Sedert die einde van verlede jaar het ons 'n nuwe kwaadwillige veldtog begin dop om 'n bank-Trojaan te versprei. Die aanvallers het daarop gefokus om Russiese maatskappye te kompromitteer, dit wil sê korporatiewe gebruikers. Die kwaadwillige veldtog was vir ten minste 'n jaar aktief en, benewens die bank-Trojaan, het die aanvallers gebruik gemaak van verskeie ander sagteware-instrumente. Dit sluit in 'n spesiale laaier verpak met behulp van , en spyware, wat vermom is as die bekende wettige Yandex Punto-sagteware. Sodra die aanvallers daarin geslaag het om die slagoffer se rekenaar te kompromitteer, installeer hulle 'n agterdeur en dan 'n bank-Trojaan.
Vir hul wanware het die aanvallers verskeie geldige (op daardie tydstip) digitale sertifikate en spesiale metodes gebruik om AV-produkte te omseil. Die kwaadwillige veldtog het 'n groot aantal Russiese banke geteiken en is van besondere belang omdat die aanvallers metodes gebruik het wat dikwels in geteikende aanvalle gebruik word, dit wil sê aanvalle wat nie bloot deur finansiële bedrog gemotiveer is nie. Ons kan 'n paar ooreenkomste opmerk tussen hierdie kwaadwillige veldtog en 'n groot voorval wat vroeër groot publisiteit ontvang het. Ons praat van 'n kuberkriminele groep wat 'n bank-Trojaan gebruik het /.
Die aanvallers het slegs wanware geïnstalleer op rekenaars wat die Russiese taal gebruik het. Windows (lokalisering) by verstek. Die hoofvektor vir die Trojaan se verspreiding was 'n Word-dokument met 'n aanval. , wat as 'n aanhangsel by die dokument gestuur is. Die skermkiekies hieronder wys die voorkoms van sulke vals dokumente. Die eerste dokument is getiteld "Faktuur No. 522375-FLORL-14-115.doc", en die tweede "kontrakt87.doc", dit is 'n afskrif van die kontrak vir die verskaffing van telekommunikasiedienste deur die selfoonoperateur Megafon.
Rys. 1. Uitvissing-dokument.
Rys. 2. Nog 'n wysiging van die uitvissing-dokument.
Die volgende feite dui daarop dat die aanvallers Russiese besighede geteiken het:
- verspreiding van wanware met behulp van vals dokumente oor die gespesifiseerde onderwerp;
- die taktiek van aanvallers en die kwaadwillige gereedskap wat hulle gebruik;
- skakels na besigheidstoepassings in sommige uitvoerbare modules;
- name van kwaadwillige domeine wat in hierdie veldtog gebruik is.
Spesiale sagteware-instrumente wat deur aanvallers op 'n gekompromitteerde stelsel geïnstalleer word, stel hulle in staat om afstandbeheer oor die stelsel te verkry en gebruikersaktiwiteit te monitor. Om dit te bereik, installeer hulle 'n agterdeur en probeer om die gebruiker se rekeningwagwoord te bekom. Windows of skep 'n nuwe rekening. Aanvallers gebruik ook sleutelbordspioene om inligting van die knipbord te steel. Windows (knipborddief), sowel as gespesialiseerde sagteware vir die werk met slimkaarte. Hierdie groep het ook probeer om ander rekenaars op dieselfde plaaslike netwerk as die slagoffer se rekenaar te kompromitteer.
Ons ESET LiveGrid-telemetriestelsel, wat ons in staat stel om vinnig wanwareverspreidingstatistieke op te spoor, het ons interessante geografiese statistieke verskaf oor die verspreiding van wanware wat deur aanvallers in die genoemde veldtog gebruik word.
Rys. 3. Statistieke oor die geografiese verspreiding van wanware wat in hierdie kwaadwillige veldtog gebruik word.
Installeer malware
Sodra 'n gebruiker 'n kwaadwillige dokument oopmaak wat 'n aanval op 'n kwesbare stelsel bevat, sal 'n spesiale aflaaier wat met NSIS verpak is, afgelaai en uitgevoer word. Aan die begin van die uitvoering daarvan kontroleer die program die omgewing. Windows vir die teenwoordigheid van ontfouters of loop in die konteks van 'n virtuele masjien. Dit kontroleer ook lokalisering. Windows en of die gebruiker die URL'e wat hieronder in die tabel gelys word, in 'n blaaier besoek het. API's word hiervoor gebruik. Soek Eerste/NextUrlCache Entry en die SoftwareMicrosoftInternet ExplorerTypedURLs-registersleutel.
