Joan den urte amaieratik, banku-troiako bat banatzeko kanpaina maltzur baten jarraipena egiten hasi ginen. Erasotzaileek Errusiako enpresak arriskuan jarri zituzten, hau da, erabiltzaile korporatiboak. Kanpaina gaiztoa aktibo egon zen gutxienez urtebetez eta, bankuko Troiakoaz gain, erasotzaileek beste hainbat software tresna erabiltzera jo zuten. Horien artean, ontziratutako kargagailu berezi bat dago , eta spywarea, Yandex Punto software zilegi ezagunez mozorrotuta dagoena. Erasotzaileek biktimaren ordenagailua arriskuan jartzea lortu dutenean, atzeko atea instalatzen dute eta gero bankuko Troiako bat.
Beren malwarerako, erasotzaileek baliozko (garai hartan) hainbat ziurtagiri digital eta metodo berezi erabili zituzten AV produktuak saihesteko. Kanpaina gaiztoak Errusiako banku ugari jomugan zituen eta bereziki interesgarria da erasotzaileek helburuzko erasoetan sarritan erabiltzen diren metodoak erabili baitzituzten, hau da, finantza-iruzur hutsetik motibatuta ez dauden erasoak. Kanpaina gaizto honen eta lehenago publizitate handia jaso zuen gertakari handi baten arteko antzekotasun batzuk nabari ditzakegu. Banku Troiako bat erabiltzen zuen ziberkriminal talde bati buruz ari gara /.
Erasotzaileek malwarea instalatu zuten lehenespenez Windows-en errusiera hizkuntza erabiltzen zuten ordenagailuetan soilik (lokalizazioa). Troiako banaketa-bektore nagusia Word dokumentu bat izan zen exploit batekin. , dokumentuaren eranskin gisa bidali zena. Beheko pantaila-argazkiek dokumentu faltsu horien itxura erakusten dute. Lehenengo agiriak Β«522375-FLORL-14-115.doc faktura zk.Β» du izena, eta bigarrenak Β«kontrak87.docΒ», Megafon mugikorreko operadoreak telekomunikazio-zerbitzuak emateko kontratuaren kopia da.
Arroza. 1. Phishing dokumentua.
Arroza. 2. Phishing dokumentuaren beste aldaketa bat.
Ondorengo gertaerek adierazten dute erasotzaileek Errusiako negozioak jomugan zituztela:
- zehaztutako gaiari buruzko dokumentu faltsuak erabiliz malwarearen banaketa;
- erasotzaileen taktikak eta erabiltzen dituzten tresna gaiztoak;
- negozio-aplikazioetarako estekak zenbait modulu exekutagarrietan;
- Kanpaina honetan erabili ziren domeinu gaiztoen izenak.
Erasotzaileek sistema arriskutsu batean instalatzen dituzten software-tresna bereziek sistemaren urruneko kontrola lortzeko eta erabiltzailearen jarduera kontrolatzeko aukera ematen dute. Funtzio hauek betetzeko, atzeko atea instalatzen dute eta Windows kontuaren pasahitza lortzen edo kontu berri bat sortzen ere saiatzen dira. Erasotzaileek, gainera, teklatu baten (keylogger) zerbitzuetara jotzen dute, Windows arbel-lapurtzaile bat eta txartel adimendunekin lan egiteko software berezietara. Talde hau biktimaren ordenagailuaren sare lokal berean zeuden beste ordenagailu batzuk arriskuan jartzen saiatu zen.
Gure ESET LiveGrid telemetria sistemak, malware banaketaren estatistikak azkar jarraitzeko aukera ematen diguna, aipatu kanpainan erasotzaileek erabilitako malwarearen banaketari buruzko estatistika geografiko interesgarriak eskaini zizkigun.
Arroza. 3. Kanpaina gaizto honetan erabilitako malwarearen banaketa geografikoari buruzko estatistikak.
Malwarea instalatzea
Erabiltzaile batek sistema zaurgarri batean ustiatu bat duen dokumentu gaizto bat ireki ondoren, NSIS erabiliz ontziratutako deskargatzaile berezi bat deskargatuko da eta bertan exekutatu egingo da. Bere lanaren hasieran, programak Windows ingurunea egiaztatzen du bertan araztaileen presentzia edo makina birtual baten testuinguruan exekutatzen den. Gainera, Windows-en kokapena egiaztatzen du eta erabiltzaileak arakatzailearen taulan behean zerrendatutako URLak bisitatu dituen ala ez. Horretarako APIak erabiltzen dira FindFirst/NextUrlCacheEntry eta SoftwareMicrosoftInternet ExplorerTypedURLs erregistro-gakoa.
