2017/01/09

Ransomware

Компьютер, ухаалаг утас, таблетгүйгээр ажил, амьдралаа залгуулах бараг боломжгүй болсон өнөө цагт хамгийн ихээр “мода”-нд орж, хувь хүн, албан байгууллагуудад багагүй хохирол учруулдаг нэгэн төрлийн хортой програмын талаар энд товчлон өгүүлье.

Ransomware гэж юу вэ?
Ransomware буюу өгөгдөл барьцаалагч програм гэдэг нь систем дээр сууснаар таны хэрэгтэй файлуудаа нээж унших, харах, өөрчлөх боломжийг хаахаас гадна компьютерээ ашиглах боломжгүй болгож мэдэх айхтар хортой/хөнөөлтэй програм юм. Файлуудаа сэргээх, компьютерээ  хэвийн ашиглахыг хүсвэл та шаардсан барьцаа мөнгийг нь төлөх хэрэгтэй болно.
эх сурвалж: blog.kaspersky.com

Хэрэгтэй файл гэдэгт ажил төрлөө явуулахад тань хэрэг болдог документ файлууд (*.docx, *.xlsx, *.pdf, *.pptx гэх мэт), магадгүй өчнөөн олон жилийн түүхийг тань өгүүлэх зурагнууд, чухал харилцагчтайгаа солилцож байсан цахим захидлууд (email), байгууллагын санхүүгийн тайлан, тооцоог агуулсан мэдээллийн сан (database) гэх мэт бүгд багтана. 


Аа тийм, зарим нэг их мэдэгчдийн хэлдэгээр зөвхөн Windows үйлдлийн системтэй компьютер л энэхүү гайхал “вирус” –т өртдөг юм биш. Ransomware нь Windows, Mac, Linux, Android гээд бүх төрлийн үйлдлийн системд зориулсан хувилбаруудтай тул iMac ашигладаг надад хамаагүй ээ гэж санаа амар суух боломжгүй юм.

Цаашид танай гэр, албан тасалгаанд байх ухаалаг төхөөрөмжүүд энэ төрлийн халдлагын бай болж таны үгэнд орохоо больж мэдэх юм. Мөнгөө төлөхгүй бол тоосыг чинь цэвэрлэхгүй, хүнсийг чинь хөргөхгүй, телевиз үзүүлэхгүй шүү гэж даналзах цаг хаяанд иржээ.
эх сурвалж: internetofmorethings.com

Ransomware -ийг cryptor, blocker гэж хоёр ангилдаг. Cryptor нь файлуудыг encrypt (манайхан шифрлэнэ гэж ярьдаг) хийж, нээж харахад агуулга нь танигдахааргүй  болгоно. Таны компьютер хэвийн ажиллах боловч дээр нь байсан Annual_report.docx нэртэй файл 8aaeb13e19668f896a840e6089ef69a8.xyz гэх мэт шинэ нэртэй болж, MS Word програмаар нээгдэхээ байна гэсэн үг. Гэхдээ зөвхөн файлын нэрийг өөрчлөөд зогсохгүй, агуулгыг нь өөрчилнө гэдгийг дахин сануулъя.

Харин blocker нь зөвхөн файл биш систем рүү хандах хандалтыг хаадаг. Өөрөөр хэлбэл компьютерийн дискийг бүхэлд нь encrypt хийж, үйлдлийн систем хэвийн ажиллах боломжгүй болно.

Түгээмэл хувилбарууд
1989 онд Joseph Popp гэгчийн хөгжүүлсэн анхны ransomware болох AIDS (PC Cyborg) –с  хойш маш олон хувилбарууд гарч байсан ч төдийлөн “нэр төр” –ийг олохгүй байсаар сураг алдарч байж. Харин 2013 онд барьцааны мөнгөө Bitcoin –оор авдаг CryptoLocker нэртэй програм бий болсноор дахин "сэргэн мандсан" байна. Bitcoin, Tor зэрэг технологийн дэвшлүүд нь дата барьцаалан мөнгө олох санаатай этгээдүүд олшироход их тус хүргэсэн байх аа. CryptoLocker хоёрхон сарын дотор 27 сая доллар олж байсан баримт бий.

Өдгөө CryptoLocker, Locky, Cerber, zCrypt, Crysis, Petya гэх мэт түгээмэл ransomware –үүд та биднийг хохироохоор цахим сүлжээгээр хэрэн тэнэж явна. Файлын нэрийг өөрчилсөн байдал, барьцаа мөнгөө нэхэж буй хэлбэр зэргээс нь ямар нэртэй зэтгэрт хорлогдсоноо мэдэх боломжтой. 

Ransomware яаж ажилладаг вэ?
Ransomware таны компьютер дээр тэнгэрээс унаад ирэхгүй нь мэдээж тул ямар нэг замаар орж ирдэг байж таарна. Өнөө цагт хортой програмууд тархдаг хамгийн түгээмэл зам нь цахим шуудан юм. Цахим шуудангаар таны сониуч зан, сонирхлыг тань татахуйц, сэтгэлийг тань хөдөлгөхүйц гарчигтай захидал хавсралт файлын хамт ирнэ.

