Өнөөдрийн мэдээ

Өмнөх мэдээ

МонПасс тоон гарын үсэг олгогч хортой код тараадаг уу

Digital signature буюу тоон гарын үсэг нь интернет орчинд хэрэглэгч өөрийгөө баталгаажуулах боломж олгодог технологи юм. Монгол улсад 2011 онд Цахим гарын үсгийн тухай хууль батлагдаж дагалдах журмууд нь бий болсоноор 2015 онд хамгийн анхны Certificate Authority буюу тоон гарын үсэг олгогч мэндлэх боломжтой болсон юм.

Монголын хамгийн анхны тоон гарын үсэг олгогчдын нэг МонПасс ХХК-ийн гарын үсэг олгодог клиент аппликэйшнийг антивирус системүүд вирус гэж таниад байна гэсэн гомдол ирсэний дагуу анализ хийж үзэв.

Надад ирүүлсэн МонПасс аппликэйшнь нь Monpass.Client.Tool.exe нэртэй 2017 оны 4 сарын 25-д компайл хийсэн 1.0.0 хувилбар нь ажээ. Уг файлын md5 hash болон уг файлыг өөрийг нь virustotal.com сайтаар оруулж шалгахад нийт 67 антивирусээс 19 нь хортой гэж таньж байв.

 

Уг файлыг ажиллуулж динамик анализ хийж үзэхэд VBOXSVR.ovh.net домэйн руу DNS request (beacon) явуулж байв. Уг домэйнийг Open Source Intelligence буюу OSINT сайтууд fraud буюу луйвар ransomware буюу барьцаалагч хортой кодтой холбоотой гэж 2014 оноос хойш мэдээлж байжээ. Мөн порно сайтнаас суудаг криптомайнерууд уг домэйн рүү зааж байгаа давхцал ч гарч ирж байв.

Эх кодны түвшинд бусад хортой кодтой адилтгах шинж чанар байгаа эсэхийг шалгадаг intezer систем уг файлыг хортой бөгөөд доорхи хортой код агуулсан файлуудтай ижил найрлагатай байна гэж харуулж байв.

 
 

Хамгийн сонирхолтой нь уг файлыг анх компайл хийсэн өдрийн маргааш нь virustotal.com сайт руу оруулж шалгасан байгаа юм.

 

Ямар тохиолдолд програмыг компайл хийсний дараахан антивирусээр шалгаж үздэг вэ? Миний төсөөллөөр бол хортой код бичиж дуусмагцаа уг кодыг антивирус таньж байгаа эсэхийг шалгаж үзэхийн тулд байх.

Дээрхи шинжилгээнүүдийг харахад МонПасс ХХК-ийн гаргасан тоон гарын үсгийн аппликэйшнь нь хортой код гэж хэлж болох бүрэн үндэслэлтэй юм. Гэхдээ энэ маань уг програмын 1.0.0 буюу хамгийн анхны хувибар үүнээс цааш бас юмс сайжирсан байж магадгүй гэж үзээд өнөөдөр буюу 2019–04–02-ний өдөр МонПасс ХХК-ийн вэбсайтнаас инсталлер болох Monpass.Client.Installer.exe програмыг татаж авч ажиллуулахад Monpass.Client.Tool.exe програмын 2018 оны 4 сарын 27-д компайлдсан 1.2.1 хувилбарыг суулгав. Шинэ хувилбарыг virustotal.com сайт руу оруулж үзэхэд 67 антивирусны системээс 11 нь уг файлыг хортой гэж үзэж байв.

 

Динамик анализ хийж үзэхэд ямар ч байсан энэ удаад өнөөх сэжигтэй домэйн рүү холбогдсонгүй, зөвхөн өөрсдийн сервертэй холбогдож байв. Харин intezer тухайн файл илүү олон хортой кодтой холбоотой эх код агуулсан байна гэж харуулав.

 

Хортой кодны бүрэн шинжилгээ хийдэг hybrid-analysis.com уг файлыг 98%-ийн итгэлтэйгээр хортой код гэж таньж байв.

 

Хортой код гэж таних болсон шалтгаануудыг MITRE ATT&CK таксаномийн хүрээнд шалгахад уг аппликэйшний хийж буй доорхи үйлдлүүдээс шалтгаалан хортой гэж таньжээ.

 

Хамгийн сонирхолтой нь МонПасс компаний албан ёсны вэбсайтны FAQ дээр антивирусээ унтрааж байгаад уг аппликэйшнийг суулгана уу гэсэн заавар явж байх юм.

