टो बोटनेट

अनाम टीओआर नेटवर्क की क्षमताओं का उपयोग करने वाले बोटनेट मौलिक रूप से कुछ नए नहीं हैं और डेफकॉन 18 सम्मेलन (" रेसिलिएंट बोटनेट कमांड एंड कंट्रोल विद तोर ") पर कई साल पहले ही चर्चा की जा चुकी है। पिछले साल, हम साइबर अपराधियों द्वारा उपयोग किए जाने वाले वास्तविक बोटनेट में इन विचारों के उपयोग के बारे में कुछ दिलचस्प तथ्यों की पुष्टि करने में सक्षम थे। इस विषय पर रैपिड 7 ब्लॉग (" स्काईनेट, एक टो-संचालित बॉटनेट सीधे रेडिट से ") पर 2013 की शुरुआत में चर्चा की गई थी। जुलाई की शुरुआत में, निवासी डेंचो देंचेव ने टीओआर का उपयोग करके सी एंड सी रूटकिट कमांड सर्वर के बारे में जानकारी प्रकाशित की।

इस गर्मी में, हमने टीओआर का उपयोग करने वाले बोटनेट के विकास पर ध्यान दिया। जुलाई में, मैलवेयर के दो अलग-अलग परिवारों की खोज की गई थी जो C & C कमांड सर्वर के साथ बातचीत करने के लिए छिपे हुए TOR सेवा प्रोटोकॉल का उपयोग करते हैं। इस तरह की सेवा एक गुप्त संचार चैनल के आयोजन के लिए अच्छी तरह से अनुकूल है, लेकिन एक ही समय में यह संक्रमित कंप्यूटर से बड़ी मात्रा में डेटा चोरी करने का एक धीमा तरीका है। साइबर अपराधियों के लिए, कॉन्फ़िगरेशन डेटा पर अपडेट प्राप्त करने या अतिरिक्त दुर्भावनापूर्ण मॉड्यूल डाउनलोड करने पर C & C के साथ संचार की छिपी प्रोटोकॉल सेवा का उपयोग करने का यह तरीका पसंद किया जाता है।

हमने दो अलग-अलग बोटनेट की खोज की, जो सीएंडआर के साथ काम करने के लिए टीओआर सेवाओं का उपयोग करते हैं। ये Win32 / Atrax और Win32 / Agent.PTA मैलवेयर परिवार हैं । दोनों परिवारों में एक ब्राउज़र वेब पेज के रूप में उपयोगकर्ता इनपुट चोरी करने की क्षमता है। अलेक्जेंडर मैट्रोसोव और एंटोन चेरेपोनोव ने इन दुर्भावनापूर्ण कार्यक्रमों का विश्लेषण किया। चूंकि एट्रैक्स बॉटनेट अधिक जटिल और दिलचस्प लगता है, हम इसके विश्लेषण के साथ अपनी पोस्ट शुरू करेंगे।



Win32 / Atrax.A

Win32 / Atrax.A TOR का उपयोग करके एक दिलचस्प बैकडोर है। यह एक विशेष डाउनलोडर के माध्यम से स्थापित है, जिसे हम Win32 / TrojanDownloader.Tiny.NIR के रूप में खोजते हैं। डाउनलोडर का प्रवेश बिंदु काफी सरल है और स्क्रीनशॉट में नीचे दिखाया गया है।



अधिक रोचक जानकारी यह है कि कोड में हार्डकॉन्ड डोमेन नाम "kundenservice-paypal.com", मध्य जून (12-जून -2016) में पंजीकृत किया गया था। यह नाम, जाहिरा तौर पर, पेपैल ग्राहक सहायता के लिए डोमेन देने के लिए दिया गया था।

पीई हेडर से निकाली गई जानकारी के अनुसार, ट्रोजन और डाउनलोडर के सभी घटकों को जुलाई में संकलित किया गया था।



मुख्य ड्रॉपर फ़ाइल को लोड करने और लॉन्च करने के बाद, तीन पीई मॉड्यूल के लिए अनपैकिंग प्रक्रिया शुरू होती है: टीओआर क्लाइंट और एक्स 32 और एक्स 64 के लिए दो डीएलएल मॉड्यूल। WinAPI RtlDecompressBuffer का उपयोग अनपैकिंग के लिए किया जाता है। विघटन समारोह के लिए कोड निम्नानुसार है।



