З канца мінулага года мы пачалі адсочваць новую шкоднасную кампанію па распаўсюджванні банкаўскага траяна. Зламыснікі арыентаваліся на кампраметацыю расійскіх кампаній, т. е. карпаратыўных карыстальнікаў. Шкодная кампанія была актыўная як мінімум год і акрамя банкаўскага траяна, зламыснікі звярталіся да выкарыстання іншых розных праграмных інструментаў. Да іх адносяцца спецыяльны загрузчык, упакаваны з выкарыстаннем , і шпіёнскае ПЗ, якое замаскіравана пад вядомае легітымнае ПЗ Yandex Punto. Як толькі зламыснікам атрымалася скампраметаваць кампутар ахвяры, яны ўсталёўваюць туды бэкдор, а затым банкаўскую траянскую праграму.
Для сваіх шкоднасных праграм зламыснікі выкарыстоўвалі некалькі сапраўдных (на той момант) лічбавых сертыфікатаў і спецыяльныя метады абыходу AV-прадуктаў. Шкоднасная кампанія была накіравана на вялікую колькасць расійскіх банкаў і ўяўляе адмысловую цікавасць, паколькі зламыснікі выкарыстоўвалі для яе тыя метады, якія часта выкарыстоўваюцца ў накіраваных нападах, т. е. нападах, не матываваных асабліва фінансавым махлярствам. Можна адзначыць некаторае падабенства гэтай шкоднаснай кампаніі з буйным інцыдэнтам, які атрымаў вялікую вядомасць раней. Гаворка ідзе пра кіберзлачынную групу, якая выкарыстоўвала банкаўскі траян. /.
Зламыснікі ўсталёўвалі шкоднаснае ПЗ толькі на тыя кампутары, якія выкарыстоўвалі рускую мову ў Windows (лакалізацыя) па змаўчанні. Асноўным вектарам распаўсюджвання траяна быў дакумент Word з эксплойтам. , які рассылаўся ў якасці ўкладання да дакумента. Унізе на скрыншотах паказаны вонкавы выгляд такіх падробленых дакументаў. Першы дакумент азагалоўлены "Рахунак № 522375-ФЛОРЛ-14-115.doc", а другі "kontrakt87.doc", ён уяўляе з сябе копію кантракта на прадастаўленне тэлекамунікацыйных паслуг мабільнага аператара Мегафон.
Мал. 1. Фішынгавы дакумент.
Мал. 2. Іншая мадыфікацыя фішынгавага дакумента.
Наступныя факты сведчаць аб тым, што зламыснікі арыентаваліся на расейскі бізнэс:
- распаўсюджванне шкоднаснага ПЗ з выкарыстаннем фальшывых дакументаў названай тэматыкі;
- тактыка зламыснікаў і выкарыстоўваныя імі шкоднасныя прылады;
- спасылкі на бізнес-прыкладанні ў некаторых выкананых модулях;
- назвы шкоднасных даменаў, якія выкарыстоўваліся ў гэтай кампаніі.
Адмысловыя праграмныя прылады, якія зламыснікі ўсталёўваюць у скампраметаванай сістэме, дазваляюць ім атрымліваць выдалены кантроль за сістэмай і адсочваць дзейнасць карыстача. Для выканання гэтых функцый яны ўсталёўваюць бэкдор, а таксама спрабуюць атрымаць пароль ад акаўнта ўліковага запісу Windows або стварыць новы акаўнт. Зламыснікі таксама звяртаюцца да паслуг кейлоггера (клавіятурнага шпіёна), выкрадальніка інфармацыі з буфера абмену Windows (clipboard stealer), а таксама спецыяльнага ПЗ для працы са смарт-картамі. Гэтая група спрабавала скампраметаваць і іншыя кампутары, якія знаходзіліся ў той жа лакальнай сетцы што і кампутар ахвяры.
Наша сістэма тэлеметрыі ESET LiveGrid, якая дазваляе аператыўна адсочваць статыстыку распаўсюджвання шкоднаснага ПА, падала нам цікавую геаграфічную статыстыку распаўсюджвання шкоднаснага ПА, скарыстанага зламыснікамі ў згадванай кампаніі.
Мал. 3. Статыстыка геаграфічнага распаўсюджвання шкоднаснага ПЗ, якое выкарыстоўвалася ў гэтай шкоднаснай кампаніі.
Інсталяцыя шкоднаснага ПЗ
Пасля адкрыцця карыстачом шкоднаснага дакумента з эксплойтам на ўразлівай сістэме, туды будзе загружаны і выкананы адмысловы загрузнік (downloader), спакаваны з дапамогай NSIS. У пачатку сваёй працы праграма правярае асяроддзе Windows на прадмет прысутнасці там адладчыкаў ці запуску ў кантэксце віртуальнай машыны. Яна таксама правярае лакалізацыю Windows і наведваў ці карыстач ніжэй пералічаныя ў табліцы URL-адрасы ў браўзэры. Для гэтага выкарыстоўваюцца API FindFirst/NextUrlCacheEntry і раздзел рэестра SoftwareMicrosoftInternet ExplorerTypedURLs.
