Viime vuoden lopusta lähtien aloimme seurata uutta haitallista kampanjaa pankkitroijalaisen levittämiseksi. Hyökkääjät keskittyivät venäläisten yritysten eli yrityskäyttäjien vaarantamiseen. Haitallinen kampanja oli aktiivinen ainakin vuoden ja hyökkääjät turvautuivat pankkitroijalaisen lisäksi useisiin muihin ohjelmistotyökaluihin. Näihin kuuluu erityinen kuormaaja, joka on pakattu käyttämällä
Hyökkääjät asensivat haittaohjelmia vain niihin tietokoneisiin, jotka käyttivät oletusarvoisesti venäjän kieltä Windowsissa (lokalisointi). Troijalaisen tärkein jakeluvektori oli Word-asiakirja, jossa oli hyväksikäyttö.
Riisi. 1. Tietojenkalasteluasiakirja.
Riisi. 2. Tietojenkalasteluasiakirjan toinen muutos.
Seuraavat tosiasiat viittaavat siihen, että hyökkääjät olivat kohteena venäläisiä yrityksiä:
- haittaohjelmien levittäminen käyttämällä väärennettyjä asiakirjoja määritetystä aiheesta;
- hyökkääjien taktiikat ja heidän käyttämänsä haitalliset työkalut;
- linkit yrityssovelluksiin joissakin suoritettavissa moduuleissa;
- tässä kampanjassa käytettyjen haitallisten verkkotunnusten nimet.
Erityiset ohjelmistotyökalut, jotka hyökkääjät asentavat vaarantuneeseen järjestelmään, antavat heille mahdollisuuden etähallintaan järjestelmään ja seurata käyttäjien toimintaa. Näiden toimintojen suorittamiseksi he asentavat takaoven ja yrittävät myös hankkia Windows-tilin salasanan tai luoda uuden tilin. Hyökkääjät turvautuvat myös näppäinloggerin (keyloggerin), Windowsin leikepöydän varastajan ja erikoisohjelmiston palveluihin älykorttien kanssa työskentelemiseen. Tämä ryhmä yritti murtautua muihin tietokoneisiin, jotka olivat samassa paikallisverkossa uhrin tietokoneen kanssa.
ESET LiveGrid -telemetriajärjestelmämme, jonka avulla voimme seurata haittaohjelmien leviämistilastoja nopeasti, tarjosi meille mielenkiintoisia maantieteellisiä tilastoja hyökkääjien mainitussa kampanjassa käyttämien haittaohjelmien leviämisestä.
Riisi. 3. Tilastot tässä haitallisessa kampanjassa käytettyjen haittaohjelmien maantieteellisestä levinneisyydestä.
Haittaohjelmien asentaminen
Kun käyttäjä avaa haavoittuvan järjestelmän hyväksikäyttöä sisältävän haitallisen asiakirjan, erityinen NSIS:n avulla pakattu latausohjelma ladataan ja suoritetaan siellä. Työnsä alussa ohjelma tarkistaa, onko Windows-ympäristössä virheenkorjausohjelmia tai toimiiko se virtuaalikoneen yhteydessä. Se tarkistaa myös Windowsin lokalisoinnin ja onko käyttäjä vieraillut selaimessa alla olevassa taulukossa luetelluissa URL-osoitteissa. Sovellusliittymiä käytetään tähän FindFirst/NextUrlCacheEntry ja SoftwareMicrosoftInternet ExplorerTypedURLs -rekisteriavain.
Käynnistyslatain tarkistaa, onko järjestelmässä seuraavia sovelluksia.
Prosessien luettelo on todella vaikuttava, ja kuten näet, se ei sisällä vain pankkisovelluksia. Esimerkiksi suoritettava tiedosto nimeltä "scardsvr.exe" viittaa älykorttien kanssa työskentelyyn tarkoitettuun ohjelmistoon (Microsoft SmartCard Reader). Pankkitroijalainen itsessään sisältää mahdollisuuden työskennellä älykorttien kanssa.
Riisi. 4. Yleinen kaavio haittaohjelmien asennusprosessista.