स्थापना से पहले, ड्रॉपर एक वर्चुअल मशीन या डीबगर गतिविधि का पता लगाने के लिए सरल जांच करता है। बॉट आईडी एक MD5 हैश है जिसकी गणना DigitalProductID और MachineGuid रजिस्ट्री मानों का उपयोग करके की जाती है। फ़ंक्शन को संक्रमित करने वाले फ़ंक्शन का कॉल ग्राफ़ स्क्रीनशॉट में नीचे दिखाया गया है।



इसके निष्पादन के अंत में, फ़ंक्शन% APPDATA% निर्देशिका में एईएस एन्क्रिप्शन के लिए जिम्मेदार प्लगइन्स की खोज करने और बाद में उन्हें प्रारंभ करने का प्रयास करता है। सभी प्लगइन्स का नाम निम्न पैटर्न% APPDATA% \ CC250462B0857727 * के अनुसार दिया गया है। बॉट इनिशियलाइजेशन के दौरान प्लग पर प्लग को डिक्रिप्ट किया जाता है, लेकिन एन्क्रिप्शन कुंजी संक्रमित कंप्यूटर पर निर्भर करती है। यह दृष्टिकोण फोरेंसिक प्रक्रिया के दौरान मैलवेयर फ़ाइलों को निकालने की प्रक्रिया को जटिल करता है।

TOR क्लाइंट ड्रॉपर बॉडी में स्थित है और एक एन्क्रिप्टेड एईएस फ़ाइल के रूप में% APPDATA% निर्देशिका में संग्रहीत है। टीओआर के साथ कनेक्शन की जाँच की जाती है कि ब्राउज़र चल रहा है या नहीं और उसके बाद टीओआर क्लाइंट कोड को एनडीटीएल! NtSetContextThread API का उपयोग करके नियंत्रण हस्तांतरण के साथ ब्राउज़र प्रक्रिया के संदर्भ में लागू किया जाता है। Win32 / Atrax.A x86 और x64 प्रक्रियाओं के लिए कोड इंजेक्शन का समर्थन करता है।



C & C कमांड सर्वर और बॉट के बीच सभी इंटरैक्शन एक विशेष HTTP अनुरोध के माध्यम से आयोजित किया जाता है। इस सुविधा के लिए जिम्मेदार फ़ंक्शन का प्रोटोटाइप नीचे प्रस्तुत किया गया है।



यदि दूसरा request_via_tor पैरामीटर सही पर सेट है, तो C & C का कनेक्शन TOR के माध्यम से होगा। इस मामले में, फ़ंक्शन कॉल का ग्राफ जैसा दिखेगा।



अगला, एक नया थ्रेड बनाया जाता है जो टोर ग्राहक कोड को निम्नलिखित मापदंडों के साथ निष्पादित करेगा:

• प्रमाणीकरण के लिए पासवर्ड - पासवर्ड।
• SIGNAL NEWNYM - प्रॉक्सी नोड्स की श्रृंखला को बदलें।

जब एट्रैक्स.ए ने सी एंड सी के साथ पहला कनेक्शन स्थापित किया, तो यह टीओआर नेटवर्क पर एक पते पर संक्रमित सिस्टम के बारे में एकत्रित जानकारी भेजता है।



TOR के साथ काम करने के दौरान मूल C & C एड्रेस या इसके डोमेन को सेट करना संभव नहीं है, लेकिन विश्लेषण के लिए TOR नेटवर्क में उत्पन्न पते का उपयोग करना संभव है। हम इस तरह के एक आंतरिक पते को सेट करने में कामयाब रहे और हमें C & C के लिए एक कार्यशील नियंत्रण कक्ष मिला।



नियंत्रण कक्ष पर छवि में Atrax नाम मुख्य कारण है कि हमने दुर्भावनापूर्ण कोड का पता लगाने के लिए Win32 / Atrax.A नाम चुना।

बॉट के दृष्टिकोण से, Win32 / Atrax.A एक समझौता किए गए कंप्यूटर पर दूरस्थ कमांड के निष्पादन का समर्थन करता है। पार्सिंग कमांड और उनके निष्पादन के लिए मुख्य कार्य निम्नानुसार है।