Хэн нэгэн хаяг андуурч DHL-ээр илгээмж  явуулсан баримт, өрсөлдөгч компанийн жилийн эцсийн тайлан, бурхны оронд одсон алдартай нэгний сүүлчийн захиас зэргийг олдсон дээр нь уншчих сонирхол төрөхгүй хүн ховор шүү дээ. Энгийн документ файл, зураг, PDF файлд хортой код шургуулж илгээх тун ч амархан. Үүнээс гадна хамгаалалт султай вэб сайтуудаар дамжин тархах тохиолдол их.
Цахим шуудангийн хавсралт файлыг нээх, вэбээс файл татаж ажиллуулах үйлдэл нь таны компьютерт ирсэн урилгагүй зочинг хүссэн зүйлээ хийх боломжийг та олгожээ гэсэн үг. Ингээд урилгагүй зочин танд мэдэгдэхгүйгээр ажилдаа орно доо.

Компьютер дээрээс хүнд хэрэг болохоор файлуудыг хайж олоод эхнээс нь encrypt хийж эхлэнэ. Encrypt хийхдээ хангалттай урттай нууц түлхүүр ашиглах бөгөөд энэ түлхүүрийг мэдэхгүйгээр нууцлалыг тайлах, нөгөө талаасаа түлхүүрийг хайж олох үйлдэл нь маш их хугацаа, компьютерийн өндөр хүчин чадал шаардсан ажил болдог. Өнөөдөр нийтийн хэрэглээнд буй компьютерийн тооцоолон бодох чадамжаар эдгээр нууц түлхүүрийг тайлах боломжгүй гээд хэлчихэд болно.

Дээр дурдсанчлан ransomware –ийн нэг төрөл болох cryptor нь зөвхөн файлуудыг хандах боломжгүйгээр өөрчилдөг бол нөгөө төрөл нь компьютерийн дискийг бүхэлд нь encrypt хийж, үйлдлийн системийг ачааллах боломжгүй болгодог.
эх сурвалж scip.ch


Компьютер дээрх файлуудыг кодолж (encrypt) дууссаны дараагаар танд барьцааны мөнгөө хэрхэн илгээх зааврыг харуулна. Таны файлуудыг encrypt хийсэн тул дараах дансаар хэдэн цагийн дотор тэдэн зоос (bitcoin) илгээ гэх мэт.
эх сурвалж researchcenter.paloaltonetworks.com

Дээрх зургаас та тэр банкны тийм дансанд мөнгө явуулаарай гэж бичээгүй байгааг анзаарч байгаа байх. TOR сүлжээ, Bitcoin нь хакеруудад өөрийгөө шууд илчлэхгүйгээр мөнгөө цуглуулах боломжийг нээж өгчээ.

Халдлагад өртсөн мэдээллийг хэрхэн сэргээх вэ?
Танд хамгийн боломжтой хоёр л сонголт бий. Нэг нь хүссэн мөнгийг нь өгөөд онц чухал мэдээллээ сэргээж авах, нөгөө нь тэдгээр мэдээллээ золигт гаргаад бүгдийг шинээр эхлэх. Бусад төрлийн хортой програмыг компьютер дээрээс устгаснаар хор уршгийг нь арилгаж болдог бол ransomware –ийн хувьд тийм боломж байхгүй. Нэгэнт таны файлуудыг олзолчихсон тул та хортой програмыг олоод устгасан ч файлуудаа сэргээж чадахгүй.

Хүссэн мөнгийг нь төлөөд хэрэгтэй баримт, мэдээллээ эргүүлж авсан тохиолдлууд бий. АНУ-ын нэгэн хотын цагдаагийн газар, эмнэлэг гэх зэрэг байгууллагуудын жишээ байна. Гэхдээ мөнгө төллөө гээд та файлуудаа сэргээгээд авчихна гэж найдахад бас хэцүү. Мөнгийг чинь авчихаад барьцаалсан зүйлээ өгөхөө болилоо гээд гэдийчихвэл яах вэ?

Таны компьютер руу хортой програмыг илгээсэн этгээд өөрөө нууц түлхүүрийг мэдэхгүй бол яах вэ? Ийм тохиолдлууд цөөнгүй бий. Интернэтийн “хар зах”-аас ransomware худалдаж авсан дэггүй жаалын халдлагад өртсөн бол танд найдвар бараг үлдээгүй гэсэн үг. Нийт хохирогчдын 20% нь мөнгөө төлсөн ч мэдээллээ сэргээж чадаагүй гэсэн судалгаа ч бий.  

Харин хортой програмыг зохиосон, зохиогоогүй юмаа гэхэд ядаж нууц түлхүүрийг мэддэг этгээд тань руу халдсан бол та өөрийгөө азтайд тооцож болох юм. Зарим нэг “нинжин” сэтгэлтэй хакерууд нэхсэн мөнгөнийхөө хэмжээг “яриад” буулгасан тохиолдол байдаг.

Нэхсэн мөнгийг нь төлөх яавч ХАМГИЙН САЙН СОНГОЛТ биш!

