Depi nan fen ane pase a, nou te kòmanse swiv yon nouvo kanpay move pou distribye yon Trojan bankè. Atakè yo konsantre sou konpwomi konpayi Ris, sa vle di itilizatè antrepriz. Kanpay move a te aktif pou omwen yon ane epi, anplis Trojan bankè a, atakè yo te itilize plizyè lòt zouti lojisyèl. Men sa yo enkli yon chajè espesyal pake lè l sèvi avèk , ak espyon, ki se degize kòm byen li te ye lejitim Yandex Punto lojisyèl an. Yon fwa atakè yo te jere konpwomi òdinatè viktim nan, yo enstale yon degize ak Lè sa a, yon Trojan bankè.
Pou malveyan yo, atakè yo te itilize plizyè sètifika dijital valab (nan tan sa a) ak metòd espesyal pou kontoune pwodwi AV. Kanpay move a vize yon gwo kantite bank Larisi epi li se yon enterè patikilye paske atakè yo te itilize metòd ki souvan itilize nan atak vize, sa vle di atak ki pa motive piman pa fwod finansye. Nou ka remake kèk resanblans ant kanpay move sa a ak yon gwo ensidan ki te resevwa gwo piblisite pi bonè. Nou ap pale de yon gwoup cybercriminal ki te itilize yon Trojan bankè /.
Atakè yo enstale malveyan sèlman sou òdinatè sa yo ki te itilize lang Ris nan Windows (lokalizasyon) pa default. Vektè distribisyon prensipal Trojan a se te yon dokiman Pawòl ak yon eksplwate. , ki te voye kòm yon atachman nan dokiman an. Ekran ki anba yo montre aparans fo dokiman sa yo. Premye dokiman an gen dwa "Fakti No. 522375-FLORL-14-115.doc", ak dezyèm "kontrakt87.doc", li se yon kopi kontra a pou bay sèvis telekominikasyon pa operatè mobil Megafon.
Diri. 1. Phishing dokiman.
Diri. 2. Yon lòt modifikasyon nan dokiman an èskrokri.
Reyalite sa yo endike ke atakè yo te vize biznis Ris:
- distribisyon malveyan lè l sèvi avèk fo dokiman sou sijè a espesifye;
- taktik atakè yo ak zouti move yo itilize;
- lyen ki mennen nan aplikasyon biznis nan kèk modil ègzèkutabl;
- non domèn move ki te itilize nan kanpay sa a.
Zouti lojisyèl espesyal ke atakè yo enstale sou yon sistèm konpwomèt pèmèt yo jwenn kontwòl remote nan sistèm nan epi kontwole aktivite itilizatè. Pou fè fonksyon sa yo, yo enstale yon backdoor epi tou eseye jwenn modpas kont Windows oswa kreye yon nouvo kont. Atakè yo tou itilize sèvis yon kelodje (keylogger), yon vòlè clipboard Windows, ak lojisyèl espesyal pou travay ak kat entelijan. Gwoup sa a te eseye konpwomi lòt òdinatè ki te sou menm rezo lokal ak òdinatè viktim nan.
Sistèm telemetri ESET LiveGrid nou an, ki pèmèt nou swiv byen vit estatistik distribisyon malveyan, te ba nou estatistik jeyografik enteresan sou distribisyon malveyan atakè yo itilize nan kanpay mansyone a.
Diri. 3. Estatistik sou distribisyon jeyografik malveyan yo itilize nan kanpay move sa a.
Enstale malveyan
Apre yon itilizatè ouvri yon dokiman move ak yon eksplwatasyon sou yon sistèm vilnerab, yo pral telechaje ak egzekite yon telechaje espesyal ki pake lè l sèvi avèk NSIS. Nan kòmansman travay li, pwogram nan tcheke anviwònman Windows pou prezans debogaj la oswa pou kouri nan yon kontèks machin vityèl. Li tcheke tou lokalizasyon Windows epi si itilizatè a te vizite URL yo ki nan lis anba a nan tablo a nan navigatè a. API yo itilize pou sa FindFirst/NextUrlCacheEntry ak kle rejis SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader la tcheke pou prezans aplikasyon sa yo sou sistèm nan.
