Անցյալ տարվա վերջից մենք սկսեցինք հետևել բանկային տրոյան տարածելու նոր վնասակար արշավին: Հարձակվողները կենտրոնացել են ռուսական ընկերություններին, այսինքն՝ կորպորատիվ օգտատերերին զիջելու վրա: Վնասակար արշավն ակտիվ է եղել առնվազն մեկ տարի, և, բացի բանկային տրոյանից, հարձակվողները դիմել են տարբեր այլ ծրագրային գործիքների: Դրանք ներառում են հատուկ բեռնիչ՝ փաթեթավորված օգտագործելով և լրտեսող ծրագրերը, որոնք քողարկված են որպես հայտնի օրինական Yandex Punto ծրագրակազմ: Երբ հարձակվողներին հաջողվել է վնասել զոհի համակարգիչը, նրանք տեղադրում են հետնախորշ, ապա բանկային տրոյան:
Իրենց չարամիտ ծրագրերի համար հարձակվողներն օգտագործել են մի քանի վավեր (այն ժամանակ) թվային վկայագրեր և հատուկ մեթոդներ՝ շրջանցելու AV արտադրանքները։ Չարամիտ արշավը թիրախավորել է մեծ թվով ռուսական բանկեր և առանձնահատուկ հետաքրքրություն է ներկայացնում, քանի որ հարձակվողներն օգտագործել են մեթոդներ, որոնք հաճախ օգտագործվում են նպատակային հարձակումների ժամանակ, այսինքն՝ հարձակումներ, որոնք զուտ ֆինանսական խարդախության դրդապատճառներով չեն: Մենք կարող ենք նշել որոշ նմանություններ այս չարամիտ արշավի և մի մեծ միջադեպի միջև, որն ավելի վաղ մեծ հրապարակում էր ստացել: Խոսքը կիբերհանցագործ խմբի մասին է, որն օգտագործել է բանկային տրոյան /.
Հարձակվողները չարամիտ ծրագրեր են տեղադրել միայն այն համակարգիչների վրա, որոնք լռելյայն օգտագործում են ռուսերենը Windows-ում (տեղայնացում): Trojan-ի բաշխման հիմնական վեկտորը Word փաստաթուղթն էր, որն ունի շահագործման: , որն ուղարկվել է որպես փաստաթղթին կից։ Ստորև ներկայացված սքրինշոթները ցույց են տալիս նման կեղծ փաստաթղթերի տեսքը: Առաջին փաստաթուղթը վերնագրված է «Invoice No. 522375-FLORL-14-115.doc», իսկ երկրորդը «kontrakt87.doc», դա Megafon բջջային օպերատորի կողմից հեռահաղորդակցության ծառայությունների մատուցման պայմանագրի պատճենն է:
Բրինձ. 1. Ֆիշինգ փաստաթուղթ.
Բրինձ. 2. Ֆիշինգի փաստաթղթի ևս մեկ փոփոխություն:
Հետևյալ փաստերը ցույց են տալիս, որ հարձակվողները թիրախավորել են ռուսական բիզնեսները.
- նշված թեմայի վերաբերյալ կեղծ փաստաթղթերի օգտագործմամբ չարամիտ ծրագրերի բաշխում.
- հարձակվողների մարտավարությունը և նրանց կողմից օգտագործվող վնասակար գործիքները.
