Desde finais do ano pasado, comezamos a rastrexar unha nova campaña maliciosa para distribuír un troiano bancario. Os atacantes centráronse en comprometer empresas rusas, é dicir, usuarios corporativos. A campaña maliciosa estivo activa polo menos un ano e, ademais do troiano bancario, os atacantes recorreron ao uso doutras ferramentas de software. Estes inclúen un cargador especial embalado usando , e spyware, que se disfraza como o coñecido software lexítimo Yandex Punto. Unha vez que os atacantes conseguiron comprometer o ordenador da vítima, instalan unha porta traseira e despois un troiano bancario.
Para o seu malware, os atacantes utilizaron varios certificados dixitais válidos (naquel momento) e métodos especiais para evitar produtos AV. A campaña maliciosa dirixiuse a un gran número de bancos rusos e é de especial interese porque os atacantes utilizaron métodos que adoitan usarse en ataques dirixidos, é dicir, ataques que non están motivados exclusivamente por fraude financeiro. Podemos observar algunhas semellanzas entre esta campaña maliciosa e un incidente importante que recibiu gran publicidade antes. Estamos a falar dun grupo cibercriminal que utilizaba un troiano bancario /.
Os atacantes instalaron malware só naqueles ordenadores que usaban o idioma ruso en Windows (localización) por defecto. O principal vector de distribución do troiano era un documento de Word cun exploit. , que se enviou como anexo ao documento. As capturas de pantalla que aparecen a continuación mostran a aparencia destes documentos falsos. O primeiro documento leva por título “Factura no 522375-FLORL-14-115.doc”, e o segundo “kontrakt87.doc”, é unha copia do contrato de prestación de servizos de telecomunicacións da operadora móbil Megafon.
Arroz. 1. Documento de phishing.
Arroz. 2. Outra modificación do documento de phishing.
Os seguintes feitos indican que os atacantes estaban apuntando a empresas rusas:
- distribución de malware mediante documentos falsos sobre o tema especificado;
- as tácticas dos atacantes e as ferramentas maliciosas que usan;
- ligazóns a aplicacións empresariais nalgúns módulos executables;
- nomes de dominios maliciosos que se utilizaron nesta campaña.
As ferramentas de software especiais que os atacantes instalan nun sistema comprometido permítenlles obter o control remoto do sistema e supervisar a actividade do usuario. Para realizar estas funcións, instalan unha porta traseira e tamén tentan obter o contrasinal da conta de Windows ou crear unha nova conta. Os atacantes tamén recorren aos servizos dun keylogger (keylogger), un ladrón de portapapeis de Windows e un software especial para traballar con tarxetas intelixentes. Este grupo intentou comprometer outros ordenadores que estaban na mesma rede local que o ordenador da vítima.
O noso sistema de telemetría ESET LiveGrid, que nos permite facer un seguimento rápido das estatísticas de distribución de malware, proporcionounos interesantes estatísticas xeográficas sobre a distribución de malware empregado polos atacantes na mencionada campaña.
Arroz. 3. Estatísticas sobre a distribución xeográfica do malware empregado nesta campaña maliciosa.
Instalación de malware
Despois de que un usuario abra un documento malicioso cun exploit nun sistema vulnerable, descargarase e executarase alí un descargador especial empaquetado con NSIS. Ao comezo do seu traballo, o programa comproba o ambiente de Windows para a presenza de depuradores alí ou para a súa execución no contexto dunha máquina virtual. Tamén verifica a localización de Windows e se o usuario visitou os URL que aparecen a continuación na táboa do navegador. Para iso úsanse as API Buscar primeiro/NextUrlCacheEntry e a clave de rexistro de SoftwareMicrosoftInternet ExplorerTypedURLs.
O cargador de arranque comproba a presenza das seguintes aplicacións no sistema.
A lista de procesos é realmente impresionante e, como podes ver, inclúe non só aplicacións bancarias. Por exemplo, un ficheiro executable chamado "scardsvr.exe" refírese a software para traballar con tarxetas intelixentes (lector de tarxetas intelixentes de Microsoft). O propio troiano bancario inclúe a capacidade de traballar con tarxetas intelixentes.
Arroz. 4. Diagrama xeral do proceso de instalación do malware.
Se todas as comprobacións se completan con éxito, o cargador descarga un ficheiro especial (arquivo) do servidor remoto, que contén todos os módulos executables maliciosos utilizados polos atacantes. É interesante notar que, dependendo da execución das comprobacións anteriores, os arquivos descargados do servidor C&C remoto poden diferir. O arquivo pode ser ou non malicioso. Se non é malicioso, instala a barra de ferramentas de Windows Live para o usuario. O máis probable é que os atacantes recorresen a trucos similares para enganar os sistemas automáticos de análise de ficheiros e as máquinas virtuais nas que se executan ficheiros sospeitosos.
O ficheiro descargado polo descargador de NSIS é un arquivo 7z que contén varios módulos de malware. A seguinte imaxe mostra todo o proceso de instalación deste malware e os seus distintos módulos.
Arroz. 5. Esquema xeral do funcionamento do malware.
Aínda que os módulos cargados teñen diferentes propósitos para os atacantes, están empaquetados de forma idéntica e moitos deles foron asinados con certificados dixitais válidos. Atopamos catro certificados deste tipo que os atacantes utilizaron desde o inicio da campaña. Tras a nosa denuncia, estes certificados foron revogados. É interesante notar que todos os certificados foron emitidos a empresas rexistradas en Moscova.
