Wiwit pungkasan taun kepungkur, kita wiwit nglacak kampanye angkoro anyar kanggo nyebarake Trojan perbankan. Penyerang fokus ing kompromi perusahaan Rusia, yaiku pangguna perusahaan. Kampanye jahat kasebut aktif paling ora setaun lan, saliyane Trojan perbankan, para panyerang nggunakake macem-macem piranti lunak liyane. Iki kalebu loader khusus rangkep nggunakake , lan spyware, sing nyamar minangka piranti lunak Yandex Punto sing sah. Sawise panyerang wis bisa kompromi komputer korban, padha nginstal backdoor lan banjur Trojan perbankan.
Kanggo malware, panyerang nggunakake sawetara sertifikat digital sing valid (ing wektu kasebut) lan cara khusus kanggo ngliwati produk AV. Kampanye angkoro nargetake akeh bank Rusia lan dadi kapentingan khusus amarga para panyerang nggunakake cara sing asring digunakake ing serangan sing ditargetake, yaiku serangan sing ora motivasi murni dening penipuan finansial. Kita bisa nyathet sawetara kamiripan antarane kampanye ala iki lan kedadeyan utama sing ditampa publisitas gedhe sadurunge. Kita ngomong babagan klompok cybercriminal sing nggunakake Trojan perbankan /.
Penyerang mung nginstal malware ing komputer sing nggunakake basa Rusia ing Windows (lokalisasi) minangka standar. Vektor distribusi utama Trojan yaiku dokumen Word kanthi eksploitasi. , sing dikirim minangka lampiran kanggo dokumen. Gambar ing ngisor iki nuduhake tampilan dokumen palsu kasebut. Dokumen pisanan kanthi irah-irahan "Invoice No. 522375-FLORL-14-115.doc", lan "kontrakt87.doc" kapindho, yaiku salinan kontrak kanggo nyedhiyakake layanan telekomunikasi dening operator seluler Megafon.
Gabah. 1. Dokumen phishing.
Gabah. 2. Modifikasi liyane saka dokumen phishing.
Kasunyatan ing ngisor iki nuduhake manawa para penyerang nargetake bisnis Rusia:
- distribusi malware nggunakake dokumen palsu ing topik sing ditemtokake;
- taktik para panyerang lan alat jahat sing digunakake;
- pranala menyang aplikasi bisnis ing sawetara modul eksekusi;
- jeneng domain angkoro sing digunakake ing kampanye iki.
Piranti lunak khusus sing dipasang panyerang ing sistem sing dikompromi ngidini dheweke entuk remot kontrol sistem lan ngawasi aktivitas pangguna. Kanggo nindakake fungsi kasebut, dheweke nginstal lawang mburi lan uga nyoba entuk sandhi akun Windows utawa nggawe akun anyar. Penyerang uga nggunakake layanan keylogger (keylogger), nyolong papan klip Windows, lan piranti lunak khusus kanggo nggarap kertu pinter. Klompok iki nyoba kompromi komputer liyane sing ana ing jaringan lokal sing padha karo komputer korban.
Sistem telemetri ESET LiveGrid kita, sing ngidini kita nglacak statistik distribusi malware kanthi cepet, nyedhiyakake statistik geografis sing menarik babagan distribusi malware sing digunakake dening panyerang ing kampanye kasebut.
Gabah. 3. Statistik distribusi geografis malware sing digunakake ing kampanye angkoro iki.
Nginstal malware
Sawise pangguna mbukak dokumen ala kanthi eksploitasi ing sistem sing rawan, downloader khusus sing dikemas nggunakake NSIS bakal diundhuh lan dieksekusi ing kana. Ing wiwitan karya, program mriksa lingkungan Windows kanggo ananΓ© debugger ing kana utawa kanggo mlaku ing konteks mesin virtual. Uga mriksa lokalisasi Windows lan apa pangguna wis ngunjungi URL sing kapacak ing ngisor iki ing tabel ing browser. API digunakake kanggo iki Temokake Pisanan/SabanjureUrlCacheEntry lan kunci registri SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader mriksa ananΓ© aplikasi ing ngisor iki ing sistem.
Dhaptar pangolahan pancen nyengsemake lan, kaya sing sampeyan ngerteni, kalebu ora mung aplikasi perbankan. Contone, file eksekusi jenenge "scardsvr.exe" nuduhake piranti lunak kanggo nggarap kertu pinter (Microsoft SmartCard reader). Trojan perbankan dhewe kalebu kemampuan kanggo nggarap kertu pinter.
Gabah. 4. Diagram umum proses instalasi malware.
Yen kabeh mriksa kasil rampung, loader ndownload file khusus (arsip) saka server remot, sing ngemot kabeh modul eksekusi angkoro sing digunakake dening panyerang. Iku menarik kanggo dicathet yen gumantung saka eksekusi pamriksa ing ndhuwur, arsip sing diundhuh saka server C&C remot bisa beda-beda. Arsip kasebut bisa uga mbebayani utawa ora. Yen ora angkoro, iku nginstal Windows Live Toolbar kanggo pangguna. Paling kamungkinan, para panyerang nggunakake trik sing padha kanggo ngapusi sistem analisis file otomatis lan mesin virtual sing file curiga dieksekusi.
File sing diundhuh dening NSIS downloader minangka arsip 7z sing ngemot macem-macem modul malware. Gambar ing ngisor iki nuduhake kabeh proses instalasi malware iki lan macem-macem modul.
Gabah. 5. Skema umum babagan cara kerjane malware.
Sanajan modul sing dimuat duwe macem-macem tujuan kanggo panyerang, nanging dikemas kanthi identik lan akeh sing ditandatangani karo sertifikat digital sing sah. Kita nemokake papat sertifikat sing digunakake para penyerang wiwit awal kampanye. Sawise keluhan kita, sertifikat kasebut dicabut. Iku menarik kanggo dicathet yen kabeh sertifikat ditanggepi kanggo perusahaan sing didaftar ing Moskow.
Gabah. 6. Sertifikat digital sing digunakake kanggo mlebu malware.
Tabel ing ngisor iki ngenali sertifikat digital sing digunakake panyerang ing kampanye ala iki.
Meh kabeh modul angkoro sing digunakake dening panyerang duwe prosedur instalasi sing padha. Dheweke ngekstrak dhewe arsip 7zip sing dilindhungi sandi.
Gabah. 7. Fragmen saka file kumpulan install.cmd.
File kumpulan .cmd tanggung jawab kanggo nginstal malware ing sistem lan ngluncurake macem-macem alat penyerang. Yen eksekusi mbutuhake hak administratif sing ilang, kode angkoro nggunakake sawetara cara kanggo entuk (bypassing UAC). Kanggo ngleksanakake cara pisanan, rong file eksekusi sing diarani l1.exe lan cc1.exe digunakake, sing khusus kanggo ngliwati UAC nggunakake kode sumber Carberp. Cara liya adhedhasar eksploitasi kerentanan CVE-2013-3660. Saben modul malware sing mbutuhake eskalasi hak istimewa ngemot versi eksploitasi 32-bit lan 64-bit.
Nalika nglacak kampanye iki, kita nganalisa sawetara arsip sing diunggah dening panyedhiya. Isi arsip kasebut beda-beda, tegese panyerang bisa ngganti modul jahat kanggo macem-macem tujuan.
Kompromi pangguna
Kaya sing wis kasebut ing ndhuwur, panyerang nggunakake alat khusus kanggo kompromi komputer pangguna. Piranti kasebut kalebu program kanthi jeneng file eksekusi mimi.exe lan xtm.exe. Dheweke mbantu para panyerang ngontrol komputer korban lan duwe spesialisasi kanggo nindakake tugas ing ngisor iki: entuk / mbalekake sandhi kanggo akun Windows, mbisakake layanan RDP, nggawe akun anyar ing OS.
Eksekusi mimi.exe kalebu versi modifikasi saka alat open source sing kondhang . Alat iki ngidini sampeyan entuk sandhi akun pangguna Windows. Penyerang mbusak bagean saka Mimikatz sing tanggung jawab kanggo interaksi pangguna. Kode eksekusi uga wis diowahi supaya nalika diluncurake, Mimikatz mlaku kanthi prentah:: debug lan sekurlsa: logonPasswords.
File eksekusi liyane, xtm.exe, ngluncurake skrip khusus sing mbisakake layanan RDP ing sistem, nyoba nggawe akun anyar ing OS, lan uga ngganti setelan sistem supaya sawetara pangguna bisa nyambung menyang komputer sing dikompromi liwat RDP. Temenan, langkah-langkah kasebut perlu kanggo ngontrol lengkap sistem sing dikompromi.
Gabah. 8. Printah kaleksanan dening xtm.exe ing sistem.
Penyerang nggunakake file eksekusi liyane sing disebut impack.exe, sing digunakake kanggo nginstal piranti lunak khusus ing sistem kasebut. Piranti lunak iki diarani LiteManager lan digunakake dening panyerang minangka backdoor.
Gabah. 9. Antarmuka LiteManager.
Sawise diinstal ing sistem pangguna, LiteManager ngidini panyerang langsung nyambung menyang sistem kasebut lan ngontrol saka jarak jauh. Piranti lunak iki nduweni paramèter baris printah khusus kanggo instalasi sing didhelikake, nggawe aturan firewall khusus, lan ngluncurake modul kasebut. Kabeh paramèter digunakake dening panyerang.
Modul pungkasan paket malware sing digunakake panyerang yaiku program malware perbankan (banker) kanthi jeneng file eksekusi pn_pack.exe. Dheweke duwe spesialisasi spying pangguna lan tanggung jawab kanggo sesambungan karo server C&C. Bankir diluncurake nggunakake piranti lunak Yandex Punto sing sah. Punto digunakake dening panyerang kanggo mbukak perpustakaan DLL angkoro (metode DLL Side-Loading). Malware dhewe bisa nindakake fungsi ing ngisor iki:
- track keystrokes keyboard lan isi clipboard kanggo transmisi sakteruse menyang server remot;
- dhaptar kabeh kertu pinter sing ana ing sistem;
- sesambungan karo server C&C remot.
Modul malware, sing tanggung jawab kanggo nindakake kabeh tugas kasebut, minangka perpustakaan DLL sing dienkripsi. Iki didekripsi lan dimuat ing memori sajrone eksekusi Punto. Kanggo nindakake tugas ing ndhuwur, kode eksekusi DLL miwiti telung utas.
Kasunyatan manawa panyerang milih piranti lunak Punto kanggo tujuane ora kaget: sawetara forum Rusia kanthi terang-terangan menehi informasi rinci babagan topik kayata nggunakake cacat ing piranti lunak sing sah kanggo kompromi pangguna.
Perpustakaan angkoro nggunakake algoritma RC4 kanggo ndhelik strings, uga nalika interaksi jaringan karo server C&C. Ngontak server saben rong menit lan ngirim kabeh data sing diklumpukake ing sistem sing dikompromi sajrone wektu kasebut.
Gabah. 10. Fragmen interaksi jaringan antarane bot lan server.
Ing ngisor iki sawetara instruksi server C&C sing bisa ditampa dening perpustakaan.
Kanggo nanggepi instruksi saka server C&C, malware kasebut nanggapi kanthi kode status. Iku menarik kanggo Wigati sing kabeh modul banker sing kita analisa (sing paling anyar karo tanggal kompilasi 18. Januari) ngemot senar "TEST_BOTNET", kang dikirim ing saben pesen kanggo server C & C.
kesimpulan
Kanggo kompromi pangguna perusahaan, panyerang ing tahap pisanan kompromi siji karyawan perusahaan kanthi ngirim pesen phishing kanthi eksploitasi. Sabanjure, yen malware diinstal ing sistem, dheweke bakal nggunakake piranti lunak sing bakal mbantu dheweke nggedhekake wewenang ing sistem kasebut lan nindakake tugas tambahan: kompromi komputer liyane ing jaringan perusahaan lan Spy pangguna, uga transaksi perbankan sing ditindakake.
Source: www.habr.com