Alates eelmise aasta lõpust hakkasime jälgima uut pahatahtlikku kampaaniat pangandustroojalase levitamiseks. Ründajad keskendusid Venemaa ettevõtete ehk korporatiivkasutajate kompromiteerimisele. Pahatahtlik kampaania oli aktiivne vähemalt aasta ning lisaks pangatroojalasele kasutasid ründajad mitmesuguseid muid tarkvaratööriistu. Nende hulka kuulub spetsiaalne laadur, mis on pakendatud kasutades ja nuhkvara, mis on maskeeritud tuntud legitiimseks Yandex Punto tarkvaraks. Kui ründajatel on õnnestunud ohvri arvutit ohustada, paigaldavad nad tagaukse ja seejärel pangatroojalase.
Ründajad kasutasid oma pahavara jaoks mitmeid kehtivaid (tol ajal) digisertifikaate ja erimeetodeid, et AV-toodetest mööda hiilida. Pahatahtlik kampaania oli suunatud paljudele Venemaa pankadele ja pakub erilist huvi, kuna ründajad kasutasid meetodeid, mida sageli kasutatakse suunatud rünnakute puhul, st rünnakuid, mis ei ole ajendatud üksnes finantspettusest. Võime täheldada mõningaid sarnasusi selle pahatahtliku kampaania ja varem suurt reklaami pälvinud suure intsidendi vahel. Jutt käib küberkurjategijate grupeeringust, kes kasutas pangandustroojalast /.
Ründajad installisid pahavara ainult nendesse arvutitesse, mis kasutasid Windowsis vaikimisi vene keelt (lokaliseerimine). Trooja peamiseks levitamiseks oli Wordi dokument, millel oli ärakasutamine. , mis saadeti dokumendi manusena. Allolevad ekraanipildid näitavad selliste võltsdokumentide välimust. Esimene dokument kannab pealkirja “Arve nr 522375-FLORL-14-115.doc” ja teine “kontrakt87.doc”, see on mobiilioperaatori Megafon telekommunikatsiooniteenuste osutamise lepingu koopia.
Riis. 1. Andmepüügidokument.
Riis. 2. Andmepüügidokumendi teine muudatus.
Järgmised faktid näitavad, et ründajad olid suunatud Venemaa ettevõtetele:
- pahavara levitamine, kasutades kindlaksmääratud teemal võltsitud dokumente;
- ründajate taktikad ja nende kasutatavad pahatahtlikud tööriistad;
- lingid ärirakendustele mõnes käivitatavas moodulis;
- selles kampaanias kasutatud pahatahtlike domeenide nimed.
Spetsiaalsed tarkvaratööriistad, mille ründajad ohustatud süsteemi installivad, võimaldavad neil saada süsteemi kaugjuhtimise ja jälgida kasutaja tegevust. Nende funktsioonide täitmiseks installivad nad tagaukse ja proovivad hankida ka Windowsi konto parooli või luua uue konto. Ründajad kasutavad ka klahvilogija (keylogger), Windowsi lõikelaua varastajat ja spetsiaalset tarkvara kiipkaartidega töötamiseks. See grupp püüdis kahjustada teisi arvuteid, mis olid ohvri arvutiga samas kohtvõrgus.
Meie telemeetriasüsteem ESET LiveGrid, mis võimaldab meil kiiresti jälgida pahavara levitamise statistikat, andis meile huvitava geograafilise statistika mainitud kampaanias ründajate poolt kasutatud pahavara leviku kohta.
Riis. 3. Statistika selles pahatahtlikus kampaanias kasutatud pahavara geograafilise leviku kohta.
Pahavara installimine
Pärast seda, kui kasutaja avab haavatavas süsteemis kuritahtliku dokumendi, laaditakse alla spetsiaalne NSIS-i pakitud allalaadija ja käivitatakse seal. Programm kontrollib oma töö alguses Windowsi keskkonda silurite olemasolu või virtuaalmasina kontekstis töötamise suhtes. Samuti kontrollib see Windowsi lokaliseerimist ja seda, kas kasutaja on brauseris külastanud allolevas tabelis loetletud URL-e. Selleks kasutatakse API-sid FindFirst/NextUrlCacheEntry ja tarkvara MicrosoftInternet ExplorerTypedURLs registrivõti.
