Od kraja prošle godine počeli smo pratiti novu zlonamjernu kampanju za distribuciju bankarskog trojanca. Napadači su se fokusirali na kompromitovanje ruskih kompanija, odnosno korporativnih korisnika. Zlonamjerna kampanja bila je aktivna najmanje godinu dana, a osim bankarskog trojanca, napadači su pribjegli i raznim drugim softverskim alatima. To uključuje poseban utovarivač upakovan pomoću
Napadači su instalirali malver samo na one računare koji su podrazumevano koristili ruski jezik u Windows-u (lokalizacija). Glavni vektor distribucije Trojanca bio je Word dokument sa eksploatacijom.
Rice. 1. Phishing dokument.
Rice. 2. Još jedna modifikacija phishing dokumenta.
Sljedeće činjenice ukazuju da su napadači ciljali na ruske firme:
- distribucija zlonamjernog softvera korištenjem lažnih dokumenata na određenu temu;
- taktike napadača i zlonamjerni alati koje koriste;
- veze do poslovnih aplikacija u nekim izvršnim modulima;
- imena zlonamjernih domena koji su korišteni u ovoj kampanji.
Specijalni softverski alati koje napadači instaliraju na kompromitovani sistem omogućavaju im da dobiju daljinsku kontrolu nad sistemom i prate aktivnosti korisnika. Da bi izvršili ove funkcije, oni instaliraju backdoor i također pokušavaju dobiti lozinku za Windows račun ili kreirati novi nalog. Napadači također pribjegavaju uslugama keyloggera (keyloggera), krađi Windows međuspremnika i specijalnog softvera za rad sa pametnim karticama. Ova grupa je pokušala da kompromituje druge računare koji su bili na istoj lokalnoj mreži kao i računar žrtve.
Naš ESET LiveGrid telemetrijski sistem, koji nam omogućava brzo praćenje statistike distribucije zlonamjernog softvera, pružio nam je zanimljive geografske statistike o distribuciji zlonamjernog softvera koji su koristili napadači u spomenutoj kampanji.
Rice. 3. Statistika o geografskoj distribuciji zlonamjernog softvera korištenog u ovoj zlonamjernoj kampanji.
Instaliranje zlonamjernog softvera
Nakon što korisnik otvori zlonamjerni dokument sa eksploatacijom na ranjivom sistemu, tamo će se preuzeti i izvršiti poseban program za preuzimanje upakovan pomoću NSIS-a. Na početku svog rada, program provjerava Windows okruženje da li postoje programi za otklanjanje grešaka ili da li rade u kontekstu virtuelne mašine. Također provjerava lokalizaciju Windows-a i da li je korisnik posjetio URL-ove navedene ispod u tabeli u pretraživaču. Za to se koriste API-ji FindFirst/NextUrlCacheEntry i ključ registra SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader provjerava prisustvo sljedećih aplikacija na sistemu.
Lista procesa je zaista impresivna i, kao što vidite, ne uključuje samo bankarske aplikacije. Na primjer, izvršna datoteka pod nazivom “scardsvr.exe” odnosi se na softver za rad sa pametnim karticama (Microsoft SmartCard čitač). Sam bankarski trojanac uključuje mogućnost rada sa pametnim karticama.
Rice. 4. Opšti dijagram procesa instalacije zlonamjernog softvera.
Ako su sve provjere uspješno završene, loader preuzima posebnu datoteku (arhivu) sa udaljenog servera, koja sadrži sve zlonamjerne izvršne module koje koriste napadači. Zanimljivo je napomenuti da u zavisnosti od izvršenja gornjih provjera, arhive preuzete sa udaljenog C&C servera mogu se razlikovati. Arhiva može, ali ne mora biti zlonamjerna. Ako nije zlonamjeran, instalira Windows Live Toolbar za korisnika. Najvjerovatnije su napadači pribjegli sličnim trikovima kako bi prevarili sisteme za automatsku analizu datoteka i virtuelne mašine na kojima se izvršavaju sumnjive datoteke.
Datoteka koju preuzima NSIS preuzimač je 7z arhiva koja sadrži različite module zlonamjernog softvera. Slika ispod prikazuje cijeli proces instalacije ovog zlonamjernog softvera i njegovih različitih modula.
Rice. 5. Opća shema kako zlonamjerni softver radi.
Iako učitani moduli služe različitim namjenama za napadače, oni su identično zapakirani i mnogi od njih su potpisani važećim digitalnim certifikatima. Pronašli smo četiri takva sertifikata koje su napadači koristili od samog početka kampanje. Nakon naše žalbe, ove potvrde su povučene. Zanimljivo je da su svi sertifikati izdati kompanijama registrovanim u Moskvi.
Rice. 6. Digitalni certifikat koji je korišten za potpisivanje zlonamjernog softvera.
Sljedeća tabela identificira digitalne certifikate koje su napadači koristili u ovoj zlonamjernoj kampanji.
Gotovo svi zlonamjerni moduli koje koriste napadači imaju identičnu proceduru instalacije. To su samoraspakirajuće 7zip arhive koje su zaštićene lozinkom.
Rice. 7. Fragment batch datoteke install.cmd.
Paketna .cmd datoteka je odgovorna za instaliranje zlonamjernog softvera na sistem i pokretanje raznih napadačkih alata. Ako izvršenje zahtijeva nedostajuća administrativna prava, zlonamjerni kod koristi nekoliko metoda da ih dobije (zaobilazeći UAC). Za implementaciju prve metode koriste se dvije izvršne datoteke nazvane l1.exe i cc1.exe, koje su specijalizirane za zaobilaženje UAC-a pomoću
Dok smo pratili ovu kampanju, analizirali smo nekoliko arhiva koje je postavio downloader. Sadržaj arhiva je bio različit, što znači da su napadači mogli prilagoditi zlonamjerne module u različite svrhe.
Kompromis korisnika
Kao što smo već spomenuli, napadači koriste posebne alate da kompromituju računare korisnika. Ovi alati uključuju programe s imenima izvršnih datoteka mimi.exe i xtm.exe. Oni pomažu napadačima da preuzmu kontrolu nad računarom žrtve i specijaliziraju se za obavljanje sljedećih zadataka: dobivanje/oporavljanje lozinki za Windows račune, omogućavanje RDP usluge, kreiranje novog naloga u OS-u.
Izvršni fajl mimi.exe uključuje modifikovanu verziju dobro poznatog alata otvorenog koda
Druga izvršna datoteka, xtm.exe, pokreće posebne skripte koje omogućavaju RDP uslugu u sistemu, pokušavaju da kreiraju novi nalog u OS-u, a takođe menjaju sistemske postavke kako bi se omogućilo nekoliko korisnika da se istovremeno povežu sa kompromitovanim računarom preko RDP-a. Očigledno, ovi koraci su neophodni da bi se stekla potpuna kontrola nad kompromitovanim sistemom.
Rice. 8. Komande koje izvršava xtm.exe na sistemu.
Napadači koriste drugu izvršnu datoteku pod nazivom impack.exe, koja se koristi za instaliranje posebnog softvera na sistem. Ovaj softver se zove LiteManager i napadači ga koriste kao backdoor.
Rice. 9. LiteManager interfejs.
Jednom instaliran na korisnikov sistem, LiteManager omogućava napadačima da se direktno povežu na taj sistem i daljinski kontrolišu ga. Ovaj softver ima posebne parametre komandne linije za svoju skrivenu instalaciju, kreiranje posebnih pravila zaštitnog zida i pokretanje svog modula. Sve parametre koriste napadači.
Posljednji modul paketa zlonamjernog softvera koji koriste napadači je bankarski zlonamjerni program (banker) s imenom izvršne datoteke pn_pack.exe. Ona je specijalizovana za špijuniranje korisnika i odgovorna je za interakciju sa C&C serverom. Bankar se pokreće pomoću legitimnog softvera Yandex Punto. Punto koriste napadači za pokretanje zlonamjernih DLL biblioteka (DLL Side-Loading metoda). Sam zlonamjerni softver može obavljati sljedeće funkcije:
- pratiti pritisak na tastaturu i sadržaj međuspremnika za njihov naknadni prijenos na udaljeni server;
- navesti sve pametne kartice koje su prisutne u sistemu;
- komunicirati sa udaljenim C&C serverom.
Modul zlonamjernog softvera, koji je odgovoran za obavljanje svih ovih zadataka, je šifrirana DLL biblioteka. Dešifruje se i učitava u memoriju tokom izvršavanja Punta. Da bi izvršio gore navedene zadatke, DLL izvršni kod pokreće tri niti.
Činjenica da su napadači odabrali Punto softver za svoje potrebe nije iznenađenje: neki ruski forumi otvoreno pružaju detaljne informacije o temama kao što je korištenje nedostataka u legitimnom softveru za kompromitaciju korisnika.
Zlonamjerna biblioteka koristi RC4 algoritam za šifriranje svojih stringova, kao i tokom mrežnih interakcija sa C&C serverom. On kontaktira server svake dvije minute i tamo prenosi sve podatke koji su prikupljeni na kompromitovanom sistemu tokom ovog vremenskog perioda.
Rice. 10. Fragment mrežne interakcije između bota i servera.
Ispod su neke od instrukcija C&C servera koje biblioteka može primiti.
Kao odgovor na primanje instrukcija od C&C servera, zlonamjerni softver odgovara statusnim kodom. Zanimljivo je napomenuti da svi moduli bankara koje smo analizirali (najnoviji sa datumom kompilacije 18. januara) sadrže string “TEST_BOTNET” koji se u svakoj poruci šalje na C&C server.
zaključak
Da bi kompromitovali korporativne korisnike, napadači u prvoj fazi kompromituju jednog zaposlenog u kompaniji slanjem phishing poruke sa eksploatacijom. Zatim, kada se malver instalira na sistem, koristit će softverske alate koji će im pomoći da značajno prošire svoj autoritet na sistemu i obavljaju dodatne zadatke na njemu: kompromituju druge računare na korporativnoj mreži i špijuniraju korisnika, kao i bankarske transakcije koje obavlja.
izvor: www.habr.com