Lis la nan pwosesis se vrèman enpresyonan epi, jan ou ka wè, li gen ladan pa sèlman aplikasyon pou bank yo. Pou egzanp, yon dosye ègzèkutabl ki rele "scardsvr.exe" refere a lojisyèl pou travay ak kat entelijan (Microsoft SmartCard reader). Trojan bankè nan tèt li gen ladan kapasite nan travay ak kat entelijan.
Diri. 4. Dyagram jeneral nan pwosesis enstalasyon malveyan an.
Si tout chèk yo konplete avèk siksè, loader a telechaje yon fichye espesyal (achiv) soti nan sèvè a aleka, ki gen tout modil move ègzèkutabl yo itilize pa atakè yo. Li enteresan pou remake ke selon egzekisyon chèk ki anwo yo, achiv yo telechaje nan sèvè C&C aleka yo ka diferan. Achiv la ka move oswa pa gendwa. Si se pa move, li enstale Windows Live Toolbar pou itilizatè a. Gen plis chans, atakè yo te itilize ke trik nouvèl ki sanble yo twonpe sistèm otomatik analiz dosye ak machin vityèl sou ki dosye sispèk yo egzekite.
Fichye telechaje NSIS la se yon achiv 7z ki gen plizyè modil malveyan. Imaj ki anba a montre tout pwosesis enstalasyon malveyan sa a ak divès modil li yo.
Diri. 5. Konplo jeneral sou kouman malveyan travay.
Malgre ke modil chaje yo sèvi diferan rezon pou atakè yo, yo pake ki idantik ak anpil nan yo te siyen ak sètifika dijital valab. Nou te jwenn kat sètifika sa yo ke atakè yo te itilize depi nan kòmansman kanpay la. Apre plent nou an, sètifika sa yo te revoke. Li enteresan sonje ke tout sètifika yo te bay konpayi ki anrejistre nan Moskou.
Diri. 6. Sètifika dijital ki te itilize pou siyen malveyan an.
Tablo ki anba la a idantifye sètifika dijital atakè yo te itilize nan kanpay move sa a.
Prèske tout modil move itilize pa atakè yo gen yon pwosedi enstalasyon ki idantik. Yo se achiv 7zip ki retire pwòp tèt ou ki pwoteje modpas.
Diri. 7. Fragman nan dosye a pakèt install.cmd.
Pakèt .cmd fichye a responsab pou enstale malveyan sou sistèm nan ak lanse plizyè zouti atakè. Si ekzekisyon mande dwa administratif ki manke, kòd move a sèvi ak plizyè metòd pou jwenn yo (yo kontoune UAC). Pou aplike premye metòd la, yo itilize de dosye ègzèkutabl ki rele l1.exe ak cc1.exe, ki espesyalize nan kontoune UAC lè l sèvi avèk la. Kòd sous Carberp. Yon lòt metòd ki baze sou eksplwate vilnerabilite CVE-2013-3660. Chak modil malveyan ki mande pou eskalasyon privilèj genyen tou de yon vèsyon 32-bit ak yon 64-bit nan eksplwatasyon an.
Pandan n ap swiv kanpay sa a, nou te analize plizyè achiv telechaje a te telechaje. Sa ki nan achiv yo varye, sa vle di atakè yo te kapab adapte modil move pou diferan rezon.
Konpwomi itilizatè
Kòm nou mansyone pi wo a, atakè yo itilize zouti espesyal pou konpwomèt òdinatè itilizatè yo. Zouti sa yo gen ladan pwogram ki gen non dosye ègzèkutabl mimi.exe ak xtm.exe. Yo ede atakè yo pran kontwòl òdinatè viktim nan epi espesyalize nan fè travay sa yo: jwenn/rekipere modpas pou kont Windows, pèmèt sèvis RDP a, kreye yon nouvo kont nan eksplwatasyon an.
Ègzèkutabl mimi.exe gen ladann yon vèsyon modifye nan yon zouti sous louvri byen li te ye . Zouti sa a pèmèt ou jwenn modpas kont itilizatè Windows. Atakè yo retire pati nan Mimikatz ki responsab pou entèraksyon itilizatè a. Kòd ègzèkutabl la te modifye tou pou lè yo te lanse, Mimikatz kouri ak kòmandman privilèj::debug ak sekurlsa:logonPasswords.
