از پایان سال گذشته، ما شروع به ردیابی یک کمپین مخرب جدید برای توزیع یک تروجان بانکی کردیم. تمرکز مهاجمان روی به خطر انداختن شرکتهای روسی، یعنی کاربران شرکتها بود. این کمپین مخرب حداقل به مدت یک سال فعال بود و علاوه بر تروجان بانکی، مهاجمان به استفاده از ابزارهای مختلف نرم افزاری دیگر نیز متوسل شدند. این شامل یک لودر مخصوص بسته بندی شده با استفاده از و نرم افزارهای جاسوسی که به عنوان نرم افزار قانونی شناخته شده Yandex Punto پنهان شده است. هنگامی که مهاجمان موفق شدند رایانه قربانی را به خطر بیاندازند، یک درب پشتی و سپس یک تروجان بانکی را نصب می کنند.
برای بدافزار خود، مهاجمان از چندین گواهی دیجیتال معتبر (در آن زمان) و روشهای ویژه برای دور زدن محصولات AV استفاده کردند. این کمپین مخرب تعداد زیادی از بانکهای روسیه را هدف قرار داده است و از این جهت که مهاجمان از روشهایی استفاده میکنند که اغلب در حملات هدفمند استفاده میشوند، یعنی حملاتی که صرفاً با انگیزه کلاهبرداری مالی انجام نمیشوند، مورد توجه است. ما میتوانیم شباهتهایی را بین این کمپین مخرب و یک حادثه بزرگ که قبلاً تبلیغات زیادی دریافت کرده بود، مشاهده کنیم. ما در مورد یک گروه مجرم سایبری صحبت می کنیم که از تروجان بانکی استفاده می کردند /.
مهاجمان بدافزار را فقط روی آن دسته از رایانه هایی نصب کردند که به طور پیش فرض از زبان روسی در ویندوز (محلی سازی) استفاده می کردند. بردار توزیع اصلی تروجان یک سند Word با یک اکسپلویت بود. ، که به عنوان ضمیمه سند ارسال شده است. تصاویر زیر ظاهر چنین اسناد جعلی را نشان می دهد. سند اول با عنوان "فاکتور شماره 522375-FLORL-14-115.doc" و سند دوم "kontrakt87.doc" کپی قرارداد ارائه خدمات مخابراتی توسط اپراتور تلفن همراه مگافون است.
برنج. 1. سند فیشینگ.
برنج. 2. تغییر دیگری در سند فیشینگ.
حقایق زیر نشان می دهد که مهاجمان مشاغل روسی را هدف قرار داده اند:
- توزیع بدافزار با استفاده از اسناد جعلی در موضوع مشخص شده؛
- تاکتیک های مهاجمان و ابزارهای مخربی که استفاده می کنند.
- پیوندهایی به برنامه های کاربردی تجاری در برخی از ماژول های اجرایی؛
- نام دامنه های مخربی که در این کمپین استفاده شده است.
ابزارهای نرم افزاری ویژه ای که مهاجمان روی یک سیستم در معرض خطر نصب می کنند به آنها اجازه می دهد تا کنترل از راه دور سیستم را به دست آورند و بر فعالیت کاربر نظارت کنند. برای انجام این عملکردها، یک درب پشتی نصب می کنند و همچنین سعی می کنند رمز عبور حساب ویندوز را به دست آورند یا یک حساب جدید ایجاد کنند. مهاجمان همچنین به خدمات کی لاگر (کی لاگر)، دزدگیر کلیپ بورد ویندوز و نرم افزار ویژه کار با کارت های هوشمند متوسل می شوند. این گروه سعی کرد رایانههای دیگری را که در همان شبکه محلی رایانه قربانی بودند به خطر بیاندازد.
سیستم تله متری ESET LiveGrid ما که به ما امکان ردیابی سریع آمار توزیع بدافزار را می دهد، آمار جغرافیایی جالبی در مورد توزیع بدافزارهای مورد استفاده مهاجمان در کمپین مذکور در اختیار ما قرار داد.
برنج. 3. آماری از توزیع جغرافیایی بدافزارهای مورد استفاده در این کمپین مخرب.
نصب بدافزار
پس از اینکه کاربر یک سند مخرب را با یک اکسپلویت روی یک سیستم آسیب پذیر باز کرد، یک دانلودر ویژه بسته بندی شده با استفاده از NSIS در آنجا دانلود و اجرا می شود. این برنامه در ابتدای کار خود، محیط ویندوز را برای وجود اشکال زداها در آنجا یا اجرای در زمینه یک ماشین مجازی بررسی می کند. همچنین محلی سازی ویندوز و اینکه آیا کاربر از URL های فهرست شده در جدول زیر در مرورگر بازدید کرده است را بررسی می کند. برای این کار از API استفاده می شود FindFirst/NextUrlCacheEntry و کلید رجیستری SoftwareMicrosoftInternet ExplorerTypedURLs.
