Bho dheireadh na bliadhna an-uiridh, thòisich sinn a’ cumail sùil air iomairt droch-rùnach ùr gus Trojan bancaidh a sgaoileadh. Bha an luchd-ionnsaigh ag amas air a bhith a’ toirt buaidh air companaidhean Ruiseanach, ie luchd-cleachdaidh corporra. Bha an iomairt droch-rùnach gnìomhach airson co-dhiù bliadhna agus, a bharrachd air an Trojan bancaidh, chleachd an luchd-ionnsaigh grunn innealan bathar-bog eile. Nam measg tha luchdan sònraichte air am pacadh a’ cleachdadh , agus spyware, a tha falaichte mar am bathar-bog dligheach Yandex Punto ainmeil. Aon uair ‘s gu bheil an luchd-ionnsaigh air a’ chùis a dhèanamh air coimpiutair an neach-fulang, bidh iad a ’stàladh backdoor agus an uairsin Trojan bancaidh.
Airson an malware aca, chleachd an luchd-ionnsaigh grunn theisteanasan didseatach dligheach (aig an àm sin) agus dòighean sònraichte gus faighinn seachad air toraidhean AV. Bha an iomairt droch-rùnach ag amas air àireamh mhòr de bhancaichean Ruiseanach agus tha e gu sònraichte inntinneach leis gu bheil an luchd-ionnsaigh a’ cleachdadh dhòighean a tha gu tric air an cleachdadh ann an ionnsaighean cuimsichte, ie ionnsaighean nach eil air am brosnachadh dìreach le foill ionmhais. Bheir sinn fa-near gu bheil coltas ann eadar an iomairt droch-rùnach seo agus tachartas mòr a fhuair mòran follaiseachd na bu thràithe. Tha sinn a’ bruidhinn mu dheidhinn buidheann cybercriminal a chleachd Trojan bancaidh /.
Chuir an luchd-ionnsaigh malware a-steach a-mhàin air na coimpiutairean sin a chleachd cànan na Ruis ann an Windows (ionadachadh) gu bunaiteach. B’ e am prìomh vectar sgaoilidh den Trojan sgrìobhainn Word le brath. , a chaidh a chuir mar cheangal ris an sgrìobhainn. Tha na dealbhan-sgrìn gu h-ìosal a’ sealltainn coltas nan sgrìobhainnean meallta sin. Is e tiotal a’ chiad sgrìobhainn “Invoice No. 522375-FLORL-14-115.doc”, agus an dàrna “kontrakt87.doc”, tha e na leth-bhreac den chùmhnant airson solar seirbheisean cian-conaltraidh leis a’ ghnìomhaiche gluasadach Megafon.
Reis. 1. Phishing sgrìobhainn.
Reis. 2. Mion-atharrachadh eile air an sgrìobhainn phishing.
Tha na fìrinnean a leanas a’ nochdadh gun robh an luchd-ionnsaigh ag amas air gnìomhachasan Ruiseanach:
- sgaoileadh malware a’ cleachdadh sgrìobhainnean meallta air a’ chuspair ainmichte;
- innleachdan luchd-ionnsaigh agus na h-innealan droch-rùnach a bhios iad a’ cleachdadh;
- ceanglaichean ri tagraidhean gnìomhachais ann an cuid de mhodalan so-ghnìomhaichte;
- ainmean raointean droch-rùnach a chaidh a chleachdadh san iomairt seo.
Leigidh innealan bathar-bog sònraichte a bhios luchd-ionnsaigh a-steach air siostam a tha fo chonnspaid a bhith a’ faighinn smachd air astar air an t-siostam agus sùil a chumail air gnìomhachd luchd-cleachdaidh. Gus na gnìomhan seo a choileanadh, bidh iad a’ stàladh cùl-raon agus cuideachd a’ feuchainn ri facal-faire cunntas Windows fhaighinn no cunntas ùr a chruthachadh. Bidh luchd-ionnsaigh cuideachd a’ cleachdadh seirbheisean keylogger (keylogger), stealer clipboard Windows, agus bathar-bog sònraichte airson a bhith ag obair le cairtean snasail. Dh’ fheuch a’ bhuidheann seo ri coimpiutairean eile a bha air an aon lìonra ionadail ri coimpiutair an neach-fulaing a mhilleadh.
