Seit Ende letzten Jahres verfolgen wir eine neue Schadkampagne zur Verbreitung eines Banking-Trojaners. Die Angreifer konzentrierten sich auf die Kompromittierung russischer Unternehmen, also Unternehmensnutzer. Die Schadkampagne war mindestens ein Jahr lang aktiv und die Angreifer griffen neben dem Banking-Trojaner auch auf verschiedene andere Softwaretools zurück. Dazu gehört ein spezieller Lader, der mit verpackt ist , und Spyware, die als bekannte legitime Yandex Punto-Software getarnt ist. Sobald es den Angreifern gelungen ist, den Computer des Opfers zu kompromittieren, installieren sie eine Hintertür und anschließend einen Banking-Trojaner.
Für ihre Schadsoftware nutzten die Angreifer mehrere (zu diesem Zeitpunkt) gültige digitale Zertifikate und spezielle Methoden zur Umgehung von AV-Produkten. Die böswillige Kampagne richtete sich gegen zahlreiche russische Banken und ist von besonderem Interesse, da die Angreifer Methoden verwendeten, die häufig bei gezielten Angriffen zum Einsatz kommen, d. h. Angriffe, die nicht ausschließlich durch Finanzbetrug motiviert sind. Wir können einige Ähnlichkeiten zwischen dieser böswilligen Kampagne und einem größeren Vorfall feststellen, der zuvor große Aufmerksamkeit erregte. Die Rede ist von einer Cyberkriminellengruppe, die einen Banking-Trojaner eingesetzt hat /.
Die Angreifer installierten die Schadsoftware nur auf den Computern, die standardmäßig die russische Sprache in Windows (Lokalisierung) verwendeten. Der Hauptverbreitungsvektor des Trojaners war ein Word-Dokument mit einem Exploit. , das als Anhang zum Dokument gesendet wurde. Die folgenden Screenshots zeigen das Erscheinungsbild solcher gefälschten Dokumente. Das erste Dokument trägt den Titel „Rechnung Nr. 522375-FLORL-14-115.doc“, das zweite „kontrakt87.doc“ und ist eine Kopie des Vertrags über die Erbringung von Telekommunikationsdiensten durch den Mobilfunkbetreiber Megafon.
Reis. 1. Phishing-Dokument.
Reis. 2. Eine weitere Änderung des Phishing-Dokuments.
Die folgenden Fakten deuten darauf hin, dass die Angreifer russische Unternehmen im Visier hatten:
- Verbreitung von Schadsoftware mithilfe gefälschter Dokumente zum angegebenen Thema;
- die Taktiken der Angreifer und die von ihnen verwendeten bösartigen Tools;
- Links zu Geschäftsanwendungen in einigen ausführbaren Modulen;
- Namen bösartiger Domänen, die in dieser Kampagne verwendet wurden.
Spezielle Softwaretools, die Angreifer auf einem kompromittierten System installieren, ermöglichen es ihnen, Fernkontrolle über das System zu erlangen und Benutzeraktivitäten zu überwachen. Um diese Funktionen auszuführen, installieren sie eine Hintertür und versuchen außerdem, an das Windows-Kontokennwort zu gelangen oder ein neues Konto zu erstellen. Angreifer greifen auch auf die Dienste eines Keyloggers (Keylogger), eines Windows-Clipboard-Stealers und spezieller Software für die Arbeit mit Smartcards zurück. Diese Gruppe versuchte, andere Computer zu kompromittieren, die sich im selben lokalen Netzwerk wie der Computer des Opfers befanden.
Unser ESET LiveGrid-Telemetriesystem, mit dem wir Statistiken zur Malware-Verbreitung schnell verfolgen können, lieferte uns interessante geografische Statistiken zur Verteilung der von Angreifern in der genannten Kampagne verwendeten Malware.
Reis. 3. Statistiken zur geografischen Verteilung der in dieser bösartigen Kampagne verwendeten Malware.
Schadsoftware installieren
Nachdem ein Benutzer ein bösartiges Dokument mit einem Exploit auf einem anfälligen System geöffnet hat, wird ein spezieller, mit NSIS gepackter Downloader heruntergeladen und dort ausgeführt. Zu Beginn seiner Arbeit überprüft das Programm die Windows-Umgebung auf das Vorhandensein von Debuggern oder auf die Ausführung im Kontext einer virtuellen Maschine. Außerdem wird die Lokalisierung von Windows überprüft und ob der Benutzer die unten in der Tabelle aufgeführten URLs im Browser besucht hat. Hierzu werden APIs verwendet FindFirst/NextUrlCacheEntry und der Registrierungsschlüssel SoftwareMicrosoftInternet ExplorerTypedURLs.
