2015/11/23

PlugX-т өртсөн системийг цэвэрлэх нь

PlugX –ийн тухай 
PlugX (Korplug/Sogu/Gulpix/Thoper/Destroy RAT) нь хэд хэдэн АРТ халдлагад ашиглагдсан Remote Access Trojan (RAT) төрлийн хөнөөлт програм юм. Уг програмыг Хятадаас гаралтай гэж үздэг бөгөөд ихэвчлэн Азийн орнууд руу чиглэсэн халдлагад ашиглагддаг. 2012 оноос дэлхий нийтэд анхлан танигдсан, түүнээс хойш хэд хэдэн хувилбарууд бүртгэгдээд байна.
Судлаачдын үзэж буйгаар уг програм нь маш өндөр түвшинд хөгжүүлсэн програм хангамжийн төсөл юм. PlugX-ийн тохиргоо болон аюулгүй байдлын шинжээчдээс хамгаалах, антивирусын програмаас далдлах технологиуд нь цаг ямагт шинэчлэгдэж байдаг “хэцүүхэн эд” –ийн нэг.

PlugX –ийн халдлагууд Монголд 
Манай улсын хувьд уг хөнөөлт програмын халдлагад хэд хэдэн удаа өртсөн талаарх мэдээлэл
гадны сайтууд, судлаачдын өгүүлэлд дурдагджээ. 2013 онд “Хааны эрэлд” олон улсын цэргийн хээрийн сургуулилттай холбоотой файлыг ашигласан Батлан хамгаалах яам руу чиглэсэн халдлагын талаар мэдээлэл гарч байсан бол 2014 онд Хүүхдийн хавдрын оношилгоо, эмчилгээний төвтэй холбоотой халдлагын талаар дурджээ. Үүнээс гадна хувийн компаниуд уг програмыг ашигласан халдлагад өртсөн байх магадлал өндөртэй.
Энэхүү нийтлэлээр манай компанийн мэргэжилтнүүд өөрсдийн шинжилгээн дээр тулгуурлан
бэлтгэсэн PlugX –ийн ерөнхий ажиллагаа, халдлагад өртсөн системийг хэрхэн цэвэрлэх талаарх мэдээлэл, зөвлөгөөг хүргэж байна.

PlugX хэрхэн ажилладаг вэ? 
PlugX компьютерт суусны дараагаар тухайн сүлжээнд байгаа Windows Domain Controller, эсвэл LDAP серверийг хайж олох, системийн administrative priviledge бүхий хэрэглэгчийн мэдээллийг олж авах замаар бусад системүүдэд халдварладаг. Мэдээж энэ бүх үйлдлийг командын төвийн (Command & Control server) удирдлагаар хийнэ.
Хийх үйлдлэл нь тухайн хувилбар ямар ямар plug-in ашигладагаас шалтгаална. PlugX нь бие даасан plug-in-үүд ашигладаг бөгөөд үндсэн disk, process, service, regedit, netstat, telnet, sql, keylog гэх мэт нийт 13 plug-in-тай [1]. Эдгээр нь гараас оруулж буй бүх товчлуурын мэдээллийг бичиж авах гэх мэт тус тусын үйлдлийг гүйцэтгэдэг.

Password log
Ажиллах явцдаа гараас оруулсан бүх товчлуурыг бичих, тэр дундаа бүх төрлийн системүүд рүү хандсан хэрэглэгчийн нэр, нууц үгүүдийг бүртгэх, чатын түүхийг бичих гэх мэт үйлдлүүдийг хийж, эдгээр мэдээллүүдийг командын төв рүүгээ илгээнэ.
Ажиллагааны талаарх дэлгэрэнгүй шинжилгээг [2] –оос уншиж болно.

Халдлагад өртсөн эсэхээ шалгах 
PlugX-ийн хувилбар тухайн компьютер дээр ажиллахгүй, ямар нэг байдлаар зогссон үед
антивирусын програмууд файлыг нь танидаггүй. Харин ажиллах явцад зарим нэг антивирус Korplug trojan санах ой дээрээс илэрлээ гэж мэдээллэх боловч үндсэн файлуудыг нь олж устгаж чадахгүй. Учир нь үндсэн файл нь системийг асах үед ажиллаад хортой кодоо системийн сервисүүдэд хавсаргасны дараа зогсчихдог. Тэхээр антивирустээ найдах хэрэггүй гэсэн үг.

Харин гар аргаар буюу хамгаалалтын системүүд, SysInternals –ийн програмууд, мөн зарим нэг file manager програмын тусламжтайгаар илрүүлж болно.
  1. Танай байгууллага хэрвээ IPS, IDS гэх мэт хамгаалалтын төхөөрөмжүүдтэй бол манай сүлжээний ийм IP-наас PlugX (ихэвчлэн Korplug гэж нэрлэгдсэн байдаг) –ийн командын төвтэй холбогдох оролдлого хийлээ гэсэн алертын дагуу халдлагад өртсөн компьютерийг олж болно.  
  2. Хамгаалалтын төхөөрөмж байхгүй ч танай сүлжээнээс PlugX –ийн командын төвүүдийн тоонд багтсан ямар нэг домэйн (Монголд ихэвчлэн *.baatarhuu.com, mongolbaatar.net гэх мэт монгол нэртэй домэйн ашиглагддаг) рүү чиглэсэн траффик илэрсэн бол халдлагад өртжээ гэж үзнэ. 
  3. Халдлагад өртсөн ямар нэг систем олсон, сэжиглэж байгаа бол тухайн систем дээр ажиллаж байгаа процессуудыг шалгана. Хэрвээ дотроо msiexec.exe дэд процесс агуулсан ямар нэг процесс (ихэвчлэн svchost.exe) байвал тус процессын Properties –ийг шалгах хэрэгтэй. Хэрвээ <Non-existent parent process> гэж байвал та хайж байгаа зүйлээ олсон гэсэн үг.
    Process tree

    Та тухайн систем дээр ямар нэг програм суулгаж байгаа биш л бол msiexec.exe систем дээр ажиллаж байх шалтгаан бараг л үгүй.  
  4. Сэжигтэй сервис байгаа эсэхийг шалгана. Сэжигтэй процессыг ажиллуулахын тулд систем дээр ямар нэг сервис зайлшгүй үүсгэсэн байх ёстой. Мэдээж сэжиг авахуулахгүйн тулд сервистээ тун гэмгүй байж мэдэхээр нэр өгсөн байдаг.
    Service

    Манай жишээнд CyberLink корпорацийн CyberLink нэртэй сервис үүсчээ. Эндээс бид хайж байгаа зүйлийнхээ хаана оршин байгааг олж авлаа. Сервисийг амархан олдохоос сэргийлж Nvidia, Symantec, McAfee, Adobe гэх мэт хүн бүрийн танил компаниудын нэр, файлыг ашигласан сервис үүсгэх магадлал өндөр.

Эдгээр шинж тэмдгүүд илэрвэл та, эсвэл танай байгууллага халдлагад өртжээ гэж үзэж болно.

Системийг цэвэрлэх 
Халдлагад өртсөн системийг цэвэрлэхдээ дараах алхмуудыг хэрэгжүүлнэ:
  1. Хортой код агуулан ажиллаж буй процессуудыг (svchost.exe, msiexec.exe бүгдийг нь) зогсооно. Ингэхгүй бол файлуудаа дахин үүсгэчихдэг.  
  2. Өмнөх шалгалтаар илрүүлсэн сервисийг устгана. Хэрвээ шууд устгах боломжгүй бол Register дээрх бичилтийг устгаж болно. Мөн нэг биш хэд хэдэн сервис үүсгэсэн байх магадлалтайг анхаарах хэрэгтэй.  
  3. Үндсэн файлуудыг устгана. Сервисийг илрүүлэхдээ үндсэн файлын замыг тодорхойлж чадсан. Ихэвчлэн C:\program files (x86)\common files\microsoft shared, services, system зэрэг хавтсуудад сервист шаардагдах файлуудыг байршуулсан байдаг. Эдгээр хавтаснуудаа шалгаж байхад гэмгүй.
    Files