Thug an siostam telemetry ESET LiveGrid againn, a leigeas leinn sùil a chumail gu sgiobalta air staitistig cuairteachadh malware, staitistig cruinn-eòlasach inntinneach dhuinn mu sgaoileadh malware a chleachd luchd-ionnsaigh san iomairt ainmichte.
Reis. 3. Staitistig air cuairteachadh cruinn-eòlasach malware a chaidh a chleachdadh san iomairt droch-rùnach seo.
A stàladh malware
Às deidh do neach-cleachdaidh sgrìobhainn droch-rùnach fhosgladh le brath air siostam so-leònte, thèid luchdachadh sìos sònraichte a chaidh a phacaigeadh le NSIS a luchdachadh sìos agus a chuir gu bàs an sin. Aig toiseach na h-obrach aige, bidh am prògram a ’sgrùdadh àrainneachd Windows airson làthaireachd debuggers an sin no airson a bhith a’ ruith ann an co-theacsa inneal brìgheil. Bidh e cuideachd a’ sgrùdadh sgìreachadh Windows agus a bheil an neach-cleachdaidh air tadhal air na URLan gu h-ìosal sa chlàr sa bhrobhsair. Bithear a’ cleachdadh APIan airson seo Lorg an toiseach/An ath-UrlCacheEntry agus iuchair clàraidh SoftwareMicrosoftInternet ExplorerTypedURLs.
Bidh an bootloader a’ dèanamh cinnteach gu bheil na tagraidhean a leanas air an t-siostam.
Tha an liosta de phròiseasan fìor dhrùidhteach agus, mar a chì thu, tha e a’ toirt a-steach chan e a-mhàin tagraidhean bancaidh. Mar eisimpleir, tha faidhle so-ghnìomhaichte leis an t-ainm “scardsvr.exe” a’ toirt iomradh air bathar-bog airson obrachadh le cairtean snasail (leughadair Microsoft SmartCard). Tha an Trojan bancaidh fhèin a 'toirt a-steach comas obrachadh le cairtean snasail.
Reis. 4. Diagram coitcheann den phròiseas stàlaidh malware.
Ma thèid a h-uile sgrùdadh a chrìochnachadh gu soirbheachail, luchdaichidh an luchdaidh sìos faidhle sònraichte (tasglann) bhon t-seirbheisiche iomallach, anns a bheil a h-uile modal gnìomh droch-rùnach a bhios luchd-ionnsaigh a’ cleachdadh. Tha e inntinneach toirt fa-near, a rèir mar a chaidh na sgrùdaidhean gu h-àrd a dhèanamh, gum faodadh na tasglannan a chaidh a luchdachadh sìos bhon t-seirbheisiche C&C iomallach a bhith eadar-dhealaichte. Faodaidh no nach eil an tasglann droch-rùnach. Mura h-eil e droch-rùnach, bidh e a’ stàladh Crann Inneal Windows Live airson a’ chleachdaiche. Nas coltaiche, chaidh an luchd-ionnsaigh gu cleasan coltach ri chèile gus siostaman mion-sgrùdadh faidhle fèin-ghluasadach agus innealan brìgheil a mhealladh air an tèid faidhlichean amharasach a chuir gu bàs.
Tha am faidhle a chaidh a luchdachadh sìos leis an luchdachadh sìos NSIS na thasglann 7z anns a bheil grunn mhodalan malware. Tha an ìomhaigh gu h-ìosal a’ sealltainn pròiseas stàlaidh iomlan an malware seo agus na diofar mhodalan aige.
Reis. 5. Sgeama coitcheann air mar a tha malware ag obair.
Ged a tha na modalan luchdaichte a’ frithealadh diofar adhbharan don luchd-ionnsaigh, tha iad air am pacadh san aon dòigh agus chaidh mòran dhiubh a shoidhnigeadh le teisteanasan didseatach dligheach. Lorg sinn ceithir teisteanasan mar sin a chleachd an luchd-ionnsaigh bho fhìor thoiseach na h-iomairt. Às deidh ar gearain, chaidh na teisteanasan sin a chùl-ghairm. Tha e inntinneach a bhith mothachail gun deach a h-uile teisteanas a thoirt do chompanaidhean clàraichte ann am Moscow.
Reis. 6. Digital teisteanas a chaidh a chleachdadh gus soidhnigeadh an malware.
