💮 🆖 ⏲️ 管理を許可しますか？ 🦁 📩 🚸

ハッカーの主な敵（この単語の本来の意味については議論しません-今では悪意のあるプログラムの作成/配布に関与する人を指します）は、さまざまな程度の成功を収めたウイルスを検出し、それらを削除します。これに使用される違法な活動やユーティリティの検出を防ぐ方法の1つは、合法的なソフトウェアをその目的に「強制」する試みです。たとえば、パラメータを使用してwgetを実行できる場合、ファイアウォールまたはヒューリスティック（署名は言うまでもありません）で不利になるリスクを冒して、インターネットから何かをダウンロードするのはなぜですか？ blatの場合、なぜあなたの通信に煩わされるのですか？無料のリモート管理プログラムがある場合、コンピューターのリモート監視ユーティリティを実行するのが長くて難しいのはなぜですか？

最近、国内企業TektonITによって製造されたリモートマニピュレーターシステム（RMS）プログラムは、雑多なハッカー同胞団の間で最も人気を集めています。

これにはいくつかの理由がありますが、リスティングに転送するのはかなり困難です。広告として認識されないもののために、単に主な機能をリストします。

1.隠されたインストールおよび操作の可能性。

2. IPに直接ではなく、サーバーを介した通信。

3.多数のコンピューターを管理する機能。

4.ソフトウェアは合法であり、電子デジタル署名があります。

5.プログラム自体のファイルは少数のアンチウイルスによって検出されます-暗号化する必要さえありません（バージョンによって5〜20）。

6.中等学校レベルでの使いやすさ。

要するに、作品の技術的本質は次のとおりです。

1. RMSファイルは「犠牲者」のコンピューターに隠しモードでインストールされます。公式インストーラーを使用することもありますが、多くの場合「手動」です。スクリプトはファイルを適切なフォルダーに入れ、「サイレント」登録を開始するか、それ自体を登録します。

2.ホストはメールでIDとパスワードを受け取ります。

3.ボットネット+1で。

これは、すべてを実行するbatファイルを含むSFXアーカイブとして、またはNSISインストーラーとして実装されます。初心者を支援するために、このようなアーカイブの作成方法を詳細に説明する美しいスクリーンショットを含む多くの記事があります。バッチファイルとファイル自体は自然に記事に添付されます。才能のある人のために、ビデオマニュアル（多数）も削除され、「ビルダー」が作成されます-データを入力する必要がある美しいウィンドウ（パスワードとIDを送信する場所）-すべてが自動的に行われます。

一部の知識人の心の中では、RMSが非常に強固であるため、RMSはハッキングユーティリティであるため、一般的には...

しかし一方で、バリケードもすべて落ち着いているわけではありません-緊張した管理者とユーザーは「？！」までの質問でサポートを急いでいます-その後、1つのウイルス対策が何かを削除し、別のウイルスが管理者を疑います。サポートが手を差し伸べ、ウイルス対策ソフトに直接書き込むことを申し出ます。彼らは、書き込みが多ければ多いほど、偽陽性をより早く除去すると言います。その後、新しいバージョンをリリースします。検出はありませんが、しばらくすると再び表示され、すべてが正常に戻ります。

しかし、バリケードの3番目の側面もあります。一般的に信じられているように、一般的に壁には2つの側面があるため、誰も気付かず、まったく側面とは見なされませんが、それほど単純ではないため、円形の防御を行うウイルス対策もあります：ユーザーを保護する必要があります悪意のあるハッカーは、TektonITのマネージャー/弁護士と連絡を取り、不便を尋ねる管理者を排除する必要があります。

現在、ウイルス対策科学は次の高さに達しました。

1.探偵の名において、想像力を尽くして、彼らはそれが何であるかについての情報を伝えようとします（名前の次のコンポーネント部分があります：RemoteAdmin、RMS、Riskware、RemoteUtilities、not-a-virus ...など、さらにそのようなヒントの3つの部分検出器の名前に固執する人もいます）;