بوت لودر وجود برنامه های زیر را در سیستم بررسی می کند.
لیست فرآیندها واقعاً چشمگیر است و همانطور که می بینید، نه تنها برنامه های بانکی را شامل می شود. به عنوان مثال، یک فایل اجرایی با نام "scardsvr.exe" به نرم افزاری برای کار با کارت های هوشمند (مایکروسافت SmartCard Reader) اشاره دارد. تروجان بانکی خود شامل قابلیت کار با کارت های هوشمند است.
برنج. 4. نمودار کلی فرآیند نصب بدافزار.
اگر تمام بررسی ها با موفقیت انجام شود، لودر یک فایل خاص (بایگانی) را از سرور راه دور دانلود می کند که شامل تمام ماژول های اجرایی مخرب مورد استفاده توسط مهاجمان است. جالب است بدانید که بسته به اجرای بررسی های فوق، بایگانی های دانلود شده از سرور C&C راه دور ممکن است متفاوت باشد. آرشیو ممکن است مخرب باشد یا نباشد. اگر مخرب نباشد، نوار ابزار Windows Live را برای کاربر نصب می کند. به احتمال زیاد، مهاجمان برای فریب سیستم های تجزیه و تحلیل خودکار فایل ها و ماشین های مجازی که فایل های مشکوک روی آن ها اجرا می شوند، به ترفندهای مشابهی متوسل شده اند.
فایل دانلود شده توسط دانلودر NSIS یک آرشیو 7z است که شامل ماژول های مختلف بدافزار است. تصویر زیر کل مراحل نصب این بدافزار و ماژول های مختلف آن را نشان می دهد.
برنج. 5. طرح کلی نحوه عملکرد بدافزار.
اگرچه ماژول های بارگذاری شده اهداف مختلفی را برای مهاجمان انجام می دهند، اما آنها به طور یکسان بسته بندی شده اند و بسیاری از آنها با گواهی های دیجیتال معتبر امضا شده اند. ما چهار گواهی از این دست پیدا کردیم که مهاجمان از همان ابتدای کمپین از آنها استفاده می کردند. در پی شکایت ما این گواهی ها باطل شد. جالب است بدانید که تمامی گواهینامه ها برای شرکت های ثبت شده در مسکو صادر شده است.
برنج. 6. گواهی دیجیتالی که برای امضای بدافزار استفاده شده است.
جدول زیر گواهیهای دیجیتالی را که مهاجمان در این کمپین مخرب استفاده کردهاند، مشخص میکند.
تقریباً تمام ماژولهای مخربی که توسط مهاجمان مورد استفاده قرار میگیرند، روش نصب یکسانی دارند. آنها آرشیوهای 7zip خود استخراج می کنند که با رمز عبور محافظت می شوند.
برنج. 7. قطعه ای از فایل دسته ای install.cmd.
فایل batch .cmd وظیفه نصب بدافزار بر روی سیستم و راه اندازی ابزارهای مختلف مهاجم را بر عهده دارد. اگر اجرا مستلزم از دست دادن حقوق اداری باشد، کد مخرب از چندین روش برای به دست آوردن آنها استفاده می کند (با عبور از UAC). برای پیاده سازی روش اول از دو فایل اجرایی به نام های l1.exe و cc1.exe استفاده می شود که متخصص دور زدن UAC با استفاده از کدهای منبع کاربرپ روش دیگر مبتنی بر بهره برداری از آسیب پذیری CVE-2013-3660 است. هر ماژول بدافزاری که به افزایش امتیاز نیاز دارد شامل یک نسخه 32 بیتی و هم یک نسخه 64 بیتی از سوء استفاده است.
در حین پیگیری این کمپین، چندین آرشیو بارگذاری شده توسط دانلود کننده را تجزیه و تحلیل کردیم. محتویات بایگانی ها متفاوت بود، به این معنی که مهاجمان می توانستند ماژول های مخرب را برای اهداف مختلف تطبیق دهند.
سازش کاربر
همانطور که در بالا ذکر کردیم، مهاجمان از ابزارهای ویژه ای برای به خطر انداختن رایانه های کاربران استفاده می کنند. این ابزارها شامل برنامه هایی با نام فایل های اجرایی mimi.exe و xtm.exe هستند. آنها به مهاجمان کمک می کنند تا کنترل رایانه قربانی را در دست بگیرند و در انجام کارهای زیر تخصص داشته باشند: به دست آوردن / بازیابی رمز عبور برای حساب های ویندوز، فعال کردن سرویس RDP، ایجاد یک حساب کاربری جدید در سیستم عامل.
فایل اجرایی mimi.exe شامل نسخه اصلاح شده یک ابزار منبع باز معروف است . این ابزار به شما اجازه می دهد تا رمزهای عبور حساب کاربری ویندوز را بدست آورید. مهاجمان بخشی را از Mimikatz که مسئول تعامل با کاربر است حذف کردند. کد اجرایی نیز به گونهای اصلاح شده است که در هنگام راهاندازی، Mimikatz با دستورات privilege::debug و sekurlsa:logonPasswords اجرا میشود.