Таны алдсан файлууд яаралтай хэрэг болоод байхааргүй файлууд бол гурав дахь сонголт байж болох юм. Тэр нь хэн нэгэн сайн санаатан таныг хорлосон ransomware -ийн нууц түлхүүрийг тайлдаг програм зохиохыг хүлээх. Антивирусын програм хөгжүүлэгч компаниуд, судлаачид ransomware –ийн шинэ хувилбар гарангуут л хэрхэн “нууцыг тайлах” вэ гээд судалгаагаа эхлүүлдэг.
эх сурвалж kaspersky.com

Мөнгө нэхсэн бичиг, файлуудын нэрийг өөрчилсөн хэлбэр зэргээс та яг ямар нэртэй ransomware –ийн хохирогч болсноо мэдэж болно. Үүний дараагаар https://noransom.kaspersky.com/, https://www.avast.com/c-ransomware, http://www.avg.com/ww-en/ransomware-decryption-tools гэх мэт антивирус хөгжүүлэгчдийн сайтаас тухайн ransomware –ийн файлуудыг decrypt хийдэг програм байгаа эсэхийг шалгана. Decrypt хийнэ гэсэн програм татаж авах гэж байгаа бол зөвхөн албан ёсны сайтуудаас татаарай, нуухаа авах гээд нүдээ сохлоно гэгчээр өөр нэг хортой програмын хохирогч болох вий.
Зарим шинэковууд нууц түлхүүрээ хохирогчийн компьютерийн санах ойд, аль эсвэл дискний хаа нэгтээ хадгалж орхих гэх мэт алдаа гаргаж гэнэдэх тохиолдол ч бий. Харин хашир бурхинуудын зохиосон эдийг тайлах програм зохиох гэж багагүй хугацаа шаардагдана. Гэхдээ эдгээр програмууд таны хэрэгтэй мэдээллийг бүрэн сэргээж өгнө гэдэгт 100% найдах хэрэггүй шүү.

Ransomware халдлагаас хэрхэн хамгаалах вэ?
Энэ төрлийн халдлагад өртсөн бол файлаа сэргээж авах найдвар тун бага гэдгийг та ойлгосон байх. Нэгэнт алдчихвал буцааж авах боломж тааруухан учраас эхнээсээ мэдээллээ алдахгүй, халдлагад өртөхгүй байх, халдлагад өртсөн ч айхтар хохирол хүлээлгүй аргалах тал дээр анхаарахаас өөр зам байхгүй. Ransomware -ээс хамгаалах боломжит арга замууд:
  • Цахим шуудан болон хамгаалалт султай вэб сайтууд нь ransomware –ийн тархдаг гол суваг тул сэжигтэй захидал, хавсралт файл, захидал доторх линк зэргийг огт нээхгүй байх дадлыг өөртөө болон өрөөл бусдад хэвшүүлэх хэрэгтэй. Хамгийн энгийн мэт боловч хамгийн чухал хамгаалалт энэ юм.
  • Сэжигтэй вэб сайтууд руу орохгүй байх, crack хийсэн програм хангамж татаж суулгахгүй байхыг ямагт санаж явах хэрэгтэй. Та бидэнд сайн санаад л бусдын хийсэн програмын лицензний хамгаалалтыг эвдээд суудаг хүн цөөхөн байх.
  • Register cleaner, PC cleaner, РС scanner гэх мэт юу хийдэг нь тодорхойгүй програмуудыг хүмүүс ихээр татаж суулгадаг нь анзаарагддаг. Ийм програмуудаас хол байсан нь дээр. 
  • Хувийн компьютертээ, мөн байгууллагынхаа компьютерүүдэд албан ёсны лицензтэй антивирусын програм суулгах. Дээрээс нь тухайн антивирусын програмыг бүтээгчдийн зүгээс зөвлөсөн ransomware –ээс хамгаалах тохиргоог хийсэн байх.
  • Байгууллагын хувьд өөрийн гэсэн email сервертэй бол спам, вируснаас хамгаалах хамгаалалт хийх хэрэгтэй. Өндөр үнэтэй хамгаалалт хэрэгжүүлж чадахгүй бол ядаж Clamav антивирус ч ашиглаж болно шүү дээ.
  • Онц чухал гэж үзсэн файлууд, мэдээллүүдээ нөөцлөх (backup) хэрэгтэй. Хувийн компьютер бол зөөврийн хард руу хуулах, cloud storage –ууд хуулах гэх мэт. Хэрвээ зөөврийн хард диск ашиглах бол зөвхөн нөөц үүсгэх үедээ л залгаж байхгүй бол нөөцөлсөн файлуудаа ч алдчих боломж бий шүү.
  • Байгууллагын хувьд нөөцөлсөн мэдээллээ тодорхой хугацаанд шалгаж байх хэрэгтэй. Нөөц маань бий гээд явж байтал нөөц нь яг цагаа тулахад дутуу ч юмуу, алдаатай хуулагдсан байвал бас л асуудал үүснэ.
  • Ялангуяа байгууллагадаа ганц сервертэй, тэр сервер дээр нь санхүүгийн програмууд (Даймонд, Апекс гэх мэт) нь ажилладаг, бусад бүхий л чухал баримт бичгүүд нь хадгалагддаг хэрнээ, үйлдлийн систем нь лицензгүй, антивирус ч байхгүй хүмүүс халдлагад өртөх магадлал тун өндөр. Эдгээр хүмүүс аюулгүй байдалдаа зориулж бага ч гэсэн мөнгө зарахгүй бол хэцүү шүү.
  • Барьцаанд мөнгө төлөх биш барьцаалагдахаас сэргийлэхэд мөнгө зарах нь илүү ухаалаг шийдвэр гэдгийг анхаараарай.

