A múlt év vége óta elkezdtük nyomon követni egy új rosszindulatú kampányt egy banki trójai terjesztésére. A támadók az orosz cégek, azaz a vállalati felhasználók kompromittálására összpontosítottak. A rosszindulatú kampány legalább egy évig aktív volt, és a banki trójai mellett a támadók más szoftvereszközökhöz is folyamodtak. Ezek közé tartozik egy speciális rakodó, amelyhez van csomagolva , és a kémprogramok, amelyek a jól ismert legitim Yandex Punto szoftvernek álcázzák. Miután a támadóknak sikerült feltörniük az áldozat számítógépét, telepítenek egy hátsó ajtót, majd egy banki trójai programot.
A támadók rosszindulatú programjaik esetében több érvényes (akkoriban) digitális tanúsítványt és speciális módszert használtak az AV-termékek megkerülésére. A rosszindulatú kampány nagyszámú orosz bankot célzott meg, és azért is érdekes, mert a támadók célzott támadásoknál gyakran használt módszereket alkalmaztak, vagyis olyan támadásokat, amelyeket nem pusztán pénzügyi csalás motivál. Megfigyelhetünk néhány hasonlóságot e rosszindulatú kampány és egy korábban nagy nyilvánosságot kapott jelentős incidens között. Egy kiberbűnözői csoportról beszélünk, amely egy banki trójai programot használt /.
A támadók csak azokra a számítógépekre telepítettek rosszindulatú programokat, amelyek alapértelmezés szerint az orosz nyelvet használták a Windowsban (honosítás). A trójai fő terjesztési vektora egy exploitot tartalmazó Word dokumentum volt. , amelyet a dokumentum mellékleteként küldtünk el. Az alábbi képernyőképek az ilyen hamis dokumentumok megjelenését mutatják. Az első dokumentum a „Számla száma: 522375-FLORL-14-115.doc”, a második „kontrakt87.doc” pedig a Megafon mobilszolgáltató által kötött távközlési szolgáltatási szerződés másolata.
Rizs. 1. Adathalász dokumentum.
Rizs. 2. Az adathalász dokumentum újabb módosítása.
A következő tények arra utalnak, hogy a támadók orosz vállalkozásokat vettek célba:
- rosszindulatú programok terjesztése hamis dokumentumok segítségével a megadott témában;
- a támadók taktikái és az általuk használt rosszindulatú eszközök;
- üzleti alkalmazásokra mutató hivatkozások egyes végrehajtható modulokban;
- a kampányban használt rosszindulatú domainek nevei.
Speciális szoftvereszközök, amelyeket a támadók telepítenek egy feltört rendszerre, lehetővé teszik számukra a rendszer távoli vezérlését és a felhasználói tevékenység megfigyelését. E funkciók végrehajtásához telepítenek egy hátsó ajtót, és megpróbálják megszerezni a Windows-fiók jelszavát vagy új fiókot létrehozni. A támadók emellett a keylogger (keylogger), a Windows vágólaplopó szolgáltatásait és az intelligens kártyákkal való munkavégzéshez szükséges speciális szoftvereket is igénybe veszik. Ez a csoport megpróbált feltörni más számítógépeket, amelyek ugyanazon a helyi hálózaton voltak, mint az áldozat számítógépe.
A rosszindulatú programok terjesztési statisztikáinak gyors nyomon követését lehetővé tevő ESET LiveGrid telemetriai rendszerünk érdekes földrajzi statisztikákkal szolgált az említett kampányban támadók által használt rosszindulatú programok terjesztéséről.
Rizs. 3. Statisztikák a rosszindulatú kampányban használt rosszindulatú programok földrajzi elterjedéséről.
Rosszindulatú programok telepítése
Miután a felhasználó megnyit egy rosszindulatú dokumentumot egy sérülékeny rendszeren, egy speciális NSIS-be csomagolt letöltő lesz letöltve és ott végrehajtva. Munkája elején a program ellenőrzi a Windows környezetet, hogy ott vannak-e hibakeresők, vagy hogy virtuális gépen fut-e. Ezenkívül ellenőrzi a Windows lokalizációját, és azt is, hogy a felhasználó felkereste-e a böngészőben az alábbi táblázatban felsorolt URL-eket. Ehhez API-kat használnak FindFirst/NextUrlCacheEntry és a SoftwareMicrosoftInternet ExplorerTypedURLs beállításkulcsot.
