BI.ZONE gözlegçileri Lizar gurallar toplumynyň täze zyýanly wersiýasyny tapdylar. Ýaramaz niýetli ulanyjylar bu guraly Check Point ýa-da Forcepoint kompaniýalaryň adyny ulanyp, resmi pentest guraly hökmünde görkezmäge synanyşýarlar.

BI.ZONE kompaniýasy Lizar nusgasyny öwrenip, bu guralyň gurluşy Carbanak Backdoor-a meňzeýändigi we işjeň kämilleşýändigi netijesine geldi. Zyýanly gurallaryň täze toplumy Windows programmasyndan, serwer programmasyndan (ikisi hem .NET platformasynda ýazylan), plagin ýükleýjisinden, şeýle hem müşderi we serwer tarapynda gurnalýan birnäçe plaginlerden ybarat.

Plagin ýükleýjisi we bu görnüşli modullar zäherlenen enjamda botuň düzüm bölekleri hökmünde işleýärler. Derňewiň netijesi Lizar botunyň birnäçe buýruklary ýerine ýetirip bilýändigi görkezdi, şol sanda:

• zäherlenen ulgam barada maglumat bermek;

• ekran suratyny almak;

• işleýän prosesleriň sanawyny düzmek;

• Mimikatz programmasyny işletmek;

• brauzerlerden we operasion ulgamdan açar sözleri ýygnaýan plagin işletmek;

• tor we Active Directory barada maglumat ýygnamak üçin plagin işletmek;

• Carbanak Backdoor işletmek.

Lizar-yň modul arhitekturasy aňsatlyk bilen plagin goşmak mümkinçiligini berýär. Hünärmenler şu wagta çenli Lizar botlarynyň üç görnüşini tapdylar: DLL, EXE we skript wersiýasy.

Çeşme: anti-malware.ru