2015/11/23

PlugX-т өртсөн системийг цэвэрлэх нь

PlugX –ийн тухай 
PlugX (Korplug/Sogu/Gulpix/Thoper/Destroy RAT) нь хэд хэдэн АРТ халдлагад ашиглагдсан Remote Access Trojan (RAT) төрлийн хөнөөлт програм юм. Уг програмыг Хятадаас гаралтай гэж үздэг бөгөөд ихэвчлэн Азийн орнууд руу чиглэсэн халдлагад ашиглагддаг. 2012 оноос дэлхий нийтэд анхлан танигдсан, түүнээс хойш хэд хэдэн хувилбарууд бүртгэгдээд байна.
Судлаачдын үзэж буйгаар уг програм нь маш өндөр түвшинд хөгжүүлсэн програм хангамжийн төсөл юм. PlugX-ийн тохиргоо болон аюулгүй байдлын шинжээчдээс хамгаалах, антивирусын програмаас далдлах технологиуд нь цаг ямагт шинэчлэгдэж байдаг “хэцүүхэн эд” –ийн нэг.

PlugX –ийн халдлагууд Монголд 
Манай улсын хувьд уг хөнөөлт програмын халдлагад хэд хэдэн удаа өртсөн талаарх мэдээлэл
гадны сайтууд, судлаачдын өгүүлэлд дурдагджээ. 2013 онд “Хааны эрэлд” олон улсын цэргийн хээрийн сургуулилттай холбоотой файлыг ашигласан Батлан хамгаалах яам руу чиглэсэн халдлагын талаар мэдээлэл гарч байсан бол 2014 онд Хүүхдийн хавдрын оношилгоо, эмчилгээний төвтэй холбоотой халдлагын талаар дурджээ. Үүнээс гадна хувийн компаниуд уг програмыг ашигласан халдлагад өртсөн байх магадлал өндөртэй.
Энэхүү нийтлэлээр манай компанийн мэргэжилтнүүд өөрсдийн шинжилгээн дээр тулгуурлан
бэлтгэсэн PlugX –ийн ерөнхий ажиллагаа, халдлагад өртсөн системийг хэрхэн цэвэрлэх талаарх мэдээлэл, зөвлөгөөг хүргэж байна.

PlugX хэрхэн ажилладаг вэ? 
PlugX компьютерт суусны дараагаар тухайн сүлжээнд байгаа Windows Domain Controller, эсвэл LDAP серверийг хайж олох, системийн administrative priviledge бүхий хэрэглэгчийн мэдээллийг олж авах замаар бусад системүүдэд халдварладаг. Мэдээж энэ бүх үйлдлийг командын төвийн (Command & Control server) удирдлагаар хийнэ.
Хийх үйлдлэл нь тухайн хувилбар ямар ямар plug-in ашигладагаас шалтгаална. PlugX нь бие даасан plug-in-үүд ашигладаг бөгөөд үндсэн disk, process, service, regedit, netstat, telnet, sql, keylog гэх мэт нийт 13 plug-in-тай [1]. Эдгээр нь гараас оруулж буй бүх товчлуурын мэдээллийг бичиж авах гэх мэт тус тусын үйлдлийг гүйцэтгэдэг.

Password log
Ажиллах явцдаа гараас оруулсан бүх товчлуурыг бичих, тэр дундаа бүх төрлийн системүүд рүү хандсан хэрэглэгчийн нэр, нууц үгүүдийг бүртгэх, чатын түүхийг бичих гэх мэт үйлдлүүдийг хийж, эдгээр мэдээллүүдийг командын төв рүүгээ илгээнэ.
Ажиллагааны талаарх дэлгэрэнгүй шинжилгээг [2] –оос уншиж болно.

Халдлагад өртсөн эсэхээ шалгах 
PlugX-ийн хувилбар тухайн компьютер дээр ажиллахгүй, ямар нэг байдлаар зогссон үед
антивирусын програмууд файлыг нь танидаггүй. Харин ажиллах явцад зарим нэг антивирус Korplug trojan санах ой дээрээс илэрлээ гэж мэдээллэх боловч үндсэн файлуудыг нь олж устгаж чадахгүй. Учир нь үндсэн файл нь системийг асах үед ажиллаад хортой кодоо системийн сервисүүдэд хавсаргасны дараа зогсчихдог. Тэхээр антивирустээ найдах хэрэггүй гэсэн үг.