2.そのようなソフトウェアへの警告は、ユーザーを安心の状態から解放しないように、より柔らかい色と音のスペクトルによって区別されます。

3.このクラスのソフトウェアの検出は、ウイルス対策設定で完全に無効にできます。

4.そしてまだ-これは純粋に「国家的な」問題です-通常、これはCISを超えて広がることはありません。このプログラムはロシア語で、ロシアのビルダーであり、スパムとソーシャルエンジニアリングによって配布されているため、ほとんどの外国のウイルス対策企業は、ここで何が起こっているのかを知らないだけです。もちろん、それらのファイルは同じウイルス合計からvirlabに送られますが、明らかに、彼らは私たちの地域の状況をよく見ていませんが、ロシアのアンチウイルスといくつかの外国のアンチウイルス（私たちの国に大きなスタッフがいる）血液ウイルスメーカーを台無しにします。

NSISビルダーでの動作は次のとおりです。

このビルダーには何も入力する必要さえありません-メールへの送信はありません。ID+パスはビルド段階で生成され、ファイルに保存されます。署名検出の数を減らすこのハックは、非常に一般的な方法を使用しています-パスワードでアーカイブを作成します：すべてのRMSファイルはパスワードで保護されたアーカイブにあり、コマンドラインパラメーターにインストールされると、アーカイバー（オンボード）にアーカイブのパスワードが与えられます。このようなフェイントを使用すると、ディスク上のファイルスキャンをバイパスできます（通常、ウイルス対策ソフトウェアはパスワードを解読しません）が、インストール中に（検出された場合）ファイルは展開され、ウイルス対策モニターによって検出されます（もちろんオンになっている場合）。

RMSのパッチを適用したバージョンを別のクラスとして置くことができます。たとえば、ファイルを反転して調べ、追加機能が「切り取られる」（掘り、ジャンプする）場合、たとえば、ユーザーのコンピューターへのアクセスデータがそのように送信されることを示すウィンドウをユーザーに表示する場合、メールアドレス（このような機能が登場したバージョンの1つから始まります）。ウイルス対策の検出をノックダウンしてマスクするためにパッチが使用されることがあります（バージョン情報、ファイル内の行が中断されます）。その結果、しばらくしてからファイルがリモートツールとして検出されなくなります（これらの検出については上記）、トロイの木馬またはバックドアとして、そして悪のために- 10個のアンチウイルスではなく、30個...この場合、ファイルの署名がクラッシュします。これは、通常のマルウェアである真空中の抽象的な仮想ラボの観点から取得されるためです。

場合によっては、ビルダーは設定を使用してテキストiniファイルへの書き込みのみを行い、ビルド自体のパッチ適用/構成に関するすべての作業は作成者が行います。

そのようなビルダーの例を次に示します。

松葉杖は、RMSからのウィンドウの外観を監視するスクリプトの形式で使用したり、プロセスに必要なフックを配置したり、ウィンドウ表示領域でプロセスのロジックを変更したりするdllライブラリの形式で使用することもできます。これらの2行のスクリプトは実際には検出されず、ライブラリは30を超えるアンチウイルスによって検出されます。これにより、操作全体が大幅に危険にさらされるため、非常にまれにしか使用されません。

検索エンジンでRMSの検出器の名前を検索すると、一般の人（チャットでの不正行為者のソーシャルエンジニアリングの助けを借りた手動の感染ではない）に対して、公開ビルダーからではなく、それに関する記事から取得された組み合わせが使用されていることがわかりますそのようなアセンブリは、フォーラムやビルダー向けに販売されています。その本質は、インストールによってbatファイルが生成されることです。これにより、非表示モードで有効なmsiインストーラーがインストールされます。したがって、ウイルス対策ソフトウェアには、これを停止するための2つのオプション（バットファイルの検出（および簡単に変更および検出のリセット）およびRMSファイル自体）しかありません。アンチウイルスがターゲットファイルを検出せず、そのようなトロイの木馬がコンピューターに侵入したときにbatnikで検出がなかった場合、すべてが無駄になります-次回の更新で検出され始めても、RMSはもう必要ないため、遅すぎますそれは明確な良心で廃棄することができます。

このツールは、初心者のハッカー（学童、脚本の子供など）と、それがパンである「継続的に作業する」ことの両方で使用されることに注意してください。そのようなアクセスは、とんでもない価格で何百ものフォーラムで販売されています。

このような攻撃は、通常の利益（パスワード、お金）の抽出だけでなく、いくつかのホルモンを過剰に持っている人々への販売にも使用されます-多くの場合、服を着ていない状態でコンピューターの前にいる少女のコンピューターへのアクセス。

すでにこの記事の執筆過程で、カスペルスキーは9月11日に「インシデント調査：RBシステムでの盗難」を公開しました。これは、「仲間、正しい道を進んでください。彼は感染していました。そのため、記載されているマルウェアを入手し、カスペルスキーの記事に新しいパンを追加することにしました...