- հղումներ դեպի բիզնես հավելվածներ որոշ գործարկվող մոդուլներում;
- վնասակար տիրույթների անունները, որոնք օգտագործվել են այս արշավում:
Հատուկ ծրագրային գործիքները, որոնք հարձակվողները տեղադրում են վտանգված համակարգի վրա, թույլ են տալիս նրանց ստանալ համակարգի հեռակառավարումը և վերահսկել օգտատերերի գործունեությունը: Այս գործառույթներն իրականացնելու համար նրանք տեղադրում են հետին դուռ և փորձում են նաև ստանալ Windows հաշվի գաղտնաբառը կամ ստեղծել նոր հաշիվ: Հարձակվողները նաև դիմում են keylogger-ի (keylogger), Windows clipboard գողացողի և խելացի քարտերի հետ աշխատելու հատուկ ծրագրակազմի ծառայություններին: Այս խումբը փորձել է վտանգել այլ համակարգիչներ, որոնք գտնվում էին նույն տեղական ցանցում, ինչ տուժողի համակարգիչը:
Մեր ESET LiveGrid հեռաչափական համակարգը, որը թույլ է տալիս արագ հետևել չարամիտ ծրագրերի բաշխման վիճակագրությանը, մեզ տրամադրեց հետաքրքիր աշխարհագրական վիճակագրություն նշված քարոզարշավում հարձակվողների կողմից օգտագործվող չարամիտ ծրագրերի բաշխման վերաբերյալ:
Բրինձ. 3. Վիճակագրություն այս վնասակար արշավում օգտագործվող չարամիտ ծրագրերի աշխարհագրական բաշխման վերաբերյալ:
Չարամիտ ծրագրերի տեղադրում
Այն բանից հետո, երբ օգտատերը խոցելի համակարգի վրա շահագործմամբ վնասակար փաստաթուղթ կբացի, այնտեղ կներբեռնվի և կգործարկվի հատուկ ներբեռնիչ, որը փաթեթավորված է NSIS-ի միջոցով: Ծրագիրը իր աշխատանքի սկզբում ստուգում է Windows միջավայրը վրիպազերծիչների առկայության կամ վիրտուալ մեքենայի համատեքստում աշխատելու համար: Այն նաև ստուգում է Windows-ի տեղայնացումը և արդյոք օգտատերը այցելել է բրաուզերի աղյուսակում ստորև նշված URL-ները: Դրա համար օգտագործվում են API-ներ FindFirst/NextUrlCacheEntry և SoftwareMicrosoftInternet ExplorerTypedURLs ռեեստրի բանալի:
Bootloader-ը ստուգում է համակարգում հետևյալ հավելվածների առկայությունը.
Գործընթացների ցանկն իսկապես տպավորիչ է և, ինչպես տեսնում եք, ներառում է ոչ միայն բանկային հավելվածներ։ Օրինակ՝ «scardsvr.exe» անունով գործարկվող ֆայլը վերաբերում է խելացի քարտերի հետ աշխատելու ծրագրերին (Microsoft SmartCard ընթերցող): Բանկային տրոյան ինքնին ներառում է խելացի քարտերով աշխատելու հնարավորություն:
Բրինձ. 4. Չարամիտ ծրագրերի տեղադրման գործընթացի ընդհանուր դիագրամ:
Եթե բոլոր ստուգումները հաջողությամբ ավարտվեն, ապա բեռնիչը հեռակա սերվերից ներբեռնում է հատուկ ֆայլ (արխիվ), որը պարունակում է հարձակվողների կողմից օգտագործվող բոլոր վնասակար գործարկվող մոդուլները: Հետաքրքիր է նշել, որ կախված վերը նշված ստուգումների կատարումից, հեռավոր C&C սերվերից ներբեռնված արխիվները կարող են տարբերվել: Արխիվը կարող է վնասակար լինել կամ չլինել: Եթե վնասակար չէ, այն տեղադրում է Windows Live Toolbar-ը օգտագործողի համար: Ամենայն հավանականությամբ, հարձակվողները դիմել են նմանատիպ հնարքների՝ խաբելու ֆայլերի ավտոմատ վերլուծության համակարգերին և վիրտուալ մեքենաներին, որոնց վրա կասկածելի ֆայլեր են կատարվում։
NSIS ներբեռնողի կողմից ներբեռնված ֆայլը 7z արխիվ է, որը պարունակում է վնասակար ծրագրերի տարբեր մոդուլներ: Ստորև բերված պատկերը ցույց է տալիս այս չարամիտ ծրագրի և դրա տարբեր մոդուլների տեղադրման ամբողջ գործընթացը:
Բրինձ. 5. Ընդհանուր սխեման, թե ինչպես է աշխատում չարամիտ ծրագիրը:
Թեև բեռնված մոդուլները հարձակվողների համար ծառայում են տարբեր նպատակների, դրանք փաթեթավորված են նույն ձևով, և դրանցից շատերը ստորագրված են վավեր թվային վկայականներով: Մենք գտանք չորս նման վկայականներ, որոնք հարձակվողներն օգտագործել են քարոզարշավի հենց սկզբից։ Մեր բողոքից հետո այդ վկայականները չեղյալ են հայտարարվել: Հետաքրքիր է նշել, որ բոլոր վկայականները տրվել են Մոսկվայում գրանցված ընկերություններին։
Բրինձ. 6. Թվային վկայագիր, որն օգտագործվել է չարամիտ ծրագրի ստորագրման համար:
Հետևյալ աղյուսակը ներկայացնում է թվային վկայականները, որոնք հարձակվողներն օգտագործել են այս վնասակար արշավում:
