Ers diwedd y llynedd, rydym wedi dechrau olrhain ymgyrch faleisus newydd i ddosbarthu Trojan bancio. Canolbwyntiodd yr ymosodwyr ar gyfaddawdu cwmnïau Rwsiaidd, h.y. defnyddwyr corfforaethol. Bu'r ymgyrch faleisus yn weithredol am o leiaf blwyddyn ac, yn ogystal â'r Trojan bancio, dechreuodd yr ymosodwyr ddefnyddio amrywiol offer meddalwedd eraill. Mae'r rhain yn cynnwys llwythwr arbennig wedi'i becynnu gan ddefnyddio , ac ysbïwedd, sy'n cael ei guddio fel y meddalwedd Yandex Punto cyfreithlon adnabyddus. Unwaith y bydd yr ymosodwyr wedi llwyddo i gyfaddawdu cyfrifiadur y dioddefwr, maent yn gosod drws cefn ac yna Trojan bancio.
Ar gyfer eu malware, defnyddiodd yr ymosodwyr nifer o dystysgrifau digidol dilys (ar y pryd) a dulliau arbennig i osgoi cynhyrchion AV. Targedodd yr ymgyrch faleisus nifer fawr o fanciau yn Rwsia ac mae o ddiddordeb arbennig oherwydd bod yr ymosodwyr wedi defnyddio dulliau a ddefnyddir yn aml mewn ymosodiadau wedi'u targedu, h.y. ymosodiadau nad ydynt wedi'u hysgogi gan dwyll ariannol yn unig. Gallwn nodi rhai tebygrwydd rhwng yr ymgyrch faleisus hon a digwyddiad mawr a gafodd gyhoeddusrwydd mawr yn gynharach. Yr ydym yn sôn am grŵp seiberdroseddol a ddefnyddiodd Trojan bancio /.
Gosododd yr ymosodwyr malware yn unig ar y cyfrifiaduron hynny a ddefnyddiodd yr iaith Rwsieg yn Windows (lleololi) yn ddiofyn. Prif fector dosbarthiad y pren Troea oedd dogfen Word gyda ecsbloet. , a anfonwyd fel atodiad i'r ddogfen. Mae'r sgrinluniau isod yn dangos ymddangosiad dogfennau ffug o'r fath. Teitl y ddogfen gyntaf yw “Anfoneb Rhif 522375-FLORL-14-115.doc”, a’r ail “kontrakt87.doc”, ac mae’n gopi o’r contract ar gyfer darparu gwasanaethau telathrebu gan y gweithredwr symudol Megafon.
Reis. 1. Dogfen gwe-rwydo.
Reis. 2. Addasiad arall o'r ddogfen gwe-rwydo.
Mae'r ffeithiau canlynol yn dangos bod yr ymosodwyr yn targedu busnesau Rwsiaidd:
- dosbarthu drwgwedd gan ddefnyddio dogfennau ffug ar y pwnc penodedig;
- tactegau ymosodwyr a'r arfau maleisus a ddefnyddiant;
- cysylltiadau â chymwysiadau busnes mewn rhai modiwlau gweithredadwy;
- enwau parthau maleisus a ddefnyddiwyd yn yr ymgyrch hon.
Mae offer meddalwedd arbennig y mae ymosodwyr yn eu gosod ar system dan fygythiad yn eu galluogi i gael rheolaeth bell o'r system a monitro gweithgaredd defnyddwyr. I gyflawni'r swyddogaethau hyn, maent yn gosod drws cefn a hefyd yn ceisio cael cyfrinair cyfrif Windows neu greu cyfrif newydd. Mae ymosodwyr hefyd yn troi at wasanaethau keylogger (keylogger), llywr clipfwrdd Windows, a meddalwedd arbennig ar gyfer gweithio gyda chardiau smart. Ceisiodd y grŵp hwn gyfaddawdu cyfrifiaduron eraill a oedd ar yr un rhwydwaith lleol â chyfrifiadur y dioddefwr.
