 |
|
| ||||||||||||||||||||||||||||||||||||||
Вредонос BitRAT распространя
|
||||||||||||||||||||||||||||||||||||||
|
Главная » Общий раздел » Новости в мире |
|
|
| Автор | Сообщение | ||||||||
|---|---|---|---|---|---|---|---|---|---|
|
MOT®OSS ® Пол: Стаж: 8 лет 6 месяцев Сообщений: 8606 Откуда: город-Герой Тула - СССР Награды: 8 (Подробнее)
|
Вредонос BitRAT распространяется под видом активатора лицензии Windows 10-Группа аналитиков ASEC недавно обнаружила BitRAT, который распространяется через webhards.
Поскольку злоумышленник еще на этапе разработки замаскировал вредоносное ПО под средство проверки лицензии Windows 10, пользователи, загружающие нелегальные инструменты для взлома с webhard и устанавливающие их для проверки лицензии Windows, рискуют установить BitRAT на свой компьютер. BitRAT поддерживает функцииКейлоггингаМониторинга буфера обмена, Доступа к web-камере , Доступа микрофону , Кражи учетных данных из браузеров , Майнинга криптовалюты XMRig, Удаленное управление системами под управлением Windows , Скрытые виртуальные сетевые вычисления (hVNC) , Создание обратного прокси-сервера через SOCKS4 и SOCKS5 (UDP). Индикатор компрометацииIndicator of compromiseMD5 6befd2bd3005a0390153f643ba248e25 60ee7740c4b7542701180928ef6f0d53 c4740d6a8fb6e17e8d2b21822c45863b b8c39c252aeb7c264607a053f368f6eb e03a79366acb221fd5206ab4987406f2 ea1b987a7fdfc2996d5f314a20fd4d99 54ef1804c22f6b24a930552cd51a4ae2 SHA1 ce6018e5f006e918d33e43b41562077795a8417 a883c34ac823903c4e2ecfcb9c47f61ada100bf7 a79aa6d617c0dc8973056a1bc6bdbd448d4fb298 398583185ad247c6c66b94ec36a0173ab21afc91 SHA256 ec72ac1b68bd378e82be7202208e2fa144c244c01604aee3b7709228203450c1 cf93c313ac7f0e0958f18e86bbef0063b74e97e2ad395de62d54a03f8274c3b9 2150dbdddb2a234bcf8f52b5c4019a6d75bcf34e6d9bee760eb27a126f5da3f7 bc79384d3ac2cd1b31856ee88eb478635d9145124aa9a93dcaa6415360c356f1 URL hxxp://cothdesigns[.]com:443/1480313 hxxp://cothdesigns[.]com:443/4411259 hxxp://jmuquwk.duckdns[.]org:443/1480313 hxxp://nnmmdlc.duckdns[.]org:443/1480313 hxxp://kx3nz98.duckdns[.]org:443/v/V_1267705.exe hxxp://108.61.207[.]100:443/v/V_5248849.exe hxxp://kx3nz98.duckdns[.]org:443/v/A_1992262.exe hxxp://108.61.207[.]100:443/result/A_1146246.exe C&C Server z59okz.duckdns[.]org:5223 cothdesigns[.]com Рисунок 1. Публикация, замаскированная под загрузку средства проверки лицензии Windows — 1  Рис. 2. Публикация, замаскированная под загрузку средства проверки лицензии Windows — 2 Загружается сжатый файл с именем «Program.zip», он сжимается и блокируется паролем «1234». Он содержит инструмент проверки лицензии Windows 10 под названием «W10DigitalActivation.exe».  Рисунок 3. Файлы, включенные в сжатый файл «W10DigitalActivation.exe» — это SFX-файл 7z, который содержит фактический инструмент проверки под названием «W10DigitalActivation.msi» и вредоносное ПО под названием W10DigitalActivation_Temp.msi . Когда пользователь дважды щелкает файл, он устанавливает оба файла одновременно. Поскольку и вредоносное ПО, и инструмент проверки запускаются одновременно, пользователь обманывается, заставляя думать, что инструмент работает правильно, как показано ниже.  Рис. 4. Вредоносное ПО внутри SFX-файла 7z В отличие от своего названия, «W10DigitalActivation_Temp.msi» — это загрузчик с расширением exe, который загружает дополнительные вредоносные программы. При запуске он подключается к следующим C&C-серверам, которые он содержит внутри, обмениваясь зашифрованными строками. После этого он расшифровывает строки, чтобы в конечном итоге получить URL-адрес загрузки для дополнительной полезной нагрузки. Будьте осторожны, не скачивайте W10DigitalActiviation.exe с левых сайтов !!!  