Die selflaaiprogram kyk vir die teenwoordigheid van die volgende toepassings op die stelsel.
Die lys prosesse is werklik indrukwekkend en, soos u kan sien, sluit dit nie net bankaansoeke in nie. Byvoorbeeld, 'n uitvoerbare lêer genaamd "scardsvr.exe" verwys na sagteware om met slimkaarte te werk (Microsoft SmartCard-leser). Die bank-Trojaan self sluit die vermoë in om met slimkaarte te werk.
Rys. 4. Algemene diagram van die malware installasie proses.
Indien alle kontroles suksesvol is, laai die aflaaier 'n spesiale lêer (argief) van die afgeleë bediener af, wat al die kwaadwillige uitvoerbare modules bevat wat deur die aanvallers gebruik word. Dit is interessant om daarop te let dat, afhangende van of die bogenoemde kontroles suksesvol is, die argiewe wat van die afgeleë C&C-bediener afgelaai is, kan verskil. Die argief mag kwaadwillig wees of nie. Indien dit nie kwaadwillig is nie, installeer dit die kwaadwillige program op die gebruiker. Windows Regstreekse nutsbalk. Heel waarskynlik het die aanvallers hierdie truuks gebruik om outomatiese lêeranalisestelsels en virtuele masjiene wat verdagte lêers laat loop, te mislei.
Die lêer wat deur die NSIS-aflaaier afgelaai is, is 'n 7z-argief wat verskeie wanware-modules bevat. Die prent hieronder toon die hele installasieproses van hierdie wanware en sy verskillende modules.
Rys. 5. Algemene skema van hoe wanware werk.
Alhoewel die gelaaide modules verskillende doeleindes vir die aanvallers dien, is hulle identies verpak en is baie van hulle onderteken met geldige digitale sertifikate. Ons het vier sulke sertifikate gekry wat die aanvallers van die begin van die veldtog gebruik het. Na aanleiding van ons klagte is hierdie sertifikate teruggetrek. Dit is interessant om daarop te let dat alle sertifikate uitgereik is aan maatskappye wat in Moskou geregistreer is.
Rys. 6. Digitale sertifikaat wat gebruik is om die wanware te onderteken.
Die volgende tabel identifiseer die digitale sertifikate wat die aanvallers in hierdie kwaadwillige veldtog gebruik het.
Byna alle kwaadwillige modules wat deur aanvallers gebruik word, het 'n identiese installasieprosedure. Dit is self-onttrekking 7zip argiewe wat wagwoord beskerm is.
Rys. 7. Fragment van die install.cmd bondellêer.
Die bondel .cmd-lêer is verantwoordelik vir die installering van wanware op die stelsel en die bekendstelling van verskeie aanvallernutsgoed. As uitvoering ontbrekende administratiewe regte vereis, gebruik die kwaadwillige kode verskeie metodes om dit te verkry (omseil UAC). Om die eerste metode te implementeer, word twee uitvoerbare lêers genaamd l1.exe en cc1.exe gebruik, wat spesialiseer in die omseil van UAC met behulp van die Carberp bronkode. Nog 'n metode is gebaseer op die uitbuiting van die CVE-2013-3660 kwesbaarheid. Elke wanware-module wat voorregte-eskalasie vereis, bevat beide 'n 32-bis en 'n 64-bis weergawe van die ontginning.
Terwyl ons hierdie veldtog dopgehou het, het ons verskeie argiewe ontleed wat deur die aflaaier opgelaai is. Die inhoud van die argiewe het gewissel, wat beteken dat aanvallers kwaadwillige modules vir verskillende doeleindes kon aanpas.
Gebruiker kompromie
Soos hierbo genoem, gebruik aanvallers gespesialiseerde gereedskap om gebruikers se rekenaars te kompromitteer. Hierdie gereedskap sluit programme met uitvoerbare lêernaam soos mimi.exe en xtm.exe in. Hierdie programme help aanvallers om beheer oor die slagoffer se rekenaar te verkry en spesialiseer in die volgende take: die verkryging/herwinning van rekeningwagwoorde. Windows, die RDP-diens aktiveer, 'n nuwe rekening in die bedryfstelsel skep.