Darparodd ein system telemetreg ESET LiveGrid, sy'n ein galluogi i olrhain ystadegau dosbarthu malware yn gyflym, ystadegau daearyddol diddorol i ni ar ddosbarthiad malware a ddefnyddir gan ymosodwyr yn yr ymgyrch a grybwyllwyd.
Reis. 3. Ystadegau ar ddosbarthiad daearyddol malware a ddefnyddir yn yr ymgyrch faleisus hon.
Gosod malware
Ar ôl i ddefnyddiwr agor dogfen faleisus gyda chamfanteisio ar system fregus, bydd lawrlwythwr arbennig sydd wedi'i becynnu gan ddefnyddio NSIS yn cael ei lawrlwytho a'i weithredu yno. Ar ddechrau ei waith, mae'r rhaglen yn gwirio amgylchedd Windows am bresenoldeb dadfygwyr yno neu ar gyfer rhedeg yng nghyd-destun peiriant rhithwir. Mae hefyd yn gwirio lleoleiddio Windows ac a yw'r defnyddiwr wedi ymweld â'r URLau a restrir isod yn y tabl yn y porwr. Defnyddir APIs ar gyfer hyn Darganfod yn Gyntaf/NegesUrlCacheEntry ac allwedd cofrestrfa SoftwareMicrosoftInternet ExplorerTypedURLs.
Mae'r cychwynnydd yn gwirio am bresenoldeb y cymwysiadau canlynol ar y system.
Mae'r rhestr o brosesau yn wirioneddol drawiadol ac, fel y gwelwch, mae'n cynnwys nid yn unig cymwysiadau bancio. Er enghraifft, mae ffeil gweithredadwy o'r enw “scardsvr.exe” yn cyfeirio at feddalwedd ar gyfer gweithio gyda chardiau clyfar (darllenydd Microsoft SmartCard). Mae y pren Troea bancio ei hun yn cynnwys y gallu i weithio gyda chardiau clyfar.
Reis. 4. Diagram cyffredinol o'r broses gosod malware.
Os cwblheir yr holl wiriadau'n llwyddiannus, mae'r llwythwr yn lawrlwytho ffeil arbennig (archif) o'r gweinydd pell, sy'n cynnwys yr holl fodiwlau gweithredadwy maleisus a ddefnyddir gan ymosodwyr. Mae'n ddiddorol nodi, yn dibynnu ar gyflawni'r gwiriadau uchod, y gall yr archifau a lawrlwythir o'r gweinydd C&C o bell fod yn wahanol. Gall yr archif fod yn faleisus neu beidio. Os nad yw'n faleisus, mae'n gosod Bar Offer Windows Live ar gyfer y defnyddiwr. Yn fwyaf tebygol, fe wnaeth yr ymosodwyr droi at driciau tebyg i dwyllo systemau dadansoddi ffeiliau awtomatig a pheiriannau rhithwir y mae ffeiliau amheus yn cael eu gweithredu arnynt.
Mae'r ffeil a lawrlwythwyd gan y dadlwythwr NSIS yn archif 7z sy'n cynnwys amrywiol fodiwlau malware. Mae'r ddelwedd isod yn dangos proses osod gyfan y malware hwn a'i amrywiol fodiwlau.
Reis. 5. Cynllun cyffredinol o sut mae malware yn gweithio.
Er bod y modiwlau wedi'u llwytho yn gwasanaethu gwahanol ddibenion i'r ymosodwyr, maent yn cael eu pecynnu yn union yr un fath a llofnodwyd llawer ohonynt â thystysgrifau digidol dilys. Daethom o hyd i bedair tystysgrif o'r fath a ddefnyddiwyd gan yr ymosodwyr o ddechrau'r ymgyrch. Yn dilyn ein cwyn, cafodd y tystysgrifau hyn eu dirymu. Mae'n ddiddorol nodi bod yr holl dystysgrifau wedi'u rhoi i gwmnïau sydd wedi'u cofrestru ym Moscow.
