Туршилтын хувилбар

Монгол Улсын Төрийн байгууллагууд дээр илэрч буй Dorkbot.Gen хортой кодын шинжилгээ

Огноо: 2019-06-07 07:39:07

Тойм:

IRC ботнет нь IRC сувгаар зайнаас удирдагддаг хортой кодоор халдварлагдсан машинуудын цуглуулга юм. Ихэнхи тохиолдолд Ботнетийн оператор урьдчилан тохируулсан IRC сервер болон сувгаар IRC ботнетийг удирддаг. Ботнетийн оператор нь тодорхой хугацаа болон шалгалтын дараа IRC ботыг шинэ IRC суваг руу автоматжуулсан sandbox болон судлаачдыг төөрүүлэх зорилгоор шилжүүлдэг. Dorkbot нь мэдээлэл хулгайлагч сүлжээний өт (worm) бөгөөд Command & Control (C&C) server communication буюу IRC-ыг ашигладаг. Dorkbot-ыг  мөн ngrBot гэж ижил төстэй чадварыг нь үндэслэн нэрлэх нь бий.

Dorkbot нь доорх чадваруудтай IRC-д суурилж, өргөн тархсан ботнетуудын нэг юм.Үүнд:

  • USB drive, chat messenger, social networking сайтуудаар тархах чадвартай.
  • Хэд хэдэн төрлийн DDos халдлагыг дэмжих чадвартай.
  • HTTP болон FTP сайтуудын хэрэглэгчийн мэдээллийг олзлох чадвартай.
  • Вебсайтын аюулгүй байдлын шинэчлэлтийг блоклож, илчлэгдэхээс сэргийлдэг
  • Бусад үндсэн хортой кодтой хэсгүүдээ татах, суулгах, устгах чадвартай.

2015 оны 4-р сарын 23-нд Dorkbot-д хортой кодын шинжилгээг Nirnal Singh хийсэн бөгөөд ашиглагддаг домэйн холбоосуудыг  ажиглахад ru. com байгаас үзэхэд ОХУ-тай ямар нэгэн байдлаар холбогдож байна.

Dorkbot суух үйл явц:

api1[.]wipmania[.]com[.]wipmsc[.]ru/api1[.]gif” гэсэн URL /өөр байх боломжтой/ -д үндсэн хортой кодын програмд үйлчлэх бөгөөд дараах параметрүүдийг шалгадаг.

  • “-aav_start” – унтраах
  • “-shell” –  халдварлалтын тойргийг эхлүүлэх, “Windows Update” гэсэн регистрийг тогтвортой байдлыг баталгаажуулах зорилгоор үүсгэж, “Windows_Shared_Mutex_231_c000900” ганц файл үүсгэж dorkbot-ын ганц хувилбар ажиллаж буйг шалгадаг.

Хэрвээ ямар ч параметр байхгүй тохиолдолд дээрх үйлдлийг хийхгүйгээр бусад процессууд руу халдаврладаг.

  Хамгийн түрүүнд svhost.exe процесст халдварлан дараах үйлдлүүдийг хийнэ:       

  1. Халдварласан системд “%APPDATA%\Update\Explorer.exe”  гэж өөрийгөө хуулбарлана.
  2. “Windows Explorer Manager” гэсэн регистр файл үүсгэнэ.
  3. 2-р алхамыг давтах бөгөөд 10,000 секунд тутам 2-р алхам дурьдсан регистрийг шалгаж байхгүй бол дахиж үүсгэдэг.
  4. 1-р алхамыг давтах бөгөөд уг алхамд үүссэн файлыг “%APPDATA%” хавтасанд   “\c731200” нэмж хуулдаг.
  5. MS-Paint.exe алсаас ажиллуулж Зураг1-д заасан домэйнүүдтэй холбоо тогтоохыг оролддог.

Зураг1: Ашиглагддаг домэйнүүд

Зураг2: Санах ой дахь тэмдэгтүүд

Зураг3: Нэмэлт хэсгүүдээ татах домэйн

Урьдчилан сэргийлэх:

Уг халдлага нь 2015 оны үеэс гарсан учир олонхи Анти-Вирусын програм-хангамж үйлдвэрлэгчид урьдчилан сэргийлэх аргачлалуудыг боловсруулсан байна. MD5/213E0B42AF7CF1D0DCB75E378CA93512/,SHA1/6c4558693394dca0c671464b8639adb537acc0a7/ гарын үсгээр TotalVirus сайтанд буй мэдээллээр 56 анти-вирусын 43 нь одоогийн байдлаар илрүүлж байна.

Зураг4: Файлын хамаарал

Зураг5: Анти-Вирусын илэрцүүд


 

 

Холбоосууд