Arroz. 6. Certificado dixital que se utilizou para asinar o malware.
A seguinte táboa identifica os certificados dixitais que utilizaron os atacantes nesta campaña maliciosa.
Case todos os módulos maliciosos utilizados polos atacantes teñen un procedemento de instalación idéntico. Son arquivos 7zip autoextraíbles que están protexidos por contrasinal.
Arroz. 7. Fragmento do ficheiro por lotes install.cmd.
O ficheiro .cmd por lotes encárgase de instalar software malicioso no sistema e de lanzar varias ferramentas para atacar. Se a execución require que falten dereitos administrativos, o código malicioso utiliza varios métodos para obtelos (omitindo o UAC). Para implementar o primeiro método, utilízanse dous ficheiros executables chamados l1.exe e cc1.exe, que se especializan en evitar o UAC usando o Código fonte Carberp. Outro método baséase en explotar a vulnerabilidade CVE-2013-3660. Cada módulo de malware que require unha escalada de privilexios contén unha versión de 32 bits e unha de 64 bits do exploit.
Durante o seguimento desta campaña, analizamos varios arquivos cargados polo descargador. Os contidos dos arquivos variaban, polo que os atacantes podían adaptar módulos maliciosos para diferentes fins.
Compromiso do usuario
Como mencionamos anteriormente, os atacantes usan ferramentas especiais para comprometer os ordenadores dos usuarios. Estas ferramentas inclúen programas con nomes de ficheiros executables mimi.exe e xtm.exe. Axudan aos atacantes a tomar o control do ordenador da vítima e especialízanse na realización das seguintes tarefas: obter/recuperar contrasinais para as contas de Windows, habilitar o servizo RDP, crear unha nova conta no SO.
O executable mimi.exe inclúe unha versión modificada dunha coñecida ferramenta de código aberto . Esta ferramenta permítelle obter contrasinais das contas de usuario de Windows. Os atacantes eliminaron a parte de Mimikatz que é responsable da interacción do usuario. Tamén se modificou o código executable para que, cando se lance, Mimikatz execútase cos comandos privilege::debug e sekurlsa:logonPasswords.
Outro ficheiro executable, xtm.exe, lanza scripts especiais que activan o servizo RDP no sistema, tentan crear unha nova conta no sistema operativo e tamén cambian a configuración do sistema para permitir que varios usuarios se conecten simultaneamente a un ordenador comprometido mediante RDP. Obviamente, estes pasos son necesarios para obter o control total do sistema comprometido.
Arroz. 8. Comandos executados por xtm.exe no sistema.
Os atacantes usan outro ficheiro executable chamado impack.exe, que se usa para instalar software especial no sistema. Este software chámase LiteManager e é usado polos atacantes como unha porta traseira.
Arroz. 9. Interface LiteManager.
Unha vez instalado no sistema dun usuario, LiteManager permite aos atacantes conectarse directamente a ese sistema e controlalo de forma remota. Este software ten parámetros especiais de liña de comandos para a súa instalación oculta, a creación de regras especiais de firewall e o lanzamento do seu módulo. Todos os parámetros son utilizados polos atacantes.
O último módulo do paquete de malware utilizado polos atacantes é un programa de malware bancario (banqueiro) co nome de ficheiro executable pn_pack.exe. Está especializada en espiar ao usuario e encárgase de interactuar co servidor C&C. O banqueiro lánzase usando o software lexítimo Yandex Punto. Os atacantes usan Punto para lanzar bibliotecas DLL maliciosas (método de carga lateral de DLL). O propio malware pode realizar as seguintes funcións:
- rastrexar as pulsacións do teclado e o contido do portapapeis para a súa posterior transmisión a un servidor remoto;
- lista todas as tarxetas intelixentes que están presentes no sistema;
- interactuar cun servidor C&C remoto.
O módulo de malware, que se encarga de realizar todas estas tarefas, é unha biblioteca DLL cifrada. Descífrase e cárgase na memoria durante a execución de Punto. Para realizar as tarefas anteriores, o código executable DLL inicia tres fíos.
O feito de que os atacantes elixan o software Punto para os seus propósitos non é unha sorpresa: algúns foros rusos ofrecen abertamente información detallada sobre temas como o uso de fallos en software lexítimo para comprometer aos usuarios.
A biblioteca maliciosa usa o algoritmo RC4 para cifrar as súas cadeas, así como durante as interaccións de rede co servidor C&C. Póngase en contacto co servidor cada dous minutos e transmite alí todos os datos que se recolleron no sistema comprometido durante este período de tempo.
Arroz. 10. Fragmento de interacción de rede entre o bot e o servidor.
Abaixo amósanse algunhas das instrucións do servidor C&C que pode recibir a biblioteca.
En resposta ao recibir instrucións do servidor C&C, o malware responde cun código de estado. É interesante notar que todos os módulos bancarios que analizamos (o máis recente con data de compilación do 18 de xaneiro) conteñen a cadea “TEST_BOTNET”, que se envía en cada mensaxe ao servidor C&C.
Conclusión
Para comprometer aos usuarios corporativos, os atacantes na primeira fase comprometen a un empregado da empresa enviando unha mensaxe de phishing cun exploit. A continuación, unha vez que o malware estea instalado no sistema, utilizarán ferramentas de software que lles axudarán a ampliar significativamente a súa autoridade no sistema e realizar tarefas adicionais sobre el: comprometer outros ordenadores da rede corporativa e espiar o usuario, así como as operacións bancarias que realiza.
Fonte: www.habr.com