Reis. 6. Tystysgrif ddigidol a ddefnyddiwyd i lofnodi'r malware.
Mae'r tabl canlynol yn nodi'r tystysgrifau digidol a ddefnyddiodd yr ymosodwyr yn yr ymgyrch faleisus hon.
Mae gan bron pob modiwl maleisus a ddefnyddir gan ymosodwyr weithdrefn osod union yr un fath. Maent yn hunan-echdynnu archifau 7zip sydd wedi'u diogelu gan gyfrinair.
Reis. 7. Darn o'r ffeil swp install.cmd.
Mae'r ffeil swp .cmd yn gyfrifol am osod malware ar y system a lansio offer ymosodwyr amrywiol. Os oes angen hawliau gweinyddol coll ar gyfer cyflawni, mae'r cod maleisus yn defnyddio sawl dull i'w cael (gan osgoi UAC). I weithredu'r dull cyntaf, defnyddir dwy ffeil weithredadwy o'r enw l1.exe a cc1.exe, sy'n arbenigo mewn osgoi UAC gan ddefnyddio'r Cod ffynhonnell Carberp. Mae dull arall yn seiliedig ar fanteisio ar y bregusrwydd CVE-2013-3660. Mae pob modiwl malware sy'n gofyn am uwchgyfeirio braint yn cynnwys fersiwn 32-bit a 64-bit o'r camfanteisio.
Wrth olrhain yr ymgyrch hon, dadansoddwyd sawl archif a uwchlwythwyd gan y lawrlwythwr. Roedd cynnwys yr archifau yn amrywio, gan olygu y gallai ymosodwyr addasu modiwlau maleisus at wahanol ddibenion.
Cyfaddawd defnyddiwr
Fel y soniasom uchod, mae ymosodwyr yn defnyddio offer arbennig i gyfaddawdu cyfrifiaduron defnyddwyr. Mae'r offer hyn yn cynnwys rhaglenni ag enwau ffeiliau gweithredadwy mimi.exe a xtm.exe. Maent yn helpu ymosodwyr i reoli cyfrifiadur y dioddefwr ac yn arbenigo mewn cyflawni'r tasgau canlynol: cael / adennill cyfrineiriau ar gyfer cyfrifon Windows, galluogi'r gwasanaeth RDP, creu cyfrif newydd yn yr OS.
Mae gweithredadwy mimi.exe yn cynnwys fersiwn wedi'i addasu o offeryn ffynhonnell agored adnabyddus . Mae'r offeryn hwn yn caniatáu ichi gael cyfrineiriau cyfrif defnyddiwr Windows. Tynnodd yr ymosodwyr y rhan o Mimikatz sy'n gyfrifol am ryngweithio defnyddwyr. Mae'r cod gweithredadwy hefyd wedi'i addasu fel bod Mimikatz, pan gaiff ei lansio, yn rhedeg gyda'r gorchmynion braint::debug a sekurlsa:logonPasswords.
Mae ffeil gweithredadwy arall, xtm.exe, yn lansio sgriptiau arbennig sy'n galluogi'r gwasanaeth RDP yn y system, ceisio creu cyfrif newydd yn yr OS, a hefyd newid gosodiadau system i ganiatáu i sawl defnyddiwr gysylltu ar yr un pryd â chyfrifiadur dan fygythiad trwy RDP. Yn amlwg, mae'r camau hyn yn angenrheidiol i ennill rheolaeth lawn o'r system dan fygythiad.
Reis. 8. Gorchmynion gweithredu gan xtm.exe ar y system.
Mae ymosodwyr yn defnyddio ffeil weithredadwy arall o'r enw impack.exe, a ddefnyddir i osod meddalwedd arbennig ar y system. Gelwir y feddalwedd hon yn LiteManager ac fe'i defnyddir gan ymosodwyr fel drws cefn.
Reis. 9. rhyngwyneb LiteManager.
