पोर्टेबल अनुप्रयोगों में चुपके यूएसबी ट्रोजन छुपाता है, एयर-गैप्ड सिस्टम को लक्षित करता है

यूएसबी ड्राइव के माध्यम से एक ट्रोजन प्रोग्राम वितरित किया जा रहा है और ऐसा लगता है कि तथाकथित एयर-गैप्ड कंप्यूटर से जानकारी चोरी करने के लिए डिज़ाइन किया गया है जो इंटरनेट से कनेक्ट नहीं हैं।

नए ट्रोजन को एंटीवायरस फर्म ईएसईटी से सुरक्षा शोधकर्ताओं द्वारा यूएसबी चोर को डब किया गया है और इसमें कई विशेषताएं हैं जो इसे पारंपरिक मैलवेयर प्रोग्राम से अलग करती हैं जो यूएसबी स्टोरेज डिवाइस और विंडोज ऑटोरन फीचर का उपयोग करके फैली हुई हैं ।

सबसे पहले, यूएसबी चोर यूएसबी ड्राइव को संक्रमित करता है जिसमें फ़ायरफ़ॉक्स, नोटपैड ++ या ट्रूक्रिप्ट जैसे लोकप्रिय अनुप्रयोगों के पोर्टेबल इंस्टॉलेशन शामिल हैं। यह प्लग-इन या डीएलएल (गतिशील लिंक लाइब्रेरी) के रूप में इस तरह के इंस्टॉलेशन के लिए कॉपी किया गया है और फिर उन अनुप्रयोगों के साथ निष्पादित किया जाता है।

[आगे पढ़ने: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

कुछ परिदृश्यों में, विशेष रूप से एयर-गैप्ड कंप्यूटर से निपटने पर, उपयोगकर्ता सिस्टम पर इसे इंस्टॉल करने से बचने के लिए अस्थायी रूप से एक यूएसबी स्टिक से सीधे एप्लिकेशन चलाएंगे। कई लोकप्रिय अनुप्रयोगों के "पोर्टेबल" संस्करण हैं और वे उपयोग किए जाने के बाद सिस्टम पर किसी भी फाइल या रजिस्ट्री प्रविष्टियों को नहीं छोड़ते हैं।

अभ्यास पीसी समर्थन तकनीशियनों या सिस्टम प्रशासकों के बीच भी आम है, जिन्हें अक्सर समस्याओं का निवारण करना पड़ता है उपयोगकर्ता के कंप्यूटर, इसलिए वे अपने पसंदीदा उपकरणों के पोर्टेबल संस्करणों के साथ एक यूएसबी स्टिक ले जाते हैं।

यूएसबी चोर ट्रोजन एक मल्टी-स्टेज मैलवेयर प्रोग्राम है, जो तीन एक्जिक्यूटिव से बना है, प्रत्येक श्रृंखला में अगला घटक लोड करता है, दो एन्क्रिप्टेड कॉन्फ़िगरेशन फ़ाइलें और अंतिम पेलोड।

पहले लोडर को छोड़कर, जिसे एक वैध प्लग-इन या पोर्टेबल एप्लिकेशन के डीएलएल के नाम पर रखा गया है, अन्य घटकों के नाम क्रिप्टोग्राफिक ऑपरेशंस के आधार पर निर्धारित किए जाते हैं और एक संक्रमित से अलग होते हैं यूएसबी ड्राइव दूसरे के लिए।

उदाहरण के लिए, पहला लोडर अपनी खुद की सृजन तिथि के साथ संयुक्त रूप से एक एसएचए 512 हैश की गणना करेगा और उस फ़ाइल को निष्पादित करने का प्रयास करेगा जिसका नाम उस हार्ट से मेल खाता है श। यह दूसरा लोडर होगा।

दूसरा लोडर यह जांच करेगा कि क्या यह सही माता-पिता द्वारा शुरू किया गया था और फिर कॉन्फ़िगरेशन फ़ाइल को डिक्रिप्ट करने का प्रयास करेगा जिसका नाम SHA512 हैश अपनी सामग्री और निर्माण समय टैम्प है।

कॉन्फ़िगरेशन फ़ाइल को एईएस 128 एल्गोरिदम के साथ एन्क्रिप्ट किया गया है और कुंजी को यूएस डिस्क डिवाइस की अद्वितीय आईडी से इसकी डिस्क गुणों के साथ गणना की जाती है। दूसरा लोडर तब तीसरे लोडर को चलाने का प्रयास करेगा, जिसका नाम कॉन्फ़िगरेशन फ़ाइल की सामग्री और उसके निर्माण समय के SHA512 हैश है।

इन सभी क्रिप्टोग्राफिक सत्यापनों में भौतिक के बिना मैलवेयर का विश्लेषण करना बेहद मुश्किल हो जाता है विशिष्ट यूएसबी डिवाइस तक पहुंच जिसके लिए इसे बनाया गया है। फ़ाइलों को किसी भिन्न यूएसबी डिवाइस या कंप्यूटर पर कॉपी करने से निष्पादन श्रृंखला टूट जाएगी क्योंकि फ़ाइल निर्माण तिथियां संशोधित की जाएंगी। कॉन्फ़िगरेशन फ़ाइलों को अद्वितीय यूएसबी आईडी के बिना भी डिक्रिप्ट नहीं किया जाएगा।

