منذ نهاية العام الماضي، بدأنا بتتبع حملة خبيثة جديدة لتوزيع حصان طروادة المصرفي. وركز المهاجمون على اختراق الشركات الروسية، أي مستخدمي الشركات. وكانت الحملة الخبيثة نشطة لمدة عام على الأقل، وبالإضافة إلى حصان طروادة المصرفي، لجأ المهاجمون إلى استخدام أدوات برمجية أخرى مختلفة. وتشمل هذه محملًا خاصًا تم تعبئته باستخدام ، وبرامج التجسس، التي تتنكر في هيئة برنامج Yandex Punto الشرعي المعروف. بمجرد أن يتمكن المهاجمون من اختراق جهاز الكمبيوتر الخاص بالضحية، يقومون بتثبيت باب خلفي ثم حصان طروادة المصرفي.
بالنسبة لبرامجهم الضارة، استخدم المهاجمون العديد من الشهادات الرقمية الصالحة (في ذلك الوقت) وطرق خاصة لتجاوز منتجات AV. استهدفت الحملة الخبيثة عددًا كبيرًا من البنوك الروسية، وهي ذات أهمية خاصة لأن المهاجمين استخدموا أساليب تُستخدم غالبًا في الهجمات المستهدفة، أي الهجمات التي لا يكون دافعها محض الاحتيال المالي. يمكننا أن نلاحظ بعض أوجه التشابه بين هذه الحملة الخبيثة وحادثة كبيرة حظيت بتغطية إعلامية كبيرة في وقت سابق. نحن نتحدث عن مجموعة من المجرمين السيبرانيين الذين استخدموا حصان طروادة المصرفي /.
قام المهاجمون بتثبيت البرامج الضارة فقط على أجهزة الكمبيوتر التي تستخدم اللغة الروسية في Windows (التعريب) افتراضيًا. كان ناقل التوزيع الرئيسي لفيروس طروادة عبارة عن مستند Word يحتوي على استغلال. ، والذي تم إرساله كمرفق بالمستند. تُظهر لقطات الشاشة أدناه ظهور مثل هذه المستندات المزيفة. الوثيقة الأولى تحمل عنوان "الفاتورة رقم 522375-FLORL-14-115.doc"، والثانية "kontrakt87.doc"، وهي نسخة من عقد تقديم خدمات الاتصالات من قبل مشغل الهاتف المحمول Megafon.
أرز. 1. مستند التصيد الاحتيالي.
أرز. 2. تعديل آخر لمستند التصيد الاحتيالي.
تشير الحقائق التالية إلى أن المهاجمين كانوا يستهدفون الشركات الروسية:
- توزيع البرامج الضارة باستخدام مستندات مزيفة حول الموضوع المحدد؛
- وأساليب المهاجمين والأدوات الضارة التي يستخدمونها؛
- روابط لتطبيقات الأعمال في بعض الوحدات القابلة للتنفيذ؛
- أسماء النطاقات الضارة التي تم استخدامها في هذه الحملة.
تسمح الأدوات البرمجية الخاصة التي يقوم المهاجمون بتثبيتها على نظام مخترق بالتحكم عن بعد في النظام ومراقبة نشاط المستخدم. ولتنفيذ هذه الوظائف، يقومون بتثبيت باب خلفي ويحاولون أيضًا الحصول على كلمة مرور حساب Windows أو إنشاء حساب جديد. يلجأ المهاجمون أيضًا إلى خدمات برنامج Keylogger (Keylogger)، وسرقة حافظة Windows، وبرامج خاصة للعمل مع البطاقات الذكية. حاولت هذه المجموعة اختراق أجهزة الكمبيوتر الأخرى الموجودة على نفس الشبكة المحلية مثل جهاز الكمبيوتر الخاص بالضحية.
نظام القياس عن بعد ESET LiveGrid الخاص بنا، والذي يسمح لنا بتتبع إحصائيات توزيع البرامج الضارة بسرعة، زودنا بإحصائيات جغرافية مثيرة للاهتمام حول توزيع البرامج الضارة التي يستخدمها المهاجمون في الحملة المذكورة.
أرز. 3. إحصائيات حول التوزيع الجغرافي للبرامج الضارة المستخدمة في هذه الحملة الخبيثة.
تثبيت البرامج الضارة
بعد أن يفتح المستخدم مستندًا ضارًا به استغلال على نظام ضعيف، سيتم تنزيل برنامج تنزيل خاص مُعبأ باستخدام NSIS وتنفيذه هناك. في بداية عمله، يتحقق البرنامج من بيئة Windows لوجود مصححات الأخطاء هناك أو للتشغيل في سياق جهاز ظاهري. كما أنه يتحقق أيضًا من توطين نظام التشغيل Windows وما إذا كان المستخدم قد قام بزيارة عناوين URL المدرجة أدناه في الجدول الموجود في المتصفح. يتم استخدام واجهات برمجة التطبيقات لهذا الغرض البحث أولا/NextUrlCacheEntry ومفتاح التسجيل SoftwareMicrosoftInternet ExplorerTypedURLs.
