Síðan í lok síðasta árs byrjuðum við að fylgjast með nýrri illgjarnri herferð til að dreifa banka Tróverji. Árásarmennirnir einbeittu sér að því að koma rússneskum fyrirtækjum í hættu, þ.e. fyrirtækjanotendur. Illgjarn herferð var virk í að minnsta kosti eitt ár og auk banka-Tróverjans gripu árásarmennirnir til að nota ýmis önnur hugbúnaðarverkfæri. Þar á meðal er sérstakur hleðslutæki pakkað með , og njósnahugbúnaður, sem er dulbúinn sem hinn vel þekkti lögmæti Yandex Punto hugbúnaður. Þegar árásarmönnum hefur tekist að koma tölvu fórnarlambsins í hættu setja þeir upp bakdyr og síðan bankatróju.
Fyrir spilliforrit þeirra notuðu árásarmennirnir nokkur gild (á þeim tíma) stafræn skilríki og sérstakar aðferðir til að komast framhjá AV-vörum. Illgjarn herferð beindist að fjölda rússneskra banka og er sérstaklega áhugaverð vegna þess að árásarmennirnir notuðu aðferðir sem oft eru notaðar í markvissum árásum, þ.e.a.s. Við getum tekið eftir nokkrum líkindum með þessari illgjarna herferð og stóru atviki sem fékk mikla umfjöllun áðan. Við erum að tala um netglæpahóp sem notaði bankatróju /.
Árásarmennirnir settu aðeins upp spilliforrit á þeim tölvum sem notuðu rússneska tungumálið í Windows (staðsetning) sjálfgefið. Aðaldreifingarvektor Tróverjans var Word skjal með hagnýtingu. , sem var sent sem viðhengi við skjalið. Skjámyndirnar hér að neðan sýna útlit slíkra fölsuðra skjala. Fyrra skjalið ber titilinn „Reikningur nr. 522375-FLORL-14-115.doc“ og annað „kontrakt87.doc“, það er afrit af samningi um veitingu fjarskiptaþjónustu frá farsímafyrirtækinu Megafon.
Hrísgrjón. 1. Vefveiðaskjal.
Hrísgrjón. 2. Önnur breyting á phishing skjalinu.
Eftirfarandi staðreyndir benda til þess að árásarmennirnir hafi verið að miða á rússnesk fyrirtæki:
- dreifing spilliforrita með því að nota fölsuð skjöl um tilgreint efni;
- tækni árásarmanna og illgjarn verkfæri sem þeir nota;
- tenglar á viðskiptaforrit í sumum keyranlegum einingum;
- nöfn skaðlegra léna sem voru notuð í þessari herferð.
Sérstök hugbúnaðarverkfæri sem árásarmenn setja upp á kerfi sem er í hættu gera þeim kleift að ná fjarstýringu á kerfinu og fylgjast með virkni notenda. Til að framkvæma þessar aðgerðir setja þeir upp bakdyr og reyna einnig að fá aðgangsorð Windows reikningsins eða búa til nýjan reikning. Árásarmenn grípa einnig til þjónustu lyklaskrár (keylogger), Windows klemmuspjaldsþjófnaðar og sérstaks hugbúnaðar til að vinna með snjallkort. Þessi hópur reyndi að koma í veg fyrir aðrar tölvur sem voru á sama staðarneti og tölva fórnarlambsins.
ESET LiveGrid fjarmælingakerfið okkar, sem gerir okkur kleift að fylgjast fljótt með tölfræði um dreifingu spilliforrita, gaf okkur áhugaverða landfræðilega tölfræði um dreifingu spilliforrita sem árásarmenn nota í nefndri herferð.
Hrísgrjón. 3. Tölfræði um landfræðilega dreifingu spilliforrita sem notaður er í þessari illgjarna herferð.
Setur upp spilliforrit
Eftir að notandi hefur opnað skaðlegt skjal með hagnýtingu á viðkvæmu kerfi, verður sérstakur niðurhalari pakkaður með NSIS niðurhalað og keyrt þar. Í upphafi vinnu sinnar athugar forritið Windows umhverfið með tilliti til villuleitar þar eða hvort það sé keyrt í samhengi við sýndarvél. Það athugar einnig staðsetningu Windows og hvort notandinn hafi heimsótt vefslóðirnar sem taldar eru upp hér að neðan í töflunni í vafranum. API eru notuð til þess Finndu fyrst/NextUrlCacheEntry og SoftwareMicrosoftInternet ExplorerTypedURLs skrásetningarlykilinn.