Jos kaikki tarkistukset on suoritettu onnistuneesti, latausohjelma lataa etäpalvelimelta erityisen tiedoston (arkiston), joka sisältää kaikki hyökkääjien käyttämät haitalliset suoritettavat moduulit. On mielenkiintoista huomata, että yllä olevien tarkistusten suorittamisesta riippuen C&C-etäpalvelimelta ladatut arkistot voivat vaihdella. Arkisto voi olla haitallinen tai ei. Jos se ei ole haitallinen, se asentaa Windows Live -työkalupalkin käyttäjälle. Todennäköisimmin hyökkääjät turvautuivat vastaaviin temppuihin pettääkseen automaattisia tiedostoanalyysijärjestelmiä ja virtuaalikoneita, joissa epäilyttäviä tiedostoja suoritetaan.
NSIS-latausohjelman lataama tiedosto on 7z-arkisto, joka sisältää erilaisia haittaohjelmamoduuleja. Alla olevassa kuvassa näkyy tämän haittaohjelman ja sen eri moduulien koko asennusprosessi.
Riisi. 5. Yleinen kaavio haittaohjelmien toiminnasta.
Vaikka ladatut moduulit palvelevat hyökkääjille eri tarkoituksia, ne on pakattu identtisesti ja monet niistä on allekirjoitettu kelvollisilla digitaalisilla varmenteilla. Löysimme neljä tällaista varmennetta, joita hyökkääjät käyttivät kampanjan alusta lähtien. Valituksemme perusteella nämä todistukset peruutettiin. On mielenkiintoista huomata, että kaikki todistukset myönnettiin Moskovaan rekisteröidyille yrityksille.
Riisi. 6. Digitaalinen varmenne, jota käytettiin haittaohjelman allekirjoittamiseen.
Seuraava taulukko yksilöi digitaaliset varmenteet, joita hyökkääjät käyttivät tässä haitallisessa kampanjassa.
Lähes kaikilla hyökkääjien käyttämillä haitallisilla moduuleilla on sama asennusmenettely. Ne ovat itsepurkautuvia 7zip-arkistoja, jotka on suojattu salasanalla.
Riisi. 7. Fragmentti install.cmd komentojonotiedostosta.
Eräkokoinen .cmd-tiedosto vastaa haittaohjelmien asentamisesta järjestelmään ja erilaisten hyökkääjätyökalujen käynnistämisestä. Jos suorittaminen edellyttää puuttuvia järjestelmänvalvojan oikeuksia, haitallinen koodi käyttää useita tapoja hankkia ne (ohitamalla UAC:n). Ensimmäisen menetelmän toteuttamiseksi käytetään kahta suoritettavaa tiedostoa nimeltä l1.exe ja cc1.exe, jotka ovat erikoistuneet ohittamaan UAC:n
Seurattaessamme tätä kampanjaa analysoimme useita latausohjelman lataamia arkistoja. Arkiston sisältö vaihteli, joten hyökkääjät saattoivat mukauttaa haitallisia moduuleja eri tarkoituksiin.
Käyttäjien kompromissi
Kuten edellä mainittiin, hyökkääjät käyttävät erikoistyökaluja käyttäjien tietokoneiden vaarantamiseen. Näihin työkaluihin kuuluvat ohjelmat, joiden suoritettavat tiedostonimet ovat mimi.exe ja xtm.exe. Ne auttavat hyökkääjiä hallitsemaan uhrin tietokonetta ja erikoistuvat suorittamaan seuraavat tehtävät: salasanojen hankkiminen/palauttaminen Windows-tileille, RDP-palvelun käyttöönotto, uuden tilin luominen käyttöjärjestelmään.
Suoritettava mimi.exe-tiedosto sisältää muokatun version tunnetusta avoimen lähdekoodin työkalusta
Toinen suoritettava tiedosto, xtm.exe, käynnistää erityiset komentosarjat, jotka mahdollistavat RDP-palvelun järjestelmässä, yrittävät luoda uuden tilin käyttöjärjestelmässä ja muuttaa myös järjestelmäasetuksia, jotta useat käyttäjät voivat samanaikaisesti muodostaa yhteyden vaarantuneeseen tietokoneeseen RDP:n kautta. On selvää, että nämä vaiheet ovat välttämättömiä vaarantuneen järjestelmän täydellisen hallinnan saamiseksi.