A rendszerbetöltő ellenőrzi a következő alkalmazások jelenlétét a rendszeren.
A folyamatok listája valóban lenyűgöző, és amint látható, nem csak banki alkalmazásokat tartalmaz. Például a „scardsvr.exe” nevű végrehajtható fájl az intelligens kártyákkal való munkavégzéshez szükséges szoftverre utal (Microsoft SmartCard olvasó). A banki trójai maga is magában foglalja az intelligens kártyákkal való munkavégzés lehetőségét.
Rizs. 4. A rosszindulatú programok telepítési folyamatának általános diagramja.
Ha minden ellenőrzés sikeresen befejeződött, a betöltő letölt egy speciális fájlt (archívumot) a távoli kiszolgálóról, amely tartalmazza a támadók által használt összes rosszindulatú végrehajtható modult. Érdekes megjegyezni, hogy a fenti ellenőrzések végrehajtásától függően a távoli C&C szerverről letöltött archívumok eltérőek lehetnek. Az archívum lehet rosszindulatú, de lehet, hogy nem. Ha nem rosszindulatú, telepíti a Windows Live eszköztárat a felhasználó számára. Valószínűleg a támadók hasonló trükkökhöz folyamodtak, hogy megtévesszék az automatikus fájlelemző rendszereket és a gyanús fájlokat futtató virtuális gépeket.
Az NSIS letöltő által letöltött fájl egy 7z archívum, amely különféle kártevő modulokat tartalmaz. Az alábbi képen a kártevő teljes telepítési folyamata és különféle moduljai láthatók.
Rizs. 5. A rosszindulatú programok működésének általános sémája.
Bár a betöltött modulok más-más célokat szolgálnak a támadók számára, a csomagok azonosak, és sok közülük érvényes digitális tanúsítvánnyal lett aláírva. Négy ilyen tanúsítványt találtunk, amelyeket a támadók már a kampány kezdetétől használtak. Panaszunk nyomán ezeket a tanúsítványokat visszavonták. Érdekes megjegyezni, hogy az összes tanúsítványt Moszkvában bejegyzett cégeknek adták ki.
Rizs. 6. A rosszindulatú program aláírásához használt digitális tanúsítvány.
A következő táblázat azokat a digitális tanúsítványokat azonosítja, amelyeket a támadók ebben a rosszindulatú kampányban használtak.
Szinte minden támadók által használt rosszindulatú modulnak azonos a telepítési eljárása. Ezek önkicsomagoló 7zip archívumok, amelyek jelszóval védettek.
Rizs. 7. Az install.cmd kötegfájl töredéke.
A kötegelt .cmd fájl felelős a rosszindulatú programok rendszerre történő telepítéséért és a különböző támadóeszközök elindításáért. Ha a végrehajtás hiányzó adminisztrátori jogokat igényel, a rosszindulatú kód többféle módszert használ ezek megszerzésére (az UAC megkerülésével). Az első módszer megvalósításához két l1.exe és cc1.exe nevű végrehajtható fájlt használnak, amelyek az UAC megkerülésére specializálódtak a Carberp forráskódok. Egy másik módszer a CVE-2013-3660 biztonsági rés kihasználásán alapul. Minden olyan kártevő modul, amelyhez jogosultság-kiterjesztés szükséges, a kihasználás 32 bites és 64 bites verzióját is tartalmazza.
A kampány követése során több, a letöltő által feltöltött archívumot elemeztünk. Az archívumok tartalma változatos volt, ami azt jelenti, hogy a támadók különböző célokra adaptálhatták a rosszindulatú modulokat.
Felhasználói kompromisszum
Ahogy fentebb említettük, a támadók speciális eszközöket használnak a felhasználók számítógépeinek feltörésére. Ezek az eszközök közé tartoznak a mimi.exe és xtm.exe futtatható fájlnevű programok. Segítenek a támadóknak átvenni az irányítást az áldozat számítógépe felett, és a következő feladatok elvégzésére specializálódtak: jelszavak beszerzése/helyreállítása a Windows-fiókokhoz, az RDP szolgáltatás engedélyezése, új fiók létrehozása az operációs rendszerben.
A mimi.exe végrehajtható fájl egy jól ismert nyílt forráskódú eszköz módosított változatát tartalmazza . Ez az eszköz lehetővé teszi a Windows felhasználói fiókok jelszavainak beszerzését. A támadók eltávolították a Mimikatzból azt a részt, amely a felhasználói interakcióért felelős. A végrehajtható kód is módosult, így indításkor a Mimikatz a privilege::debug és a sekurlsa:logonPasswords parancsokkal fut.
