BlackEnergy - BlackEnergy

BlackEnergy zararli dasturlari birinchi bo'lib 2007 yilda HTTP-ga asoslangan vositalar to'plami sifatida ishga tushirilgan botlarni yaratgan xizmat ko'rsatishni tarqatish hujumlar.^[1] 2010 yilda, BlackEnergy 2 DDoS-dan tashqari imkoniyatlar bilan paydo bo'ldi. 2014 yilda, BlackEnergy 3 turli xil jihozlangan keldi plaginlari.^[2] Rossiyada joylashgan Sandworm (aka Voodoo Bear) nomi bilan tanilgan guruhga BlackEnergy maqsadli hujumlari sabab bo'lgan. Hujum Word hujjati yoki PowerPoint qo'shimchasi orqali elektron pochta orqali tarqatiladi, qurbonlarni qonuniy ko'rinadigan faylni bosishga majbur qiladi.^[3]

BlackEnergy 1 (BE1)

BlackEnergy kodi maqsadli mashinalarni yuqtirish uchun turli xil hujum turlarini osonlashtiradi. Shuningdek, u jihozlangan server tomonidagi skriptlar jinoyatchilar rivojlanishi mumkin bo'lgan Buyruq va boshqaruv (C&C) server. Kiberjinoyatchilar BlackEnergy bot yaratuvchisi vositalaridan foydalanib, moslashtirilgan bot mijoz dasturining bajariladigan fayllarini yaratadilar va keyinchalik maqsadlarga tarqatiladi. elektron pochta orqali spam yuborish va fishing elektron pochta orqali aktsiyalar. ^[4] BE1 ekspluatatsiya funktsiyalariga ega emas va botni yuklash uchun tashqi vositalarga tayanadi. ^[5] BlackEnergy-ni yordamida aniqlash mumkin YARA tomonidan taqdim etilgan imzolar Amerika Qo'shma Shtatlari Milliy xavfsizlik vazirligi (DHS).

Asosiy xususiyatlar

^[5]

• bir nechtasini nishonga olishi mumkin IP-manzil xost nomi uchun

• antivirus dasturi tomonidan aniqlashdan qochish uchun ish vaqti shifrlovchi mavjud

• o'z jarayonlarini tizim drayverida yashiradi (syssrv.sys)

Buyruq turlari

• DDoS hujum buyruqlari (masalan, ICMP toshqini, TCP SYN toshqini, UDP toshqini, HTTP to'foni, DNS toshqini va boshqalar).^[1]^{[tushuntirish kerak ]}

• o'z serveridan yangi yoki yangilangan bajariladigan fayllarni olish va ishga tushirish uchun buyruqlarni yuklab olish

• boshqarish buyruqlari (masalan, to'xtash, kutish yoki o'lish)

BlackEnergy 2 (BE2)

BlackEnergy 2 murakkab usuldan foydalanadi rootkit / jarayonni in'ektsiya qilish texnikasi, mustahkam shifrlash va "tomizgich" deb nomlanuvchi modulli arxitektura. ^[6] Bu rootkit drayverini parolini ochadi va dekompressiyalashtiradi va uni qurbonlik mashinasida tasodifiy ishlab chiqarilgan ismga ega server sifatida o'rnatadi. BlackEnergy 1-ning yangilanishi sifatida u eski rootkit manba kodini paketdan chiqarish va foydalanuvchi jarayonlariga kiritish uchun yangi funktsiyalar bilan birlashtiradi. ^[6] Paketlangan tarkib yordamida siqiladi LZ77 ning o'zgartirilgan versiyasi yordamida algoritm va shifrlangan RC4 shifr. Qattiq kodlangan 128 bitli kalit ichki tarkibni parolini hal qiladi. Tarmoq trafigini parolini hal qilish uchun shifr botning o'ziga xos identifikator satrini kalit sifatida ishlatadi. Shifrlash / siqish sxemasining ikkinchi o'zgarishi tomchilatuvchi va rootkitni ochish stubida qo'shimcha himoya qilish uchun modifikatsiyalangan RC4 shifriga boshlang'ich vektorini qo'shadi, lekin ichki rootkitda ham, foydalanuvchilar maydoni makullarida ham ishlatilmaydi. BlackEnergy 2-da RC4 dasturidagi asosiy modifikatsiya kalitlarni rejalashtirish algoritmida yotadi. ^[6]