Yon lòt dosye ègzèkutabl, xtm.exe, lanse scripts espesyal ki pèmèt sèvis RDP nan sistèm nan, eseye kreye yon nouvo kont nan eksplwatasyon an, epi tou chanje paramèt sistèm lan pou pèmèt plizyè itilizatè yo konekte ansanm ak yon òdinatè konpwomèt atravè RDP. Li evidan, etap sa yo nesesè pou jwenn kontwòl konplè sou sistèm konpwomèt la.
Diri. 8. Kòmandman egzekite pa xtm.exe sou sistèm nan.
Atakè yo sèvi ak yon lòt dosye ègzèkutabl ki rele impack.exe, ki itilize pou enstale lojisyèl espesyal sou sistèm nan. Lojisyèl sa a rele LiteManager epi atakè yo itilize kòm yon degize.
Diri. 9. LiteManager koòdone.
Yon fwa enstale sou sistèm yon itilizatè a, LiteManager pèmèt atakè yo konekte dirèkteman nan sistèm sa a epi kontwole li adistans. Lojisyèl sa a gen paramèt liy lòd espesyal pou enstalasyon kache li yo, kreyasyon règ espesyal firewall, ak lanse modil li yo. Tout paramèt yo itilize pa atakè yo.
Dènye modil pakè malveyan atakè yo itilize se yon pwogram malveyan bankè (bankè) ki gen non dosye ègzèkutabl pn_pack.exe. Li espesyalize nan espyonaj itilizatè a epi li responsab pou kominike avèk sèvè C&C la. Bankye a te lanse lè l sèvi avèk lojisyèl Yandex Punto lejitim. Atakè yo itilize Punto pou lanse bibliyotèk DLL move (metòd DLL Side-Loading). Malveyan nan tèt li ka fè fonksyon sa yo:
- swiv klavye klavye ak sa ki nan clipboard pou transmisyon ki vin apre yo nan yon sèvè aleka;
- lis tout kat entelijan ki prezan nan sistèm nan;
- kominike avèk yon sèvè C&C aleka.
Modil malveyan an, ki responsab pou fè tout travay sa yo, se yon bibliyotèk DLL chiffres. Li dechifre ak chaje nan memwa pandan ekzekisyon Punto. Pou fè travay ki anwo yo, kòd ègzekutabl DLL la kòmanse twa fil.
Lefèt ke atakè yo te chwazi lojisyèl Punto pou rezon yo se pa yon sipriz: gen kèk fowòm Ris ouvètman bay enfòmasyon detaye sou sijè tankou lè l sèvi avèk defo nan lojisyèl lejitim pou konpwomi itilizatè yo.
Bibliyotèk move a sèvi ak algorithm RC4 pou ankripte kòd li yo, osi byen ke pandan entèraksyon rezo ak sèvè C&C la. Li kontakte sèvè a chak de minit epi li transmèt la tout done ki te kolekte sou sistèm konpwomèt la pandan peryòd tan sa a.
Diri. 10. Fragman rezo entèraksyon ant bot la ak sèvè a.
Anba a se kèk nan enstriksyon sèvè C&C bibliyotèk la ka resevwa.
An repons a resevwa enstriksyon nan men sèvè C&C, malveyan an reponn ak yon kòd estati. Li enteresan sonje ke tout modil bankè ke nou analize (yon ki pi resan an ak yon dat konpilasyon nan 18 janvye) genyen fisèl "TEST_BOTNET", ki voye nan chak mesaj nan sèvè C&C la.
Konklizyon
Pou konpwomi itilizatè antrepriz, atakè nan premye etap konpwomèt yon anplwaye nan konpayi an lè yo voye yon mesaj èskrokri ak yon eksplwate. Apre sa, yon fwa ke malveyan an enstale sou sistèm nan, yo pral sèvi ak zouti lojisyèl ki pral ede yo siyifikativman elaji otorite yo sou sistèm nan epi fè travay adisyonèl sou li: konpwomi lòt òdinatè sou rezo antrepriz la ak espyon sou itilizatè a, osi byen ke tranzaksyon bankè li fè yo.
Sous: www.habr.com