Tha an clàr a leanas a’ comharrachadh nan teisteanasan didseatach a chleachd an luchd-ionnsaigh san iomairt droch-rùnach seo.
Tha modh stàlaidh co-ionann aig cha mhòr a h-uile modal droch-rùnach a bhios luchd-ionnsaigh a’ cleachdadh. Bidh iad gan toirt a-mach leotha fhèin tasglannan 7zip a tha air an dìon le facal-faire.
Reis. 7. Fragment of the install.cmd baidse faidhle.
Tha am faidhle batch .cmd an urra ri bhith a 'stàladh malware air an t-siostam agus a' cur air bhog diofar innealan ionnsaigh. Ma tha feum air còraichean rianachd a dhìth, bidh an còd droch-rùnach a’ cleachdadh grunn dhòighean gus am faighinn (a’ dol seachad air UAC). Gus a’ chiad dhòigh a chuir an gnìomh, thathas a’ cleachdadh dà fhaidhle so-ghnìomhaichte ris an canar l1.exe agus cc1.exe, a tha gu sònraichte a’ dol seachad air UAC a’ cleachdadh an Carberp còd a luchdadh a-nuas. Tha dòigh eile stèidhichte air a bhith a’ gabhail brath air so-leòntachd CVE-2013-3660. Anns gach modal malware a dh’ fheumas àrdachadh sochair tha an dà chuid dreach 32-bit agus 64-bit den brath.
Fhad ‘s a bha sinn a’ cumail sùil air an iomairt seo, rinn sinn mion-sgrùdadh air grunn thasglannan a chaidh a luchdachadh suas leis an luchdachadh sìos. Bha susbaint nan tasglannan eadar-dhealaichte, a’ ciallachadh gum b’ urrainn do luchd-ionnsaigh modalan droch-rùnach atharrachadh airson diofar adhbharan.
Co-rèiteachadh cleachdaiche
Mar a thuirt sinn gu h-àrd, bidh luchd-ionnsaigh a’ cleachdadh innealan sònraichte gus coimpiutairean luchd-cleachdaidh a mhilleadh. Tha na h-innealan sin a’ toirt a-steach prògraman le ainmean faidhle so-ghnìomhaichte mimi.exe agus xtm.exe. Bidh iad a’ cuideachadh luchd-ionnsaigh smachd a ghabhail air coimpiutair an neach-fulaing agus a’ speisealachadh ann a bhith a’ coileanadh nan gnìomhan a leanas: a’ faighinn / a’ faighinn air ais faclan-faire airson cunntasan Windows, a’ comasachadh an t-seirbheis RDP, a’ cruthachadh cunntas ùr san OS.
Tha an gnìomh mimi.exe a’ toirt a-steach dreach atharraichte de inneal stòr fosgailte ainmeil . Leigidh an inneal seo leat faclan-faire cunntas cleachdaiche Windows fhaighinn. Thug an luchd-ionnsaigh air falbh am pàirt bho Mimikatz a tha an urra ri eadar-obrachadh luchd-cleachdaidh. Chaidh an còd so-ghnìomhaichte atharrachadh cuideachd gus am bi Mimikatz a’ ruith leis an t-sochair:: debug and sekurlsa: logonPasswords nuair a thèid a chuir air bhog.
Bidh faidhle so-ghnìomhaichte eile, xtm.exe, a’ cur air bhog sgriobtaichean sònraichte a bheir comas don t-seirbheis RDP san t-siostam, feuch ri cunntas ùr a chruthachadh san OS, agus cuideachd atharraich roghainnean an t-siostaim gus leigeil le grunn luchd-cleachdaidh ceangal aig an aon àm ri coimpiutair ann an cunnart tro RDP. Gu follaiseach, tha na ceumannan seo riatanach gus làn smachd fhaighinn air an t-siostam a tha fo chunnart.
Reis. 8. Òrdughan a chur gu bàs le xtm.exe air an t-siostam.
Bidh luchd-ionnsaigh a’ cleachdadh faidhle so-ghnìomhaichte eile ris an canar impack.exe, a thathas a’ cleachdadh gus bathar-bog sònraichte a chuir a-steach air an t-siostam. Canar LiteManager ris a’ bhathar-bog seo agus bidh luchd-ionnsaigh ga chleachdadh mar chùl-raon.
Reis. 9. LiteManager eadar-aghaidh.