Imkoniyatlar

• mahalliy fayllarni bajarishi mumkin

• masofaviy fayllarni yuklab olishi va bajarishi mumkin

• o'zini va uning plaginlarini buyruq va boshqaruv serverlari bilan yangilaydi

• buyruqlarni bajarishi yoki yo'q qilishi mumkin

BlackEnergy 3 (BE3)

BlackEnergy-ning so'nggi to'liq versiyasi 2014 yilda paydo bo'ldi. O'zgarishlar zararli dastur kodini soddalashtirdi: ushbu versiya o'rnatuvchisi asosiy dinamik ravishda bog'langan kutubxona (DLL) komponentasi to'g'ridan-to'g'ri mahalliy dastur ma'lumotlari papkasida.^[7]Zararli dasturning ushbu varianti 2015 yil dekabrda Ukraina elektr tarmog'iga kiberhujum.^[8]

Plaginlar

^[2]

• fs.dll — Fayl tizimi operatsiyalar

• si.dll - Tizim haqida ma'lumot, "BlackEnergy Lite"

• jn.dll - parazitar infeksiya

• ki.dll — Klaviaturani qayd qilish

• ps.dll - Parolni o'g'irlovchi

• ss.dll — Skrinshotlar

• vs.dll - Tarmoqni topish, masofadan turib bajarish

• tv.dll - Jamoa tomoshabinlari

• rd.dll - oddiy psevdo "masofaviy ish stoli"

• up.dll - Zararli dasturlarni yangilang

• dc.dll - Windows hisob qaydnomalarini ro'yxatlash

• bs.dll - Tizimning apparat vositalari, BIOS va Windows ma'lumotlarini so'rash

• dstr.dll - Tizimni yo'q qilish

• scan.dll - Tarmoqni skanerlash

Adabiyotlar

^ ^a ^b Nazario, Xose (2007 yil oktyabr). "BlackEnergy DDoS bot tahlili" (PDF). Arbor tarmoqlari. Olingan 17 aprel 2019.
^ ^a ^b "Yangilangan BlackEnergy Trojan yanada kuchliroq o'smoqda - McAfee bloglari". 2016 yil 14-yanvar.
^ "Avgust BlackEnergy PowerPoint kampaniyalari haqida batafsil ma'lumot". 2014 yil 4 oktyabr.
^ "BlackEnergy APT zararli dasturi - RSA aloqasi". community.rsa.com.
^ ^a ^b https://ewic.bcs.org/upload/pdf/ewic_icscsr2016_paper7.pdf
^ ^a ^b ^v Djo Styuart (2010 yil 3 mart). "BlackEnergy Version 2 tahdid tahlili". www.secureworks.com.
^ http://www.threatstop.com/sites/default/files/threatstop_blackenergy.pdf
^ Cherepanov A., Lipovskiy R. (7 oktyabr 2016). "BlackEnergy - taniqli kiberhujumlar to'g'risida biz haqiqatan ham bilamiz" (PDF).

[BE1_2007-1] Nazario, Xose (2007 yil oktyabr). "BlackEnergy DDoS bot tahlili" (PDF). Arbor tarmoqlari. Olingan 17 aprel 2019.

[mcafee.com-2] "Yangilangan BlackEnergy Trojan yanada kuchliroq o'smoqda - McAfee bloglari". 2016 yil 14-yanvar.

[welivesecurity.com-3] "Avgust BlackEnergy PowerPoint kampaniyalari haqida batafsil ma'lumot". 2014 yil 4 oktyabr.

[rsa.com-4] "BlackEnergy APT zararli dasturi - RSA aloqasi". community.rsa.com.

[bcs.org-5] ttps://ewic.bcs.org/upload/pdf/ewic_icscsr2016_paper7.pdf

[secureworks.com-6] v Djo Styuart (2010 yil 3 mart). "BlackEnergy Version 2 tahdid tahlili". www.secureworks.com.

[7] ttp://www.threatstop.com/sites/default/files/threatstop_blackenergy.pdf

[8] Cherepanov A., Lipovskiy R. (7 oktyabr 2016). "BlackEnergy - taniqli kiberhujumlar to'g'risida biz haqiqatan ham bilamiz" (PDF).

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]