Харин гар аргаар буюу хамгаалалтын системүүд, SysInternals –ийн програмууд, мөн зарим нэг file manager програмын тусламжтайгаар илрүүлж болно.
  1. Танай байгууллага хэрвээ IPS, IDS гэх мэт хамгаалалтын төхөөрөмжүүдтэй бол манай сүлжээний ийм IP-наас PlugX (ихэвчлэн Korplug гэж нэрлэгдсэн байдаг) –ийн командын төвтэй холбогдох оролдлого хийлээ гэсэн алертын дагуу халдлагад өртсөн компьютерийг олж болно.  
  2. Хамгаалалтын төхөөрөмж байхгүй ч танай сүлжээнээс PlugX –ийн командын төвүүдийн тоонд багтсан ямар нэг домэйн (Монголд ихэвчлэн *.baatarhuu.com, mongolbaatar.net гэх мэт монгол нэртэй домэйн ашиглагддаг) рүү чиглэсэн траффик илэрсэн бол халдлагад өртжээ гэж үзнэ. 
  3. Халдлагад өртсөн ямар нэг систем олсон, сэжиглэж байгаа бол тухайн систем дээр ажиллаж байгаа процессуудыг шалгана. Хэрвээ дотроо msiexec.exe дэд процесс агуулсан ямар нэг процесс (ихэвчлэн svchost.exe) байвал тус процессын Properties –ийг шалгах хэрэгтэй. Хэрвээ <Non-existent parent process> гэж байвал та хайж байгаа зүйлээ олсон гэсэн үг.
    Process tree

    Та тухайн систем дээр ямар нэг програм суулгаж байгаа биш л бол msiexec.exe систем дээр ажиллаж байх шалтгаан бараг л үгүй.  
  4. Сэжигтэй сервис байгаа эсэхийг шалгана. Сэжигтэй процессыг ажиллуулахын тулд систем дээр ямар нэг сервис зайлшгүй үүсгэсэн байх ёстой. Мэдээж сэжиг авахуулахгүйн тулд сервистээ тун гэмгүй байж мэдэхээр нэр өгсөн байдаг.
    Service

    Манай жишээнд CyberLink корпорацийн CyberLink нэртэй сервис үүсчээ. Эндээс бид хайж байгаа зүйлийнхээ хаана оршин байгааг олж авлаа. Сервисийг амархан олдохоос сэргийлж Nvidia, Symantec, McAfee, Adobe гэх мэт хүн бүрийн танил компаниудын нэр, файлыг ашигласан сервис үүсгэх магадлал өндөр.

Эдгээр шинж тэмдгүүд илэрвэл та, эсвэл танай байгууллага халдлагад өртжээ гэж үзэж болно.

Системийг цэвэрлэх 
Халдлагад өртсөн системийг цэвэрлэхдээ дараах алхмуудыг хэрэгжүүлнэ:
  1. Хортой код агуулан ажиллаж буй процессуудыг (svchost.exe, msiexec.exe бүгдийг нь) зогсооно. Ингэхгүй бол файлуудаа дахин үүсгэчихдэг.  
  2. Өмнөх шалгалтаар илрүүлсэн сервисийг устгана. Хэрвээ шууд устгах боломжгүй бол Register дээрх бичилтийг устгаж болно. Мөн нэг биш хэд хэдэн сервис үүсгэсэн байх магадлалтайг анхаарах хэрэгтэй.  
  3. Үндсэн файлуудыг устгана. Сервисийг илрүүлэхдээ үндсэн файлын замыг тодорхойлж чадсан. Ихэвчлэн C:\program files (x86)\common files\microsoft shared, services, system зэрэг хавтсуудад сервист шаардагдах файлуудыг байршуулсан байдаг. Эдгээр хавтаснуудаа шалгаж байхад гэмгүй.
    Files

    Нэг *.exe файл, нэг *.dll, нэг буюу хэд хэдэн *.lib, *.helper, *.url өргөтгөлтэй файлууд байвал таны хайсан зүйл гарцаагүй мөн юм. Энэхүү шинжээр сервисээ юу ч гэж нэрлэсэн бай олох боломжтой. Эдгээр файлуудыг та юугаар ч шалгасан вирус гэж танихгүй.  
  4. Дээр дурдсан байрлалаас гадна бүх хэрэглэгчийн профилыг агуулдаг стандарт хавтсанд (C:\Users\All users\, C:\Documents and Settings\All Users\ гэх мэт) RasTls, DRM, WinSxs, RasSFX гэх мэт нэртэй нуугдмал хавтсуудыг байршуулдаг. Эдгээрийг file manager програм л ашиглахгүй бол хичнээн нуугдсан файлыг харуулах тохиргоо хийсэн ч Windows Explorer дээр харагдахгүй өнгөрөх магадлалтай. Эдгээр файлуудыг ч мөн устгах ёстой.
    Hidden directory
  5. Мөн updata гэсэн хавтас үүсгэж түүнд цуглуулсан мэдээллүүдээ хадгалах нь бий. Тэндээс та магадгүй мартчихаад байсан нууц үгээ олж магадгүй юм :)
  6. Нэмэлт байдлаар халдлагад өртсөн системийн санах ойн хуулбарыг аваад Volatility гэх санах ойн шинжилгээ хийх зориулалттай програмын PlugX –т зориулсан plug-in-ийг ашиглан тохиргоог нь харж болно. Гэхдээ энэ алхмыг хөнөөлт програм ажиллаж байх үед хийх ёстойг анхаарна уу! Үр дүн нь дараах байдалтай харагдана.
    PlugX config

    Тохиргоонд үндсэн файлуудыг агуулж буй хавтас, сервисийн нэр, хортой код хавсаргасан процесс, командын төв гэх мэт мэдүүллүүд агуулагддаг. Эндээс та командын төвийн domain хаягийг олж болно.