Рис. 5. C&C URL вредоносного ПО-загрузчика Загрузчик устанавливает вредоносное ПО в папку автозапуска Windows и удаляет себя. Обычно первым устанавливаемым файлом является загрузчик того же типа, и загрузчик, работающий таким образом, в конечном итоге устанавливает BitRAT по пути %TEMP% как «Software_Reporter_Tool.exe».  Рисунок 6. Загрузка загрузчика и BitRAT Обратите внимание, что этот загрузчик оснащен дополнительными функциями и ни в коем случае не является простой программой. Как показано на рисунке ниже, одна из его функций использует команду powershell для добавления папки программы запуска Windows, где будет установлен загрузчик, в качестве пути исключения для Защитника Windows и добавления имени процесса BitRAT «Software_Reporter_Tool.exe» в качестве процесс исключения для Защитника Windows.  Рис. 7. Добавление в качестве пути исключения Защитника Windows Глядя на то, как это вредоносное ПО использует webhard, который считается наиболее часто используемой платформой для обмена файлами в Корее, и включает в свой код корейские символы, как показано на рисунке ниже, создается впечатление, что злоумышленник говорит по-корейски.  Рисунок 8. Код, содержащий корейские символы Вредоносное ПО, которое в конечном итоге устанавливается, представляет собой вредоносное ПО RAT (троян удаленного доступа) под названием BitRAT. BitRAT продается через хакерский форум с 2020 года и постоянно используется злоумышленниками.  Рисунок 9. Изображение введения BitRAT — 1  Рисунок 10. Изображение введения BitRAT — 2 Поскольку BitRAT является вредоносным ПО RAT, его злоумышленник может получить контроль над зараженной им системой. BitRAT не только предоставляет базовые функции управления, такие как выполнение задач процесса, задачи обслуживания, задачи файлов и удаленные команды, но также предоставляет дополнительные параметры, такие как различные функции кражи информации, HVNC, удаленный рабочий стол, майнинг монет и прокси.  Рисунок 11. Панель BitRAT C&C Ниже приведен список функций, которые предоставляет BitRAT. 1. Метод сетевой связи — Зашифрованная связь с использованием TLS 1.2 — Связь с использованием Tor 2. Базовое управление — Диспетчер процессов — Диспетчер служб — Диспетчер файлов — Диспетчер Windows — Диспетчер программного обеспечения 3. Кража информации — кейлоггинг — логгинг буфера обмена — логгинг веб -камеры — логгинг аудио — кража учетных данных приложений (например, веб-браузеров) 4. Удаленное управление — Удаленный рабочий стол — hVNC (скрытый рабочий стол) 5. Прокси — SOCKS5 Proxy: функция переадресации портов с использованием UPnP — Обратный прокси: SOCKS4 Proxy 6. Добыча монет — XMRig CoinMiner 7. и т.д. – DDoS-атака – Обход UAC – Деактивация Защитника Windows Обратите внимание, что BitRAT использует раскрытый код TinyNuke, как и AveMaria. Ниже приведено сравнение hVNC TinyNuke (процедура, связанная со скрытым рабочим столом) и кода BitRAT.-  -Рисунок 12. Подпрограмма hVNC TinyNuke и BitRATTinyNuke проверяет и использует строку подписи под названием «AVE_MARIA» в функциях обратного прокси-сервера SOCKS4 и скрытого рабочего стола. AveMaria переняла функцию обратного прокси-сервера SOCKS4 от TinyNuke, и имя было дано на основе строки. BitRAT, с другой стороны, использовал функцию скрытого рабочего стола, и строка подписи такая же. Обратите внимание, что TinyNuke использовалась группой Kimsuky в прошлом. Среди множества функций была принята и использовалась только функция «Скрытый рабочий стол». [Блог ASEC] Вредоносное ПО VNC (TinyNuke, TightVNC), используемое Kimsuky Group [Блог ASEC] Вредоносное ПО AveMaria распространяется как спам Как показано в приведенных выше примерах, вредоносное ПО активно распространяется через файлообменные сайты, такие как Korean webhards. Таким образом, рекомендуется соблюдать осторожность при запуске исполняемых файлов, загруженных с веб-сайта обмена файлами. Пользователям рекомендуется скачивать продукты с официальных сайтов разработчиков. Программное обеспечение AhnLab для защиты от вредоносных программ, V3, обнаруживает и блокирует указанные выше вредоносные программы, используя приведенные выше псевдонимы.