Abio-kargatzaileak sisteman hurrengo aplikazioen presentzia egiaztatzen du.
Prozesuen zerrenda benetan ikusgarria da eta, ikusten duzuenez, banku-aplikazioak ez ezik. Adibidez, "scardsvr.exe" izeneko fitxategi exekutagarri batek txartel adimendunekin lan egiteko softwareari egiten dio erreferentzia (Microsoft SmartCard irakurgailua). Banku Troiako berak txartel adimendunekin lan egiteko gaitasuna barne hartzen du.
Arroza. 4. Malware instalatzeko prozesuaren diagrama orokorra.
Egiaztapen guztiak ondo betetzen badira, kargatzaileak fitxategi berezi bat (artxiboa) deskargatzen du urruneko zerbitzaritik, erasotzaileek erabiltzen dituzten modulu exekutagarri maltzur guztiak dituena. Interesgarria da azpimarratzea goiko egiaztapenen exekuzioaren arabera, urruneko C&C zerbitzaritik deskargatutako artxiboak desberdinak izan daitezkeela. Artxiboa gaiztoa izan daiteke edo ez. Maltzurra ez bada, Windows Live Tresna-barra instalatzen du erabiltzailearentzat. Seguruenik, erasotzaileek antzeko trikimailuetara jo zuten fitxategien analisi automatikoko sistemak eta fitxategi susmagarriak exekutatzen diren makina birtualak engainatzeko.
NSIS deskargatzaileak deskargatutako fitxategia malware modulu ezberdinak dituen 7z artxibo bat da. Beheko irudian malware honen instalazio prozesu osoa eta bere modulu ezberdinak erakusten dira.
Arroza. 5. Malwarearen funtzionamenduaren eskema orokorra.
Kargatutako moduluek erasotzaileentzat helburu desberdinak dituzten arren, berdin paketatuta daude eta horietako asko baliozko ziurtagiri digitalekin sinatu ziren. Erasotzaileek kanpainaren hasieratik erabili zituzten halako lau ziurtagiri aurkitu genituen. Gure kexaren ondoren, ziurtagiri hauek baliogabetu egin ziren. Interesgarria da ziurtagiri guztiak Moskun erregistratutako enpresei eman zitzaizkiela.
Arroza. 6. Malwarea sinatzeko erabili den ziurtagiri digitala.
Hurrengo taulan erasotzaileek kanpaina gaizto honetan erabili dituzten ziurtagiri digitalak identifikatzen dira.
Erasotzaileek erabiltzen dituzten modulu gaizto guztiek instalazio-prozedura berdina dute. Pasahitz babestuta dauden 7zip artxibo autoerauzten dira.
Arroza. 7. install.cmd batch fitxategiaren zatia.
Batch .cmd fitxategia sisteman malwarea instalatzeaz eta erasotzaileen tresna ezberdinak abiarazteaz arduratzen da. Exekuzioak administrazio-eskubideak falta badira, kode gaiztoak hainbat metodo erabiltzen ditu horiek lortzeko (UAC saihestuz). Lehenengo metodoa ezartzeko, l1.exe eta cc1.exe izeneko bi fitxategi exekutagarri erabiltzen dira, UAC saihestuz espezializatuta daudenak. Carberp iturburu-kodeak. Beste metodo bat CVE-2013-3660 ahultasuna ustiatzean oinarritzen da. Pribilegioak igotzea eskatzen duen malware modulu bakoitzak 32 biteko eta 64 biteko ustiapenaren bertsioa dauka.
Kanpaina honen jarraipena egiten ari ginela, deskargatzaileak kargatutako hainbat artxibo aztertu ditugu. Artxiboen edukiak askotarikoak ziren, eta, ondorioz, erasotzaileek modulu gaiztoak helburu ezberdinetarako molda ditzakete.
Erabiltzaileen konpromisoa
Goian aipatu dugun bezala, erasotzaileek tresna bereziak erabiltzen dituzte erabiltzaileen ordenagailuak arriskuan jartzeko. Tresna horien artean mimi.exe eta xtm.exe fitxategi exekutagarrien izenak dituzten programak daude. Erasotzaileei biktimaren ordenagailuaren kontrola hartzen laguntzen diete eta honako zeregin hauek burutzen espezializatuta daude: Windows kontuetarako pasahitzak eskuratzea/berreskuratzea, RDP zerbitzua gaitzea, sistema eragilean kontu berri bat sortzea.