अंतिम पेलोड को एक नई विंडोज svchost.exe प्रक्रिया में इंजेक्शन दिया गया है और दूसरी एन्क्रिप्टेड कॉन्फ़िगरेशन फ़ाइल से निर्देश पढ़ता है। ये निर्देश कंप्यूटर से चोरी करने के लिए कौन सी जानकारी को परिभाषित करते हैं, इसे कहां स्टोर करना है और इसे कैसे एन्क्रिप्ट करना है।

"अगर हमने विश्लेषण किया है, तो यह सभी डेटा फ़ाइलों जैसे छवियों या दस्तावेजों, पूरे विंडोज रजिस्ट्री पेड़ को चुरा लेने के लिए कॉन्फ़िगर किया गया था (एचकेसीयू), सभी ड्राइव से फाइल सूचियां, और आयातित ओपन-सोर्स एप्लिकेशन का उपयोग करके इकट्ठा की गई जानकारी जिसे 'विनऑडिट' कहा जाता है, "ईएसईटी शोधकर्ताओं ने एक ब्लॉग पोस्ट में कहा।

चोरी डेटा वापस यूएसबी ड्राइव में सहेजा गया था और अंडाकार वक्र क्रिप्टोग्राफी का उपयोग करके एन्क्रिप्ट किया गया था। एक बार यूएसबी ड्राइव हटा दिए जाने के बाद, कंप्यूटर पर कोई सबूत नहीं छोड़ा गया, ईएसईटी शोधकर्ताओं ने कहा।

इन सभी विशेष विशेषताओं - मैलवेयर को यूएसबी डिवाइस से जुड़ा हुआ है, जो मजबूत एन्क्रिप्शन और क्रिप्टोग्राफिक रूप से सत्यापित मल्टी-स्टेज निष्पादन के उपयोग से जुड़ा हुआ है-सुझाव देता है कि यह लक्षित हमलों के लिए डिज़ाइन किया गया था, खासकर एयर-गैप्ड सिस्टम के खिलाफ।

चूंकि किसी बाहरी सर्वर से इंटरनेट कनेक्शन पर चोरी किए गए डेटा को तुरंत भेजने का कोई प्रयास नहीं है, इसलिए यह मानना ​​उचित है कि हमलावरों के पास बाद में संक्रमित यूएसबी ड्राइव से इसे पुनर्प्राप्त करने की क्षमता है।

यूएसबी चोर हो सकता है एक बड़े साइबेस्पिनेज प्लेटफ़ॉर्म का एक घटक, उदाहरण के लिए एक जो किसी संगठन के आईटी कर्मचारियों द्वारा उपयोग किए जाने वाले इंटरनेट से जुड़े कंप्यूटरों को संक्रमित करता है। उस स्थिति में, हमलावर बस उन कर्मचारियों के लिए एयर-गैप्ड सिस्टम पर उपयोग करने के बाद संक्रमित यूएसबी स्टिक को अपने कंप्यूटर में प्लग करने के लिए इंतजार करेंगे और फिर चुराए गए डेटा को पुनः प्राप्त करेंगे।

इस तरह के व्यवहार के लिए उदाहरण है। समीकरण समूह, जो इतिहास में सबसे परिष्कृत और लंबे समय से चलने वाले साइबेस्पेशिएज अभियानों में से एक के लिए ज़िम्मेदार है, ने यूएसबी कीड़े को फैंसी नामक दोनों संक्रमित एयर-गैप्ड सिस्टमों के लिए उपयोग किया है और फिर उन्हें आदेश पास कर दिया है।

यह नहीं होगा ईएसईटी के शोधकर्ताओं ने कहा कि यूएसबी चोर को किसी अन्य दुर्भावनापूर्ण पेलोड में डेटा-चोरी पेलोड को बदलने के लिए फिर से डिजाइन करना मुश्किल है।

ईएसईटी के आंकड़े बताते हैं कि यह नया ट्रोजन बहुत व्यापक नहीं है, लेकिन यह प्रकृति को आश्चर्यजनक नहीं है।

" जहां भी संभव हो, यूएसबी बंदरगाहों को अक्षम किया जाना चाहिए और यदि यह संभव नहीं है, तो उनके उपयोग में देखभाल को लागू करने के लिए सख्त नीतियां होनी चाहिए, "एक अलग ब्लॉग पोस्ट में ईएसईटी के मैलवेयर विश्लेषक टॉमस गार्डन ने कहा। "वास्तविक स्तर के परीक्षण सहित साइबर सुरक्षा प्रशिक्षण से गुजरने के लिए सभी स्तरों पर कर्मचारियों के लिए यह बेहद वांछनीय है।"