Der Bootloader prüft, ob die folgenden Anwendungen auf dem System vorhanden sind.
Die Liste der Prozesse ist wirklich beeindruckend und umfasst, wie Sie sehen, nicht nur Bankanwendungen. Beispielsweise bezieht sich eine ausführbare Datei mit dem Namen „scardsvr.exe“ auf eine Software zum Arbeiten mit Smartcards (Microsoft SmartCard-Lesegerät). Der Banking-Trojaner selbst bietet die Möglichkeit, mit Smartcards zu arbeiten.
Reis. 4. Allgemeines Diagramm des Malware-Installationsprozesses.
Wenn alle Prüfungen erfolgreich abgeschlossen wurden, lädt der Loader eine spezielle Datei (Archiv) vom Remote-Server herunter, die alle von Angreifern verwendeten schädlichen ausführbaren Module enthält. Es ist interessant festzustellen, dass abhängig von der Ausführung der oben genannten Prüfungen die vom Remote-C&C-Server heruntergeladenen Archive unterschiedlich sein können. Das Archiv kann bösartig sein oder auch nicht. Wenn es sich nicht um einen Schädling handelt, wird die Windows Live-Symbolleiste für den Benutzer installiert. Höchstwahrscheinlich griffen die Angreifer auf ähnliche Tricks zurück, um automatische Dateianalysesysteme und virtuelle Maschinen zu täuschen, auf denen verdächtige Dateien ausgeführt werden.
Die vom NSIS-Downloader heruntergeladene Datei ist ein 7z-Archiv, das verschiedene Malware-Module enthält. Das Bild unten zeigt den gesamten Installationsprozess dieser Malware und ihrer verschiedenen Module.
Reis. 5. Allgemeines Schema zur Funktionsweise von Malware.
Obwohl die geladenen Module für die Angreifer unterschiedlichen Zwecken dienen, sind sie identisch verpackt und viele von ihnen wurden mit gültigen digitalen Zertifikaten signiert. Wir haben vier solcher Zertifikate gefunden, die die Angreifer von Beginn der Kampagne an verwendet haben. Auf unsere Beschwerde hin wurden diese Zertifikate widerrufen. Interessant ist, dass alle Zertifikate an in Moskau registrierte Unternehmen ausgestellt wurden.
Reis. 6. Digitales Zertifikat, das zum Signieren der Malware verwendet wurde.
Die folgende Tabelle identifiziert die digitalen Zertifikate, die die Angreifer in dieser bösartigen Kampagne verwendet haben.
Fast alle von Angreifern verwendeten Schadmodule haben ein identisches Installationsverfahren. Es handelt sich um selbstextrahierende 7zip-Archive, die passwortgeschützt sind.
Reis. 7. Fragment der Batchdatei install.cmd.
Die Batch-CMD-Datei ist für die Installation von Malware auf dem System und den Start verschiedener Angreifer-Tools verantwortlich. Wenn für die Ausführung fehlende Administratorrechte erforderlich sind, verwendet der Schadcode mehrere Methoden, um diese zu erlangen (unter Umgehung der Benutzerkontensteuerung). Um die erste Methode zu implementieren, werden zwei ausführbare Dateien namens l1.exe und cc1.exe verwendet, die auf die Umgehung der Benutzerkontensteuerung mithilfe von spezialisiert sind Carberp-Quellcode. Eine andere Methode basiert auf der Ausnutzung der Sicherheitslücke CVE-2013-3660. Jedes Malware-Modul, das eine Rechteausweitung erfordert, enthält sowohl eine 32-Bit- als auch eine 64-Bit-Version des Exploits.
Bei der Verfolgung dieser Kampagne haben wir mehrere vom Downloader hochgeladene Archive analysiert. Der Inhalt der Archive variierte, sodass Angreifer Schadmodule für unterschiedliche Zwecke anpassen konnten.
Benutzerkompromiss
Wie oben erwähnt, nutzen Angreifer spezielle Tools, um die Computer der Benutzer zu kompromittieren. Zu diesen Tools gehören Programme mit den ausführbaren Dateinamen mimi.exe und xtm.exe. Sie helfen Angreifern dabei, die Kontrolle über den Computer des Opfers zu übernehmen, und sind auf die Ausführung folgender Aufgaben spezialisiert: Besorgen/Wiederherstellen von Passwörtern für Windows-Konten, Aktivieren des RDP-Dienstes, Erstellen eines neuen Kontos im Betriebssystem.
