Od kraja prošle godine počeli smo pratiti novu zlonamjernu kampanju za distribuciju bankarskog Trojana. Napadači su se fokusirali na kompromitiranje ruskih tvrtki, odnosno korporativnih korisnika. Zlonamjerna kampanja bila je aktivna najmanje godinu dana, a osim bankarskog Trojana, napadači su se poslužili i raznim drugim softverskim alatima. To uključuje poseban utovarivač pakiran pomoću
Napadači su instalirali malware samo na ona računala koja su prema zadanim postavkama koristila ruski jezik u sustavu Windows (lokalizacija). Glavni distribucijski vektor trojanca bio je Word dokument s exploitom.
Riža. 1. Phishing dokument.
Riža. 2. Još jedna izmjena phishing dokumenta.
Sljedeće činjenice ukazuju na to da su napadači ciljali na ruske tvrtke:
- distribucija zlonamjernog softvera korištenjem lažnih dokumenata na navedenu temu;
- taktike napadača i zlonamjernih alata koje koriste;
- poveznice na poslovne aplikacije u nekim izvršnim modulima;
- imena zlonamjernih domena koje su korištene u ovoj kampanji.
Posebni softverski alati koje napadači instaliraju na kompromitirani sustav omogućuju im daljinsko upravljanje sustavom i praćenje aktivnosti korisnika. Za izvođenje ovih funkcija instaliraju backdoor i također pokušavaju dobiti lozinku za Windows račun ili stvoriti novi račun. Napadači također pribjegavaju uslugama keyloggera (keyloggera), Windows clipboard stealera i posebnog softvera za rad s pametnim karticama. Ova grupa pokušala je kompromitirati druga računala koja su bila na istoj lokalnoj mreži kao i žrtvino računalo.
Naš telemetrijski sustav ESET LiveGrid, koji nam omogućuje brzo praćenje statistike distribucije zlonamjernog softvera, pružio nam je zanimljive geografske statistike o distribuciji malwarea koji napadači koriste u spomenutoj kampanji.
Riža. 3. Statistika o geografskoj distribuciji zlonamjernog softvera korištenog u ovoj zlonamjernoj kampanji.
Instaliranje zlonamjernog softvera
Nakon što korisnik otvori zlonamjerni dokument s eksploatacijom na ranjivom sustavu, tamo će se preuzeti i pokrenuti poseban downloader pakiran pomoću NSIS-a. Na početku svog rada, program provjerava Windows okruženje za prisutnost programa za ispravljanje pogrešaka ili za pokretanje u kontekstu virtualnog stroja. Također provjerava lokalizaciju Windowsa i je li korisnik posjetio URL-ove navedene u nastavku u tablici u pregledniku. Za to se koriste API-ji FindFirst/NextUrlCacheEntry i ključ registra SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader provjerava prisutnost sljedećih aplikacija na sustavu.
Popis procesa doista je impresivan i, kao što vidite, ne uključuje samo bankarske aplikacije. Na primjer, izvršna datoteka pod nazivom “scardsvr.exe” odnosi se na softver za rad sa pametnim karticama (Microsoft SmartCard čitač). Sam bankarski trojanac uključuje mogućnost rada sa pametnim karticama.
Riža. 4. Opći dijagram procesa instalacije zlonamjernog softvera.
Ako su sve provjere uspješno završene, loader preuzima posebnu datoteku (arhivu) s udaljenog poslužitelja koja sadrži sve zlonamjerne izvršne module koje koriste napadači. Zanimljivo je napomenuti da se ovisno o izvršenju gore navedenih provjera, arhive preuzete s udaljenog C&C poslužitelja mogu razlikovati. Arhiva može, ali i ne mora biti zlonamjerna. Ako nije zlonamjeran, instalira alatnu traku Windows Live za korisnika. Najvjerojatnije su napadači pribjegli sličnim trikovima kako bi prevarili sustave za automatsku analizu datoteka i virtualne strojeve na kojima se pokreću sumnjive datoteke.
Datoteka koju je preuzeo NSIS downloader je 7z arhiva koja sadrži različite module zlonamjernog softvera. Slika ispod prikazuje cijeli postupak instalacije ovog zlonamjernog softvera i njegovih različitih modula.
Riža. 5. Opća shema rada zlonamjernog softvera.
Iako učitani moduli napadačima služe u različite svrhe, identično su pakirani i mnogi od njih potpisani su valjanim digitalnim certifikatima. Pronašli smo četiri takva certifikata koje su napadači koristili od samog početka kampanje. Nakon naše žalbe ti su certifikati povučeni. Zanimljivo je da su svi certifikati izdani tvrtkama registriranim u Moskvi.
Riža. 6. Digitalni certifikat koji je korišten za potpisivanje zlonamjernog softvera.
Sljedeća tablica identificira digitalne certifikate koje su napadači koristili u ovoj zlonamjernoj kampanji.
Gotovo svi maliciozni moduli koje koriste napadači imaju identičnu proceduru instalacije. To su samoraspakirajuće 7zip arhive koje su zaštićene lozinkom.
Riža. 7. Fragment paketne datoteke install.cmd.