Bootloader athugar hvort eftirfarandi forrit séu til staðar á kerfinu.
Listinn yfir ferla er sannarlega áhrifamikill og eins og þú sérð inniheldur hann ekki aðeins bankaforrit. Til dæmis, keyrsluskrá sem heitir „scardsvr.exe“ vísar til hugbúnaðar til að vinna með snjallkort (Microsoft SmartCard reader). Bankatróverjinn sjálft felur í sér getu til að vinna með snjallkortum.
Hrísgrjón. 4. Almenn skýringarmynd af uppsetningarferli malware.
Ef öllum athugunum er lokið, hleður hleðslutækið niður sérstakri skrá (skjalasafn) frá ytri þjóninum, sem inniheldur allar illgjarn keyrslueiningar sem árásarmenn nota. Það er áhugavert að hafa í huga að eftir framkvæmd ofangreindra athugana getur skjalasafnið sem hlaðið er niður af ytri C&C netþjóninum verið mismunandi. Skjalasafnið getur verið skaðlegt eða ekki. Ef það er ekki illgjarnt setur það upp Windows Live tækjastikuna fyrir notandann. Líklegast hafa árásarmennirnir gripið til svipaðra bragða til að blekkja sjálfvirk skráagreiningarkerfi og sýndarvélar þar sem grunsamlegar skrár eru keyrðar.
Skráin sem hlaðið er niður af NSIS niðurhalaranum er 7z skjalasafn sem inniheldur ýmsar malware einingar. Myndin hér að neðan sýnir allt uppsetningarferlið þessa spilliforrits og ýmsar einingar hans.
Hrísgrjón. 5. Almennt kerfi um hvernig spilliforrit virkar.
Þrátt fyrir að hlaðnar einingar þjóni mismunandi tilgangi fyrir árásarmenn, þá eru þær pakkaðar eins og margar þeirra voru undirritaðar með gildum stafrænum skilríkjum. Við fundum fjögur slík vottorð sem árásarmennirnir notuðu alveg frá upphafi herferðarinnar. Í kjölfar kvörtunar okkar voru þessi vottorð afturkölluð. Athygli vekur að öll skírteini voru gefin út til fyrirtækja sem skráð eru í Moskvu.
Hrísgrjón. 6. Stafrænt vottorð sem var notað til að undirrita spilliforritið.
Eftirfarandi tafla auðkennir stafrænu vottorðin sem árásarmennirnir notuðu í þessari illgjarna herferð.
Næstum allar skaðlegar einingar sem árásarmenn nota hafa eins uppsetningaraðferð. Þetta eru sjálfútdráttar 7zip skjalasafn sem eru varin með lykilorði.
Hrísgrjón. 7. Brot af install.cmd runuskránni.
Hópurinn .cmd skráin er ábyrg fyrir því að setja upp spilliforrit á kerfið og ræsa ýmis árásarverkfæri. Ef framkvæmd krefst þess að stjórnunarréttindi vantar, notar illgjarn kóðinn nokkrar aðferðir til að fá þær (framhjá UAC). Til að útfæra fyrstu aðferðina eru notaðar tvær keyranlegar skrár sem kallast l1.exe og cc1.exe, sem sérhæfa sig í að komast framhjá UAC með því að nota Carberp frumkóðar. Önnur aðferð byggir á því að nýta CVE-2013-3660 varnarleysið. Hver malwareeining sem krefst aukningar á forréttindum inniheldur bæði 32-bita og 64-bita útgáfu af hagnýtingu.
Þegar við fylgdumst með þessari herferð greindum við nokkur skjalasafn sem niðurhalarinn hlóð upp. Innihald skjalasafnanna var mismunandi, sem þýðir að árásarmenn gætu aðlagað illgjarnar einingar í mismunandi tilgangi.
Málamiðlun notenda
Eins og við nefndum hér að ofan nota árásarmenn sérstök verkfæri til að skerða tölvur notenda. Þessi verkfæri innihalda forrit með keyranleg skráarnöfn mimi.exe og xtm.exe. Þeir hjálpa árásarmönnum að ná stjórn á tölvu fórnarlambsins og sérhæfa sig í að framkvæma eftirfarandi verkefni: að fá/endurheimta lykilorð fyrir Windows reikninga, virkja RDP þjónustuna, búa til nýjan reikning í stýrikerfinu.