Die ausführbare Datei mimi.exe enthält eine modifizierte Version eines bekannten Open-Source-Tools . Mit diesem Tool können Sie Passwörter für Windows-Benutzerkonten abrufen. Die Angreifer haben den Teil aus Mimikatz entfernt, der für die Benutzerinteraktion verantwortlich ist. Der ausführbare Code wurde ebenfalls geändert, sodass Mimikatz beim Start mit den Befehlen „privileg::debug“ und „sekurlsa:logonPasswords“ ausgeführt wird.
Eine andere ausführbare Datei, xtm.exe, startet spezielle Skripts, die den RDP-Dienst im System aktivieren, versuchen, ein neues Konto im Betriebssystem zu erstellen und auch Systemeinstellungen zu ändern, um mehreren Benutzern gleichzeitig die Verbindung mit einem gefährdeten Computer über RDP zu ermöglichen. Offensichtlich sind diese Schritte notwendig, um die vollständige Kontrolle über das kompromittierte System zu erlangen.
Reis. 8. Von xtm.exe auf dem System ausgeführte Befehle.
Angreifer nutzen eine weitere ausführbare Datei namens impack.exe, mit der spezielle Software auf dem System installiert wird. Diese Software heißt LiteManager und wird von Angreifern als Hintertür genutzt.
Reis. 9. LiteManager-Schnittstelle.
Sobald LiteManager auf dem System eines Benutzers installiert ist, können Angreifer eine direkte Verbindung zu diesem System herstellen und es fernsteuern. Diese Software verfügt über spezielle Befehlszeilenparameter für ihre versteckte Installation, die Erstellung spezieller Firewall-Regeln und den Start ihres Moduls. Alle Parameter werden von Angreifern genutzt.
Das letzte von Angreifern verwendete Modul des Schadpakets ist ein Banking-Schadprogramm (Banker) mit dem ausführbaren Dateinamen pn_pack.exe. Sie ist auf das Ausspionieren des Benutzers spezialisiert und für die Interaktion mit dem C&C-Server verantwortlich. Der Banker wird mit der legitimen Yandex Punto-Software gestartet. Punto wird von Angreifern verwendet, um schädliche DLL-Bibliotheken zu starten (DLL-Side-Loading-Methode). Die Schadsoftware selbst kann folgende Funktionen ausführen:
- Verfolgen Sie Tastatureingaben und den Inhalt der Zwischenablage für deren anschließende Übertragung an einen Remote-Server.
- Listen Sie alle im System vorhandenen Smartcards auf.
- mit einem entfernten C&C-Server interagieren.
Das Malware-Modul, das für die Ausführung all dieser Aufgaben verantwortlich ist, ist eine verschlüsselte DLL-Bibliothek. Es wird während der Punto-Ausführung entschlüsselt und in den Speicher geladen. Um die oben genannten Aufgaben auszuführen, startet der ausführbare DLL-Code drei Threads.
Die Tatsache, dass sich Angreifer für die Punto-Software für ihre Zwecke entschieden haben, ist keine Überraschung: Einige russische Foren stellen offen detaillierte Informationen zu Themen wie der Ausnutzung von Fehlern in legitimer Software zur Kompromittierung von Benutzern zur Verfügung.
Die bösartige Bibliothek verwendet den RC4-Algorithmus zur Verschlüsselung ihrer Zeichenfolgen sowie bei Netzwerkinteraktionen mit dem C&C-Server. Es kontaktiert alle zwei Minuten den Server und übermittelt dort alle Daten, die in diesem Zeitraum auf dem kompromittierten System gesammelt wurden.
Reis. 10. Fragment der Netzwerkinteraktion zwischen dem Bot und dem Server.
Nachfolgend sind einige der C&C-Serveranweisungen aufgeführt, die die Bibliothek empfangen kann.
Als Reaktion auf den Empfang von Anweisungen vom C&C-Server antwortet die Malware mit einem Statuscode. Es ist interessant festzustellen, dass alle von uns analysierten Banker-Module (das jüngste mit dem Kompilierungsdatum 18. Januar) die Zeichenfolge „TEST_BOTNET“ enthalten, die in jeder Nachricht an den C&C-Server gesendet wird.
Abschluss
Um Unternehmensbenutzer zu kompromittieren, kompromittieren Angreifer im ersten Schritt einen Mitarbeiter des Unternehmens, indem sie eine Phishing-Nachricht mit einem Exploit senden. Sobald die Malware auf dem System installiert ist, verwenden sie als Nächstes Softwaretools, mit denen sie ihre Autorität über das System erheblich erweitern und zusätzliche Aufgaben darauf ausführen können: andere Computer im Unternehmensnetzwerk kompromittieren und den Benutzer ausspionieren die von ihm getätigten Bankgeschäfte.
Source: habr.com