Od konce minulého roku jsme začali sledovat novou škodlivou kampaň na distribuci bankovního trojského koně. Útočníci se zaměřili na kompromitování ruských společností, tedy firemních uživatelů. Škodlivá kampaň byla aktivní minimálně rok a kromě bankovního trojského koně se útočníci uchýlili k použití různých dalších softwarových nástrojů. Patří mezi ně speciální nakladač balený pomocí a spyware, který je maskován jako dobře známý legitimní software Yandex Punto. Jakmile se útočníkům podaří kompromitovat počítač oběti, nainstalují backdoor a poté bankovního trojského koně.
Pro svůj malware útočníci použili několik platných (v té době) digitálních certifikátů a speciálních metod, jak obejít AV produkty. Škodlivá kampaň cílila na velké množství ruských bank a je zvláště zajímavá, protože útočníci použili metody, které se často používají při cílených útocích, tedy útoky, které nejsou motivovány čistě finančními podvody. Můžeme si všimnout některých podobností mezi touto zákeřnou kampaní a velkým incidentem, který dříve získal velkou publicitu. Mluvíme o kyberzločinecké skupině, která použila bankovního trojského koně /.
Útočníci nainstalovali malware pouze na ty počítače, které ve výchozím nastavení používaly ruský jazyk ve Windows (lokalizaci). Hlavním distribučním vektorem trojského koně byl dokument aplikace Word s exploitem. , který byl zaslán jako příloha dokumentu. Níže uvedené snímky obrazovky ukazují vzhled takových falešných dokumentů. První dokument má název „Faktura č. 522375-FLORL-14-115.doc“ a druhý „kontrakt87.doc“ je kopií smlouvy o poskytování telekomunikačních služeb mobilním operátorem Megafon.
Rýže. 1. Phishingový dokument.
Rýže. 2. Další úprava phishingového dokumentu.
Následující skutečnosti naznačují, že útočníci se zaměřovali na ruské podniky:
- distribuce malwaru pomocí falešných dokumentů na zadané téma;
- taktiky útočníků a škodlivé nástroje, které používají;
- odkazy na obchodní aplikace v některých spustitelných modulech;
- názvy škodlivých domén, které byly použity v této kampani.
Speciální softwarové nástroje, které útočníci instalují na kompromitovaný systém, jim umožňují získat vzdálenou kontrolu nad systémem a sledovat aktivitu uživatelů. K provedení těchto funkcí si nainstalují zadní vrátka a také se pokusí získat heslo k účtu Windows nebo vytvořit nový účet. Útočníci také využívají služeb keyloggeru (keyloggeru), zloděje schránky Windows a speciálního softwaru pro práci s čipovými kartami. Tato skupina se pokusila ohrozit ostatní počítače, které byly ve stejné místní síti jako počítač oběti.
Náš telemetrický systém ESET LiveGrid, který nám umožňuje rychle sledovat statistiky distribuce malwaru, nám poskytl zajímavé geografické statistiky o distribuci malwaru používaného útočníky ve zmíněné kampani.
Rýže. 3. Statistiky o geografickém rozšíření malwaru použitého v této škodlivé kampani.
Instalace malwaru
Poté, co uživatel otevře škodlivý dokument s exploitem na zranitelném systému, bude tam stažen a spuštěn speciální downloader zabalený pomocí NSIS. Na začátku své práce program zkontroluje prostředí Windows na přítomnost debuggerů nebo na spuštění v kontextu virtuálního stroje. Kontroluje také lokalizaci Windows a zda uživatel v prohlížeči navštívil níže uvedené adresy URL v tabulce. K tomu slouží API FindFirst/NextUrlCacheEntry a klíč registru SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader zkontroluje přítomnost následujících aplikací v systému.
Výčet procesů je skutečně působivý a jak je vidět, zahrnuje nejen bankovní aplikace. Například spustitelný soubor s názvem „scardsvr.exe“ označuje software pro práci s čipovými kartami (čtečka karet Microsoft SmartCard). Samotný bankovní trojan obsahuje schopnost pracovat s čipovými kartami.
Rýže. 4. Obecné schéma procesu instalace malwaru.
Pokud jsou všechny kontroly úspěšně dokončeny, zavaděč stáhne ze vzdáleného serveru speciální soubor (archiv), který obsahuje všechny škodlivé spustitelné moduly používané útočníky. Je zajímavé poznamenat, že v závislosti na provedení výše uvedených kontrol se mohou archivy stažené ze vzdáleného serveru C&C lišit. Archiv může, ale nemusí být škodlivý. Pokud není škodlivý, nainstaluje pro uživatele lištu Windows Live Toolbar. Útočníci se s největší pravděpodobností uchýlili k podobným trikům, aby oklamali systémy automatické analýzy souborů a virtuální stroje, na kterých se spouštějí podezřelé soubory.
Soubor stažený programem pro stahování NSIS je archiv 7z, který obsahuje různé moduly malwaru. Obrázek níže ukazuje celý proces instalace tohoto malwaru a jeho různých modulů.
Rýže. 5. Obecné schéma fungování malwaru.
Přestože načtené moduly slouží útočníkům k různým účelům, jsou zabaleny identicky a mnoho z nich bylo podepsáno platnými digitálními certifikáty. Našli jsme čtyři takové certifikáty, které útočníci používali od samého začátku kampaně. Po naší stížnosti byly tyto certifikáty zrušeny. Je zajímavé, že všechny certifikáty byly vydány společnostem registrovaným v Moskvě.
Rýže. 6. Digitální certifikát, který byl použit k podepsání malwaru.
Následující tabulka uvádí digitální certifikáty, které útočníci použili v této škodlivé kampani.
Téměř všechny škodlivé moduly používané útočníky mají stejný instalační postup. Jsou to samorozbalovací archivy 7zip, které jsou chráněny heslem.
Rýže. 7. Fragment dávkového souboru install.cmd.
Dávkový soubor .cmd je zodpovědný za instalaci malwaru do systému a spouštění různých nástrojů pro útočníky. Pokud spuštění vyžaduje chybějící práva správce, škodlivý kód je získá několika způsoby (obcházení UAC). K implementaci první metody se používají dva spustitelné soubory nazvané l1.exe a cc1.exe, které se specializují na obcházení UAC pomocí Zdrojové kódy Carberp. Další metoda je založena na zneužití zranitelnosti CVE-2013-3660. Každý modul malwaru, který vyžaduje eskalaci oprávnění, obsahuje 32bitovou i 64bitovou verzi exploitu.
Při sledování této kampaně jsme analyzovali několik archivů nahraných downloaderem. Obsah archivů se lišil, což znamená, že útočníci mohli přizpůsobit škodlivé moduly pro různé účely.
Kompromis uživatele
Jak jsme zmínili výše, útočníci používají speciální nástroje ke kompromitaci počítačů uživatelů. Tyto nástroje zahrnují programy s názvy spustitelných souborů mimi.exe a xtm.exe. Pomáhají útočníkům převzít kontrolu nad počítačem oběti a specializují se na provádění následujících úkolů: získání/obnovení hesel pro účty Windows, povolení služby RDP, vytvoření nového účtu v OS.
Spustitelný soubor mimi.exe obsahuje upravenou verzi známého open source nástroje . Tento nástroj umožňuje získat hesla uživatelských účtů systému Windows. Útočníci odstranili z Mimikatz část, která je zodpovědná za interakci uživatele. Spustitelný kód byl také upraven tak, že při spuštění Mimikatz běží s příkazy privilegia::debug a sekurlsa:logonPasswords.
Další spustitelný soubor, xtm.exe, spouští speciální skripty, které umožňují službu RDP v systému, pokusí se vytvořit nový účet v OS a také změnit nastavení systému tak, aby se několik uživatelů mohlo současně připojit k napadenému počítači přes RDP. Je zřejmé, že tyto kroky jsou nezbytné k získání plné kontroly nad napadeným systémem.
Rýže. 8. Příkazy prováděné xtm.exe v systému.
Útočníci používají jiný spustitelný soubor s názvem impack.exe, který se používá k instalaci speciálního softwaru do systému. Tento software se nazývá LiteManager a útočníci jej používají jako zadní vrátka.
Rýže. 9. Rozhraní LiteManager.
Po instalaci do systému uživatele umožňuje LiteManager útočníkům přímo se připojit k tomuto systému a vzdáleně jej ovládat. Tento software má speciální parametry příkazového řádku pro jeho skrytou instalaci, vytváření speciálních pravidel firewallu a spouštění jeho modulu. Všechny parametry využívají útočníci.
Posledním modulem malwarového balíčku využívaného útočníky je bankovní malwarový program (bankéř) s názvem spustitelného souboru pn_pack.exe. Specializuje se na špehování uživatelů a je zodpovědná za interakci se serverem C&C. Bankéř je spuštěn pomocí legitimního softwaru Yandex Punto. Punto používají útočníci ke spouštění škodlivých knihoven DLL (metoda DLL Side-Loading). Samotný malware může provádět následující funkce:
- sledovat stisknuté klávesy a obsah schránky pro jejich následný přenos na vzdálený server;
- vypsat všechny čipové karty, které jsou přítomny v systému;
- komunikovat se vzdáleným serverem C&C.
Modul malwaru, který je zodpovědný za provádění všech těchto úkolů, je šifrovaná knihovna DLL. Během provádění Punto je dešifrován a načten do paměti. K provedení výše uvedených úkolů spustí spustitelný kód DLL tři vlákna.
Skutečnost, že útočníci si pro své účely vybrali software Punto, není překvapením: některá ruská fóra otevřeně poskytují podrobné informace o tématech, jako je použití nedostatků v legitimním softwaru ke kompromitaci uživatelů.
Škodlivá knihovna používá algoritmus RC4 k šifrování svých řetězců a také během síťových interakcí se serverem C&C. Každé dvě minuty kontaktuje server a předá tam všechna data, která byla během této doby shromážděna na napadeném systému.
Rýže. 10. Fragment síťové interakce mezi botem a serverem.
Níže jsou uvedeny některé pokyny pro server C&C, které může knihovna obdržet.
V reakci na obdržení pokynů ze serveru C&C odpoví malware stavovým kódem. Je zajímavé poznamenat, že všechny moduly bankéřů, které jsme analyzovali (ten nejnovější s datem kompilace 18. ledna), obsahují řetězec „TEST_BOTNET“, který je zasílán v každé zprávě na server C&C.
Závěr
Aby útočníci ohrozili podnikové uživatele, v první fázi kompromitují jednoho zaměstnance společnosti odesláním phishingové zprávy s exploitem. Poté, jakmile je malware nainstalován do systému, budou používat softwarové nástroje, které jim pomohou výrazně rozšířit jejich pravomoci v systému a provádět na něm další úkoly: kompromitovat ostatní počítače v podnikové síti a špehovat uživatele a také bankovní transakce, které provádí.
Zdroj: www.habr.com