記述されたエクスプロイトの配布は、2014年1月に行われました。ドキュメントが開かれると、ファイルがダウンロードされて起動されました。ファイルは7z-sfxアーカイブで構成され、アーカイブをCOyNldyUパスワードで解凍し、コマンドラインを使用して渡します（LCはこのマルウェアの異なるビルド、わずかに異なる修正を持っている可能性がありますが、すべての動作と名前はほぼ完全に一致します）。次に、パスワードで保護されたコンテナから抽出されたbatファイルが起動され、RMSファイルがシステムにインストールされました。このバッチファイルは非常に適切に機能したため、興味深いものです。まず、プロセスを強制終了してサービスを終了/削除することでシステムから自分自身を削除しようとし、％APPDATA％\ Microsoft \ Systemにインストールできない場合はシステムの権限も確認し、設定を書き込みますHKCU \ソフトウェア\システム\システム\インストール\ Windows \ユーザー\サーバー\パラメーター。

また、ステルスモードで多数のコンソールユーティリティを実行することにより、Windows RDPのパッチと更新が実行されました（明らかに、現在のユーザーがリモートでスローされないようにするため）。

結論として、検出に状況を紹介したいと思います。

推薦は次のとおりです。

1.異なるバージョンのRMSからのrutserv.exeファイルの検出。この問題でハッカーを助けないために（検出するバージョンとアンチウイルスの数はあまりにも明確になります）、次のようにします：アンチウイルスが少なくとも75％を検出した場合、プラスとハーフマイナス未満、残りの間隔は±になります;

2. 2番目のビルダーの下からのファイル検出（常に同じですが、構成は異なります）。

3. RMSをシステムにインストールするためのbatファイルの検出-これらは、このマルウェアの自己組織化に関するさまざまな記事と、逆にこの感染を元に戻してファイルをアップロードしようとするフォーラムから取得されました。結果の報告-最初の段落と同様。

4. KasperskyLabの記事に記載されているBatファイル。

実際には、結果は画像上に表示されますが、それらに解釈を与えようとします：

1.予想どおり、ロシアの3つのウイルス対策ソフトは非常にまともな結果を示し、このクラスのマルウェアに細心の注意を払っていることを示しています。カスペルスキーは伝統的に良い結果を示しており、Dr.Webは国内市場（特に官公庁や大企業）にほぼ完全に焦点を当てており、アウトポストチーム-伝説のファイアウォールの作成者も判明しているように、敵対者と頑固に戦っています...極度の懸念。」

2.ベラルーシの同胞からの同志（VBA32）は、この家族に幾分奇妙な方法で反応した。偶然に...可能性はありますが、陰謀理論をプレイしたい場合は、かなり興味深いパズルがあります。まず、このウイルス対策は純粋に内部状態です。企業は、2番目に、KGBが既に市民にRMSプログラムを感染させることを好んでいるように見えました。これらのポイントが相互に関連しているかどうかは未解決の問題であり、2番目のポイントの信頼性も公証されていませんが、「クラッカープログラマー」のコメントのためだけに、リンクから資料を読むことをお勧めします-上記の観点から、それが何であるかを評価できますナンセンスを負います。彼らのRMSアセンブリ（彼らがそれについて話し始めたので）もまた顕著なものを表していない：アーカイブ+松葉杖+アーカイブ+バッチファイル+バルクRMSファイル。

エピローグ

結論ではなく、エピローグ。これらの結論のどれを引き出すことができるかはわかりません。卒業証書/要約であれば、ルールに従って、私たちはここで木の上で成長したでしょう、そして...私たちが研究したことから、私たちは読者が眠らないように最も興味深い有用なことを伝えようとしました-彼らは面白い写真でそれらを希釈し、記事をオーバーロードしないようにしました用語とプロファイルの狭さ（asmコードのリスト、重要な場所に赤い下線が引かれたスクリーンショット）。私たちはまだ、スクリーンショットを使って、あまり服装の良くない人（だけでなく）性別が弱い人のために、カメラを通して監視することについての私たちの言葉を敢えて説明しませんでした。これからの記事があまり情報的でおもしろくならないことを願っています。

ご清聴ありがとうございました。

管理を許可しますか？

エピローグ

More articles: