Keçən ilin sonundan biz bank Trojanını yaymaq üçün yeni zərərli kampaniyanı izləməyə başladıq. Təcavüzkarlar Rusiya şirkətlərinə, yəni korporativ istifadəçilərə güzəştə getməyə diqqət yetiriblər. Zərərli kampaniya ən azı bir il ərzində aktiv idi və hücumçular bank troyanından əlavə, müxtəlif proqram vasitələrindən istifadə etməyə də əl atdılar. Bunlara paketlənmiş xüsusi yükləyici daxildir , və tanınmış qanuni Yandex Punto proqramı kimi maskalanan casus proqram. Təcavüzkarlar qurbanın kompüterini ələ keçirə bildikdən sonra arxa qapı, sonra isə bank Trojanı quraşdırırlar.
Zərərli proqramları üçün təcavüzkarlar AV məhsullarından yan keçmək üçün bir neçə etibarlı (o vaxt) rəqəmsal sertifikatlardan və xüsusi üsullardan istifadə edirdilər. Zərərli kampaniya çoxlu sayda Rusiya bankını hədəf aldı və xüsusi maraq doğurur, çünki təcavüzkarlar tez-tez məqsədyönlü hücumlarda istifadə edilən üsullardan, yəni sırf maliyyə fırıldaqçılığı ilə motivasiya olunmayan hücumlardan istifadə edirdilər. Bu pis niyyətli kampaniya ilə daha əvvəl böyük şöhrət qazanmış böyük hadisə arasında bəzi oxşarlıqları qeyd edə bilərik. Söhbət bank troyanından istifadə edən kibercinayətkar qrupdan gedir /.
Təcavüzkarlar zərərli proqram təminatını yalnız Windows-da rus dilindən istifadə edən kompüterlərdə quraşdırdılar (lokallaşdırma). Troyanın əsas paylama vektoru istismara malik Word sənədi idi. , sənədə əlavə olaraq göndərilmişdir. Aşağıdakı ekran görüntüləri belə saxta sənədlərin görünüşünü göstərir. Birinci sənəd “522375-FLORL-14-115.doc nömrəli faktura”, ikincisi isə “kontrakt87.doc” adlanır, bu, Megafon mobil operatoru tərəfindən telekommunikasiya xidmətlərinin göstərilməsi üçün müqavilənin surətidir.
düyü. 1. Fişinq sənədi.
düyü. 2. Fişinq sənədinin daha bir modifikasiyası.
Aşağıdakı faktlar hücumçuların Rusiya bizneslərini hədəf aldığını göstərir:
- göstərilən mövzuda saxta sənədlərdən istifadə edərək zərərli proqramların yayılması;
- təcavüzkarların taktikası və istifadə etdikləri zərərli vasitələr;
- bəzi icra olunan modullarda biznes proqramlarına keçidlər;
- bu kampaniyada istifadə edilən zərərli domenlərin adları.
Təcavüzkarların pozulmuş sistemə quraşdırdıqları xüsusi proqram vasitələri onlara sistemə uzaqdan nəzarət etmək və istifadəçi fəaliyyətinə nəzarət etmək imkanı verir. Bu funksiyaları yerinə yetirmək üçün onlar arxa qapı quraşdırır və həmçinin Windows hesabının parolunu əldə etməyə və ya yeni hesab yaratmağa çalışırlar. Hücumçular həmçinin keylogger (keylogger), Windows mübadilə buferi oğurluğu və smart kartlarla işləmək üçün xüsusi proqram təminatının xidmətlərinə müraciət edirlər. Bu qrup qurbanın kompüteri ilə eyni yerli şəbəkədə olan digər kompüterləri ələ keçirməyə çalışıb.
Zərərli proqramların paylanması statistikasını tez izləməyə imkan verən ESET LiveGrid telemetriya sistemimiz sözügedən kampaniyada təcavüzkarlar tərəfindən istifadə edilən zərərli proqramların paylanması ilə bağlı maraqlı coğrafi statistika təqdim etdi.
düyü. 3. Bu zərərli kampaniyada istifadə edilən zərərli proqramların coğrafi paylanması üzrə statistik məlumatlar.
Zərərli proqram quraşdırılması
İstifadəçi həssas sistemdə istismarı olan zərərli sənədi açdıqdan sonra NSIS-dən istifadə etməklə paketlənmiş xüsusi yükləyici yüklənəcək və orada icra ediləcək. İşinin əvvəlində proqram Windows mühitini orada sazlayıcıların mövcudluğu və ya virtual maşın kontekstində işləməsi üçün yoxlayır. O, həmçinin Windows-un lokalizasiyasını və istifadəçinin brauzerdəki cədvəldə aşağıda sadalanan URL-lərə daxil olub-olmamasını yoxlayır. Bunun üçün API-lərdən istifadə olunur Birinci tap/NextUrlCacheEntry və SoftwareMicrosoftInternet ExplorerTypedURLs qeyd defteri açarı.
Yükləyici sistemdə aşağıdakı proqramların olub olmadığını yoxlayır.
