🥇Престъпниците използват сложен злонамерен софтуер, за да атакуват руски бизнес

От края на миналата година започнахме да проследяваме нова злонамерена кампания за разпространение на банков троянски кон. Нападателите се фокусираха върху компрометиране на руски компании, т.е. корпоративни потребители. Злонамерената кампания е била активна поне година и освен банковия троян, нападателите са прибягвали и до различни други софтуерни инструменти. Те включват специален товарач, опакован с помощта НОИ, и шпионски софтуер, който е маскиран като добре познатия легитимен софтуер Yandex Punto. След като нападателите успеят да компрометират компютъра на жертвата, те инсталират задна врата и след това банков троянски кон.

За своя зловреден софтуер нападателите са използвали няколко валидни (по това време) цифрови сертификати и специални методи за заобикаляне на AV продукти. Злонамерената кампания беше насочена към голям брой руски банки и представлява особен интерес, тъй като нападателите са използвали методи, които често се използват при целенасочени атаки, т.е. атаки, които не са мотивирани само от финансови измами. Можем да отбележим някои прилики между тази злонамерена кампания и голям инцидент, който получи голяма публичност по-рано. Става дума за киберпрестъпна група, използвала банков троянски кон Анунак/Карбанак.

Нападателите инсталираха злонамерен софтуер само на тези компютри, които използваха руски език в Windows (локализация) по подразбиране. Основният вектор за разпространение на троянския кон беше Word документ с експлойт. CVE-2012 0158-, който е изпратен като прикачен файл към документа. Екранните снимки по-долу показват появата на такива фалшиви документи. Първият документ е озаглавен „Фактура № 522375-FLORL-14-115.doc“, а вторият „kontrakt87.doc“ е копие от договора за предоставяне на телекомуникационни услуги от мобилния оператор Мегафон.

Ориз. 1. Фишинг документ.

Ориз. 2. Друга модификация на фишинг документа.

Следните факти показват, че нападателите са били насочени към руски бизнеси:

разпространение на злонамерен софтуер с помощта на фалшиви документи по посочената тема;
тактиката на нападателите и злонамерените инструменти, които използват;
връзки към бизнес приложения в някои изпълними модули;
имена на злонамерени домейни, използвани в тази кампания.

Специални софтуерни инструменти, които хакерите инсталират на компрометирана система, им позволяват да получат дистанционно управление на системата и да наблюдават активността на потребителите. За да изпълняват тези функции, те инсталират задна врата и също се опитват да получат паролата за акаунт в Windows или да създадат нов акаунт. Нападателите също така прибягват до услугите на keylogger (keylogger), крадец на клипборда на Windows и специален софтуер за работа със смарт карти. Тази група се опита да компрометира други компютри, които бяха в същата локална мрежа като компютъра на жертвата.

Нашата телеметрична система ESET LiveGrid, която ни позволява бързо да проследяваме статистиката за разпространение на зловреден софтуер, ни предостави интересна географска статистика за разпространението на зловреден софтуер, използван от нападателите в споменатата кампания.

Ориз. 3. Статистика за географското разпространение на зловреден софтуер, използван в тази злонамерена кампания.

Инсталиране на зловреден софтуер

След като потребител отвори злонамерен документ с експлойт на уязвима система, специален инструмент за изтегляне, пакетиран с помощта на NSIS, ще бъде изтеглен и изпълнен там. В началото на работата си програмата проверява средата на Windows за наличие на дебъгери там или за работа в контекста на виртуална машина. Той също така проверява локализацията на Windows и дали потребителят е посетил URL адресите, изброени по-долу в таблицата в браузъра. За това се използват API FindFirst/NextUrlCacheEntry и ключа на системния регистър SoftwareMicrosoftInternet ExplorerTypedURLs.

Буутлоудърът проверява за наличието на следните приложения в системата.

Списъкът с процеси е наистина впечатляващ и, както виждате, включва не само банкови приложения. Например изпълним файл с име “scardsvr.exe” се отнася до софтуер за работа със смарт карти (Microsoft SmartCard reader). Самият банков троянски кон включва възможност за работа със смарт карти.

Ориз. 4. Обща схема на процеса на инсталиране на зловреден софтуер.

Ако всички проверки са завършени успешно, товарачът изтегля специален файл (архив) от отдалечения сървър, който съдържа всички злонамерени изпълними модули, използвани от нападателите. Интересно е да се отбележи, че в зависимост от изпълнението на горните проверки, архивите, изтеглени от отдалечения C&C сървър, може да се различават. Архивът може или не може да бъде злонамерен. Ако не е злонамерен, той инсталира лентата с инструменти на Windows Live за потребителя. Най-вероятно нападателите са прибягнали до подобни трикове, за да заблудят системите за автоматичен анализ на файлове и виртуални машини, на които се изпълняват подозрителни файлове.

Файлът, изтеглен от програмата за изтегляне на NSIS, е 7z архив, който съдържа различни модули за зловреден софтуер. Изображението по-долу показва целия процес на инсталиране на този зловреден софтуер и различните му модули.

Ориз. 5. Обща схема за това как работи зловреден софтуер.

Въпреки че заредените модули служат за различни цели за нападателите, те са опаковани идентично и много от тях са подписани с валидни цифрови сертификати. Открихме четири такива сертификата, които нападателите са използвали от самото начало на кампанията. След наша жалба тези сертификати бяха анулирани. Интересно е да се отбележи, че всички сертификати са издадени на компании, регистрирани в Москва.

Ориз. 6. Цифров сертификат, използван за подписване на зловреден софтуер.

Следната таблица идентифицира цифровите сертификати, които нападателите са използвали в тази злонамерена кампания.