--Операторы вредоносного ПО BitRAT нацелились на пользователей, которые хотят бесплатно активировать пиратские версии ОС Windows с помощью неофициальных активаторов лицензий Microsoft. BitRAT — троян для удаленного доступа, который продается на киберпреступных форумах и на рынках даркнета всего за $20 (пожизненный доступ) любому человеку. По словам исследователей из AhnLab, злоумышленники распространяют вредоносное ПО BitRAT под видом активатора лицензии Windows 10 Pro на так называемых webhard-сервисах. Webhard — популярные в Южной Корее сервисы online-хранилищ, которые имеют постоянный приток посетителей по прямым ссылкам для загрузки, размещенным в социальных сетях или Discord. Из-за их большой популярности в регионе злоумышленники стали чаще используют подобные сервисы для распространения вредоносного ПО. Как предполагают эксперты, злоумышленники, организовавшие новую кампанию BitRAT, корейцы. Предположение основано на некоторых корейских символах в коде и способе его распространения. В ходе данной кампании вредоносный файл, предлагаемый как активатор Windows 10, называется W10DigitalActiviation.exe и имеет простой графический интерфейс с кнопкой «Активировать Windows 10». Однако вместо активации лицензии программа загрузит вредоносное ПО с командного сервера злоумышленников. Полезная нагрузка — BitRAT, установленный в %TEMP% как «Software_Reporter_Tool.exe» и добавленный в папку автозагрузки. Загрузчик также добавляет исключения для Защитника Windows с целью избежания обнаружения вредоноса. После завершения процесса установки вредоносного ПО загрузчик удаляет себя из системы, оставляя после себя только BitRAT. BitRAT поддерживает функции кейлоггинга, мониторинга буфера обмена, доступа к web-камере, аудиозаписи, кражи учетных данных из браузеров и функции майнинга криптовалюты XMRig. Кроме того, вредонос обеспечивает удаленное управление системами под управлением Windows, скрытые виртуальные сетевые вычисления (hVNC) и обратный прокси-сервер через SOCKS4 и SOCKS5 (UDP). Источник: securitylab.ru |
||||||||
![[Профиль]](./styles/templates/default/images/lang/ru/icon_profile.gif "Посмотреть профиль"){kind=icon} ![[ЛС]](./styles/templates/default/images/lang/ru/icon_pm.gif "Отправить ЛС"){kind=icon} |
|||||||||
|
v41028 Пол: Стаж: 9 лет 8 месяцев Сообщений: 87 Откуда: Уральский регион, Магнитогорск Награды: 4 (Подробнее)
|
Страсти-то какие! Со своим кувалдо-металлургическим образованием ни хрена не разобрался и не понял. Какая-то новая гадость и как дальше жить будем?
  
|
||||||||
|
|
|||||||||
|
Vadim_88 Пол: Стаж: 4 года Сообщений: 136 Награды: 1 (Подробнее)
|
v41028, Как жить будем ....
Эльбрус и астра линукс))  
|
||||||||
|
|
|||||||||
|
luxemburg Пол: Стаж: 4 года 4 месяца Сообщений: 95 Награды: Нет
|
49659Страсти-то какие! Со своим кувалдо-металлургическим образованием ни хрена не разобрался и не понял. Какая-то новая гадость и как дальше жить будем?
 
|
||||||||
|
|
.gif "Легенда (Количество: 1)")
![[Цитировать]](./styles/templates/default/images/lang/ru/icon_quote.gif "Ответить с цитатой"){kind=icon}
|
|
Главная » Общий раздел » Новости в мире |
Текущее время: 19-Май 19:05
Часовой пояс: UTC + 3
Вы не можете начинать темы
Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете прикреплять файлы к сообщениям Вы не можете скачивать файлы |