Die uitvoerbare mimi.exe bevat 'n gewysigde weergawe van 'n bekende oopbronhulpmiddel Hierdie hulpmiddel laat jou toe om gebruikersrekeningwagwoorde te bekom. WindowsDie aanvallers het die gedeelte van Mimikatz wat verantwoordelik is vir gebruikersinteraksie verwyder. Die uitvoerbare kode is ook gewysig sodat Mimikatz met die privilege::debug- en sekurlsa:logonPasswords-opdragte sou loop wanneer dit gelanseer word.
Nog 'n uitvoerbare lêer, xtm.exe, stel spesiale skrifte bekend wat die RDP-diens in die stelsel aktiveer, probeer om 'n nuwe rekening in die OS te skep, en ook stelselinstellings verander om verskeie gebruikers in staat te stel om gelyktydig aan 'n gekompromitteerde rekenaar via RDP te koppel. Uiteraard is hierdie stappe nodig om volle beheer oor die gekompromitteerde stelsel te verkry.
Rys. 8. Opdragte uitgevoer deur xtm.exe op die stelsel.
Aanvallers gebruik 'n ander uitvoerbare lêer genaamd impack.exe, wat gebruik word om spesiale sagteware op die stelsel te installeer. Hierdie sagteware word LiteManager genoem en word deur aanvallers as 'n agterdeur gebruik.
Rys. 9. LiteManager-koppelvlak.
Sodra dit op 'n gebruiker se stelsel geïnstalleer is, laat LiteManager aanvallers toe om direk aan daardie stelsel te koppel en dit op afstand te beheer. Hierdie sagteware het spesiale opdragreëlparameters vir die verborge installasie, die skepping van spesiale firewall-reëls en die bekendstelling van sy module. Alle parameters word deur aanvallers gebruik.
Die laaste module van die wanware-pakket wat deur aanvallers gebruik word, is 'n bankwanware-program (bankier) met die uitvoerbare lêernaam pn_pack.exe. Sy spesialiseer in spioenasie op die gebruiker en is verantwoordelik vir interaksie met die C&C-bediener. Die bankier word geloods met behulp van wettige Yandex Punto-sagteware. Punto word deur aanvallers gebruik om kwaadwillige DLL-biblioteke te begin (DLL Side-Loading-metode). Die malware self kan die volgende funksies verrig:
- spoor sleutelbordtoetsaanslagen en knipbordinhoud na vir die daaropvolgende oordrag na 'n afgeleë bediener;
- lys alle slimkaarte wat in die stelsel teenwoordig is;
- interaksie met 'n afgeleë C&C-bediener.
Die malware-module, wat verantwoordelik is vir die uitvoering van al hierdie take, is 'n geënkripteerde DLL-biblioteek. Dit word gedekripteer en in die geheue gelaai tydens Punto-uitvoering. Om die bogenoemde take uit te voer, begin die DLL-uitvoerbare kode drie drade.
Die feit dat aanvallers Punto-sagteware vir hul doeleindes gekies het, is nie 'n verrassing nie: sommige Russiese forums verskaf openlik gedetailleerde inligting oor onderwerpe soos die gebruik van foute in wettige sagteware om gebruikers in die gedrang te bring.
Die kwaadwillige biblioteek gebruik die RC4-algoritme om sy stringe te enkripteer, sowel as tydens netwerkinteraksies met die C&C-bediener. Dit kontak die bediener elke twee minute en stuur al die data wat gedurende hierdie tydperk op die gekompromitteerde stelsel ingesamel is daarheen.
Rys. 10. Fragment van netwerkinteraksie tussen die bot en die bediener.
Hieronder is 'n paar van die C&C-bedienerinstruksies wat die biblioteek kan ontvang.
In reaksie op die ontvangs van instruksies van die C&C-bediener, reageer die wanware met 'n statuskode. Dit is interessant om daarop te let dat alle bankiermodules wat ons ontleed het (die mees onlangse een met 'n samestellingsdatum van 18 Januarie) die string “TEST_BOTNET” bevat, wat in elke boodskap na die C&C-bediener gestuur word.
Gevolgtrekking
Om korporatiewe gebruikers in die gedrang te bring, kompromitteer aanvallers in die eerste stadium een werknemer van die maatskappy deur 'n uitvissingboodskap met 'n uitbuiting te stuur. Vervolgens, sodra die wanware op die stelsel geïnstalleer is, sal hulle sagteware-instrumente gebruik wat hulle sal help om hul gesag op die stelsel aansienlik uit te brei en bykomende take daarop uit te voer: kompromitteer ander rekenaars op die korporatiewe netwerk en spioeneer op die gebruiker, sowel as die banktransaksies wat hy uitvoer.
Bron: will.com