Գրեթե բոլոր վնասակար մոդուլները, որոնք օգտագործվում են հարձակվողների կողմից, ունեն տեղադրման նույնական ընթացակարգ: Նրանք ինքնուրույն արդյունահանող 7zip արխիվներ են, որոնք պաշտպանված են գաղտնաբառով:
Բրինձ. 7. install.cmd խմբաքանակի ֆայլի հատված:
Batch .cmd ֆայլը պատասխանատու է համակարգում չարամիտ ծրագրեր տեղադրելու և հարձակվողների տարբեր գործիքներ գործարկելու համար: Եթե կատարումը պահանջում է բացակայող ադմինիստրատիվ իրավունքները, ապա վնասակար կոդը օգտագործում է մի քանի մեթոդներ դրանք ստանալու համար (շրջանցելով UAC): Առաջին մեթոդն իրականացնելու համար օգտագործվում են երկու գործարկվող ֆայլեր, որոնք կոչվում են l1.exe և cc1.exe, որոնք մասնագիտանում են UAC-ի շրջանցման մեջ՝ օգտագործելով Carberp-ի սկզբնական կոդերը. Մեկ այլ մեթոդ հիմնված է CVE-2013-3660 խոցելիության շահագործման վրա: Յուրաքանչյուր չարամիտ մոդուլ, որը պահանջում է արտոնությունների ընդլայնում, պարունակում է շահագործման և՛ 32-բիթանոց, և՛ 64-բիթանոց տարբերակներ:
Այս արշավին հետևելիս մենք վերլուծեցինք ներբեռնողի կողմից վերբեռնված մի քանի արխիվներ: Արխիվների բովանդակությունը տարբերվում էր, ինչը նշանակում է, որ հարձակվողները կարող են հարմարեցնել վնասակար մոդուլները տարբեր նպատակների համար:
Օգտագործողի փոխզիջում
Ինչպես վերը նշեցինք, հարձակվողներն օգտագործում են հատուկ գործիքներ՝ օգտատերերի համակարգիչները վտանգի ենթարկելու համար: Այս գործիքները ներառում են գործարկվող ֆայլերի անուններով ծրագրեր mimi.exe և xtm.exe: Նրանք օգնում են հարձակվողներին վերահսկել զոհի համակարգիչը և մասնագիտանալ հետևյալ առաջադրանքների կատարման մեջ՝ Windows-ի հաշիվների գաղտնաբառերի ձեռքբերում/վերականգնում, RDP ծառայության ակտիվացում, ՕՀ-ում նոր հաշիվ ստեղծելու գործում:
mimi.exe գործարկվողը ներառում է հայտնի բաց կոդով գործիքի փոփոխված տարբերակը . Այս գործիքը թույլ է տալիս Ձեզ ստանալ Windows օգտատիրոջ հաշվի գաղտնաբառեր: Հարձակվողները Mimikatz-ից հեռացրել են այն մասը, որը պատասխանատու է օգտատերերի փոխազդեցության համար: Գործարկվող կոդը նույնպես փոփոխվել է այնպես, որ երբ գործարկվի, Mimikatz-ը կաշխատի արտոնություններով՝::debug և sekurlsa:logonPasswords հրամաններով:
Մեկ այլ գործարկվող ֆայլ՝ xtm.exe-ը, գործարկում է հատուկ սկրիպտներ, որոնք թույլ են տալիս համակարգում RDP ծառայությունը, փորձում են ստեղծել նոր հաշիվ ՕՀ-ում, ինչպես նաև փոխում են համակարգի կարգավորումները, որպեսզի մի քանի օգտատերեր կարողանան միաժամանակ միանալ վտանգված համակարգչին RDP-ի միջոցով: Ակնհայտ է, որ այս քայլերն անհրաժեշտ են վտանգված համակարգի նկատմամբ լիակատար վերահսկողություն ձեռք բերելու համար։
Բրինձ. 8. Համակարգի վրա xtm.exe-ի կողմից կատարված հրամանները:
Հարձակվողներն օգտագործում են մեկ այլ գործարկվող ֆայլ, որը կոչվում է imppack.exe, որն օգտագործվում է համակարգում հատուկ ծրագրեր տեղադրելու համար: Այս ծրագրաշարը կոչվում է LiteManager և հարձակվողների կողմից օգտագործվում է որպես հետին դուռ:
Բրինձ. 9. LiteManager ինտերֆեյս:
Օգտատիրոջ համակարգում տեղադրվելուց հետո LiteManager-ը հարձակվողներին թույլ է տալիս ուղղակիորեն միանալ այդ համակարգին և հեռակա կարգով կառավարել այն: Այս ծրագրաշարն ունի հատուկ հրամանի տող պարամետրեր իր թաքնված տեղադրման, հատուկ firewall կանոնների ստեղծման և իր մոդուլի գործարկման համար: Բոլոր պարամետրերը օգտագործվում են հարձակվողների կողմից:
Հարձակվողների կողմից օգտագործվող չարամիտ ծրագրերի փաթեթի վերջին մոդուլը բանկային չարամիտ ծրագիր է (banker)՝ գործարկվող ֆայլի անունով pn_pack.exe: Նա մասնագիտացած է օգտատիրոջը լրտեսելու մեջ և պատասխանատու է C&C սերվերի հետ փոխգործակցության համար: Բանկիրը գործարկվում է օրինական Yandex Punto ծրագրաշարի միջոցով: Punto-ն օգտագործվում է հարձակվողների կողմից՝ վնասակար DLL գրադարաններ գործարկելու համար (DLL Side-Loading մեթոդ): Վնասակար ծրագիրը ինքնին կարող է կատարել հետևյալ գործառույթները.