Alglaadur kontrollib järgmiste rakenduste olemasolu süsteemis.
Protsesside loend on tõeliselt muljetavaldav ja nagu näete, ei sisalda see mitte ainult pangarakendusi. Näiteks käivitatav fail nimega “scardsvr.exe” viitab tarkvarale kiipkaartidega töötamiseks (Microsoft SmartCardi lugeja). Pangandustroojalane ise sisaldab kiipkaartidega töötamise võimalust.
Riis. 4. Pahavara installiprotsessi üldskeem.
Kui kõik kontrollid on edukalt lõpule viidud, laadib laadur kaugserverist alla spetsiaalse faili (arhiivi), mis sisaldab kõiki ründajate kasutatavaid pahatahtlikke käivitamismooduleid. Huvitav on märkida, et olenevalt ülaltoodud kontrollide teostamisest võivad kaug-C&C serverist allalaaditud arhiivid erineda. Arhiiv võib olla pahatahtlik, aga ei pruugi olla. Kui see pole pahatahtlik, installib see kasutaja jaoks Windows Live'i tööriistariba. Tõenäoliselt kasutasid ründajad sarnaseid nippe, et petta automaatseid failianalüüsisüsteeme ja virtuaalseid masinaid, milles kahtlasi faile käivitatakse.
NSIS-i allalaadija poolt alla laaditud fail on 7z arhiiv, mis sisaldab erinevaid pahavaramooduleid. Alloleval pildil on näha kogu selle pahavara ja selle erinevate moodulite installiprotsess.
Riis. 5. Üldine pahavara toimimise skeem.
Kuigi laaditud moodulid teenivad ründajate jaoks erinevaid eesmärke, on need pakendatud identselt ja paljud neist olid allkirjastatud kehtivate digisertifikaatidega. Leidsime neli sellist sertifikaati, mida ründajad kasutasid kampaania algusest peale. Pärast meie kaebust tunnistati need sertifikaadid kehtetuks. Huvitav on märkida, et kõik sertifikaadid väljastati Moskvas registreeritud ettevõtetele.
Riis. 6. Digitaalne sertifikaat, mida kasutati pahavara allkirjastamiseks.
Järgmine tabel tuvastab digitaalsed sertifikaadid, mida ründajad selles pahatahtlikus kampaanias kasutasid.
Peaaegu kõigil ründajate kasutatavatel pahatahtlikel moodulitel on identne installiprotseduur. Need on parooliga kaitstud 7zip-arhiivid.
Riis. 7. Fragment install.cmd pakettfailist.
Partii-.cmd-fail vastutab pahavara süsteemi installimise ja erinevate ründajatööriistade käivitamise eest. Kui käivitamine nõuab administraatoriõiguste puudumist, kasutab pahatahtlik kood nende hankimiseks mitut meetodit (mitte UAC-st mööda). Esimese meetodi rakendamiseks kasutatakse kahte käivitatavat faili nimega l1.exe ja cc1.exe, mis on spetsialiseerunud UAC-st möödahiilimisele, kasutades Carberpi lähtekood. Teine meetod põhineb haavatavuse CVE-2013-3660 ärakasutamisel. Iga pahavaramoodul, mis nõuab privileegide eskalatsiooni, sisaldab ärakasutamise nii 32-bitist kui ka 64-bitist versiooni.
Seda kampaaniat jälgides analüüsisime mitmeid allalaadija poolt üles laaditud arhiive. Arhiivide sisu oli erinev, mis tähendab, et ründajad said pahatahtlikke mooduleid erinevatel eesmärkidel kohandada.
Kasutajate kompromiss
Nagu eespool mainitud, kasutavad ründajad kasutajate arvutite ohustamiseks spetsiaalseid tööriistu. Need tööriistad hõlmavad programme käivitatava failinimega mimi.exe ja xtm.exe. Need aitavad ründajatel ohvri arvuti üle kontrolli võtta ja spetsialiseeruvad järgmistele ülesannetele: Windowsi kontode paroolide hankimine/taastamine, RDP-teenuse lubamine, OS-is uue konto loomine.