Зөвлөмж 
Халдлагад өртсөн бүх системийг цэвэрлэж дуусаад дараах арга хэмжээнүүдийг яаралтай авч хэрэгжүүлэх нь зүйтэй юм. Үүнд: 
  1. Хэрэглэгчдийн нууц үгийг даруй солих хэрэгтэй. Системийн хэрэглэгчдээс гадна халдлагад өртсөн системүүд ажилладаг хүмүүсийг хувийн нууц үгсээ солихыг ч анхааруулахад гэмгүй. 
  2. Танай сүлжээнд Windows domain (Active Directory) ашиглагддаг бол administrative эрхтэй бүх хэрэглэгчийн нууц үгийг нэн даруй солино. 
  3. Цахим  шуудангаар ирсэн сэжигтэй захидлын хавсралт файлыг нээхгүй байх, сэжигтэй вэб сайт руу хандахгүй байх дадлыг бий болгох, танин мэдүүлэх сургалт, зөвлөгөөг тогтмол өгч байх. 
  4. Нууц үгсийг тогтмол хугацаанд сольдог бодлого баримтлах 
  5. Үүнээс гадна систем хэвийн бус ажиллах, гацах, байн байн рестарт хийгдээд байвал дээрх шалгалтуудыг тухайн систем дээр хийж байх хэрэгтэй.

Ашигласан материал:

PlugX C&C server IP and domains: 
  • *.teever.mn
  • *.goodmongol.com
  • *.baatarhuu.com 
  • *.mongolbaatar.net
  • *.mol-government.com
  • *.molnews.net
  • *.heritageblog.org
  • *.firefox-sync.com
  • catologipdate.com
  • google.lookipv6.com 
  • 45.32.64.183
  • 104.207.152.11 
  • 98.126.24.12
  • 173.208.206.172




2015/10/07

Харуул занги 2015

Манай компани “Харуул занги – 2015” тэмцээний төгсгөлийн шатны даалгавруудыг боловсруулж, тэмцээний зохион байгуулалтанд хамтран ажиллаа. Төгсгөлийн шатны даалгавруудын ерөнхий зохиол нь "Game of Thrones" байсан бөгөөд даалгавруудын нэрс, багуудын онооны самбар зэргийн зохиомжийг зохиолтой уялдуулсан байлаа.

Тэмцээний төгсгөлийн шатанд багууд хэрхэн оролцсон талаарх дэлгэрэнгүй мэдээлэлтэй танилцана уу.
Тэмцээний явц
  1. Хамгийн түрүүнд даалгавар хийсэн баг
    • Төгсгөлийн шат  эхэлснээс 1 цагийн дараа “B33 баг "Night_Watchers" нэртэй forensics ангиллын 250 онооны даалгаврыг хамгийн түрүүнд хийж гүйцэтгэжээ.
  2. Хамгийн богино хугацаанд шийдэгдсэн даалгавар
    • "The Red Woman" нэртэй forensics ангиллын 100 онооны даалгаврыг “Алангир” баг даалгавар нээгдсэнээс 10 минутын дараа гүйцэтгэсэн байна.
  3. Хамгийн олон баг шийдсэн даалгавар
    • Төгсгөлийн шатанд нийт 10 даалгавар тавигдсанаас “Arya” нэртэй 150 оноотой даалгаврыг хамгийн олон буюу оролцсон 10 багаас 8 нь амжилттай хийж гүйцэтгэв.
  4. Хамгийн цөөн баг шийдсэн даалгавар
    • Төгсгөлийн шатны даалгавруудаас “You Know Nothing” нэртэй reversing ангиллын 200 оноотой даалгаврыг 10 багаас цор ганц баг болох “G_C” баг гүйцэтгэсэн байна.
  5. Огт шийдэгдээгүй даалгавар
    • Тэмцээнд оролцогчдын даалгавар хийсэн байдлыг харгалзан үзэж 10 даалгавраас 9-ийг нь нээсэн бөгөөд нээгдсэн даалгавруудаас “The Wall”, “Harpy” гэсэн вэб ангиллын хоёр даалгаврыг хийж гүйцэтгэсэн баг гарсангүй.
  6. Хамгийн олон даалгаврыг түрүүлж хийсэн баг
    • Тэмцээнд оролцогчдоос “Алангир” баг хамгийн олон буюу 4 даалгаврыг бусад багуудаас түрүүлж шийдэж тус бүрт нь нэмэлт 3 оноо авсан байна.
  7. Хамгийн сүүлд эхний оноогоо авсан баг
    • Team1 баг хамгийн сүүлд буюу тэмцээн эхэлснээс 2 цаг 15 минутын дараа эхний оноогоо “Hodor” даалгаврыг гүйцэтгэснээр авчээ.
  8. Хамгийн олон даалгавар шийдсэн баг
    • Тэмцээнд түрүүлсэн “Алангир” баг хамгийн олон буюу 6 даалгаврыг хийж гүйцэтгэсэн.
  9. Хамгийн удаан хугацаанд шийдэгдсэн даалгавар
    • Hodor” нэртэй crypto ангиллын даалгавар нээгдсэнээс хойш 1 цаг 38 минутын дараа шийдэгдсэн байна.
  10. Тэмцээний туршид багуудад даалгавар гүйцэтгэхэд санаа өгөх зорилгоор нийт 21 удаа тусламж өгчээ.