Skupna .cmd datoteka odgovorna je za instaliranje zlonamjernog softvera na sustav i pokretanje raznih napadačkih alata. Ako su za izvođenje potrebna administratorska prava koja nedostaju, zlonamjerni kod koristi nekoliko metoda za njihovo dobivanje (zaobilazeći UAC). Za implementaciju prve metode koriste se dvije izvršne datoteke nazvane l1.exe i cc1.exe, koje su specijalizirane za zaobilaženje UAC-a pomoću
Dok smo pratili ovu kampanju, analizirali smo nekoliko arhiva koje je učitao preuzimač. Sadržaji arhiva su varirali, što znači da su napadači mogli prilagoditi zlonamjerne module za različite svrhe.
Kompromis korisnika
Kao što smo gore spomenuli, napadači koriste posebne alate za kompromitaciju korisničkih računala. Ovi alati uključuju programe s nazivima izvršnih datoteka mimi.exe i xtm.exe. Pomažu napadačima da preuzmu kontrolu nad žrtvinim računalom i specijalizirani su za obavljanje sljedećih zadataka: dobivanje/vraćanje lozinki za Windows račune, omogućavanje RDP usluge, stvaranje novog računa u OS-u.
Izvršna datoteka mimi.exe uključuje modificiranu verziju dobro poznatog alata otvorenog koda
Još jedna izvršna datoteka, xtm.exe, pokreće posebne skripte koje omogućuju RDP uslugu u sustavu, pokušavaju stvoriti novi račun u OS-u, a također mijenjaju postavke sustava kako bi se omogućilo da se nekoliko korisnika istovremeno poveže na kompromitirano računalo putem RDP-a. Očito je da su ovi koraci nužni za postizanje potpune kontrole nad ugroženim sustavom.
Riža. 8. Naredbe koje izvršava xtm.exe na sustavu.
Napadači koriste drugu izvršnu datoteku pod nazivom impack.exe, koja se koristi za instaliranje posebnog softvera na sustav. Ovaj softver se zove LiteManager i napadači ga koriste kao backdoor.
Riža. 9. LiteManager sučelje.
Jednom instaliran na korisnikov sustav, LiteManager omogućuje napadačima da se izravno povežu na taj sustav i upravljaju njime na daljinu. Ovaj softver ima posebne parametre naredbenog retka za svoju skrivenu instalaciju, stvaranje posebnih pravila vatrozida i pokretanje svog modula. Sve parametre koriste napadači.
Posljednji modul zlonamjernog softvera koji koriste napadači je bankovni zlonamjerni program (bankar) s nazivom izvršne datoteke pn_pack.exe. Specijalizirana je za špijuniranje korisnika i odgovorna je za interakciju s C&C poslužiteljem. Bankar se pokreće pomoću legitimnog softvera Yandex Punto. Punto napadači koriste za pokretanje zlonamjernih DLL biblioteka (metoda DLL bočnog učitavanja). Sam zlonamjerni softver može obavljati sljedeće funkcije:
- pratiti pritiske tipki na tipkovnici i sadržaj međuspremnika za njihov naknadni prijenos na udaljeni poslužitelj;
- popis svih pametnih kartica koje su prisutne u sustavu;
- komunicirati s udaljenim C&C poslužiteljem.
Modul zlonamjernog softvera, koji je odgovoran za obavljanje svih ovih zadataka, je šifrirana DLL biblioteka. Dekriptira se i učitava u memoriju tijekom izvođenja Punta. Za izvođenje gore navedenih zadataka, DLL izvršni kod pokreće tri niti.
Činjenica da su napadači odabrali softver Punto za svoje potrebe nije iznenađenje: neki ruski forumi otvoreno daju detaljne informacije o takvim temama kao što je korištenje nedostataka u legitimnom softveru za kompromitiranje korisnika.
Zlonamjerna biblioteka koristi RC4 algoritam za šifriranje nizova, kao i tijekom mrežnih interakcija s C&C poslužiteljem. Svake dvije minute kontaktira poslužitelj i tamo šalje sve podatke koji su prikupljeni na kompromitiranom sustavu u tom vremenskom razdoblju.
Riža. 10. Fragment mrežne interakcije između bota i poslužitelja.
Ispod su neke od uputa C&C poslužitelja koje knjižnica može primiti.
Kao odgovor na primanje uputa od C&C poslužitelja, zlonamjerni softver odgovara statusnim kodom. Zanimljivo je primijetiti da svi bankarski moduli koje smo analizirali (posljednji s datumom kompilacije 18. siječnja) sadrže niz "TEST_BOTNET", koji se u svakoj poruci šalje C&C poslužitelju.
Zaključak
Kako bi kompromitirali korporativne korisnike, napadači u prvoj fazi kompromitiraju jednog zaposlenika tvrtke slanjem phishing poruke s exploitom. Dalje, kada se zlonamjerni softver instalira na sustav, koristit će se softverskim alatima koji će im pomoći da značajno prošire svoje ovlasti nad sustavom i obavljaju dodatne zadatke na njemu: kompromitiraju druga računala na korporativnoj mreži i špijuniraju korisnika, kao i bankarske poslove koje obavlja.
Izvor: www.habr.com