Mimi.exe käivitatav fail sisaldab tuntud avatud lähtekoodiga tööriista muudetud versiooni . See tööriist võimaldab teil hankida Windowsi kasutajakonto paroole. Ründajad eemaldasid Mimikatzist selle osa, mis vastutab kasutaja suhtlemise eest. Käivitatavat koodi on muudetud ka nii, et Mimikatz töötab käivitamisel käskudega privilege::debug ja sekurlsa:logonPasswords.
Teine käivitatav fail xtm.exe käivitab spetsiaalsed skriptid, mis võimaldavad süsteemis RDP-teenust, proovivad luua OS-is uut kontot ja muudavad ka süsteemi sätteid, et võimaldada mitmel kasutajal RDP kaudu üheaegselt ühenduda ohustatud arvutiga. Ilmselgelt on need sammud vajalikud, et saavutada täielik kontroll ohustatud süsteemi üle.
Riis. 8. Käsud, mida süsteemis käivitab xtm.exe.
Ründajad kasutavad teist käivitatavat faili nimega impack.exe, mida kasutatakse spetsiaalse tarkvara installimiseks süsteemi. Seda tarkvara nimetatakse LiteManageriks ja ründajad kasutavad seda tagauksena.
Riis. 9. LiteManageri liides.
Kui LiteManager on kasutaja süsteemi installitud, võimaldab see ründajatel selle süsteemiga otse ühenduse luua ja seda kaugjuhtida. Sellel tarkvaral on spetsiaalsed käsurea parameetrid selle varjatud installimiseks, spetsiaalsete tulemüürireeglite loomiseks ja mooduli käivitamiseks. Ründajad kasutavad kõiki parameetreid.
Ründajate poolt kasutatav pahavarapaketi viimane moodul on panga pahavaraprogramm (pankur) käivitatava failinimega pn_pack.exe. Ta on spetsialiseerunud kasutaja luuramisele ja vastutab C&C serveriga suhtlemise eest. Pankur käivitatakse seadusliku Yandex Punto tarkvara abil. Ründajad kasutavad Punto't pahatahtlike DLL-teekide käivitamiseks (DLL-i külglaadimise meetod). Pahavara ise võib täita järgmisi funktsioone:
- Klaviatuuri klahvivajutuste ja lõikepuhvri sisu jälgimine nende edasiseks edastamiseks kaugserverisse;
- loetlege kõik süsteemis olevad kiipkaardid;
- suhelda C&C kaugserveriga.
Pahavaramoodul, mis vastutab kõigi nende ülesannete täitmise eest, on krüptitud DLL-teek. See dekrüpteeritakse ja laaditakse Punto täitmise ajal mällu. Ülaltoodud ülesannete täitmiseks käivitab DLL-i käivitatav kood kolm lõime.
Asjaolu, et ründajad valisid oma eesmärkideks Punto tarkvara, ei ole üllatus: mõned Venemaa foorumid pakuvad avalikult üksikasjalikku teavet sellistel teemadel nagu legitiimse tarkvara vigade kasutamine kasutajate kompromiteerimiseks.
Pahatahtlik teek kasutab oma stringide krüptimiseks RC4 algoritmi, samuti võrgu suhtlemisel C&C serveriga. See võtab serveriga ühendust iga kahe minuti järel ja edastab sinna kõik andmed, mis selle aja jooksul ohustatud süsteemis koguti.
Riis. 10. Fragment võrgu suhtlusest roboti ja serveri vahel.
Allpool on mõned C&C serveri juhised, mida raamatukogu saab vastu võtta.
Vastuseks C&C serverilt juhiste saamisele vastab pahavara olekukoodiga. Huvitav on märkida, et kõik meie analüüsitud pankurimoodulid (viimane koostamise kuupäev on 18. jaanuar) sisaldavad stringi "TEST_BOTNET", mis saadetakse igas sõnumis C&C serverile.
Järeldus
Ettevõtluskasutajate ohustamiseks kompromiteerivad ründajad esimeses etapis ühe ettevõtte töötaja, saates ärakasutamisega andmepüügisõnumi. Järgmiseks, kui pahavara on süsteemi installitud, kasutavad nad tarkvaratööriistu, mis aitavad neil oluliselt laiendada oma volitusi süsteemis ja täita selles täiendavaid ülesandeid: kompromiteerida teisi ettevõtte võrgus olevaid arvuteid ja luurata kasutaja järele, samuti pangatehingud, mida ta teeb.
Allikas: www.habr.com