Mimi.exe exekutagarriak kode irekiko tresna ezagun baten bertsio aldatua dakar . Tresna honek Windows-eko erabiltzaile kontuen pasahitzak lortzeko aukera ematen du. Erasotzaileek erabiltzaileen interakzioaz arduratzen den Mimikatz zatia kendu zioten. Kode exekutagarria ere aldatu egin da, abiarazten denean, Mimikatz pribilegio::debug eta sekurlsa:logonPasswords komandoekin exekutatu dadin.
Beste fitxategi exekutagarri batek, xtm.exe, RDP zerbitzua sisteman gaitzen duten script bereziak abiarazten ditu, sistema eragilean kontu berri bat sortzen saiatzen da eta sistemaren ezarpenak ere aldatzen ditu hainbat erabiltzaile RDP bidez arriskuan dagoen ordenagailu batera aldi berean konektatzeko. Jakina, urrats hauek beharrezkoak dira arriskuan dagoen sistemaren kontrol osoa lortzeko.
Arroza. 8. Sisteman xtm.exe-k exekutatutako komandoak.
Erasotzaileek impack.exe izeneko beste fitxategi exekutagarri bat erabiltzen dute, sisteman software berezia instalatzeko erabiltzen dena. Software hau LiteManager deitzen da eta erasotzaileek atzeko ate gisa erabiltzen dute.
Arroza. 9. LiteManager interfazea.
Erabiltzaile baten sisteman instalatu ondoren, LiteManager-ek erasotzaileei zuzenean sistema horretara konektatzeko eta urrunetik kontrolatzeko aukera ematen die. Software honek komando-lerroko parametro bereziak ditu ezkutuko instalaziorako, suebaki-arau bereziak sortzeko eta bere modulua abiarazteko. Parametro guztiak erasotzaileek erabiltzen dituzte.
Erasotzaileek erabiltzen duten malware paketearen azken modulua bankuko malware programa bat da (banker) fitxategi exekutagarriaren izena pn_pack.exe duena. Erabiltzailea zelatatzen espezializatua da eta C&C zerbitzariarekin elkarreragineaz arduratzen da. Bankaria Yandex Punto software legitimoa erabiliz abiarazten da. Punto erabiltzen dute erasotzaileek DLL liburutegi gaiztoak abiarazteko (DLL Side-Loading metodoa). Malwareak berak funtzio hauek bete ditzake:
- jarraipena egin teklatuaren sakatzeari eta arbeleko edukiari, urruneko zerbitzari batera igortzeko;
- zerrendatu sisteman dauden txartel adimendun guztiak;
- urruneko C&C zerbitzari batekin elkarreragin.
Malware modulua, zeregin horiek guztiak egiteaz arduratzen dena, enkriptatutako DLL liburutegi bat da. Deszifratu eta memorian kargatzen da Punto exekuzioan. Goiko zereginak egiteko, DLL kodea exekutagarriak hiru hari hasten ditu.
Erasotzaileek Punto softwarea euren helburuetarako aukeratu izana ez da harritzekoa: Errusiako foro batzuek argi eta garbi ematen dute informazio zehatza, hala nola, software legitimoaren akatsak erabiltzea erabiltzaileak arriskuan jartzeko.
Liburutegi gaiztoak RC4 algoritmoa erabiltzen du bere kateak enkriptatzeko, baita C&C zerbitzariarekin sareko interakzioetan ere. Bi minuturo zerbitzariarekin harremanetan jartzen da eta hara transmititzen ditu denbora tarte horretan arriskuan dagoen sisteman bildutako datu guztiak.
Arroza. 10. Bot eta zerbitzariaren arteko sareko elkarrekintzaren zatia.
Jarraian liburutegiak jaso ditzakeen C&C zerbitzariaren argibide batzuk daude.
C&C zerbitzariaren argibideak jasotzeari erantzunez, malwareak egoera-kode batekin erantzuten du. Interesgarria da aztertu ditugun banku-modulu guztiek (urtarrilaren 18ko konpilazio-datarekin berriena) βTEST_BOTNETβ katea dutela, mezu bakoitzean C&C zerbitzarira bidaltzen dena.
Ondorioa
Erabiltzaile korporatiboak arriskuan jartzeko, lehen fasean erasotzaileek konpainiako langile bat arriskuan jartzen dute, ustiapen batekin phishing-mezu bat bidaliz. Ondoren, malwarea sisteman instalatuta dagoenean, sistemaren gaineko agintea nabarmen zabaltzen lagunduko dieten software-tresnak erabiliko dituzte eta zeregin gehigarriak egiten lagunduko diete: sare korporatiboko beste ordenagailu batzuk arriskuan jarri eta erabiltzailea zelatatu, baita. egiten dituen banku-eragiketak.
Iturria: www.habr.com