दुर्भावनापूर्ण पिछले दरवाजे Pikabot एक लोडर और एक मुख्य घटक के साथ मॉड्यूलर है जो अधिकांश कार्यक्षमता को लागू करता है। कई विरोधी विश्लेषण तकनीकों को नियोजित किया जाता है, जिससे दुर्भावनापूर्ण गतिविधि का पता लगाना मुश्किल हो जाता है।
विश्लेषण में वितरण मोड, अभियानों और मैलवेयर व्यवहार के संदर्भ में काकबोट के समान पाया गया, इस बात का कोई संकेत नहीं है कि क्या वे एक ही मैलवेयर लेखक हैं। यह कमांड-एंड-कंट्रोल सर्वर से कमांड प्राप्त करने में सक्षम है, जो किसी भी शेलकोड, डीएलएल या निष्पादन योग्य फ़ाइल को इंजेक्ट करता है।
दुर्भावनापूर्ण कार्यक्षमता
लोडर द्वारा प्रारंभिक संक्रमण के बाद, कोर मॉड्यूल दुर्भावनापूर्ण कार्यक्षमता को लागू करता है, जिसमें मनमाने आदेशों को निष्पादित करने और वास्तविक पेलोड को इंजेक्ट करने की क्षमता शामिल है। यह एक कोड इंजेक्टर का उपयोग करता है जो कोर मॉड्यूल को डिक्रिप्ट करता है। वे कई विरोधी विश्लेषण तकनीकों का उपयोग करते हैं, जैसे कि विंडोज एपीआई फ़ंक्शन बीप निष्पादन में देरी के लिए, विंडोज एपीआई फ़ंक्शन CheckRemoteDebuggerPresent या सैंडबॉक्स का पता लगाने के लिए झूठी लाइब्रेरी को पुनः लोड करना। इसके अलावा, सिस्टम की जानकारी जैसे कि मेमोरी या प्रोसेसर की संख्या के बारे में पूछताछ की जाती है। इसके अलावा, सार्वजनिक उपकरण ADVobfuscator का उपयोग मैलवेयर के महत्वपूर्ण तार को अस्पष्ट करने के लिए किया जाता है। यदि विश्लेषण-विरोधी परीक्षण विफल हो जाते हैं, तो पिकाबोट चलना बंद कर देगा।
कोर मॉड्यूल को फिर से लोड करते समय, पिकाबोट निम्नानुसार आगे बढ़ता है: सबसे पहले, संसाधन क्षेत्र में संग्रहित पीएनजी छवियों का एक सेट लोड किया जाता है। इन्हें बिटवाइज़ XOR ऑपरेशन द्वारा डिकोड किया जाता है। प्रत्येक छवि में कोर मॉड्यूल का एक एन्क्रिप्टेड हिस्सा होता है। एईएस (सीबीसी मोड) के माध्यम से कोड को डिक्रिप्ट करने के लिए 32-बाइट कुंजी का उपयोग किया जाता है, जिसमें एन्क्रिप्टेड डेटा के पहले 16 बाइट्स को इनिशियलाइज़ेशन वेक्टर के रूप में उपयोग किया जाता है। मुख्य पेलोड को डिक्रिप्ट करने के बाद, पिकाबोट इंजेक्टर वेरफॉल्ट जैसे डेटा पथ पर एक प्रक्रिया बनाता है, और कोर मॉड्यूल को इंजेक्ट करता है।
निष्पादन में देरी
इंजेक्टर के समान, कोर मॉड्यूल भी अतिरिक्त एंटी-विश्लेषण जांच पर निर्भर करता है, जैसे निष्पादन में देरी के लिए "स्लीप फ़ंक्शन"। इसमें एपीआई फ़ंक्शन एनटीसी शामिल हैontinue सक्रियण के लिए टाइमर के साथ। इन परीक्षणों के अलावा, संक्रमित सिस्टम की भाषा भी रिकॉर्ड की जाती है। यदि निम्नलिखित भाषाओं में से एक की खोज की जाती है, तो आगे का निष्पादन निरस्त कर दिया जाएगा: जॉर्जियाई, कज़ाख, उज़्बेक, ताजिक, रूसी, यूक्रेनी, बेलारूसी या स्लोवेनियाई। अभियोजन से बचने के लिए सीआईएस देशों के धमकी देने वाले अभिनेताओं के बीच अक्सर ऐसा दृष्टिकोण देखा जाता है। लोडिंग प्रक्रिया पूरी होने के बाद, पिकाबोट एकत्रित सिस्टम जानकारी का उपयोग करके कमांड और नियंत्रण सर्वर पर समझौता किए गए होस्ट को पंजीकृत करता है। अन्य बॉटनेट के समान, एक विशिष्ट पहचानकर्ता बनाया जाता है। जब पंजीकरण पूरा हो जाता है, तो पिकाबोट सर्वर पर प्रश्नों के साथ अपनी गतिविधि शुरू करता है।
Zscaler.com पर अधिक
ZScaler के बारे में Zscaler डिजिटल परिवर्तन को तेज करता है ताकि ग्राहक अधिक चुस्त, कुशल, लचीला और सुरक्षित बन सकें। Zscaler Zero Trust Exchange कहीं भी लोगों, उपकरणों और एप्लिकेशन को सुरक्षित रूप से कनेक्ट करके हजारों ग्राहकों को साइबर हमले और डेटा हानि से बचाता है। एसएसई-आधारित ज़ीरो ट्रस्ट एक्सचेंज दुनिया का सबसे बड़ा इनलाइन क्लाउड सुरक्षा मंच है, जो दुनिया भर के 150+ डेटा केंद्रों में वितरित किया जाता है।