Proseslərin siyahısı həqiqətən təsir edicidir və gördüyünüz kimi bura təkcə bank proqramları daxil deyil. Məsələn, “scardsvr.exe” adlı icra edilə bilən fayl smart kartlarla (Microsoft SmartCard oxuyucusu) işləmək üçün proqram təminatına aiddir. Bank troyanının özünə smart kartlarla işləmək imkanı daxildir.
düyü. 4. Zərərli proqramların quraşdırılması prosesinin ümumi diaqramı.
Bütün yoxlamalar uğurla tamamlanarsa, yükləyici uzaq serverdən təcavüzkarların istifadə etdiyi bütün zərərli icra olunan modulları ehtiva edən xüsusi faylı (arxiv) yükləyir. Maraqlıdır ki, yuxarıdakı yoxlamaların yerinə yetirilməsindən asılı olaraq uzaq C&C serverindən yüklənmiş arxivlər fərqli ola bilər. Arxiv zərərli ola bilər və ya olmaya da bilər. Zərərli deyilsə, istifadəçi üçün Windows Live Toolbar quraşdırır. Çox güman ki, təcavüzkarlar şübhəli faylların icra olunduğu avtomatik fayl analizi sistemlərini və virtual maşınları aldatmaq üçün oxşar hiylələrə əl atıblar.
NSIS yükləyicisi tərəfindən endirilən fayl müxtəlif zərərli proqram modullarını ehtiva edən 7z arxividir. Aşağıdakı şəkildə bu zərərli proqramın və onun müxtəlif modullarının bütün quraşdırma prosesi göstərilir.
düyü. 5. Zərərli proqram təminatının necə işləməsinin ümumi sxemi.
Yüklənmiş modullar təcavüzkarlar üçün müxtəlif məqsədlərə xidmət etsə də, onlar eyni şəkildə paketlənir və onların bir çoxu etibarlı rəqəmsal sertifikatlarla imzalanıb. Təcavüzkarların kampaniyanın əvvəlindən istifadə etdiyi dörd belə sertifikat tapdıq. Şikayətimizdən sonra bu sertifikatlar ləğv edildi. Maraqlıdır ki, bütün sertifikatlar Moskvada qeydiyyatdan keçmiş şirkətlərə verilib.
düyü. 6. Zərərli proqramı imzalamaq üçün istifadə edilmiş rəqəmsal sertifikat.
Aşağıdakı cədvəl təcavüzkarların bu zərərli kampaniyada istifadə etdiyi rəqəmsal sertifikatları müəyyən edir.
Təcavüzkarlar tərəfindən istifadə edilən demək olar ki, bütün zərərli modullar eyni quraşdırma proseduruna malikdir. Onlar parolla qorunan öz-özünə açılan 7zip arxivləridir.
düyü. 7. install.cmd toplu faylının fraqmenti.
Toplu .cmd faylı sistemdə zərərli proqramların quraşdırılmasına və müxtəlif hücum alətlərinin işə salınmasına cavabdehdir. İcra üçün çatışmayan inzibati hüquqlar tələb olunarsa, zərərli kod onları əldə etmək üçün bir neçə üsuldan istifadə edir (UAC-dan yan keçməklə). Birinci metodu həyata keçirmək üçün l1.exe və cc1.exe adlı iki icra edilə bilən fayl istifadə olunur ki, onlar UAC-dan yan keçmək üçün ixtisaslaşırlar. Carberp mənbə kodu. Digər üsul CVE-2013-3660 zəifliyindən istifadəyə əsaslanır. İmtiyazların artırılmasını tələb edən hər bir zərərli proqram modulu istismarın həm 32-bit, həm də 64-bit versiyasını ehtiva edir.
Bu kampaniyanı izləyərkən biz yükləyicinin yüklədiyi bir neçə arxivi təhlil etdik. Arxivlərin məzmunu müxtəlif idi, yəni təcavüzkarlar zərərli modulları müxtəlif məqsədlər üçün uyğunlaşdıra bilərdilər.
İstifadəçi güzəşti
Yuxarıda qeyd etdiyimiz kimi, təcavüzkarlar istifadəçilərin kompüterlərini ələ keçirmək üçün xüsusi vasitələrdən istifadə edirlər. Bu alətlərə mimi.exe və xtm.exe icra edilə bilən fayl adları olan proqramlar daxildir. Onlar təcavüzkarlara qurbanın kompüterinə nəzarət etməyə kömək edir və aşağıdakı vəzifələri yerinə yetirməkdə ixtisaslaşırlar: Windows hesabları üçün parolların əldə edilməsi/bərpa edilməsi, RDP xidmətinin aktivləşdirilməsi, ƏS-də yeni hesab yaradılması.
mimi.exe icra edilə bilən proqramına tanınmış açıq mənbə alətinin dəyişdirilmiş versiyası daxildir . Bu alət Windows istifadəçi hesabı parollarını əldə etməyə imkan verir. Təcavüzkarlar Mimikatz-dan istifadəçinin qarşılıqlı əlaqəsinə cavabdeh olan hissəni çıxarıblar. İcra olunan kod həmçinin dəyişdirilib ki, işə salındıqda Mimikatz imtiyaz::debug və sekurlsa:logonPasswords əmrləri ilə işləyir.