Онооны самбар
Алангир багийн гүйцэтгэл
0xff багийн гүйцэтгэл
overflow багийн гүйцэтгэл
G_C багийн гүйцэтгэл
kerber0s багийн гүйцэтгэл
ymoment багийн гүйцэтгэл
B33 багийн гүйцэтгэл
Hunting Party багийн гүйцэтгэл
konoha багийн гүйцэтгэл
team1 багийн гүйцэтгэл



2015/07/28

Galileo RCS буюу Алсаас удирдах систем

2015.07.06-нд тагнуулын програм хангамж үйлдвэрлэгч Италийн Hacking Team компани цахим халдлагад өртөж 400GB гаруй байгууллагын маш нууц мэдээллээ алдсан билээ.
Уг алдагдсан мэдээлэлд ажилчдын цахим шуудан, үндсэн бүтээгдэхүүн болох Galileo RCS (Remote Control System) -ийн эх код, RCS системийн үйлчилгээнд буюу цахим халдлагад ашиглаж байсан zero-day exploit-ууд, хөнөөлт програм, байгууллагын санхүү төлбөр тооцооны мэдээлэл, хэрэглэгчдийн мэдээлэл гэх мэт маш олон нууц мэдээллүүд байв.

Galileo RCS сурталчилгаа

Hacking Team-ээс улс орнуудын засгийн газруудад нийлүүлж үйлчилгээ үзүүлж байсан Galileo RCS гэх энэ систем чухам ямар систем болох, түүн дээрх боломжууд, хэрхэн ажилладаг болон цаашид алдагдсан мэдээллээс улбаалан бидэнд ямар эрсдэл бий болж болох талаар тодорхой ойлголт авах үүднээс бид нийтэд ил болоод байгаа Galileo RCS системийг туршилтын орчинд ажиллуулж сонирхлоо.

Galileo RCS системийн зохион байгуулалт
Galileo RCS-ийн гарын авлагаас

  • Agent: Target буюу бай болж байгаа этгээдийн систем дээр суух хөнөөлт програм. Энэ програм нь тухайн систем дээрээс бүхий л шаардлагатай мэдээллийг хулгайлж anonymizer-руу илгээнэ.
  • Anonymizer: Зорилго нь RCS Collector серверийг нуух, олж авсан мэдээллийг collector эсвэл дараагийн anonymizer-руу дамжуулах.
  • Collector: Anonymizer-аас дамжин ирсэн мэдээллийг хүлээн авч цааш main node-руу дамжуулах.
  • Main node: Galileo-ийн үндсэн сервер ба уг серверийг ашиглан хөнөөлт програм боловсруулах, бусад дэд системүүдийг хянах удирдан тохируулах, collector-т цугласан мэдээллийг боловсруулан agent-үүдэд бэлдэж хадгалах.
  • RCS ConsoleMain node-ийг удирдах график дүрслэл бүхий удирдлагын програм.
  • Network injector: MiTM буюу дундын халдлагын үед ашиглах дэд систем.




Бэлтгэл ажил
Galileo RCS-ийн туршилтын орчинд зориулан доорх виртуал машинуудыг бэлдэв.
  1. Main node - Windows 7
  2. Collector - Windows 7
  3. Anonymizer - CentOS 6
  4. Target Desktop - Windows 7
  5. Target Server - Linux Kali



Galileo RCS суулгах
Main node суулгахад лиценз файл болон давхар нууцлал бүхий USB dongle шаарддаг байна. Бидний хувьд алдагдсан мэдээлэл дээрх тодорхой бус нэг хэрэглэгчийн лицензийг сонгон авч Galileo RCS 9.2.0 эх кодыг ашиглан USB dongle-ийг бяцхан засвар буюу patch хийж Galileo RCS 9.6.0-г амжилттай суулгав.

Main node суулгасан байдал


Үүний дараа бусад дэд хэсэг болох Collector, Anonymizer-ийг тус тус амжилттай суулгав.
Collector болон Anonymizer амжилттай холбогдсон байдал


Ингээд бэлэн болсон Galileo RCS системийг ашиглан цааш туршилтын ажиллагааг явуулах гэсэн боловч бидний сонгон авсан лиценз нь туршилтийн хувилбар байсан нь асуудал болж лицензийг дахин засварлаж сая нэг Galileo RCS-ийг ашиглахад бэлэн болгов.
Лицензийг засварлан RMI-аас бусад бүх боломжуудыг хязгааргүй байдлаар нээв.



Eagle Eye ажиллагаа
Бид Galileo RCS-ийг ашиглан хийх туршилтаа Eagle Eye хэмээн үзэх дуртай нэгэн киноны нэрээр нэрлэв.
/Хэрэв та Eagle Eye киног үзэж амжаагүй бол цаг гарган үзэх хэрэгтэй шүү!/
Galileo-ийн хувьд олон жил хөгжүүлэн ирсэн систем болоод ч тэрүү бүх зүйл нь маш энгийн ямар ч хүн хялбархан ашиглах боломжтой хийгджээ.
Eagle Eye ажиллагааны хавтас нээсэн байдал