يتحقق برنامج تحميل التشغيل من وجود التطبيقات التالية على النظام.
قائمة العمليات مثيرة للإعجاب حقًا، وكما ترون، فهي لا تشمل التطبيقات المصرفية فقط. على سبيل المثال، يشير الملف القابل للتنفيذ المسمى "scardsvr.exe" إلى برنامج للعمل مع البطاقات الذكية (قارئ Microsoft SmartCard). يتضمن حصان طروادة المصرفي نفسه القدرة على العمل مع البطاقات الذكية.
أرز. 4. رسم تخطيطي عام لعملية تثبيت البرامج الضارة.
إذا تم إكمال جميع عمليات التحقق بنجاح، يقوم برنامج التحميل بتنزيل ملف خاص (أرشيف) من الخادم البعيد، والذي يحتوي على جميع الوحدات القابلة للتنفيذ الضارة التي يستخدمها المهاجمون. ومن المثير للاهتمام ملاحظة أنه اعتمادًا على تنفيذ عمليات التحقق المذكورة أعلاه، قد تختلف الأرشيفات التي تم تنزيلها من خادم القيادة والسيطرة البعيد. قد يكون الأرشيف ضارًا وقد لا يكون كذلك. إذا لم يكن ضارًا، فإنه يقوم بتثبيت شريط أدوات Windows Live للمستخدم. على الأرجح، لجأ المهاجمون إلى حيل مماثلة لخداع أنظمة التحليل التلقائي للملفات والأجهزة الافتراضية التي يتم تنفيذ الملفات المشبوهة عليها.
الملف الذي تم تنزيله بواسطة برنامج تنزيل NSIS هو أرشيف 7z يحتوي على وحدات برامج ضارة متنوعة. توضح الصورة أدناه عملية التثبيت الكاملة لهذه البرامج الضارة ووحداتها المختلفة.
أرز. 5. مخطط عام لكيفية عمل البرامج الضارة.
على الرغم من أن الوحدات المحملة تخدم أغراضًا مختلفة للمهاجمين، إلا أنها مجمعة بشكل متماثل وتم توقيع العديد منها بشهادات رقمية صالحة. لقد وجدنا أربع شهادات من هذا القبيل استخدمها المهاجمون منذ بداية الحملة. وبعد الشكوى التي قدمناها، تم إلغاء هذه الشهادات. ومن المثير للاهتمام أن جميع الشهادات صدرت للشركات المسجلة في موسكو.
أرز. 6. الشهادة الرقمية التي تم استخدامها للتوقيع على البرامج الضارة.
يحدد الجدول التالي الشهادات الرقمية التي استخدمها المهاجمون في هذه الحملة الضارة.
تقريبًا جميع الوحدات الضارة التي يستخدمها المهاجمون لها إجراء تثبيت مماثل. إنها أرشيفات 7zip ذاتية الاستخراج ومحمية بكلمة مرور.
أرز. 7. جزء من الملف الدفعي install.cmd.
يعد الملف الدفعي .cmd مسؤولاً عن تثبيت البرامج الضارة على النظام وإطلاق أدوات المهاجم المختلفة. إذا كان التنفيذ يتطلب فقدان حقوق إدارية، فإن التعليمات البرمجية الضارة تستخدم عدة طرق للحصول عليها (تجاوز UAC). لتنفيذ الطريقة الأولى، يتم استخدام ملفين قابلين للتنفيذ يسمى l1.exe وcc1.exe، وهما متخصصان في تجاوز UAC باستخدام الأمر كود مصدر كاربيرب. هناك طريقة أخرى تعتمد على استغلال الثغرة الأمنية CVE-2013-3660. تحتوي كل وحدة برامج ضارة تتطلب تصعيد الامتيازات على إصدار 32 بت و64 بت من الاستغلال.
أثناء تتبع هذه الحملة، قمنا بتحليل العديد من الأرشيفات التي تم تحميلها بواسطة أداة التنزيل. وتنوعت محتويات الأرشيفات، مما يعني أن المهاجمين يمكنهم تكييف الوحدات الضارة لأغراض مختلفة.
تسوية المستخدم
كما ذكرنا أعلاه، يستخدم المهاجمون أدوات خاصة لاختراق أجهزة الكمبيوتر الخاصة بالمستخدمين. تتضمن هذه الأدوات برامج ذات أسماء ملفات قابلة للتنفيذ mimi.exe وxtm.exe. وهي تساعد المهاجمين على التحكم في كمبيوتر الضحية وتتخصص في تنفيذ المهام التالية: الحصول على/استعادة كلمات المرور لحسابات Windows، وتمكين خدمة RDP، وإنشاء حساب جديد في نظام التشغيل.
