Ekde la fino de la pasinta jaro, ni komencis spuri novan malican kampanjon por distribui bankan trojanon. La atakantoj temigis kompromiti rusajn kompaniojn, t.e. kompaniajn uzantojn. La malica kampanjo estis aktiva dum almenaŭ unu jaro kaj, krom la banka trojano, la atakantoj uzis diversajn aliajn programajn ilojn. Ĉi tiuj inkluzivas specialan ŝargilon pakita uzante , kaj spionvaro, kiu estas alivestita kiel la konata legitima Yandex Punto-programaro. Post kiam la atakantoj sukcesis kompromiti la komputilon de la viktimo, ili instalas malantaŭan pordon kaj poste bankan trojanon.
Por sia malbon-varo, la atakantoj uzis plurajn validajn (tiutempe) ciferecajn atestojn kaj specialajn metodojn por preteriri AV-produktojn. La malica kampanjo celis grandan nombron da rusaj bankoj kaj estas de speciala intereso ĉar la atakantoj uzis metodojn kiuj estas ofte uzataj en celitaj atakoj, t.e. atakoj kiuj ne estas motivitaj sole per financa fraŭdo. Ni povas noti iujn similecojn inter ĉi tiu malica kampanjo kaj grava okazaĵo kiu ricevis grandan publikecon antaŭe. Ni parolas pri ciberkrima grupo, kiu uzis bankan trojanon /.
La atakantoj instalis malware nur sur tiuj komputiloj kiuj uzis la rusan lingvon en Vindozo (lokigo) defaŭlte. La ĉefa distribua vektoro de la trojano estis Word-dokumento kun ekspluato. , kiu estis sendita kiel aldonaĵo al la dokumento. La ekrankopioj sube montras la aspekton de tiaj falsaj dokumentoj. La unua dokumento estas titolita "Fakturo n-ro 522375-FLORL-14-115.doc", kaj la dua "kontrakt87.doc", ĝi estas kopio de la kontrakto por liverado de telekomunikaj servoj de la movebla operatoro Megafon.
Rizo. 1. Phishing-dokumento.
Rizo. 2. Alia modifo de la phishing-dokumento.
La sekvaj faktoj indikas, ke la atakantoj celis rusajn entreprenojn:
- distribuado de malware uzante falsajn dokumentojn pri la specifita temo;
- la taktikoj de atakantoj kaj la malicaj iloj kiujn ili uzas;
- ligiloj al komercaj aplikaĵoj en kelkaj plenumeblaj moduloj;
- nomoj de malicaj domajnoj kiuj estis uzataj en ĉi tiu kampanjo.
Specialaj programaraj iloj, kiujn atakantoj instalas sur kompromitita sistemo, permesas al ili akiri malproksiman kontrolon de la sistemo kaj monitori uzantan agadon. Por plenumi ĉi tiujn funkciojn, ili instalas malantaŭan pordon kaj ankaŭ provas akiri la Vindozan konton pasvorton aŭ krei novan konton. Atakantoj ankaŭ recurre al la servoj de keylogger (keylogger), Vindoza tondujoŝtelisto kaj speciala programaro por labori kun inteligentaj kartoj. Ĉi tiu grupo provis kompromiti aliajn komputilojn kiuj estis sur la sama loka reto kiel la komputilo de la viktimo.
Nia telemetria sistemo ESET LiveGrid, kiu ebligas al ni rapide spuri statistikojn pri distribuo de malware, provizis al ni interesajn geografiajn statistikojn pri la distribuado de malware uzata de atakantoj en la menciita kampanjo.
Rizo. 3. Statistikoj pri la geografia distribuo de malware uzata en ĉi tiu malica kampanjo.
Instalado de malware
Post kiam uzanto malfermas malican dokumenton kun ekspluato sur vundebla sistemo, speciala elŝutilo pakita per NSIS estos elŝutita kaj ekzekutita tie. Komence de sia laboro, la programo kontrolas la Vindozan medion por la ĉeesto de erarserĉiloj tie aŭ por funkcii en la kunteksto de virtuala maŝino. Ĝi ankaŭ kontrolas la lokalizon de Vindozo kaj ĉu la uzanto vizitis la URL-ojn listigitajn sube en la tabelo en la retumilo. APIoj estas uzataj por tio Trovu Unue/Sekva UrlCacheEntry kaj la registroŝlosilo de SoftwareMicrosoftInternet ExplorerTypedURLs.