Почти всички злонамерени модули, използвани от нападателите, имат идентична процедура за инсталиране. Те са саморазархивиращи се 7zip архиви, които са защитени с парола.

Ориз. 7. Фрагмент от пакетния файл install.cmd.

Пакетният .cmd файл е отговорен за инсталирането на зловреден софтуер в системата и стартирането на различни инструменти за нападатели. Ако изпълнението изисква липсващи административни права, зловредният код използва няколко метода, за да ги получи (заобикаляйки UAC). За прилагане на първия метод се използват два изпълними файла, наречени l1.exe и cc1.exe, които са специализирани в заобикалянето на UAC с помощта на изтече Изходният код на Carberp. Друг метод се основава на използване на уязвимостта CVE-2013-3660. Всеки модул за злонамерен софтуер, който изисква ескалация на привилегии, съдържа както 32-битова, така и 64-битова версия на експлойта.

Докато проследявахме тази кампания, ние анализирахме няколко архива, качени от програмата за изтегляне. Съдържанието на архивите варира, което означава, че нападателите могат да адаптират злонамерени модули за различни цели.

Потребителски компромис

Както споменахме по-горе, нападателите използват специални инструменти, за да компрометират компютрите на потребителите. Тези инструменти включват програми с имена на изпълними файлове mimi.exe и xtm.exe. Те помагат на атакуващите да поемат контрола върху компютъра на жертвата и се специализират в изпълнението на следните задачи: получаване/възстановяване на пароли за акаунти в Windows, активиране на услугата RDP, създаване на нов акаунт в операционната система.

Изпълнимият файл mimi.exe включва модифицирана версия на добре познат инструмент с отворен код Mimikatz. Този инструмент ви позволява да получите пароли за потребителски акаунти в Windows. Нападателите премахнаха частта от Mimikatz, която отговаря за взаимодействието с потребителите. Изпълнимият код също е модифициран, така че при стартиране Mimikatz да работи с командите privilege::debug и sekurlsa:logonPasswords.

Друг изпълним файл, xtm.exe, стартира специални скриптове, които активират услугата RDP в системата, опитват се да създадат нов акаунт в операционната система и също така да променят системните настройки, за да позволят на няколко потребители едновременно да се свързват към компрометиран компютър чрез RDP. Очевидно тези стъпки са необходими, за да получите пълен контрол върху компрометираната система.

Ориз. 8. Команди, изпълнявани от xtm.exe в системата.

Нападателите използват друг изпълним файл, наречен impack.exe, който се използва за инсталиране на специален софтуер в системата. Този софтуер се нарича LiteManager и се използва от нападателите като задна врата.

Ориз. 9. Интерфейс на LiteManager.

Веднъж инсталиран в системата на потребителя, LiteManager позволява на атакуващите да се свържат директно с тази система и да я управляват дистанционно. Този софтуер има специални параметри на командния ред за неговата скрита инсталация, създаване на специални правила за защитна стена и стартиране на неговия модул. Всички параметри се използват от нападателите.

Последният модул от пакета злонамерен софтуер, използван от нападателите, е програма за банков злонамерен софтуер (банкер) с име на изпълним файл pn_pack.exe. Тя е специализирана в шпионирането на потребителя и отговаря за взаимодействието с C&C сървъра. Банкерът се стартира с легитимен софтуер Yandex Punto. Punto се използва от нападателите за стартиране на злонамерени DLL библиотеки (DLL метод за странично зареждане). Самият зловреден софтуер може да изпълнява следните функции:

проследяване на натисканията на клавиши на клавиатурата и съдържанието на клипборда за последващото им предаване към отдалечен сървър;
списък на всички смарт карти, които присъстват в системата;
взаимодействат с отдалечен C&C сървър.

Модулът за зловреден софтуер, който отговаря за изпълнението на всички тези задачи, е криптирана DLL библиотека. Той се дешифрира и зарежда в паметта по време на изпълнение на Punto. За да изпълни горните задачи, изпълнимият DLL код стартира три нишки.

Фактът, че нападателите са избрали софтуера Punto за своите цели, не е изненада: някои руски форуми открито предоставят подробна информация по такива теми като използването на пропуски в легитимен софтуер за компрометиране на потребителите.

Злонамерената библиотека използва алгоритъма RC4 за криптиране на своите низове, както и по време на мрежови взаимодействия с C&C сървъра. Той се свързва със сървъра на всеки две минути и предава там всички данни, които са били събрани в компрометираната система през този период от време.

Ориз. 10. Фрагмент от мрежово взаимодействие между бота и сървъра.

По-долу са някои от инструкциите за C&C сървъра, които библиотеката може да получи.

В отговор на получаване на инструкции от C&C сървъра, зловредният софтуер отговаря с код на състоянието. Интересно е да се отбележи, че всички банкови модули, които анализирахме (най-новият с дата на компилация 18 януари) съдържат низа „TEST_BOTNET“, който се изпраща във всяко съобщение до C&C сървъра.

Заключение

За да компрометират корпоративни потребители, атакуващите на първия етап компрометират един служител на компанията, като изпращат фишинг съобщение с експлойт. След това, след като зловредният софтуер бъде инсталиран в системата, те ще използват софтуерни инструменти, които ще им помогнат значително да разширят своите правомощия в системата и да изпълняват допълнителни задачи върху нея: компрометиране на други компютри в корпоративната мрежа и шпиониране на потребителя, както и извършваните от него банкови операции.

Източник: www.habr.com

Нападателите използват сложен зловреден софтуер, за да атакуват руски бизнеси

Добавяне на нов коментар

Нападателите използват сложен зловреден софтуер, за да атакуват руски бизнеси

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар