Dalla fine dello scorso anno abbiamo iniziato a monitorare una nuova campagna dannosa volta a distribuire un trojan bancario. Gli aggressori si sono concentrati sulla compromissione delle aziende russe, ovvero degli utenti aziendali. La campagna malevola era attiva da almeno un anno e gli aggressori hanno fatto ricorso, oltre al trojan bancario, anche a diversi altri tool software. Questi includono un caricatore speciale confezionato utilizzando e spyware, mascherato dal noto software legittimo Yandex Punto. Una volta che gli aggressori sono riusciti a compromettere il computer della vittima, installano una backdoor e poi un trojan bancario.
Per il loro malware gli aggressori hanno utilizzato diversi certificati digitali validi (all'epoca) e metodi speciali per aggirare i prodotti AV. La campagna dannosa ha preso di mira un gran numero di banche russe ed è particolarmente interessante perché gli aggressori hanno utilizzato metodi che spesso vengono utilizzati negli attacchi mirati, cioè attacchi che non sono motivati esclusivamente da frodi finanziarie. Possiamo notare alcune somiglianze tra questa campagna dannosa e un grave incidente che ha ricevuto grande pubblicità in precedenza. Stiamo parlando di un gruppo di criminali informatici che ha utilizzato un trojan bancario /.
Gli aggressori hanno installato malware solo sui computer che per impostazione predefinita utilizzavano la lingua russa in Windows (localizzazione). Il principale vettore di distribuzione del Trojan era un documento Word contenente un exploit. , che è stato inviato come allegato al documento. Gli screenshot seguenti mostrano l'aspetto di tali documenti falsi. Il primo documento si intitola “Fattura n. 522375-FLORL-14-115.doc”, il secondo “kontrakt87.doc”, è una copia del contratto per la fornitura di servizi di telecomunicazioni da parte dell'operatore mobile Megafon.
Riso. 1. Documento di phishing.
Riso. 2. Un'altra modifica del documento di phishing.
I seguenti fatti indicano che gli aggressori avevano preso di mira le imprese russe:
- distribuzione di malware utilizzando documenti falsi sull'argomento specificato;
- le tattiche degli aggressori e gli strumenti dannosi che utilizzano;
- collegamenti ad applicazioni aziendali in alcuni moduli eseguibili;
- nomi di domini dannosi utilizzati in questa campagna.
Speciali strumenti software che gli aggressori installano su un sistema compromesso consentono loro di ottenere il controllo remoto del sistema e monitorare l'attività dell'utente. Per eseguire queste funzioni installano una backdoor e tentano anche di ottenere la password dell'account Windows o di crearne uno nuovo. Gli aggressori ricorrono anche ai servizi di un keylogger (keylogger), un ladro di appunti di Windows e un software speciale per lavorare con le smart card. Questo gruppo ha tentato di compromettere altri computer che si trovavano sulla stessa rete locale del computer della vittima.
Il nostro sistema di telemetria ESET LiveGrid, che ci consente di tracciare rapidamente le statistiche di distribuzione del malware, ci ha fornito interessanti statistiche geografiche sulla distribuzione del malware utilizzato dagli aggressori nella campagna menzionata.
Riso. 3. Statistiche sulla distribuzione geografica del malware utilizzato in questa campagna dannosa.
Installazione di malware
Dopo che un utente apre un documento dannoso con un exploit su un sistema vulnerabile, uno speciale downloader confezionato utilizzando NSIS verrà scaricato ed eseguito lì. All'inizio del suo lavoro, il programma controlla l'ambiente Windows per la presenza di debugger o per l'esecuzione nel contesto di una macchina virtuale. Controlla inoltre la localizzazione di Windows e se l'utente ha visitato gli URL elencati di seguito nella tabella del browser. A questo scopo vengono utilizzate le API FindFirst/VoceUrlCachesuccessiva e la chiave del Registro di sistema SoftwareMicrosoftInternet ExplorerTypedURLs.
Il bootloader verifica la presenza delle seguenti applicazioni sul sistema.
L'elenco dei processi è davvero impressionante e, come puoi vedere, non include solo applicazioni bancarie. Ad esempio, un file eseguibile denominato "scardsvr.exe" si riferisce al software per lavorare con le smart card (lettore Microsoft SmartCard). Lo stesso Trojan bancario include la capacità di funzionare con le smart card.
Riso. 4. Schema generale del processo di installazione del malware.
Se tutti i controlli vengono completati con successo, il caricatore scarica un file speciale (archivio) dal server remoto, che contiene tutti i moduli eseguibili dannosi utilizzati dagli aggressori. È interessante notare che a seconda dell'esecuzione dei controlli sopra indicati, gli archivi scaricati dal server C&C remoto potrebbero differire. L'archivio può essere dannoso o meno. Se non è dannoso, installa la barra degli strumenti Windows Live per l'utente. Molto probabilmente gli aggressori sono ricorsi a trucchi simili per ingannare i sistemi di analisi automatica dei file e le macchine virtuali su cui vengono eseguiti file sospetti.
Il file scaricato dal downloader NSIS è un archivio 7z che contiene vari moduli malware. L'immagine seguente mostra l'intero processo di installazione di questo malware e dei suoi vari moduli.
Riso. 5. Schema generale del funzionamento del malware.
Sebbene i moduli caricati servano a scopi diversi per gli aggressori, sono confezionati in modo identico e molti di essi sono firmati con certificati digitali validi. Abbiamo trovato quattro di questi certificati che gli aggressori hanno utilizzato fin dall'inizio della campagna. A seguito del nostro reclamo tali certificati sono stati revocati. È interessante notare che tutti i certificati sono stati rilasciati a società registrate a Mosca.
Riso. 6. Certificato digitale utilizzato per firmare il malware.
La tabella seguente identifica i certificati digitali utilizzati dagli aggressori in questa campagna dannosa.
Quasi tutti i moduli dannosi utilizzati dagli aggressori hanno una procedura di installazione identica. Sono archivi 7zip autoestraenti protetti da password.
Riso. 7. Frammento del file batch install.cmd.
Il file batch .cmd è responsabile dell'installazione di malware sul sistema e dell'avvio di vari strumenti degli aggressori. Se l'esecuzione richiede diritti amministrativi mancanti, il codice dannoso utilizza diversi metodi per ottenerli (aggirando l'UAC). Per implementare il primo metodo vengono utilizzati due file eseguibili chiamati l1.exe e cc1.exe, specializzati nel bypassare l'UAC utilizzando il comando Codice sorgente Carberp. Un altro metodo si basa sullo sfruttamento della vulnerabilità CVE-2013-3660. Ogni modulo malware che richiede l'escalation dei privilegi contiene sia una versione a 32 bit che una versione a 64 bit dell'exploit.
Durante il monitoraggio di questa campagna, abbiamo analizzato diversi archivi caricati dal downloader. Il contenuto degli archivi variava, il che significa che gli aggressori potevano adattare moduli dannosi per scopi diversi.
Compromissione dell'utente
Come accennato in precedenza, gli aggressori utilizzano strumenti speciali per compromettere i computer degli utenti. Questi strumenti includono programmi con nomi di file eseguibili mimi.exe e xtm.exe. Aiutano gli aggressori a prendere il controllo del computer della vittima e si specializzano nell'esecuzione delle seguenti attività: ottenere/recuperare password per gli account Windows, abilitare il servizio RDP, creare un nuovo account nel sistema operativo.
L'eseguibile mimi.exe include una versione modificata di un noto strumento open source . Questo strumento consente di ottenere le password degli account utente di Windows. Gli aggressori hanno rimosso da Mimikatz la parte responsabile dell'interazione dell'utente. Anche il codice eseguibile è stato modificato in modo che, all'avvio, Mimikatz venga eseguito con i comandi privilegi::debug e sekurlsa:logonPasswords.
Un altro file eseguibile, xtm.exe, avvia script speciali che abilitano il servizio RDP nel sistema, provano a creare un nuovo account nel sistema operativo e modificano anche le impostazioni di sistema per consentire a più utenti di connettersi contemporaneamente a un computer compromesso tramite RDP. Ovviamente, questi passaggi sono necessari per ottenere il pieno controllo del sistema compromesso.
Riso. 8. Comandi eseguiti da xtm.exe sul sistema.
Gli aggressori utilizzano un altro file eseguibile chiamato impack.exe, che viene utilizzato per installare software speciale sul sistema. Questo software si chiama LiteManager e viene utilizzato dagli aggressori come backdoor.
Riso. 9. Interfaccia LiteManager.
Una volta installato sul sistema di un utente, LiteManager consente agli aggressori di connettersi direttamente a quel sistema e controllarlo da remoto. Questo software dispone di parametri speciali della riga di comando per la sua installazione nascosta, la creazione di regole firewall speciali e l'avvio del suo modulo. Tutti i parametri vengono utilizzati dagli aggressori.
L'ultimo modulo del pacchetto malware utilizzato dagli aggressori è un malware bancario (banker) con il nome del file eseguibile pn_pack.exe. È specializzata nello spionaggio dell'utente ed è responsabile dell'interazione con il server C&C. Il banchiere viene avviato utilizzando il software legittimo Yandex Punto. Punto viene utilizzato dagli aggressori per avviare librerie DLL dannose (metodo DLL Side-Loading). Il malware stesso può eseguire le seguenti funzioni:
- tenere traccia delle sequenze di tasti della tastiera e del contenuto degli appunti per la loro successiva trasmissione a un server remoto;
- elencare tutte le smart card presenti nel sistema;
- interagire con un server C&C remoto.
Il modulo malware, responsabile dell'esecuzione di tutte queste attività, è una libreria DLL crittografata. Viene decrittografato e caricato in memoria durante l'esecuzione di Punto. Per eseguire le attività di cui sopra, il codice eseguibile della DLL avvia tre thread.
Il fatto che gli aggressori abbiano scelto il software Punto per i loro scopi non è una sorpresa: alcuni forum russi forniscono apertamente informazioni dettagliate su argomenti come l'utilizzo di difetti in software legittimo per compromettere gli utenti.
La libreria dannosa utilizza l'algoritmo RC4 per crittografare le proprie stringhe, nonché durante le interazioni di rete con il server C&C. Contatta il server ogni due minuti e trasmette lì tutti i dati che sono stati raccolti sul sistema compromesso durante questo periodo di tempo.
Riso. 10. Frammento di interazione di rete tra il bot e il server.
Di seguito sono riportate alcune delle istruzioni del server C&C che la biblioteca può ricevere.
In risposta alla ricezione di istruzioni dal server C&C, il malware risponde con un codice di stato. È interessante notare che tutti i moduli banker da noi analizzati (il più recente con data di compilazione 18 gennaio) contengono la stringa “TEST_BOTNET”, che viene inviata in ogni messaggio al server C&C.
conclusione
Per compromettere gli utenti aziendali, gli aggressori nella prima fase compromettono un dipendente dell'azienda inviando un messaggio di phishing con un exploit. Successivamente, una volta installato il malware nel sistema, utilizzeranno strumenti software che li aiuteranno a espandere in modo significativo la loro autorità sul sistema e a svolgere attività aggiuntive su di esso: compromettere altri computer sulla rete aziendale e spiare l'utente, nonché le operazioni bancarie che esegue.
Fonte: habr.com