दूरस्थ रूप से समर्थित कमांड की सूची इस प्रकार है:

• dlexec - फ़ाइल डाउनलोड और निष्पादित करें
• dlrunmem - एक फ़ाइल डाउनलोड करें और इसे एक फ़ाइल में एम्बेड करें
• dltorexec - TOR निष्पादन योग्य फ़ाइल डाउनलोड करें और इसे निष्पादित करें
• dltorrunmem - TOR निष्पादन योग्य फ़ाइल डाउनलोड करें और इसे ब्राउज़र में एम्बेड करें
• अद्यतन - अपने आप को अद्यतन करें
• स्थापित करें - फ़ाइल डाउनलोड करें, इसे एईएस का उपयोग करके एन्क्रिप्ट करें और इसे% APPDATA% में सहेजें
• installexec - फ़ाइल डाउनलोड करें, इसे एईएस का उपयोग करके एन्क्रिप्ट करें,% APPDATA% पर सहेजें और फिर निष्पादित करें
• मार - सभी धागे समाप्त

हम कई और प्लगइन्स डाउनलोड करने में सक्षम थे जो विभिन्न प्रयोजनों के लिए दुर्भावनापूर्ण कोड द्वारा उपयोग किए जाते हैं।



पहला प्लगइन रूपों का एक धरनेवाला है, और दूसरा पासवर्ड चोरी करने के लिए डिज़ाइन किया गया है। इन लोड किए गए मॉड्यूल को जुलाई में संकलित किया गया था, जैसा कि हेडर में टाइम स्टैंप द्वारा इंगित किया गया था।


[धरनेवाला रूप]


[पासवर्ड चोरी प्लगइन]

Win32 / Atrax.A दुर्भावनापूर्ण कोड का एक दिलचस्प उदाहरण है जो TOR का उपयोग बॉटनेट को व्यवस्थित करने के लिए करता है और AES एन्क्रिप्शन का उपयोग एक अद्वितीय कुंजी के साथ करता है, जो अतिरिक्त प्लग-इन के लिए हार्डवेयर सेटिंग्स पर निर्भर करता है।

Win32 / Agent.PTA

एक और परिवार जिसे हमने जुलाई में ट्रैक किया था, जो Tor का उपयोग करता है उसे Win32 / Agent.PTA कहा जाता है। यह परिवार नया नहीं है और 2012 से ही हमारे द्वारा ट्रैक किया जा चुका है। उसी वर्ष, टॉर के साथ काम करने के लिए इस दुर्भावनापूर्ण कोड की नई विशेषताओं की खोज की गई। यह C & C के साथ काम करने के लिए Tor की गुप्त प्रोटोकॉल सेवा का उपयोग करता है। Agent.PTA में TOR नेटवर्क के भीतर C & C पतों के साथ RC4 का उपयोग कर निर्मित कॉन्फ़िगरेशन जानकारी शामिल है। डिक्रिप्ट कॉन्फ़िगरेशन जानकारी निम्नानुसार है।



Win32 / Agent.PTA अतिरिक्त प्लग-इन डाउनलोड करने की क्षमता वाला एक सरल फॉर्म धरनेवाला है। यह ट्रोजन SOCKS5 प्रॉक्सी मोड को C & C से एक विशेष कमांड प्राप्त करके सक्रिय कर सकता है।

निष्कर्ष

इस साल, हमने पहले से ही TOR का उपयोग करने वाले botnets को देखा है, लेकिन इस गर्मी में हमने ऐसे दुर्भावनापूर्ण कार्यक्रमों की संख्या में वृद्धि देखी। तकनीकी दृष्टिकोण से, ऐसे बॉटनेट्स की जांच करना काफी मुश्किल है, क्योंकि सी एंड सी के सही स्थान का पता लगाना मुश्किल है। लेकिन एक उदाहरण के रूप में Win32 / Atrax.A botnet का उपयोग करते हुए, हमने इस तथ्य का प्रदर्शन किया कि इंटरैक्शन प्रोटोकॉल का विश्लेषण करने के तरीके नहीं बदले और TOR नेटवर्क पर पतों के साथ काम करने के पुराने तरीके प्रासंगिक हैं।