Загрузнік правярае прысутнасць у сістэме наступных прыкладанняў.
Спіс працэсаў сапраўды ўражвае і, як відаць, у ім прысутнічаюць не толькі банкаўскія прыкладанні. Напрыклад, выкананы файл з імем "scardsvr.exe" ставіцца да ПЗ для працы са смарт-картамі (Microsoft SmartCard reader). Сам банкаўскі траян мае ў сваім складзе магчымасці па працы са смарт-картамі.
Мал. 4. Агульная схема працэсу ўстаноўкі шкоднаснага ПЗ.
У выпадку паспяховага выканання ўсіх праверак, загрузнік спампоўвае з выдаленага сервера адмысловы файл (архіў), які ўтрымоўвае ўсе шкоднасныя выкананыя модулі, выкарыстоўваныя зламыснікамі. Цікава адзначыць, што ў залежнасці ад выканання вышэйпералічаных праверак, пампаваныя з выдаленага C&C-сервера архівы могуць адрознівацца. Архіў можа быць шкоднасны і не. У выпадку не шкоднаснага, ён усталёўвае карыстачу Windows Live Toolbar. Хутчэй за ўсё, зламыснікі пайшлі на падобныя хітрыкі для падману аўтаматычных сістэм аналізу файлаў і віртуальных машын, на якіх выконваюцца падазроныя файлы.
Спампаваны NSIS загрузнікам файл уяўляе з сябе 7z архіў, які ўтрымоўвае розныя модулі шкоднасных праграм. На малюнку ніжэй паказаны ўвесь працэс усталёўкі гэтага шкоднаснага ПА і яго розныя модулі.
Мал. 5. Агульная схема працы шкоднаснага ПЗ.
Хоць загружаныя модулі служаць для выканання розных задач зламыснікаў, яны аднолькава спакаваны і многія з іх былі падпісаны сапраўднымі лічбавымі сертыфікатамі. Мы выявілі чатыры такія сертыфікаты, якія зламыснікі выкарыстоўвалі з самага пачатку кампаніі. Пасля нашай скаргі гэтыя сертыфікаты былі адкліканы. Цікава адзначыць, што ўсе сертыфікаты былі выдадзены кампаніям, зарэгістраваным у Маскве.
Мал. 6. Лічбавы сертыфікат, які выкарыстоўваўся для падпісання шкоднаснага ПЗ.
У наступнай табліцы пазначаны лічбавыя сертыфікаты, якія зламыснікі выкарыстоўвалі ў гэтай шкоднаснай кампаніі.
Практычна ўсе шкоднасныя модулі, якія выкарыстоўваюцца зламыснікамі, маюць ідэнтычную працэдуру ўстаноўкі. Яны ўяўляюць сабой самараспакоўныя архівы фармату 7zip, якія абаронены паролем.
Мал. 7. Фрагмент пакетнага файла install.cmd.
Пакетны .cmd файл адказвае за ўсталёўку ў сістэму шкоднаснага ПЗ і запуск розных прылад зламыснікаў. Калі для выканання патрабуюцца адсутныя правы адміністратара, шкоднасны код выкарыстоўвае некалькі спосабаў іх атрымання (абыход UAC). Для рэалізацыі першага спосабу прыцягваюцца два выкананых файла з назовамі l1.exe і cc1.exe, якія спецыялізуюцца на абыходзе UAC механізмам з зыходных тэкстаў Carberp. Іншы спосаб заснаваны на эксплуатацыі ўразлівасці CVE-2013-3660. Кожны модуль шкоднаснай праграмы, якому патрабуецца падвышэнне прывілеяў, утрымоўвае як 32-бітную так і 64-бітную версію эксплойта.
За час адсочвання гэтай кампаніі мы прааналізавалі некалькі архіваў, якія загружаюцца загрузчыкам. Змесціва архіваў адрознівалася, т. е. зламыснікі маглі адаптаваць шкоднасныя модулі пад розныя мэты.
Кампраметацыя карыстальніка
Як мы згадвалі вышэй, зламыснікі выкарыстоўваюць спецыяльныя прылады для кампраметацыі кампутараў карыстальнікаў. Да такіх прылад адносяцца праграмы з назвамі выкананых файлаў mimi.exe and xtm.exe. Яны дапамагаюць зламыснікам усталяваць кантроль за кампутарам ахвяры і спецыялізуюцца на выкананні наступных задач: атрыманне/аднаўленне пароляў да акаўнтаў уліковых запісаў Windows, уключэнне сэрвісу RDP, стварэнне новага акаўнта (уліковага запісу) у АС.