Mimi.exe keyrslan inniheldur breytta útgáfu af vel þekktu opnum hugbúnaði . Þetta tól gerir þér kleift að fá aðgangsorð fyrir Windows notendareikning. Árásarmennirnir fjarlægðu þann hluta úr Mimikatz sem ber ábyrgð á notendasamskiptum. Keyranlega kóðanum hefur einnig verið breytt þannig að þegar Mimikatz er ræst keyrir hann með forréttindin::debug og sekurlsa:logonPasswords skipanirnar.
Önnur keyranleg skrá, xtm.exe, opnar sérstakar forskriftir sem gera RDP þjónustuna kleift í kerfinu, reyna að búa til nýjan reikning í stýrikerfinu og breyta kerfisstillingum til að leyfa nokkrum notendum að tengjast samtímis tölvunni sem er í hættu í gegnum RDP. Augljóslega eru þessi skref nauðsynleg til að ná fullri stjórn á kerfinu sem er í hættu.
Hrísgrjón. 8. Skipanir framkvæmdar af xtm.exe á kerfinu.
Árásarmenn nota aðra keyrsluskrá sem heitir impack.exe, sem er notuð til að setja upp sérstakan hugbúnað á kerfið. Þessi hugbúnaður heitir LiteManager og er notaður af árásarmönnum sem bakdyr.
Hrísgrjón. 9. LiteManager tengi.
Þegar það hefur verið sett upp á kerfi notanda gerir LiteManager árásarmönnum kleift að tengjast beint við það kerfi og fjarstýra því. Þessi hugbúnaður hefur sérstakar skipanalínubreytur fyrir falda uppsetningu hans, gerð sérstakra eldveggsreglur og ræsingu einingarinnar. Allar breytur eru notaðar af árásarmönnum.
Síðasta einingin í spilliforritspakkanum sem árásarmenn nota er spilliforrit fyrir banka (bankastjóri) með keyrsluskráarheitinu pn_pack.exe. Hún sérhæfir sig í að njósna um notandann og ber ábyrgð á samskiptum við C&C netþjóninn. Bankastjórinn er settur af stað með lögmætum Yandex Punto hugbúnaði. Punto er notað af árásarmönnum til að ræsa illgjarn DLL söfn (DLL Side-Loading aðferð). Spilliforritið sjálft getur framkvæmt eftirfarandi aðgerðir:
- fylgjast með lyklaborðinu og innihaldi klemmuspjaldsins fyrir síðari sendingu þeirra til ytri netþjóns;
- skrá öll snjallkort sem eru til staðar í kerfinu;
- hafa samskipti við ytri C&C netþjón.
Spilliforritseiningin, sem ber ábyrgð á að framkvæma öll þessi verkefni, er dulkóðað DLL bókasafn. Það er afkóðað og hlaðið inn í minni meðan á framkvæmd Punto stendur. Til að framkvæma ofangreind verkefni byrjar DLL keyranlegi kóðinn þrjá þræði.
Sú staðreynd að árásarmenn völdu Punto hugbúnað í tilgangi sínum kemur ekki á óvart: sum rússnesk spjallborð veita opinberlega nákvæmar upplýsingar um efni eins og að nota galla í lögmætum hugbúnaði til að koma notendum í hættu.
Skaðlega bókasafnið notar RC4 reikniritið til að dulkóða strengi sína, sem og í netsamskiptum við C&C netþjóninn. Það hefur samband við netþjóninn á tveggja mínútna fresti og sendir þangað öll gögn sem safnað var um kerfið sem er í hættu á þessu tímabili.
Hrísgrjón. 10. Brot af netsamskiptum milli botni og netþjóns.
Hér að neðan eru nokkrar af leiðbeiningum C&C miðlara sem bókasafnið getur fengið.
Til að bregðast við því að fá leiðbeiningar frá C&C netþjóninum svarar spilliforritið með stöðukóða. Það er athyglisvert að allar bankaeiningar sem við greindum (sú nýjasta með samantektardagsetningu 18. janúar) innihalda strenginn „TEST_BOTNET“ sem er sendur í hverju skeyti til C&C netþjónsins.
Ályktun
Til að koma notendum fyrirtækja í hættu, gera árásarmenn á fyrsta stigi einn starfsmann fyrirtækisins í hættu með því að senda vefveiðaskilaboð með misnotkun. Næst, þegar spilliforritið hefur verið sett upp á kerfið, munu þeir nota hugbúnaðarverkfæri sem munu hjálpa þeim að auka vald sitt á kerfinu umtalsvert og framkvæma fleiri verkefni á því: brjóta í bága við aðrar tölvur á fyrirtækjanetinu og njósna um notandann, sem og bankaviðskiptin sem hann framkvæmir.
Heimild: www.habr.com