La ekŝargilo kontrolas la ĉeeston de la sekvaj aplikoj en la sistemo.
La listo de procezoj estas vere impresa kaj, kiel vi povas vidi, ĝi inkluzivas ne nur bankajn aplikojn. Ekzemple, rulebla dosiero nomita "scardsvr.exe" rilatas al programaro por labori kun inteligentaj kartoj (Microsoft SmartCard-leganto). La banka Trojano mem inkluzivas la kapablon labori kun inteligentaj kartoj.
Rizo. 4. Ĝenerala diagramo de la procezo de instalado de malware.
Se ĉiuj kontroloj estas sukcese finitaj, la ŝargilo elŝutas specialan dosieron (arkivon) de la fora servilo, kiu enhavas ĉiujn malicajn plenumeblajn modulojn uzatajn de atakantoj. Estas interese noti, ke depende de la ekzekuto de la supraj kontroloj, la arkivoj elŝutitaj de la fora C&C-servilo povas malsami. La arkivo eble aŭ ne estas malica. Se ne malica, ĝi instalas la Ilobreton de Windows Live por la uzanto. Plej verŝajne, la atakantoj uzis similajn lertaĵojn por trompi aŭtomatajn dosierajn analizsistemojn kaj virtualajn maŝinojn sur kiuj suspektindaj dosieroj estas ekzekutitaj.
La dosiero elŝutita de la NSIS-elŝutilo estas 7z-arkivo, kiu enhavas diversajn malware-modulojn. La suba bildo montras la tutan instalprocezon de ĉi tiu malware kaj ĝiaj diversaj moduloj.
Rizo. 5. Ĝenerala skemo pri kiel funkcias malware.
Kvankam la ŝarĝitaj moduloj servas malsamajn celojn por la atakantoj, ili estas pakitaj idente kaj multaj el ili estis subskribitaj per validaj ciferecaj atestiloj. Ni trovis kvar tiajn atestojn, kiujn la atakantoj uzis de la komenco mem de la kampanjo. Post nia plendo, ĉi tiuj atestiloj estis nuligitaj. Estas interese rimarki, ke ĉiuj atestiloj estis eldonitaj al kompanioj registritaj en Moskvo.
Rizo. 6. Cifereca atestilo, kiu estis uzata por subskribi la malware.
La sekva tabelo identigas la ciferecajn atestojn, kiujn la atakantoj uzis en ĉi tiu malica kampanjo.
Preskaŭ ĉiuj malicaj moduloj uzataj de atakantoj havas identan instalan proceduron. Ili estas mem-eltiraj 7zip-arkivoj, kiuj estas pasvortprotektitaj.
Rizo. 7. Fragmento de la aro-dosiero install.cmd.
La batch .cmd-dosiero respondecas pri instalo de malware en la sistemo kaj lanĉo de diversaj atakiloj. Se ekzekuto postulas mankantajn administrajn rajtojn, la malica kodo uzas plurajn metodojn por akiri ilin (preterpasante UAC). Por efektivigi la unuan metodon, du ruleblaj dosieroj nomitaj l1.exe kaj cc1.exe estas uzataj, kiuj specialiĝas pri preterpasi UAC uzante la Fontkodoj de Carberp. Alia metodo baziĝas sur ekspluatado de la vundebleco CVE-2013-3660. Ĉiu malware-modulo, kiu postulas privilegian eskaladon, enhavas ambaŭ 32-bitan kaj 64-bitan version de la ekspluato.
Dum spurado de ĉi tiu kampanjo, ni analizis plurajn arkivojn alŝutitajn de la elŝutilo. La enhavo de la arkivoj variis, signifante ke atakantoj povis adapti malicajn modulojn por malsamaj celoj.
Uzanto kompromiso
Kiel ni menciis supre, atakantoj uzas specialajn ilojn por kompromiti la komputilojn de uzantoj. Ĉi tiuj iloj inkluzivas programojn kun ruleblaj dosiernomoj mimi.exe kaj xtm.exe. Ili helpas atakantojn regi la komputilon de la viktimo kaj specialiĝi pri plenumi la sekvajn taskojn: akiri/reakiri pasvortojn por Vindozaj kontoj, ebligi la RDP-servon, krei novan konton en la OS.
La plenumebla mimi.exe inkluzivas modifitan version de konata malfermfonta ilo . Ĉi tiu ilo ebligas al vi akiri vindozajn uzantkontajn pasvortojn. La atakantoj forigis la parton de Mimikatz, kiu respondecas pri uzantinterago. La rulebla kodo ankaŭ estis modifita tiel ke kiam lanĉite, Mimikatz funkcias kun la komandoj privilegio::debug kaj sekurlsa:logonPasswords.