    Нэг *.exe файл, нэг *.dll, нэг буюу хэд хэдэн *.lib, *.helper, *.url өргөтгөлтэй файлууд байвал таны хайсан зүйл гарцаагүй мөн юм. Энэхүү шинжээр сервисээ юу ч гэж нэрлэсэн бай олох боломжтой. Эдгээр файлуудыг та юугаар ч шалгасан вирус гэж танихгүй.  
  4. Дээр дурдсан байрлалаас гадна бүх хэрэглэгчийн профилыг агуулдаг стандарт хавтсанд (C:\Users\All users\, C:\Documents and Settings\All Users\ гэх мэт) RasTls, DRM, WinSxs, RasSFX гэх мэт нэртэй нуугдмал хавтсуудыг байршуулдаг. Эдгээрийг file manager програм л ашиглахгүй бол хичнээн нуугдсан файлыг харуулах тохиргоо хийсэн ч Windows Explorer дээр харагдахгүй өнгөрөх магадлалтай. Эдгээр файлуудыг ч мөн устгах ёстой.
    Hidden directory
  5. Мөн updata гэсэн хавтас үүсгэж түүнд цуглуулсан мэдээллүүдээ хадгалах нь бий. Тэндээс та магадгүй мартчихаад байсан нууц үгээ олж магадгүй юм :)
  6. Нэмэлт байдлаар халдлагад өртсөн системийн санах ойн хуулбарыг аваад Volatility гэх санах ойн шинжилгээ хийх зориулалттай програмын PlugX –т зориулсан plug-in-ийг ашиглан тохиргоог нь харж болно. Гэхдээ энэ алхмыг хөнөөлт програм ажиллаж байх үед хийх ёстойг анхаарна уу! Үр дүн нь дараах байдалтай харагдана.
    PlugX config

    Тохиргоонд үндсэн файлуудыг агуулж буй хавтас, сервисийн нэр, хортой код хавсаргасан процесс, командын төв гэх мэт мэдүүллүүд агуулагддаг. Эндээс та командын төвийн domain хаягийг олж болно.

Зөвлөмж 
Халдлагад өртсөн бүх системийг цэвэрлэж дуусаад дараах арга хэмжээнүүдийг яаралтай авч хэрэгжүүлэх нь зүйтэй юм. Үүнд: 
  1. Хэрэглэгчдийн нууц үгийг даруй солих хэрэгтэй. Системийн хэрэглэгчдээс гадна халдлагад өртсөн системүүд ажилладаг хүмүүсийг хувийн нууц үгсээ солихыг ч анхааруулахад гэмгүй. 
  2. Танай сүлжээнд Windows domain (Active Directory) ашиглагддаг бол administrative эрхтэй бүх хэрэглэгчийн нууц үгийг нэн даруй солино. 
  3. Цахим  шуудангаар ирсэн сэжигтэй захидлын хавсралт файлыг нээхгүй байх, сэжигтэй вэб сайт руу хандахгүй байх дадлыг бий болгох, танин мэдүүлэх сургалт, зөвлөгөөг тогтмол өгч байх. 
  4. Нууц үгсийг тогтмол хугацаанд сольдог бодлого баримтлах 
  5. Үүнээс гадна систем хэвийн бус ажиллах, гацах, байн байн рестарт хийгдээд байвал дээрх шалгалтуудыг тухайн систем дээр хийж байх хэрэгтэй.

Ашигласан материал:

PlugX C&C server IP and domains: 
  • *.teever.mn
  • *.goodmongol.com
  • *.baatarhuu.com 
  • *.mongolbaatar.net
  • *.mol-government.com
  • *.molnews.net
  • *.heritageblog.org
  • *.firefox-sync.com
  • catologipdate.com
  • google.lookipv6.com 
  • 45.32.64.183
  • 104.207.152.11 
  • 98.126.24.12
  • 173.208.206.172




No comments:

Post a Comment