET अनुरोध का उपयोग करके इंटरनेट उपलब्धता की जांच करता है। उसके बाद, यह myexternalip.com, ipecho.net और ifconfig.me द्वारा बाहरी IP पते का निर्धारण करके नेटवर्क तक पहुंचने के तरीके (एक समर्पित पते या NAT ) को निर्धारित करता है और सिस्टम के नेटवर्क मापदंडों में निर्दिष्ट उन लोगों के साथ प्राप्त मूल्य की तुलना करता है:



अंजीर। 5. आंतरिक और बाहरी आईपी पते की तुलना

अगला, मैलवेयर लाइब्रेरी %SystemRoot%\system32\crypt32.dll के संस्करण को निर्धारित करता है %SystemRoot%\system32\crypt32.dll और, अगर बिल्ड नंबर और संशोधन संख्या क्रमशः 7601 और 18741 से कम है, तो डाउनलोड और इंस्टॉल ऑपरेटिंग सिस्टम संस्करण के अनुसार KB3033929 को अपडेट करता है:



अंजीर। 6. सिस्टम अपडेट डाउनलोड और इंस्टॉल करें

TA505 हमलावर पीड़ित की देखभाल करते हैं और आवश्यकतानुसार सिस्टम को पैच करते हैं? बिलकुल नहीं। अद्यतन स्थापित करना SHA-1 का उपयोग करके कोड सुरक्षा प्रमाणपत्रों के लिए समर्थन की समाप्ति के साथ जुड़ा हुआ है और SHA-2 एल्गोरिथ्म के पक्ष में इसका परित्याग के साथ जुड़ा हुआ है। सबसे अधिक संभावना है, हैकर्स को पहले से ही गैर-अपडेटेड सिस्टम पर हस्ताक्षरित पेलोड चलाने में कठिनाई होती है। दिलचस्प बात यह है कि अपडेट को स्थापित करने के बाद, ट्रोजन जेनरेट किए गए एक्शन लॉग को प्रबंधन सर्वर को भेजता है, अपने काम को रोक देता है और खुद को छोड़ दिया गया निशान हटाता है।



अंजीर। 7. सिस्टम अपडेट इंस्टॉल करने के बाद शटडाउन करें

यदि अद्यतन स्थापना की आवश्यकता नहीं है, तो बूटलोडर एकत्र करता है और प्रबंधन सर्वर को निम्नलिखित जानकारी भेजता है:

• सिस्टम जानकारी
• स्थापित सॉफ़्टवेयर के बारे में जानकारी,
• % ProgramFiles% और% ProgramFiles (x86)% निर्देशिकाओं (यदि कोई हो) में हस्ताक्षरित सॉफ़्टवेयर के बारे में जानकारी,
• % SystemRoot% \ ड्राइवर निर्देशिका में हस्ताक्षरित ड्राइवरों के बारे में जानकारी।

ध्यान दें कि हस्ताक्षर के बारे में जानकारी प्राप्त करने के लिए एक वैध कोड का उपयोग किया गया था।



अंजीर। 8. प्रमाण पत्र की जानकारी प्राप्त करना

उसके बाद, बूटलोडर निर्देशिका C:\Windows\Logs\diag बनाता है और एक थ्रेड शुरू करता है जिसमें यह निर्देशिका में परिवर्तन को ट्रैक करता है, प्रबंध सर्वर को सूचनाएं भेजता है:



अंजीर। 9. निगरानी निर्देशिका बदल जाती है

फिर यह सिस्टम (उपयोगकर्ता नाम, सिस्टम संस्करण, डोमेन, आईपी पता, वीडियो कार्ड, नेटवर्क कनेक्शन - एनएटी या नहीं एनएटी) के बारे में मौजूदा और लापता जानकारी तैयार करता है और इस प्रकार की एक JSON फ़ाइल बनाता है:

 { "adm": "0", "bid": "M3xwwhqLH/AUOhmU2+W55A==", "bit": "1", "bnet": "ldr", "cam": "0", "cis": "0", "dmn": "WORKGROUP", "hash_r": "0", "lip": "192.168.100.153", "lvl": "0", "nat": "1", "osb": "0", "osv": "Windows 7 Professional", "pc": "USER-PC", "proc_c": "0", "proc_n": "cpu", "rep": 0, "tmt": "0", "ver": "163", "video": "Standard VGA Graphics Adapter," } 

बाद में, यह डेटा RC4 ( gJypA9RWUlYpnBbzujVqE6fDcEAk0zoz एन्क्रिप्शन कुंजी ट्रोजन के शरीर में एन्क्रिप्ट किया गया है) के साथ एन्क्रिप्ट किया जाएगा, Base64 द्वारा एन्कोड किया गया और प्रबंध सर्वर पर एक HTTP POST अनुरोध भेजा गया:



अंजीर। 10. HTTP POST प्रबंधन सर्वर के लिए अनुरोध



अंजीर। 11. बूटलोडर में नियंत्रण सर्वर की सूची

सर्वर से प्रतिक्रिया आरसी 4 द्वारा डिक्रिप्ट की जाती है (एन्क्रिप्शन कुंजी वही है जो डेटा भेजने के लिए उपयोग की जाती है) और जांच की गई: पहले दो बाइट्स को एमजेड लाइन के अनुरूप होना चाहिए, जो पीई फ़ाइल का संकेत है। हम पहले ही इस क्रम को पूरा कर चुके हैं, जब हमने एक अन्य समूह लोडर का विश्लेषण किया, जिसने FlawedAmmyy RAT दिया:



अंजीर। 12. बूट लोडर के लिए डाउनलोड की गई फ़ाइल को डिक्रिप्ट करने और जांचने के लिए एक समान कोड (बाएं) और FlawedAmmyy RAT बूटलोडर (दाएं)

पेलोड लोडिंग न केवल मुख्य थ्रेड में होता है, बल्कि एक अलग से निर्मित में भी होता है। दूसरे शब्दों में, दो पेलोड हैं। एक मामले में, Global \ system32_host_service म्यूटेक्स की पूर्व-जाँच की जाती है, और इसकी अनुपस्थिति के मामले में, घटक लोड किया जाता है, जिसे डिबग जानकारी में पेलोड या बॉट के रूप में संदर्भित किया जाता है। दिलचस्प है, सर्वर से प्रतिक्रिया प्राप्त करने के बाद, पीई फ़ाइल किसी भी तरह से शुरू नहीं होती है। इसके बजाय, उसके शरीर को कुंजी 0x228028 में HKEY_LOCAL_MACHINE\SYSTEM अनुभाग में रजिस्ट्री को लिखा गया है। उसके बाद बूटलोडर Wow64DisableWow64FsRedirection का उपयोग करके 32-बिट अनुप्रयोगों के लिए WoW64 फ़ाइल सिस्टम के पुनर्निर्देशन को अक्षम कर Wow64DisableWow64FsRedirection और %SystemRoot%\System32\services.exe प्रक्रिया को -ww पैरामीटर के साथ शुरू करता है। इस पैरामीटर का उपयोग करने का कोई मतलब नहीं है, लेकिन यह परिणामी पेलोड की स्थापना श्रृंखला को पूरा करता है।



अंजीर। 13. पेलोड को सेट करना

हम बाद में दूसरे पेलोड के बारे में बात करेंगे।

ट्वीिन प्लगइन्स

ऊपर चर्चा की गई ट्रोजन की जांच करते हुए, हमने एक फ़ंक्शन देखा, जो %SystemRoot% फाइल को %SystemRoot% निर्देशिका से हटाता है - twein_32.dll और twein_64.dll :



अंजीर। 14. twein_32.dll और twein_64.dll फ़ाइलों को निकालना

ये फ़ाइलें कहीं और नहीं मिली हैं, वे बूटलोडर के तर्क में दिखाई नहीं देती हैं। हालाँकि, पुस्तकालयों के नामों ने हमें मालवेयर के दूसरे समूह की याद दिला दी, जिस पर अब हम विचार करेंगे।
दो महीने पहले, हमें TA505 समूह का एक ट्रोजन मिला, जिसका आकार लगभग 9 एमबी था। फ़ाइल को UPX द्वारा पैक किया गया है। ट्रोजन को WMDICToss सेवा के रूप में सिस्टम में स्थापित किया गया है। संसाधनों में तीन फाइलें होती हैं: systemdiron.bat , twein__32.dll और twein__64.dll , जो रैखिक XOR के साथ एन्क्रिप्टेड हैं।



अंजीर। 15. ड्रॉपर के संसाधनों में से एक का डिक्रिप्शन

ध्यान दें कि दो फाइलों के नाम लगभग पहले से ही उल्लेखित लोगों के साथ मेल खाते हैं: अंतर केवल अंडरस्कोर की संख्या में है।

systemdiron.bat नाम के साथ डिक्रिप्ट किए गए संसाधनों में से एक को एक कमांड स्क्रिप्ट होने systemdiron.bat उम्मीद है जो सिस्टम की क्षमता के आधार पर अन्य घटकों के लॉन्च प्रदान करता है:

 @echo off if defined PROCESSOR_ARCHITEW6432 (goto LABEL_X64) if %PROCESSOR_ARCHITECTURE%==IA64 (goto LABEL_X64) if %PROCESSOR_ARCHITECTURE%==AMD64 (goto LABEL_X64) if %PROCESSOR_ARCHITECTURE%==x86 (goto LABEL_X86) goto LABEL_NON :LABEL_X64 echo OS type: x64 copy c:\temp\tmp.log c:\i.txt rundll32.exe C:\Windows\twein__64.dll,Install copy c:\temp\tmp.log c:\i.txt rundll32.exe C:\Windows\twein__32.dll,Install del c:\temp\tmp.log del c:\i.txt shutdown.exe -r -t 00 goto LABEL_END :LABEL_X86 echo OS type: x86 copy c:\temp\tmp.log c:\i.txt rundll32.exe C:\Windows\twein__32.dll,Install del c:\temp\tmp.log del c:\i.txt shutdown.exe -r -t 00 goto LABEL_END :LABEL_NON echo OS type: undefined goto LABEL_END :LABEL_END pause 

दोनों ट्विन लाइब्रेरी समान रूप से कार्य करते हैं। समूह TA505 के विशेषता पैकर के साथ पैक किया गया। मूल पुस्तकालय के नाम: av_block.dll । एक ओब्फ़सुलेटर के उपयोग से विश्लेषण काफी जटिल है, और ओफ़्फ़ुसेटेड कोड का अनुपात लगभग 80% है। इसके परिणामस्वरूप, प्रोग्राम निष्पादन कई बदलावों के साथ संतृप्त होता है, अगले कोड चरणों का डिकोडिंग, गैर-रैखिक फ़ंक्शन कॉल।

पुस्तकालयों में बेस64 जैसी तारों की एक प्रभावशाली सूची है, जिन्हें निम्नानुसार डिक्रिप्ट किया गया है:

1. इनपुट स्ट्रिंग को 4 बाइट्स के ब्लॉक में विभाजित किया गया है;
2. प्रत्येक ब्लॉक प्रतिस्थापन और पारी एल्गोरिथ्म का उपयोग करके डिकोड किया गया है:

 import binascii def block_decode(input_str, len_of_block): alphabet = '\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x3E\x00\x00\x00\x3F\x34\x35\x36\x37\x38\x39\x3A\x3B\x3C\x3D\x00\x00\x00\x00\x00\x00\x00\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0A\x0B\x0C\x0D\x0E\x0F\x10\x11\x12\x13\x14\x15\x16\x17\x18\x19\x00\x00\x00\x00\x00\x00\x1A\x1B\x1C\x1D\x1E\x1F\x20\x21\x22\x23\x24\x25\x26\x27\x28\x29\x2A\x2B\x2C\x2D\x2E\x2F\x30\x31\x32\x33\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00' int_result = 0 for i in range(len_of_block): alph = ord(alphabet[ord(input_str[i])]) alph <<= 0x6 * i int_result += alph str_result = hex(int_result)[2:] if len(str_result) % 2 != 0: str_result = '0' + str_result return binascii.unhexlify(str_result).decode('latin1')[::-1] 

3) ब्लॉक एक लाइन में एकत्र किए जाते हैं;
4) परिणाम को exec एल्गोरिथ्म द्वारा डी -बाइट कुंजी के साथ डिक्रिप्ट किया गया है, एक पैरामीटर के रूप में पारित किया गया है:



अंजीर। 16. ईएक्सईके एल्गोरिदम का कार्यान्वयन

अधिकांश लाइनें एंटी-वायरस उत्पादों की फ़ाइलों के नाम और पथ हैं, हालांकि उनमें से कुछ सुरक्षा उपकरणों से संबंधित नहीं हैं: एमएस एक्सचेंज सर्वर, मायक्यूएसएल सर्वर, एसएपी, अपाचे, पोस्टग्रैसीक्यूएल, इलास्टिसर्च, आदि ऐसे अद्वितीय पथ हैं:

• C: \ Users \ tislam \ Desktop \ salik app \ Aye_salik_data \ Aye_salik_data \ bin \ Debug \ Aye_salik_data.exe
• C: \ oem13c \ agent13c \ agent_13.2.0.0.0 \ perl \ bin \ perl.exe
• C: \ Users \ adadmin \ Ubiquiti UniFi \ bin \ mongod.exe
• C: \ Users \ sakella \ AppData \ Local \ Microsoft \ OneDrive \ OneDrive.exe
• D: \ Add-ons \ IMI_CREDIT_POLICY टेस्ट v 02.01 \ IMI_CREDIT_POLICY.exe

यदि सॉफ्टवेयर सूची से सिस्टम में पाया जाता है, तो फ़ाइलें और निर्देशिकाएं हटा दी जाती हैं।

सिस्टम में खुद को सुरक्षित करने के लिए, पुस्तकालयों ने खुद को विंडोज सॉकेट्स सर्विस प्रोवाइडर (एसपीआई) इंटरफेस के रूप में स्थापित किया, जिसे इंटेल और इंटेलफिल्टर के रूप में जाना जाता है। इसके अलावा, वे क्लाइंट श्रृंखला को संभालने के लिए प्रोटोकॉल श्रृंखला में संचालकों के क्रम को पहले SPI के रूप में बदलते हैं।

2015 में, हमारे FireEye सहयोगियों ने LatentBot बॉट विश्लेषण पेश किया। यह उत्सुक है कि LatentBot में स्ट्रिंग एन्क्रिप्शन एल्गोरिथ्म और समीक्षा की गई ट्विन लाइब्रेरी पूरी तरह से एक ही है। इसके अलावा, LatentBot प्लग-इन में से एक के रूप में एक सुरक्षा मॉड्यूल का उपयोग करता है, जो निर्दिष्ट पथों और उत्पाद नामों का उपयोग करके सिस्टम में सुरक्षा उपकरणों की खोज करता है, हालांकि यह उपलब्धता के लिए जाँच तक सीमित है।

रूटकिट ट्विन

बूटलोडर पर वापस, अर्थात् दूसरा पेलोड। रूटकिट को खोलने की कोशिश की डिबग लाइनों से ... और ड्राइवर% S स्थापित, अगले पेलोड के प्रारूप का अनुमान लगाना आसान है। सफल लोडिंग के बाद, ड्राइवर को %SystemRoot%\System32\drivers निर्देशिका में अन्य वैध फ़ाइलों के नामों से छद्म यादृच्छिक तरीके से बने नाम के साथ लिखा जाएगा। फिर सेवा बनाई और लॉन्च की जाएगी:



अंजीर। 17. सेवा को स्थापित करना और शुरू करना

अपने काम के अंतिम चरण में, लोडर ड्राइवर को रजिस्ट्री कुंजियों में ब्लैकलिस्ट करने के लिए कॉन्फ़िगर करेगा: डिजिटल फाइल हस्ताक्षरों में एंटी-वायरस प्रक्रियाओं, विश्लेषण उपकरण और सुरक्षा विक्रेताओं के नाम HKEY_LOCAL_MACHINE\SYSTEM शाखा की कुंजियों के निर्दिष्ट संख्यात्मक मानों में दर्ज किए जाएंगे:



अंजीर। 18. ड्राइवर को ब्लैकलिस्ट किया गया

बूटलोडर पर शोध की प्रक्रिया में, हम प्रबंधन सर्वर से ड्राइवर का नमूना प्राप्त करने में सक्षम नहीं थे। हालाँकि, हमने एक रूटकिट का उल्लेख किया है जिसे एक अन्य समान बूटलोडर द्वारा पंप किया गया था।

ड्राइवर को डिजिटल रूप से Lizas Limited के नाम से ईमेल के रूप में administrator@lizaslimited.site @ Lizas Limited साथ हस्ताक्षरित किया गया है:



अंजीर। 19. डिजिटल रूप से हस्ताक्षरित ड्राइवर

शोध के दौरान, हमने नेकुरस बॉटनेट के प्रसिद्ध रूटकिट के साथ बहुत कुछ पाया, जिसे TA505 समूह सक्रिय रूप से स्पैम भेजने और मैलवेयर फैलाने के लिए उपयोग करता था। आइए उनके काम की सबसे दिलचस्प विशेषताओं पर अधिक विस्तार से विचार करें।

ड्राइवर PsSetCreateProcessNotifyRoutine और PsSetLoadImageNotifyRoutine का उपयोग करके प्रक्रियाओं को शुरू करने और पीई छवियों को लोड करने के लिए ईवेंट हैंडलर्स को पंजीकृत PsSetLoadImageNotifyRoutine । दूसरे शब्दों में, यह ड्राइवर को सभी नई प्रक्रियाओं और सेवाओं के प्रक्षेपण को नियंत्रित करने की अनुमति देता है। हमारे द्वारा पहले उल्लेख किए गए ब्लैकलिस्ट का उपयोग करते हुए, रूटकिट ZwTerminateProcess के साथ अवांछित प्रक्रियाओं को समाप्त करता है और अन्य ड्राइवरों को लोड करने से संभावित रूप से खतरनाक होने से रोकता है, निर्देशों पर प्रवेश बिंदु मूल्य को ओवरराइट करता है:

 mov eax, 0C0000001 retn 8 

परिणामस्वरूप, STATUS_UNSUCCESSFULL त्रुटि के साथ सेवा को अनलोड किया जाएगा।



अंजीर। 20. प्रक्रिया पूरी करना



अंजीर। 21. ओवरराइटिंग ड्राइवर एंट्री पॉइंट्स

CmRegisterCallback के माध्यम से, ड्राइवर सिस्टम रजिस्ट्री एक्सेस घटनाओं को स्वीकार करता है। विशेष रूप से, उनका आगे का काम अंकीय घटनाओं में पहुंची चाबियों के संख्यात्मक मूल्यों द्वारा परिचालित किया जाता है।



अंजीर। 22. रजिस्ट्री कुंजी के रूटकिट प्रबंधन

दिलचस्प बात यह है कि नेकर्स रूटकिट के कुछ संस्करणों में, समान संख्यात्मक मूल्यों का उपयोग ioctl अनुरोध कोड के रूप में किया गया था।



अंजीर। 23. ioctl प्रश्नों का उपयोग करके नेकर्स रूटकिट का प्रबंधन करना

इस चाल को अधिक गोपनीयता की दिशा में एक कदम माना जा सकता है: रजिस्ट्री तक पहुंच डिवाइसओजेक्ट के लिए ioctl- अनुरोधों की तुलना में कम संदेह का कारण बनता है।

रूटकिट के शरीर में सिंगल-बाइट XOR के साथ एन्क्रिप्टेड एक सहायक DLL लाइब्रेरी है। एक नई प्रक्रिया बनाते समय, ड्राइवर लाइब्रेरी को एक और पीई फ़ाइल के साथ इंजेक्ट करता है, जिसे रजिस्ट्री से निकाला जाता है और फिर से सिंगल-बाइट XOR के साथ डिक्रिप्ट किया जाता है।



अंजीर। 24. निर्मित प्रक्रिया में सहायक पुस्तकालय का डिक्रिप्शन और इंजेक्शन

सहायक घटक एक कस्टम चिंतनशील लोडर है जो मेमोरी में दूसरी पीई फाइल को सही ढंग से रखता है, जो पेलोड के रूप में कार्य करता है, और इसे नियंत्रण स्थानांतरित करता है। अब यह स्पष्ट हो जाता है कि लेख के पहले भाग से बूटलोडर द्वारा रजिस्ट्री को लिखा गया पेलोड वास्तव में कैसे काम करना शुरू करता है।



अंजीर। 25. एक सहायक पुस्तकालय के साथ आयात तालिका भरना

निष्कर्ष

लेख में, हम कई जुड़वां ट्रोजन के काम की विशेषताओं से परिचित हुए। क्यों जुड़वाँ बच्चे? दुर्भावनापूर्ण बूटलोडर जिसके साथ हमने अपना शोध शुरू किया था, कोड लेखन और कार्यान्वयन की बारीकियों की गुणवत्ता में जाने-माने FlawedAmmyy पिछले दरवाजे बूटलोडर के समान है। टिविन पुस्तकालयों कि वह प्रणाली से हटाने की कोशिश कर रहे हैं सबसे अधिक संभावना है कि हम अगले को देख रहे हैं। लाइब्रेरी बहुत हद तक LatentBot सुरक्षा प्लगइन के समान हैं। बूटलोडर पेलोड में से एक ड्राइवर है जो लोकप्रिय नेकर्स रूटकिट का व्युत्पन्न है।

कुछ मैलवेयर परिवार 5 साल से अधिक पुराने हैं, हालांकि, हमलावर ऑपरेटिंग सिस्टम और सुरक्षा उपकरणों के विकास को ध्यान में रखते हुए, उन्हें अपडेट और सुधार करना जारी रखते हैं।

लेखक : एलेक्सी विश्नाकोव और डेनियल कोलोसकोव, पॉजिटिव टेक्नोलॉजीज

श्रृंखला में पिछले लेख:

• ऑपरेशन TA505: हमने ट्रोजन ड्राइडेक्स के रचनाकारों के नए टूल, रैनसमवेयर लॉकी और न्यूट्रिनो बॉटनेट का विश्लेषण कैसे किया। भाग 1
• ऑपरेशन TA505: NetSupport आरएटी के साथ सर्वर हेल्पर का सीखना। भाग २
• ऑपरेशन TA505: ग्रुपिंग नेटवर्क इन्फ्रास्ट्रक्चर। भाग 3