یک فایل اجرایی دیگر، xtm.exe، اسکریپتهای خاصی را راهاندازی میکند که سرویس RDP را در سیستم فعال میکند، سعی میکند یک حساب کاربری جدید در سیستمعامل ایجاد کند، و همچنین تنظیمات سیستم را تغییر میدهد تا به چندین کاربر اجازه دهد به طور همزمان از طریق RDP به یک رایانه آسیبدیده متصل شوند. بدیهی است که این مراحل برای به دست آوردن کنترل کامل سیستم به خطر افتاده ضروری است.
برنج. 8. دستورات اجرا شده توسط xtm.exe بر روی سیستم.
مهاجمان از فایل اجرایی دیگری به نام impack.exe استفاده می کنند که برای نصب نرم افزارهای خاص بر روی سیستم استفاده می شود. این نرم افزار LiteManager نام دارد و مهاجمان به عنوان درب پشتی از آن استفاده می کنند.
برنج. 9. رابط LiteManager.
پس از نصب بر روی سیستم کاربر، LiteManager به مهاجمان اجازه می دهد تا مستقیماً به آن سیستم متصل شده و آن را از راه دور کنترل کنند. این نرم افزار دارای پارامترهای خط فرمان ویژه ای برای نصب مخفی، ایجاد قوانین فایروال ویژه و راه اندازی ماژول خود می باشد. تمام پارامترها توسط مهاجمان استفاده می شود.
آخرین ماژول بسته بدافزار مورد استفاده مهاجمان، یک برنامه بدافزار بانکی (banker) با نام فایل اجرایی pn_pack.exe است. او در جاسوسی از کاربر تخصص دارد و مسئول تعامل با سرور C&C است. بانکدار با استفاده از نرم افزار قانونی Yandex Punto راه اندازی شده است. Punto توسط مهاجمان برای راه اندازی کتابخانه های DLL مخرب (روش بارگذاری جانبی DLL) استفاده می شود. خود بدافزار می تواند عملکردهای زیر را انجام دهد:
- ردیابی کلیدهای صفحه کلید و محتویات کلیپ بورد برای انتقال بعدی آنها به یک سرور راه دور.
- لیست تمام کارت های هوشمند موجود در سیستم؛
- با یک سرور C&C راه دور تعامل داشته باشید.
ماژول بدافزار که وظیفه انجام تمامی این وظایف را بر عهده دارد، یک کتابخانه DLL رمزگذاری شده است. در حین اجرای Punto رمزگشایی و در حافظه بارگذاری می شود. برای انجام وظایف فوق، کد اجرایی DLL سه رشته را شروع می کند.
این واقعیت که مهاجمان نرمافزار Punto را برای اهداف خود انتخاب کردهاند تعجبآور نیست: برخی از انجمنهای روسی آشکارا اطلاعات دقیقی در مورد موضوعاتی مانند استفاده از نقص در نرمافزار قانونی برای به خطر انداختن کاربران ارائه میدهند.
کتابخانه مخرب از الگوریتم RC4 برای رمزگذاری رشته های خود و همچنین در طول تعاملات شبکه با سرور C&C استفاده می کند. هر دو دقیقه یکبار با سرور تماس می گیرد و تمام داده هایی را که در این مدت زمان روی سیستم در معرض خطر جمع آوری شده است، به آنجا منتقل می کند.
برنج. 10. بخشی از تعامل شبکه بین ربات و سرور.
در زیر برخی از دستورالعملهای سرور C&C وجود دارد که کتابخانه میتواند دریافت کند.
در پاسخ به دریافت دستورالعمل از سرور C&C، بدافزار با یک کد وضعیت پاسخ می دهد. جالب است بدانید که همه ماژولهای بانکی که آنالیز کردیم (جدیدترین ماژول با تاریخ کامپایل 18 ژانویه) حاوی رشته "TEST_BOTNET" است که در هر پیام به سرور C&C ارسال میشود.
نتیجه
برای به خطر انداختن کاربران شرکتی، مهاجمان در مرحله اول با ارسال یک پیام فیشینگ با یک سوء استفاده، یکی از کارکنان شرکت را به خطر می اندازند. در مرحله بعد، هنگامی که بدافزار بر روی سیستم نصب شد، از ابزارهای نرم افزاری استفاده خواهند کرد که به آنها کمک می کند تا به طور قابل توجهی اختیارات خود را بر روی سیستم گسترش دهند و وظایف اضافی را روی آن انجام دهند: به خطر انداختن رایانه های دیگر در شبکه شرکت و جاسوسی از کاربر، و همچنین تراکنش های بانکی که انجام می دهد.
منبع: www.habr.com