Riisi. 8. Komennot, jotka xtm.exe suorittaa järjestelmässä.
Hyökkääjät käyttävät toista suoritettavaa tiedostoa nimeltä impack.exe, jota käytetään erityisohjelmistojen asentamiseen järjestelmään. Tätä ohjelmistoa kutsutaan nimellä LiteManager, ja hyökkääjät käyttävät sitä takaovena.
Riisi. 9. LiteManager-käyttöliittymä.
Kun LiteManager on asennettu käyttäjän järjestelmään, sen avulla hyökkääjät voivat muodostaa yhteyden suoraan kyseiseen järjestelmään ja ohjata sitä etänä. Tällä ohjelmistolla on erityiset komentoriviparametrit piiloasennukseen, erityisten palomuurisääntöjen luomiseen ja moduulin käynnistämiseen. Hyökkääjät käyttävät kaikkia parametreja.
Hyökkääjien käyttämä haittaohjelmapaketin viimeinen moduuli on pankkihaittaohjelma (banker), jonka suoritettava tiedostonimi on pn_pack.exe. Hän on erikoistunut käyttäjän vakoomiseen ja vastaa vuorovaikutuksesta C&C-palvelimen kanssa. Pankkiiri käynnistetään käyttämällä laillista Yandex Punto -ohjelmistoa. Hyökkääjät käyttävät Puntoa haitallisten DLL-kirjastojen käynnistämiseen (DLL Side-Loading -menetelmä). Haittaohjelma itse voi suorittaa seuraavat toiminnot:
- seurata näppäimistön näppäinpainalluksia ja leikepöydän sisältöä niiden myöhempää lähettämistä varten etäpalvelimelle;
- luettele kaikki järjestelmässä olevat älykortit;
- olla vuorovaikutuksessa C&C-etäpalvelimen kanssa.
Haittaohjelmamoduuli, joka vastaa kaikista näistä tehtävistä, on salattu DLL-kirjasto. Se puretaan ja ladataan muistiin Punton suorituksen aikana. Yllä olevien tehtävien suorittamiseksi DLL-suoritettava koodi käynnistää kolme säiettä.
Se, että hyökkääjät valitsivat Punto-ohjelmiston tarkoituksiinsa, ei ole yllätys: jotkin venäläiset foorumit tarjoavat avoimesti yksityiskohtaista tietoa sellaisista aiheista kuin laillisen ohjelmiston puutteiden käyttäminen käyttäjien vaarantamiseen.
Haitallinen kirjasto käyttää RC4-algoritmia merkkijonojen salaamiseen sekä verkkovuorovaikutuksessa C&C-palvelimen kanssa. Se ottaa yhteyttä palvelimeen kahden minuutin välein ja lähettää sinne kaikki tiedot, jotka on kerätty vaarantuneesta järjestelmästä tänä aikana.
Riisi. 10. Fragmentti botin ja palvelimen välisestä verkkovuorovaikutuksesta.
Alla on joitain C&C-palvelinohjeita, jotka kirjasto voi vastaanottaa.
Vastauksena ohjeisiin C&C-palvelimelta haittaohjelma vastaa tilakoodilla. On mielenkiintoista huomata, että kaikki analysoimamme pankkiirimoduulit (viimeisin, jonka käännöspäivä on tammikuun 18. päivä) sisältävät merkkijonon "TEST_BOTNET", joka lähetetään jokaisessa viestissä C&C-palvelimelle.
Johtopäätös
Yrityskäyttäjien vaarantamiseksi hyökkääjät hyökkäävät ensimmäisessä vaiheessa yhden yrityksen työntekijän lähettämällä tietojenkalasteluviestin hyväksikäytöllä. Seuraavaksi, kun haittaohjelma on asennettu järjestelmään, he käyttävät ohjelmistotyökaluja, jotka auttavat heitä merkittävästi laajentamaan oikeuksiaan järjestelmään ja suorittamaan siinä lisätehtäviä: vaarantamaan yrityksen verkon muita tietokoneita ja vakoilemaan käyttäjää sekä hänen suorittamiaan pankkitapahtumia.
Lähde: will.com