Aon uair ‘s gu bheil e air a chuir a-steach air siostam neach-cleachdaidh, leigidh LiteManager le luchd-ionnsaigh ceangal dìreach ris an t-siostam sin agus smachd a chumail air air astar. Tha paramadairean loidhne-àithne sònraichte aig a’ bhathar-bog seo airson a stàladh falaichte, cruthachadh riaghailtean balla-teine sònraichte, agus cur air bhog a mhodal. Bidh na paramadairean uile air an cleachdadh le luchd-ionnsaigh.
Is e am modal mu dheireadh den phasgan malware a chleachdas luchd-ionnsaigh prògram malware bancaidh (bancair) leis an ainm faidhle so-ghnìomhaichte pn_pack.exe. Tha i gu sònraichte a’ brathadh air an neach-cleachdaidh agus tha i an urra ri bhith ag eadar-obrachadh leis an t-seirbheisiche C&C. Tha am bancair air a chuir air bhog a’ cleachdadh bathar-bog dligheach Yandex Punto. Tha Punto air a chleachdadh le luchd-ionnsaigh gus leabharlannan DLL droch-rùnach a chuir air bhog (modh DLL Side-Loading). Faodaidh an malware fhèin na gnìomhan a leanas a choileanadh:
- sùil a chumail air meur-chlàran meur-chlàr agus susbaint clàr-bùird airson an sgaoileadh às deidh sin gu frithealaiche iomallach;
- liosta a h-uile cairt smart a tha an làthair san t-siostam;
- eadar-obrachadh le frithealaiche C&C iomallach.
Tha am modal malware, air a bheil uallach airson na gnìomhan sin uile a choileanadh, na leabharlann DLL crioptaichte. Tha e air a dhì-chrioptachadh agus air a luchdachadh gu cuimhne aig àm cur gu bàs Punto. Gus na gnìomhan gu h-àrd a choileanadh, bidh an còd so-ghnìomhaichte DLL a’ tòiseachadh trì snàithleanan.
Chan eil e na iongnadh gun do thagh luchd-ionnsaigh bathar-bog Punto airson an adhbharan: tha cuid de fhòraman Ruiseanach gu fosgailte a’ toirt seachad fiosrachadh mionaideach air cuspairean leithid a bhith a’ cleachdadh lochdan ann am bathar-bog dligheach gus luchd-cleachdaidh a mhilleadh.
Bidh an leabharlann droch-rùnach a’ cleachdadh an algairim RC4 gus na sreangan aige a chrioptachadh, a bharrachd air rè eadar-obrachadh lìonra leis an t-seirbheisiche C&C. Bidh e a’ cur fios chun t-seirbheisiche a h-uile dà mhionaid agus a’ sgaoileadh an sin an dàta gu lèir a chaidh a chruinneachadh air an t-siostam a tha fo chunnart rè na h-ùine seo.
Reis. 10. Criomag de eadar-obrachadh lìonra eadar am bot agus am frithealaiche.
Gu h-ìosal tha cuid de na stiùiridhean frithealaiche C&C a gheibh an leabharlann.
Mar fhreagairt air stiùireadh fhaighinn bhon t-seirbheisiche C&C, bidh an malware a’ freagairt le còd inbhe. Tha e inntinneach toirt fa-near gu bheil an sreang “TEST_BOTNET” anns a h-uile modal bancair a rinn sinn sgrùdadh (am fear as ùire le ceann-latha cruinneachaidh de 18 Faoilleach), a thèid a chuir anns gach teachdaireachd chun t-seirbheisiche C&C.
co-dhùnadh
Gus luchd-cleachdaidh corporra a mhilleadh, bidh luchd-ionnsaigh aig a’ chiad ìre a’ dèanamh cron air aon neach-obrach sa chompanaidh le bhith a’ cur teachdaireachd fiasgaich le brath. An uairsin, aon uair ‘s gu bheil an malware air a chuir a-steach air an t-siostam, cleachdaidh iad innealan bathar-bog a chuidicheas iad gus an ùghdarras aca air an t-siostam a leudachadh gu mòr agus gnìomhan a bharrachd a dhèanamh air: cuir an aghaidh coimpiutairean eile air an lìonra corporra agus brathaidh air an neach-cleachdaidh, a bharrachd air na gnothaichean bancaidh a bhios e a’ coileanadh.
Source: www.habr.com