 

Дүгнэлт

Дээрхи шинжилгээнүүдийн үр дүнд би лав хувьдаа МонПасс тоон гарын үсэг олгогч аппликэйшнь нь хортой (malicious) гэдэгт 100% итгэлтэй бөгөөд хэзээ ч өөрөө ашиглахгүй.

Гэхдээ яагаад ийм юм болсон байж болох талаар дараах хэдэн таамаглалыг дэвшүүлж байна.

Хувилбар 1:

МонПасс ХХК нь хэрэглэгчдийг уг аппликэйшнээрээ хордуулах ашиг сонирхолтой бөгөөд санаатай үйлдэл.

Би бол энэ хувилбарт итгэхгүй байна. Тоон гарын үсэг олгох бизнес өгөөжтэй бизнес байж магадгүй тул хүндээ хөнгөнөөс өгч идэж буй тогоо руугаа нулимаагүй байх гэж бодож байна. УБЕГ-ийн opendata мэдээллээр бол салбартаа нэр хүндтэй Интерактив ХХК болон Секьюрити солюшн сервис консалтинг компаниуд хамтарч МонПасс ХХК-г байгуулсан юм байна. Интерактив ХХК-г санаатайгаар вирус тараагаад явна гэхэд би лав хувьдаа итгэхгүй.

Хувилбар 2:

Тоон гарын үсэг үүсгэх процесс нь криптографийн тооцоолол хийж үйлдлийн системийн цөмийн түвшинд олон үйлдэл хийх тул антивируснууд уг аппликэйшнийг хортой гэж буруу таньж буй.

Энэ хувилбар бас л эргэлзээтэй. Магадгүй ганц нэг антивирус engine хортой гэж таньж буй бол байж болох хувилбар хэдий ч гурвын гурван гахай шүү дээ гэдэг шиг эхний хувилбар дээр 19 сүүлийн хувилбар дээр 11 антивирус хортой гэж танина гэдэг heuristic шинжилгээгээр яавч гэмгүй биш гэж гарч байна гэсэн үг.

Хувилбар 3:

МонПасс ХХК бүхэлдээ эсвэл энэ аппликэйшнь дээр ажиллаж байсан хөгжүүлэгчийн систем эзлэгдсэн (compromised) бөгөөд эх кодонд хортой кодоо хавсаргаж МонПасс-ийн аппликэйшнээр дамжуулан хэрэглэгчдийг нь хордуулсан.

Миний хувьд энэ л хамгийн боломжтой хувилбар санагдаж байна. 1.0.0 хувилбарыг компайль хийсний маргааш virustotal дээр шалгаж үзэж байна гэдэг нь хортой кодоо хавсаргаж чадсан хорт этгээд (malicious actor) антивирусээр илэрч байгаа эсэхээ шалгаж үзсэн байх магадлалтай. Уг аппликэйшнийг ашиглан хэрэглэгчдийн компьютерт хортой үйлдэл хийж байгаад 2018 он хавьцаа Command & Control (C2) сервер болох VBOXSVR.ovh.net нь sinkhole хийгдсэн буюу устсан бололтой. МонПасс ХХК аппликэйшний шинэ хувилбар дээрээс VBOXSVR.ovh.net домэйн рүү хандах хандалтыг болиулсан боловч эх кодоо бүрэн цэвэрлэж чадаагүй учир өнөөг хүртэл антивируснуудыг уг аппликэйшнийг хортой гэж үзсээр байгаа болов уу гэж би хувьдаа таамаглаж байна.
https://medium.com

Сэтгэгдэл бичих

АНХААРУУЛГА: Уншигчдын бичсэн сэтгэгдэлд JIRGEE.mn мэдээллийн сайт хариуцлага хүлээхгүй болно. ХХЗХ-ны журмын дагуу зүй зохисгүй зарим үг, хэллэгийг хязгаарласан тул ТА сэтгэгдэл бичихдээ хууль зүйн болон ёс суртахууны хэм хэмжээг хүндэтгэнэ үү. Хэм хэмжээг зөрчсөн сэтгэгдлийг админ устгах эрхтэй. Сэтгэгдэлтэй холбоотой санал гомдлыг 7000-1577 утсаар хүлээн авна.

Оруулах

Сэтгэгдэлүүд

Одоогоор сэтгэгдэл бичээгүй байна.

Ажлын байр