Ar ôl ei osod ar system defnyddiwr, mae LiteManager yn caniatáu i ymosodwyr gysylltu'n uniongyrchol â'r system honno a'i rheoli o bell. Mae gan y feddalwedd hon baramedrau llinell orchymyn arbennig ar gyfer ei osod cudd, creu rheolau wal dân arbennig, a lansio ei fodiwl. Defnyddir yr holl baramedrau gan ymosodwyr.
Mae modiwl olaf y pecyn malware a ddefnyddir gan ymosodwyr yn rhaglen malware bancio (bancwr) gyda'r enw ffeil gweithredadwy pn_pack.exe. Mae hi'n arbenigo mewn ysbïo ar y defnyddiwr ac mae'n gyfrifol am ryngweithio â'r gweinydd C&C. Mae'r bancwr yn cael ei lansio gan ddefnyddio meddalwedd cyfreithlon Yandex Punto. Defnyddir Punto gan ymosodwyr i lansio llyfrgelloedd DLL maleisus (dull DLL Side-Loading). Gall y malware ei hun gyflawni'r swyddogaethau canlynol:
- tracio trawiadau bysellfyrddau a chynnwys clipfwrdd ar gyfer eu trosglwyddo wedyn i weinydd pell;
- rhestru'r holl gardiau smart sy'n bresennol yn y system;
- rhyngweithio â gweinydd C&C o bell.
Mae'r modiwl malware, sy'n gyfrifol am gyflawni'r holl dasgau hyn, yn llyfrgell DLL wedi'i hamgryptio. Mae'n cael ei ddadgryptio a'i lwytho i'r cof yn ystod gweithrediad Punto. I gyflawni'r tasgau uchod, mae'r cod gweithredadwy DLL yn cychwyn tair edefyn.
Nid yw'r ffaith bod ymosodwyr wedi dewis meddalwedd Punto at eu dibenion yn syndod: mae rhai fforymau Rwsia yn darparu gwybodaeth fanwl yn agored ar bynciau fel defnyddio diffygion mewn meddalwedd cyfreithlon i gyfaddawdu defnyddwyr.
Mae'r llyfrgell faleisus yn defnyddio'r algorithm RC4 i amgryptio ei llinynnau, yn ogystal ag yn ystod rhyngweithio rhwydwaith â'r gweinydd C&C. Mae'n cysylltu â'r gweinydd bob dwy funud ac yn trosglwyddo yno'r holl ddata a gasglwyd ar y system dan fygythiad yn ystod y cyfnod hwn o amser.
Reis. 10. Darn o ryngweithio rhwydwaith rhwng y bot a'r gweinydd.
Isod mae rhai o'r cyfarwyddiadau gweinydd C&C y gall y llyfrgell eu derbyn.
Mewn ymateb i dderbyn cyfarwyddiadau gan y gweinydd C&C, mae'r malware yn ymateb gyda chod statws. Mae'n ddiddorol nodi bod yr holl fodiwlau bancwyr a ddadansoddwyd gennym (yr un mwyaf diweddar gyda dyddiad casglu o Ionawr 18fed) yn cynnwys y llinyn "TEST_BOTNET", a anfonir ym mhob neges i'r gweinydd C&C.
Casgliad
Er mwyn peryglu defnyddwyr corfforaethol, mae ymosodwyr ar y cam cyntaf yn cyfaddawdu un gweithiwr yn y cwmni trwy anfon neges gwe-rwydo gyda chamfanteisio. Nesaf, unwaith y bydd y malware wedi'i osod ar y system, byddant yn defnyddio offer meddalwedd a fydd yn eu helpu i ehangu eu hawdurdod yn sylweddol ar y system a chyflawni tasgau ychwanegol arno: cyfaddawdu cyfrifiaduron eraill ar y rhwydwaith corfforaethol ac ysbïo ar y defnyddiwr, yn ogystal â y trafodion bancio y mae'n eu cyflawni.
Ffynhonnell: hab.com