Eagle Eye ажиллагааг бүртгэсний дараагаар бидэнд тагнах үйл ажиллагааны гол зорилго болох target буюу бай хэрэгтэй болов. Иймд бид туршилтын орчинд тагнах байг Super Baldan гэж нэрийдэж, түүнийг томоохон компанид маш чухал систем хариуцан ажилладаг систем админ хэмээн төсөөлж, мөн түүнийг ширээний компьютер, сервер болон гар утастай гэж тус тус бүртгэлд оруулав.
Eagle Eye ажиллагааны бай систем админ Super Baldan-г бүртгэсэн байдал
Super Baldan-гийн ашиглаж байгаа төхөөрөмжүүдийг бүртгэсэн байдал



Халдлага зохион байгуулах
Халдлага, энэ бол Galileo RCS-ийн хамгийн сонирхолтой хэсэг юм. Учир нь бид бай болсон Super Baldan-гийн бүхий л төхөөрөмжүүд дээр тухайн системийн онцлогт таарсан цахим зэвсэг буюу хөнөөлт програмыг бэлдэж мөн тэдгээрийг хэрхэн Super Baldan-гийн системүүд дээр суулгахыг боловсруулсан юм.
Хөнөөлт програм боловсруулах тохиргоо.

Galileo agent буюу хөнөөлт програмын боломжууд

  • Calls (Phone, Skype, MSN): Гар утас болон Skype, MSN дээрх орсон гарсан дуудлагын бүртгэл хулгайлах. 
  • Messages (Mail, SMS, Chat): Mail, SMS, Chat-аар илгээсэн мэдээлэл хулгайлах
  • Files and Photos: Тухайн төхөөрөмж дээрх файл болон зураг хулгайлах
  • Screenshots: Тухайн төхөөрөмжийн дэлгэцийн агшинг тодорхой давтамжтайгаар авах 
  • Position: Хэрэв тухайн төхөөрөмж GPS буюу байршил тогтоох системтэй бол байршлын мэдээллийг авах
  • Contacts & Calendar: Дугаарын бүртгэл болон хуанлийн тэмдэглэлийг хулгайлах
  • Visited Websites: Интернэт хөтчийн орсон бүхий л вэб хаяг
  • Keylog, Mouse&Password: Гарын хөтөч, курсорын байршил болон зааж байсан элементийн зураг болон нууц үг хулгайлах
  • Camera: вэб камер болон утасны камер ашиглан нууцаар дүрс буулгах
  • Online Synchronization: Хулгайлсан мэдээллийг дамжуулах горим
  • Дээрхээс гадна Galileo-д өөр бусад боломжууд байдаг нь тодорхой болоод байгаа. Үүнд төхөөрөмжүүдийн микрофон ашиглан яриа чагнах, бичих,... гэх мэт 

Хөнөөлт програм илгээх арга замыг /дайралтыг/ тохируулах.
Galileo-ийн халдлага хийх боломжууд
  • Silent installer: Ерөнхийдөө тохиргоонд заагдсан функц бүхий хөнөөлт програмыг үндсэн Galileo-ийн зохион байгуулалтад тохируулан хязгаарлагдмал байдлаар үүсгэнэ. 
  • Melted application: Хөнөөлт програмыг энгийн програм дээр нэгтгэж дайвар байдлаар систем дээр суулгах.
  • Offline installation: USB, SD card болон CD ашиглан систем дээр хөнөөлт програм суулгах.
  • Persistent installation: Доод түвшинд суух хөнөөлт програм. Дискийг формат хийх болон сольсон ч ажиллах боломжтой! 
  • U3 installation: U3 USB ашиглан автомаатаар хөнөөлт програм суулгах.
  • Exploit: Тодорхойгүй, туршилтын үед энэ хэсэг хоосон байсан болно.
  • Network injection: Сүлжээний орчинд MiTM байдлаар хөнөөлт програм дамжуулах


Eagle Eye халдлагын үр дүн
Бид Galileo дээр үүсгэсэн хөнөөлт програмыг Super Baldan-гийн компьютер болон сервер дээр шууд ажиллуулан туршив. Хэсэг хугацааны дараа Super Baldan Server дээрээс анхны баримтууд илгээгдэж эхлэв. Харин Super Baldan Desktop-оос ямар ч хариу өгсөнгүй. Учир шалтгааныг тодруулбал Galileo дээр үүсгэсэн windows-ийн хөнөөлт програм нь виртуал орчинд байгаа эсэхээ шалгаад хэрэв виртуал орчинд ажиллаж байгаа бол цааш гүйцэд ажиллахгүй зогсдог байна.
Анхны дохио өгч мэдээлэл хүлээн авсан байдал.
Super Baldan-гийн серверээс ирсэн мэдээлэл
Super Baldan-гийн серверийн нэвтрэх эрх болон цахим шуудангийн
нэвтрэх эрхийг олж авсан байдал 
Хэрэв Super Baldan-гаас байршил болон ярианы мэдээлэл ирсэн бол
энэ хэсэг харагдах байв.
Дээрх туршилтаар Galileo RCS-ийн боломжуудаас цөөн хэсгийг нь харуулсан болно.


Galileo системээс үүдэн гарах эрсдлүүд
Туршилтын үр дүнгээс харахад Galileo RCS нь өндөр түвшинд боловсруулагдсан тагнуулын програм хангамж болох нь харагдаж байна. Энэхүү систем нийтэд ил болсноор уг системийг технологийн мэдлэгтэй дурын этгээд шууд ашиглан цахим гэмт хэрэг үйлдэх эрсдэл бий болоод байна!!!