Alia rulebla dosiero, xtm.exe, lanĉas specialajn skriptojn, kiuj ebligas la RDP-servon en la sistemo, provas krei novan konton en la OS, kaj ankaŭ ŝanĝas sistemajn agordojn por permesi al pluraj uzantoj samtempe konektiĝi al kompromitita komputilo per RDP. Evidente, ĉi tiuj paŝoj estas necesaj por akiri plenan kontrolon de la kompromitita sistemo.
Rizo. 8. Komandoj ekzekutitaj de xtm.exe en la sistemo.
Atakantoj uzas alian ruleblan dosieron nomatan impack.exe, kiu estas uzata por instali specialan programaron en la sistemo. Ĉi tiu programaro nomiĝas LiteManager kaj estas uzata de atakantoj kiel malantaŭa pordo.
Rizo. 9. LiteManager interfaco.
Post kiam instalita en la sistemo de uzanto, LiteManager permesas al atakantoj rekte konekti al tiu sistemo kaj malproksime kontroli ĝin. Ĉi tiu programaro havas specialajn komandliniajn parametrojn por sia kaŝita instalado, kreado de specialaj fajroŝirmilaj reguloj kaj lanĉo de sia modulo. Ĉiuj parametroj estas uzataj de atakantoj.
La lasta modulo de la malware-pakaĵo uzata de atakantoj estas banka malware programo (bankisto) kun la plenumebla dosiernomo pn_pack.exe. Ŝi specialiĝas pri spionado de la uzanto kaj respondecas pri interagado kun la C&C-servilo. La bankisto estas lanĉita per laŭleĝa Yandex Punto-programaro. Punto estas uzata de atakantoj por lanĉi malicajn DLL-bibliotekojn (DLL Side-Loading-metodo). La malware mem povas plenumi la sekvajn funkciojn:
- spuri klavarajn klavojn kaj tondujoenhavojn por ilia posta dissendo al fora servilo;
- listigu ĉiujn inteligentajn kartojn, kiuj ĉeestas en la sistemo;
- interagi kun fora C&C-servilo.
La malware-modulo, kiu respondecas pri plenumi ĉiujn ĉi tiujn taskojn, estas ĉifrita DLL-biblioteko. Ĝi estas deĉifrita kaj ŝarĝita en memoron dum Punto-ekzekuto. Por plenumi ĉi-suprajn taskojn, la plenumebla kodo de DLL komencas tri fadenojn.
La fakto, ke atakantoj elektis Punto-programaron por siaj celoj, ne estas surprizo: iuj rusaj forumoj malkaŝe disponigas detalajn informojn pri tiaj temoj kiel uzi difektojn en legitima programaro por kompromiti uzantojn.
La malica biblioteko uzas la RC4-algoritmon por ĉifri siajn ŝnurojn, same kiel dum retaj interagoj kun la C&C-servilo. Ĝi kontaktas la servilon ĉiujn du minutojn kaj transdonas tie ĉiujn datumojn, kiuj estis kolektitaj sur la kompromitita sistemo dum ĉi tiu tempodaŭro.
Rizo. 10. Fragmento de reto-interago inter la bot kaj la servilo.
Malsupre estas kelkaj el la C&C servilaj instrukcioj kiujn la biblioteko povas ricevi.
Responde al ricevado de instrukcioj de la C&C-servilo, la malware respondas per statuskodo. Estas interese rimarki, ke ĉiuj bankaj moduloj kiujn ni analizis (la plej lastatempa kun kompildato de la 18-a de januaro) enhavas la ĉenon "TEST_BOTNET", kiu estas sendita en ĉiu mesaĝo al la C&C-servilo.
konkludo
Por kompromiti kompaniajn uzantojn, atakantoj en la unua etapo kompromitas unu dungiton de la firmao sendante phishing-mesaĝon kun ekspluato. Poste, post kiam la malware estas instalita en la sistemo, ili uzos programarajn ilojn, kiuj helpos ilin signife vastigi sian aŭtoritaton sur la sistemo kaj plenumi pliajn taskojn sur ĝi: kompromiti aliajn komputilojn en la kompania reto kaj spioni la uzanton, kaj ankaŭ la bankaj transakcioj kiujn li faras.
fonto: www.habr.com