- հետևել ստեղնաշարի ստեղնաշարի և սեղմատախտակի բովանդակությանը` դրանց հետագա փոխանցման համար հեռավոր սերվեր;
- թվարկել բոլոր խելացի քարտերը, որոնք առկա են համակարգում.
- համագործակցել հեռավոր C&C սերվերի հետ:
Չարամիտ ծրագրի մոդուլը, որը պատասխանատու է այս բոլոր առաջադրանքների կատարման համար, գաղտնագրված DLL գրադարան է: Այն վերծանվում և բեռնվում է հիշողության մեջ Punto-ի կատարման ժամանակ: Վերոնշյալ առաջադրանքները կատարելու համար DLL գործարկվող կոդը սկսում է երեք թեմա:
Այն փաստը, որ հարձակվողներն ընտրել են Punto ծրագրակազմն իրենց նպատակների համար, անակնկալ չէ. որոշ ռուսական ֆորումներ բացահայտորեն մանրամասն տեղեկատվություն են տրամադրում այնպիսի թեմաների վերաբերյալ, ինչպիսիք են օրինական ծրագրաշարի թերությունների օգտագործումը օգտատերերին վտանգի ենթարկելու համար:
Վնասակար գրադարանն օգտագործում է RC4 ալգորիթմը՝ իր տողերը գաղտնագրելու համար, ինչպես նաև C&C սերվերի հետ ցանցային փոխազդեցությունների ժամանակ։ Այն կապվում է սերվերի հետ յուրաքանչյուր երկու րոպեն մեկ և այնտեղ փոխանցում է բոլոր տվյալները, որոնք հավաքվել են վտանգված համակարգում այս ժամանակահատվածում:
Բրինձ. 10. Բոտի և սերվերի միջև ցանցային փոխազդեցության հատված:
Ստորև բերված են C&C սերվերի որոշ հրահանգներ, որոնք գրադարանը կարող է ստանալ:
Ի պատասխան C&C սերվերից հրահանգներ ստանալու՝ չարամիտ ծրագիրը պատասխանում է կարգավիճակի կոդով: Հետաքրքիր է նշել, որ բոլոր բանկիր մոդուլները, որոնք մենք վերլուծել ենք (ամենավերջը՝ հունվարի 18-ի կազմման ամսաթվով) պարունակում են «TEST_BOTNET» տողը, որը յուրաքանչյուր հաղորդագրության մեջ ուղարկվում է C&C սերվերին:
Ամփոփում
Կորպորատիվ օգտատերերին վտանգի ենթարկելու համար հարձակվողները առաջին փուլում վտանգի են ենթարկում ընկերության մեկ աշխատակցին` ուղարկելով ֆիշինգի հաղորդագրություն՝ շահագործմամբ: Այնուհետև, երբ չարամիտ ծրագիրը տեղադրվի համակարգում, նրանք կօգտագործեն ծրագրային գործիքներ, որոնք կօգնեն նրանց զգալիորեն ընդլայնել իրենց հեղինակությունը համակարգի վրա և կատարել լրացուցիչ առաջադրանքներ. բանկային գործարքները, որոնք նա կատարում է.
Source: www.habr.com