يتضمن الملف القابل للتنفيذ mimi.exe نسخة معدلة من أداة معروفة مفتوحة المصدر . تتيح لك هذه الأداة الحصول على كلمات مرور حساب مستخدم Windows. قام المهاجمون بإزالة الجزء المسؤول عن تفاعل المستخدم من Mimikatz. تم أيضًا تعديل التعليمات البرمجية القابلة للتنفيذ بحيث يعمل Mimikatz عند تشغيله باستخدام أوامر الامتياز::debug وsekurlsa:logonPasswords.
يقوم ملف آخر قابل للتنفيذ، xtm.exe، بتشغيل برامج نصية خاصة تتيح خدمة RDP في النظام، ومحاولة إنشاء حساب جديد في نظام التشغيل، وكذلك تغيير إعدادات النظام للسماح لعدة مستخدمين بالاتصال في وقت واحد بجهاز كمبيوتر مخترق عبر RDP. ومن الواضح أن هذه الخطوات ضرورية للحصول على السيطرة الكاملة على النظام المخترق.
أرز. 8. الأوامر التي يتم تنفيذها بواسطة xtm.exe على النظام.
ويستخدم المهاجمون ملفًا آخر قابلاً للتنفيذ يسمى impack.exe، والذي يُستخدم لتثبيت برامج خاصة على النظام. يُسمى هذا البرنامج LiteManager ويستخدمه المهاجمون كباب خلفي.
أرز. 9. واجهة LiteManager.
بمجرد تثبيت LiteManager على نظام المستخدم، يسمح للمهاجمين بالاتصال مباشرة بهذا النظام والتحكم فيه عن بعد. يحتوي هذا البرنامج على معلمات سطر أوامر خاصة لتثبيته المخفي وإنشاء قواعد خاصة لجدار الحماية وإطلاق الوحدة الخاصة به. يتم استخدام جميع المعلمات من قبل المهاجمين.
الوحدة الأخيرة من حزمة البرامج الضارة التي يستخدمها المهاجمون هي برنامج ضار مصرفي (banker) يحمل اسم الملف القابل للتنفيذ pn_pack.exe. وهي متخصصة في التجسس على المستخدم وهي مسؤولة عن التفاعل مع خادم القيادة والتحكم. يتم إطلاق المصرفي باستخدام برنامج Yandex Punto الشرعي. يستخدم المهاجمون Punto لإطلاق مكتبات DLL الضارة (طريقة التحميل الجانبي لـ DLL). يمكن للبرامج الضارة نفسها أداء الوظائف التالية:
- تتبع ضغطات المفاتيح ومحتويات الحافظة لنقلها لاحقًا إلى خادم بعيد؛
- سرد جميع البطاقات الذكية الموجودة في النظام؛
- التفاعل مع خادم C&C البعيد.
وحدة البرامج الضارة المسؤولة عن تنفيذ جميع هذه المهام هي مكتبة DLL مشفرة. يتم فك تشفيره وتحميله في الذاكرة أثناء تنفيذ Punto. لتنفيذ المهام المذكورة أعلاه، يبدأ التعليمات البرمجية القابلة للتنفيذ DLL ثلاثة سلاسل رسائل.
إن حقيقة اختيار المهاجمين لبرنامج Punto لأغراضهم ليست مفاجئة: فبعض المنتديات الروسية تقدم علنًا معلومات مفصلة حول موضوعات مثل استخدام العيوب في البرامج المشروعة لاختراق المستخدمين.
تستخدم المكتبة الضارة خوارزمية RC4 لتشفير سلاسلها، وكذلك أثناء تفاعلات الشبكة مع خادم القيادة والسيطرة. فهو يتصل بالخادم كل دقيقتين وينقل إليه جميع البيانات التي تم جمعها على النظام المخترق خلال هذه الفترة الزمنية.
أرز. 10. جزء من تفاعل الشبكة بين الروبوت والخادم.
فيما يلي بعض تعليمات خادم التحكم والسيطرة التي يمكن أن تتلقاها المكتبة.
استجابةً لتلقي تعليمات من خادم القيادة والسيطرة، تستجيب البرامج الضارة برمز الحالة. من المثير للاهتمام ملاحظة أن جميع الوحدات المصرفية التي قمنا بتحليلها (أحدثها بتاريخ تجميع هو 18 يناير) تحتوي على السلسلة "TEST_BOTNET"، التي يتم إرسالها في كل رسالة إلى خادم القيادة والسيطرة.
اختتام
لاختراق مستخدمي الشركات، يقوم المهاجمون في المرحلة الأولى باختراق أحد موظفي الشركة عن طريق إرسال رسالة تصيد مع استغلالها. بعد ذلك، بمجرد تثبيت البرنامج الضار على النظام، سيستخدمون أدوات برمجية ستساعدهم على توسيع سلطتهم بشكل كبير على النظام وتنفيذ مهام إضافية عليه: اختراق أجهزة الكمبيوتر الأخرى على شبكة الشركة والتجسس على المستخدم، بالإضافة إلى المعاملات المصرفية التي يقوم بها.
المصدر: www.habr.com