Выконваны файл mimi.exe уключае ў сябе мадыфікаваную версію вядомай прылады з адчыненымі зыходнымі тэкстамі . Гэтая прылада дазваляе атрымліваць паролі акаўнтаў карыстачоў Windows. Зламыснікі выдалілі з Mimikatz тую частку, якая адказвае за ўзаемадзеянне з карыстачом. Выконваны код быў таксама мадыфікаваны такім чынам, каб пры запуску Mimikatz запускаўся з камандамі privilege::debug і sekurlsa:logonPasswords.
Іншы выкананы файл xtm.exe запускае на выкананне адмысловыя скрыпты, якія ўключаюць у сістэме сэрвіс RDP, спрабуюць стварыць новы акаўнт у АС, а таксама змяняюць сістэмныя налады такім чынам, каб дазволіць некалькім карыстачам адначасова падлучацца да скампраметаванага кампутара праз RDP. Відавочна, што гэтыя крокі неабходны для атрымання поўнага кантролю за скампраметаванай сістэмай.
Мал. 8. Каманды, якія выконваюцца xtm.exe у сістэме.
Зламыснікі выкарыстоўваюць яшчэ адзін выкананы файл пад назвай impack.exe, з дапамогай якога ў сістэму ўсталёўваецца спецыяльнае ПЗ. Гэта ПЗ называецца LiteManager і выкарыстоўваецца зламыснікамі ў якасці бэкдора.
Мал. 9. Інтэрфейс LiteManager.
Будучы ўсталяваным у сістэму карыстача, LiteManager дазваляе зламыснікам напроста падлучацца да гэтай сістэмы і выдалена кіраваць ёю. Гэтае ПА мае адмысловыя параметры каманднага радка для сваёй утоенай усталёўкі, стварэнні адмысловых правіл фаервола, і запуску свайго модуля. Усе параметры выкарыстоўваюцца зламыснікамі.
Апошні модуль з таго камплекта шкоднаснага ПА, які выкарыстоўваецца зламыснікамі, уяўляе з сябе банкаўскую шкоднасную праграму (banker) з назовам выкананага файла pn_pack.exe. Яна спецыялізуецца на шпіянажы за карыстачом і адказвае за ўзаемадзеянне з кіраўніком C&C-серверам. Запуск банкера выконваецца з выкарыстаннем легітымнага ПЗ Yandex Punto. Punto выкарыстоўваецца зламыснікамі для запуску шкоднаснай DLL бібліятэкі (метад DLL Side-Loading). Само шкоднаснае ПЗ можа выконваць наступныя функцыі:
- адсочваць націск клавіш клавіятуры і змесціва буфера абмену для іх наступнай перадачы на выдалены сервер;
- пералічваць усе смарт-карты, якія прысутнічаюць у сістэме;
- ўзаемадзейнічаць з выдаленым C&C-серверам.
Модуль шкоднаснай праграмы, які адказвае за выкананне ўсіх гэтых задач, уяўляе з сябе зашыфраваную DLL бібліятэку. Яна расшыфроўваецца і загружаецца ў памяць падчас выкананняў Punto. Для выканання вышэйпералічаных задач, выкананы код DLL запускае тры струмені.
Той факт, што зламыснікі выбралі ПЗ Punto для сваіх мэт, не з'яўляецца сюрпрызам: некаторыя расійскія форумы адкрыта даюць дэталёвую інфармацыю па такой тэме як выкарыстанне недапрацовак у легітымным ПЗ для кампраметацыі карыстальнікаў.
Шкоднасная бібліятэка выкарыстоўвае алгарытм RC4 для шыфравання сваіх радкоў, а таксама пры сеткавым узаемадзеянні з C&C-серверам. Яна звязваецца з серверам кожныя дзве хвіліны і перадае туды ўсе дадзеныя, якія былі сабраны на скампраметаванай сістэме за гэты прамежак часу.
Мал. 10. Фрагмент сеткавага ўзаемадзеяння паміж робатам і серверам.
Ніжэй пазначаны некаторыя інструкцыі C&C-сервера, якія можа атрымліваць бібліятэка.
У адказ на атрыманне інструкцый з C&C-сервера, шкоднасная праграма адказвае яму кодам статуту. Цікава адзначыць, што ўсе модулі банкера, якія мы прааналізавалі (найболей позні з датай кампіляцыі 18-го студзеня), утрымоўваюць радок «TEST_BOTNET», які адпраўляецца ў кожным паведамленні на C&C-сервер.
Заключэнне
Для кампраметацыі карпаратыўных карыстальнікаў зламыснікі на першым этапе кампраметуюць аднаго супрацоўніка кампаніі шляхам адпраўкі фішынгавых паведамленняў з эксплойтам. Далей, як толькі шкоднасная праграма будзе ўсталявана ў сістэму, яны скарыстаюцца праграмнымі прыладамі, якія дапамогуць ім значна пашырыць паўнамоцтвы ў сістэме і выконваць на ёй дадатковыя задачы: кампраметаваць іншыя кампутары ў карпаратыўнай сетцы і шпіёніць за карыстачом, а таксама за банкаўскімі транзакцыямі, якія ён выконвае.
Крыніца: habr.com