Başqa bir icra edilə bilən fayl, xtm.exe, sistemdə RDP xidmətini aktivləşdirən, ƏS-də yeni hesab yaratmağa cəhd edən, həmçinin bir neçə istifadəçiyə eyni vaxtda RDP vasitəsilə təhlükəsi olan kompüterə qoşulmaq üçün sistem parametrlərini dəyişdirən xüsusi skriptləri işə salır. Aydındır ki, bu addımlar pozulmuş sistemə tam nəzarət etmək üçün lazımdır.
düyü. 8. Sistemdə xtm.exe tərəfindən yerinə yetirilən əmrlər.
Hücumçular sistemdə xüsusi proqram təminatının quraşdırılması üçün istifadə edilən impack.exe adlı başqa icra edilə bilən fayldan istifadə edirlər. Bu proqram LiteManager adlanır və təcavüzkarlar tərəfindən arxa qapı kimi istifadə olunur.
düyü. 9. LiteManager interfeysi.
İstifadəçinin sisteminə quraşdırıldıqdan sonra LiteManager təcavüzkarlara həmin sistemə birbaşa qoşulmağa və onu uzaqdan idarə etməyə imkan verir. Bu proqram təminatının gizli quraşdırılması, xüsusi firewall qaydalarının yaradılması və modulunun işə salınması üçün xüsusi əmr xətti parametrləri var. Bütün parametrlər təcavüzkarlar tərəfindən istifadə olunur.
Təcavüzkarlar tərəfindən istifadə edilən zərərli proqram paketinin sonuncu modulu pn_pack.exe icra edilə bilən fayl adı olan bank zərərli proqram proqramıdır (bankir). O, istifadəçiyə casusluq üzrə ixtisaslaşıb və C&C serveri ilə qarşılıqlı əlaqəyə cavabdehdir. Bankir qanuni Yandex Punto proqram təminatından istifadə etməklə işə salınıb. Punto təcavüzkarlar tərəfindən zərərli DLL kitabxanalarını işə salmaq üçün istifadə olunur (DLL Side-Loading metodu). Zərərli proqram özü aşağıdakı funksiyaları yerinə yetirə bilər:
- sonradan uzaq serverə ötürülməsi üçün klaviatura vuruşlarını və mübadilə buferinin məzmununu izləyin;
- sistemdə mövcud olan bütün smart kartları sadalayın;
- uzaq C&C server ilə qarşılıqlı əlaqə.
Bütün bu vəzifələri yerinə yetirmək üçün cavabdeh olan zərərli proqram modulu şifrələnmiş DLL kitabxanasıdır. Punto icrası zamanı onun şifrəsi açılır və yaddaşa yüklənir. Yuxarıdakı tapşırıqları yerinə yetirmək üçün DLL icra edilə bilən kod üç mövzunu işə salır.
Təcavüzkarların öz məqsədləri üçün Punto proqramını seçmələri təəccüblü deyil: bəzi rus forumları istifadəçiləri güzəştə getmək üçün qanuni proqram təminatındakı qüsurlardan istifadə kimi mövzular haqqında açıq şəkildə ətraflı məlumat verir.
Zərərli kitabxana öz sətirlərini şifrələmək üçün, həmçinin C&C serveri ilə şəbəkə qarşılıqlı əlaqəsi zamanı RC4 alqoritmindən istifadə edir. O, hər iki dəqiqədən bir serverlə əlaqə saxlayır və bu müddət ərzində pozulmuş sistemdə toplanmış bütün məlumatları oraya ötürür.
düyü. 10. Bot və server arasında şəbəkə qarşılıqlı əlaqəsinin fraqmenti.
Aşağıda kitabxananın qəbul edə biləcəyi C&C server təlimatlarından bəziləri verilmişdir.
C&C serverindən təlimatların alınmasına cavab olaraq, zərərli proqram status kodu ilə cavab verir. Maraqlıdır ki, təhlil etdiyimiz bütün banker modullarında (tərtibetmə tarixi 18 yanvarda olan ən sonuncu) hər mesajda C&C serverinə göndərilən “TEST_BOTNET” sətri var.
Nəticə
Korporativ istifadəçiləri güzəştə getmək üçün təcavüzkarlar ilk mərhələdə istismar ilə fişinq mesajı göndərərək şirkətin bir əməkdaşına güzəştə gedirlər. Bundan sonra, zərərli proqram sistemə quraşdırıldıqdan sonra onlar sistemdəki səlahiyyətlərini əhəmiyyətli dərəcədə genişləndirməyə və onun üzərində əlavə tapşırıqları yerinə yetirməyə kömək edəcək proqram alətlərindən istifadə edəcəklər: korporativ şəbəkədəki digər kompüterləri kompromis etmək və istifadəçiyə casusluq etmək, həmçinin həyata keçirdiyi bank əməliyyatları.
Mənbə: www.habr.com