Egy másik végrehajtható fájl, az xtm.exe olyan speciális szkripteket indít el, amelyek lehetővé teszik az RDP szolgáltatást a rendszerben, megpróbálnak új fiókot létrehozni az operációs rendszerben, és módosítják a rendszerbeállításokat is, hogy egyszerre több felhasználó csatlakozhasson egy kompromittált számítógéphez RDP-n keresztül. Nyilvánvaló, hogy ezek a lépések szükségesek a kompromittált rendszer teljes ellenőrzéséhez.
Rizs. 8. Az xtm.exe által végrehajtott parancsok a rendszeren.
A támadók egy másik impack.exe nevű futtatható fájlt használnak, amely speciális szoftverek telepítésére szolgál a rendszerre. Ezt a szoftvert LiteManagernek hívják, és a támadók hátsó ajtóként használják.
Rizs. 9. LiteManager felület.
Miután telepítették a felhasználó rendszerére, a LiteManager lehetővé teszi a támadók számára, hogy közvetlenül csatlakozzanak a rendszerhez, és távolról irányítsák azt. Ez a szoftver speciális parancssori paraméterekkel rendelkezik a rejtett telepítéshez, speciális tűzfalszabályok létrehozásához és a modul elindításához. A támadók minden paramétert felhasználnak.
A támadók által használt rosszindulatú programcsomag utolsó modulja egy pn_pack.exe végrehajtható fájlnévvel rendelkező banki kártevő program (banker). A felhasználó kémkedésére specializálódott, és a C&C szerverrel való interakcióért felelős. A bankárt legitim Yandex Punto szoftverrel indítják el. A Punto-t a támadók rosszindulatú DLL-könyvtárak indítására használják (DLL oldalbetöltési módszer). Maga a rosszindulatú program a következő funkciókat tudja ellátni:
- nyomon követheti a billentyűzet billentyűleütéseit és a vágólap tartalmát a távoli szerverre történő későbbi továbbításhoz;
- listázza ki a rendszerben lévő összes intelligens kártyát;
- kölcsönhatásba léphet egy távoli C&C szerverrel.
A rosszindulatú programmodul, amely mindezen feladatok végrehajtásáért felelős, egy titkosított DLL-könyvtár. A Punto végrehajtása során dekódolják és betöltik a memóriába. A fenti feladatok végrehajtásához a DLL futtatható kódja három szálat indít el.
Az a tény, hogy a támadók a Punto szoftvert választották céljaikra, nem meglepő: egyes orosz fórumok nyíltan nyújtanak részletes információkat olyan témákról, mint például a legális szoftverek hibáinak felhasználása a felhasználók kompromittálására.
A rosszindulatú könyvtár az RC4 algoritmust használja a karakterláncok titkosításához, valamint a C&C szerverrel való hálózati interakciók során. Kétpercenként felveszi a kapcsolatot a szerverrel, és oda továbbítja az összes adatot, amelyet a feltört rendszeren gyűjtöttek ezen időszak alatt.
Rizs. 10. A bot és a szerver közötti hálózati interakció töredéke.
Az alábbiakban néhány olyan C&C kiszolgálói utasítás található, amelyeket a könyvtár fogadhat.
A C&C szervertől kapott utasításokra válaszul a rosszindulatú program állapotkóddal válaszol. Érdekes megjegyezni, hogy minden általunk elemzett bankár modul (a legutóbbi, január 18-i összeállítási dátummal) tartalmazza a „TEST_BOTNET” karakterláncot, amelyet minden üzenetben elküldenek a C&C szervernek.
Következtetés
A vállalati felhasználók kompromittálása érdekében a támadók az első szakaszban feltörik a vállalat egyik alkalmazottját azáltal, hogy adathalász üzenetet küldenek egy exploittal. Ezt követően, miután a kártevő telepítve van a rendszerre, olyan szoftvereszközöket használnak, amelyek segítségével jelentősen kibővítik a rendszerre vonatkozó jogosultságukat, és további feladatokat hajtanak végre rajta: feltörik a vállalati hálózat más számítógépeit és kémkednek a felhasználó után, valamint az általa végrehajtott banki tranzakciókat.
Forrás: will.com