Sukad sa katapusan sa miaging tuig, nagsugod kami sa pagsubay sa usa ka bag-ong malisyoso nga kampanya sa pag-apod-apod sa usa ka banking Trojan. Ang mga tig-atake nagpunting sa pagkompromiso sa mga kompanya sa Russia, ie mga tiggamit sa korporasyon. Ang malisyosong kampanya aktibo sulod sa labing menos usa ka tuig ug, dugang pa sa banking Trojan, ang mga tig-atake midangop sa paggamit sa lain-laing uban pang mga himan sa software. Naglakip kini sa usa ka espesyal nga loader nga giputos gamit , ug spyware, nga nagtakuban ingon nga ilado nga lehitimong Yandex Punto software. Sa diha nga ang mga tig-atake nakahimo sa pagkompromiso sa computer sa biktima, sila nag-instalar sa backdoor ug dayon usa ka banking Trojan.
Alang sa ilang malware, ang mga tig-atake migamit ug daghang balido (niadtong panahona) digital nga mga sertipiko ug mga espesyal nga pamaagi aron malaktawan ang mga produkto sa AV. Gipunting sa malisyosong kampanya ang daghang gidaghanon sa mga bangko sa Russia ug adunay partikular nga interes tungod kay ang mga tig-atake migamit ug mga pamaagi nga sagad gigamit sa gipunting nga mga pag-atake, nga mao ang mga pag-atake nga wala gipalihok lamang sa pinansyal nga pagpanglimbong. Mamatikdan nato ang pipila ka kaamgiran tali niining malisyoso nga kampanya ug sa usa ka dakong insidente nga nakadawat ug dakong publisidad sa sayo pa. Naghisgot kami bahin sa usa ka grupo sa cybercriminal nga gigamit ang usa ka Trojan sa bangko /.
Ang mga tig-atake nag-install lamang og malware sa mga kompyuter nga naggamit sa Russian nga pinulongan sa Windows (localization) nga default. Ang panguna nga vector sa pag-apod-apod sa Trojan usa ka dokumento sa Pulong nga adunay usa ka pagpahimulos. , nga gipadala isip attachment sa dokumento. Ang mga screenshot sa ubos nagpakita sa dagway sa ingon nga peke nga mga dokumento. Ang unang dokumento nag-ulohan og "Invoice No. 522375-FLORL-14-115.doc", ug ang ikaduha "kontrakt87.doc", usa kini ka kopya sa kontrata alang sa paghatag sa mga serbisyo sa telekomunikasyon sa mobile operator nga Megafon.
bugas. 1. Dokumento sa phishing.
bugas. 2. Laing kausaban sa dokumento sa phishing.
Ang mosunod nga mga kamatuoran nagpakita nga ang mga tig-atake nagpunting sa mga negosyo sa Russia:
- pag-apod-apod sa malware gamit ang peke nga mga dokumento sa piho nga hilisgutan;
- ang mga taktika sa mga tig-atake ug ang makadaot nga mga himan nga ilang gigamit;
- mga link sa mga aplikasyon sa negosyo sa pipila ka mga executable modules;
- mga ngalan sa malisyosong domain nga gigamit niini nga kampanya.
Espesyal nga mga himan sa software nga gi-install sa mga tig-atake sa usa ka nakompromiso nga sistema nagtugot kanila nga makakuha og hilit nga kontrol sa sistema ug mamonitor ang kalihokan sa tiggamit. Aron mahimo kini nga mga gimbuhaton, nag-install sila usa ka backdoor ug gisulayan usab nga makuha ang password sa Windows account o paghimo usa ka bag-ong account. Ang mga tig-atake midangop usab sa mga serbisyo sa usa ka keylogger (keylogger), usa ka Windows clipboard stealer, ug espesyal nga software alang sa pagtrabaho sa mga smart card. Kini nga grupo misulay sa pagkompromiso sa ubang mga kompyuter nga anaa sa samang lokal nga network sa kompyuter sa biktima.
Ang among ESET LiveGrid telemetry system, nga nagtugot kanamo nga dali nga masubay ang mga istatistika sa pag-apod-apod sa malware, naghatag kanamo nga makapaikag nga mga istatistika sa heyograpiya sa pag-apod-apod sa malware nga gigamit sa mga tig-atake sa nahisgutan nga kampanya.
bugas. 3. Mga estadistika sa geographic nga pag-apod-apod sa malware nga gigamit niining malisyoso nga kampanya.
Pag-instalar sa malware
Human maablihan sa usa ka user ang usa ka malisyoso nga dokumento nga adunay pagpahimulos sa usa ka huyang nga sistema, usa ka espesyal nga downloader nga giputos gamit ang NSIS ang ma-download ug ipatuman didto. Sa sinugdanan sa trabaho niini, gisusi sa programa ang palibot sa Windows alang sa presensya sa mga debugger didto o sa pagdagan sa konteksto sa usa ka virtual machine. Gisusi usab niini ang lokalisasyon sa Windows ug kung gibisita ba sa user ang mga URL nga gilista sa ubos sa lamesa sa browser. Ang mga API gigamit alang niini PangitaaUna/SunodUrlCacheEntry ug ang SoftwareMicrosoftInternet ExplorerTypedURLs registry key.
Ang bootloader nagsusi sa presensya sa mosunod nga mga aplikasyon sa sistema.
Ang lista sa mga proseso tinuod nga impresibo ug, ingon sa imong makita, kini naglakip dili lamang sa mga aplikasyon sa banking. Pananglitan, ang usa ka executable file nga ginganlag "scardsvr.exe" nagtumong sa software alang sa pagtrabaho sa mga smart card (Microsoft SmartCard reader). Ang banking Trojan mismo naglakip sa abilidad sa pagtrabaho sa mga smart card.
bugas. 4. Kinatibuk-ang diagram sa proseso sa pag-instalar sa malware.
Kung ang tanan nga mga tseke malampuson nga nahuman, ang loader nag-download sa usa ka espesyal nga file (archive) gikan sa hilit nga server, nga adunay tanan nga makadaot nga mga executable module nga gigamit sa mga tig-atake. Makapaikag nga hinumdoman nga depende sa pagpatuman sa mga pagsusi sa ibabaw, ang mga archive nga gi-download gikan sa hilit nga server sa C&C mahimong magkalainlain. Ang archive mahimong makadaot o dili. Kung dili malisyoso, gi-install niini ang Windows Live Toolbar para sa tiggamit. Lagmit, ang mga tig-atake midangop sa susamang mga limbong aron sa paglimbong sa mga awtomatikong sistema sa pag-analisa sa file ug mga virtual machine diin ang mga kadudahang mga file gipatuman.
Ang file nga gi-download sa NSIS downloader usa ka 7z archive nga adunay lainlaing mga module sa malware. Ang hulagway sa ubos nagpakita sa tibuok proseso sa pag-instalar niini nga malware ug sa nagkalain-laing modules niini.
bugas. 5. Kinatibuk-ang laraw kon sa unsang paagi molihok ang malware.
Bisan kung ang gikarga nga mga module nagsilbi nga lainlaing katuyoan alang sa mga tig-atake, parehas sila nga giputos ug daghan kanila ang gipirmahan nga adunay balido nga digital nga mga sertipiko. Nakit-an namo ang upat ka ingon nga mga sertipiko nga gigamit sa mga tig-atake sukad pa sa pagsugod sa kampanya. Pagkahuman sa among reklamo, kini nga mga sertipiko gibawi. Makapainteres nga matikdan nga ang tanan nga mga sertipiko gihatag sa mga kompanya nga narehistro sa Moscow.
bugas. 6. Digital nga sertipiko nga gigamit sa pagpirma sa malware.
Ang mosunod nga talaan nagpaila sa mga digital nga sertipiko nga gigamit sa mga tig-atake niining malisyoso nga kampanya.
Halos tanan nga malisyoso nga mga module nga gigamit sa mga tig-atake adunay parehas nga pamaagi sa pag-install. Gikuha nila ang kaugalingon nga 7zip archive nga giprotektahan sa password.
bugas. 7. Tipik sa install.cmd batch file.
Ang batch .cmd nga file mao ang responsable sa pag-instalar sa malware sa sistema ug paglansad sa lain-laing mga himan sa pag-atake. Kung ang pagpatay nanginahanglan nawala nga mga katungod sa administratibo, ang malisyoso nga code naggamit daghang mga pamaagi aron makuha kini (pag-bypass sa UAC). Aron ipatuman ang unang pamaagi, duha ka executable files nga gitawag og l1.exe ug cc1.exe ang gigamit, nga nag-espesyalisar sa pag-bypass sa UAC gamit ang Carberp source code. Ang laing pamaagi gibase sa pagpahimulos sa kahuyang sa CVE-2013-3660. Ang matag module sa malware nga nanginahanglan pag-uswag sa pribilehiyo adunay parehas nga 32-bit ug 64-bit nga bersyon sa pagpahimulos.
Samtang gisubay kini nga kampanya, among gisusi ang daghang mga archive nga gi-upload sa nag-download. Nagkalainlain ang mga sulud sa archive, nagpasabut nga ang mga tig-atake mahimong mopahiangay sa mga makadaot nga module alang sa lainlaing mga katuyoan.
Kompromiso sa tiggamit
Sama sa among gihisgutan sa ibabaw, ang mga tig-atake naggamit ug espesyal nga mga himan aron ikompromiso ang mga kompyuter sa mga tiggamit. Kini nga mga himan naglakip sa mga programa nga adunay mga executable nga ngalan sa file nga mimi.exe ug xtm.exe. Gitabangan nila ang mga tig-atake nga makontrol ang kompyuter sa biktima ug espesyalista sa paghimo sa mga musunod nga buluhaton: pagkuha/pagbawi sa mga password alang sa mga account sa Windows, pagpagana sa serbisyo sa RDP, paghimo og bag-ong account sa OS.
Ang mimi.exe executable naglakip sa usa ka giusab nga bersyon sa usa ka ilado nga open source tool . Kini nga himan nagtugot kanimo sa pagkuha sa Windows user account password. Gikuha sa mga tig-atake ang bahin gikan sa Mimikatz nga responsable sa interaksyon sa tiggamit. Ang executable code giusab usab aron sa dihang gilansad, ang Mimikatz modagan uban ang pribilehiyo::debug ug sekurlsa:logonPasswords nga mga sugo.
Ang laing executable nga file, xtm.exe, naglansad sa mga espesyal nga script nga makapahimo sa serbisyo sa RDP sa sistema, pagsulay sa paghimo og bag-ong account sa OS, ug usab pag-usab sa mga setting sa sistema aron tugotan ang daghang mga tiggamit nga dungan nga magkonektar sa usa ka nakompromiso nga kompyuter pinaagi sa RDP. Dayag, kini nga mga lakang gikinahanglan aron makuha ang hingpit nga pagkontrol sa nakompromiso nga sistema.
bugas. 8. Mga sugo nga gipatuman sa xtm.exe sa sistema.
Ang mga tig-atake naggamit ug laing executable nga file nga gitawag ug impack.exe, nga gigamit sa pag-instalar ug espesyal nga software sa sistema. Kini nga software gitawag og LiteManager ug gigamit sa mga tig-atake isip backdoor.
bugas. 9. Interface sa LiteManager.
Kung na-install na sa sistema sa usa ka user, gitugotan sa LiteManager ang mga tig-atake nga direktang magkonektar sa kana nga sistema ug kontrolon kini sa layo. Kini nga software adunay espesyal nga mga parameter sa command line alang sa gitago nga pag-install, paghimo og espesyal nga mga lagda sa firewall, ug paglansad sa module niini. Ang tanan nga mga parameter gigamit sa mga tig-atake.
Ang kataposang module sa malware package nga gigamit sa mga tig-atake mao ang banking malware program (banker) nga adunay executable file name nga pn_pack.exe. Espesyalista siya sa pagpaniid sa tiggamit ug responsable sa pagpakig-uban sa C&C server. Ang banker gilunsad gamit ang lehitimong Yandex Punto software. Ang Punto gigamit sa mga tig-atake aron maglunsad og mga malisyoso nga DLL library (DLL Side-Loading method). Ang malware mismo makahimo sa mosunod nga mga gimbuhaton:
- pagsubay sa mga keystroke sa keyboard ug mga sulod sa clipboard alang sa ilang sunod nga pagpasa ngadto sa usa ka hilit nga server;
- ilista ang tanang mga smart card nga anaa sa sistema;
- makig-uban sa usa ka hilit nga C&C server.
Ang module sa malware, nga responsable sa pagbuhat sa tanan niini nga mga buluhaton, usa ka naka-encrypt nga DLL library. Gi-decrypted kini ug gikarga sa memorya sa panahon sa pagpatay sa Punto. Aron mahimo ang mga buluhaton sa ibabaw, ang DLL executable code magsugod sa tulo ka mga hilo.
Ang kamatuoran nga ang mga tig-atake mipili sa Punto software alang sa ilang mga katuyoan dili usa ka katingala: ang pipila ka Russian nga mga forum dayag nga naghatag og detalyado nga impormasyon sa mga hilisgutan sama sa paggamit sa mga sayup sa lehitimong software aron ikompromiso ang mga tiggamit.
Ang malisyoso nga librarya naggamit sa RC4 algorithm aron ma-encrypt ang mga kuwerdas niini, ingon man sa panahon sa mga interaksyon sa network sa C&C server. Gikontak niini ang server matag duha ka minuto ug gipadala didto ang tanan nga datos nga nakolekta sa nakompromiso nga sistema sa kini nga yugto sa panahon.
bugas. 10. Tipik sa interaksyon sa network tali sa bot ug sa server.
Sa ubos mao ang pipila sa mga panudlo sa server sa C&C nga madawat sa librarya.
Agig tubag sa pagdawat sa mga instruksyon gikan sa C&C server, ang malware motubag gamit ang status code. Makapaikag nga hinumdoman nga ang tanan nga mga module sa banker nga among gisusi (ang labing bag-o nga adunay petsa sa pagtipon sa Enero 18) adunay sulud nga "TEST_BOTNET", nga gipadala sa matag mensahe sa server sa C&C.
konklusyon
Aron makompromiso ang mga tiggamit sa korporasyon, ang mga tig-atake sa una nga yugto ikompromiso ang usa ka empleyado sa kompanya pinaagi sa pagpadala usa ka mensahe sa phishing nga adunay pagpahimulos. Sunod, sa higayon nga ma-install na ang malware sa sistema, mogamit sila og software nga mga himan nga makatabang kanila sa pagpalapad sa ilang awtoridad sa sistema ug paghimo og dugang nga mga buluhaton niini: pagkompromiso sa ubang mga kompyuter sa corporate network ug pagpaniid sa tiggamit, ingon man usab ang mga transaksyon sa bangko nga iyang gihimo.
Source: www.habr.com