Kopš pagājušā gada beigām mēs sākām izsekot jaunai ļaunprātīgai kampaņai, lai izplatītu bankas Trojas zirgu. Uzbrucēji koncentrējās uz Krievijas uzņēmumu, t.i., korporatīvo lietotāju, kompromitēšanu. Ļaunprātīgā kampaņa bija aktīva vismaz gadu un papildus banku Trojas zirgam uzbrucēji ķērās pie dažādu citu programmatūras rīku izmantošanas. Tie ietver īpašu iekrāvēju, kas iepakots, izmantojot
Uzbrucēji ļaunprogrammatūru instalēja tikai tajos datoros, kuros Windows pēc noklusējuma tika izmantota krievu valoda (lokalizācija). Galvenais Trojas zirga izplatīšanas vektors bija Word dokuments ar izlietojumu.
Rīsi. 1. Pikšķerēšanas dokuments.
Rīsi. 2. Vēl viena pikšķerēšanas dokumenta modifikācija.
Sekojošie fakti liecina, ka uzbrucēji bija vērsti pret Krievijas uzņēmumiem:
- ļaunprātīgas programmatūras izplatīšana, izmantojot viltotus dokumentus par norādīto tēmu;
- uzbrucēju taktika un viņu izmantotie ļaunprātīgie rīki;
- saites uz biznesa lietojumprogrammām dažos izpildāmajos moduļos;
- ļaunprātīgo domēnu nosaukumi, kas tika izmantoti šajā kampaņā.
Īpaši programmatūras rīki, ko uzbrucēji instalē apdraudētā sistēmā, ļauj iegūt sistēmas attālo vadību un pārraudzīt lietotāju darbības. Lai veiktu šīs funkcijas, viņi instalē aizmugures durvis un arī mēģina iegūt Windows konta paroli vai izveidot jaunu kontu. Uzbrucēji izmanto arī taustiņu bloķētāja (keylogger), Windows starpliktuves zagļa pakalpojumus un īpašu programmatūru darbam ar viedkartēm. Šī grupa mēģināja apdraudēt citus datorus, kas atradās tajā pašā lokālajā tīklā, kur upura dators.
Mūsu ESET LiveGrid telemetrijas sistēma, kas ļauj ātri izsekot ļaundabīgo programmu izplatīšanas statistikai, sniedza mums interesantu ģeogrāfisko statistiku par uzbrucēju izmantoto ļaundabīgo programmu izplatību minētajā kampaņā.
Rīsi. 3. Statistika par šajā ļaunprātīgajā kampaņā izmantotās ļaunprātīgās programmatūras ģeogrāfisko izplatību.
Ļaunprātīgas programmatūras instalēšana
Kad lietotājs ievainojamā sistēmā atvērs ļaunprātīgu dokumentu ar ļaunprātīgu izmantošanu, tur tiks lejupielādēts un izpildīts īpašs lejupielādētājs, kas iepakots, izmantojot NSIS. Savas darbības sākumā programma pārbauda Windows vidi, vai tajā nav atkļūdotāju vai darbojas virtuālās mašīnas kontekstā. Tas arī pārbauda Windows lokalizāciju un to, vai lietotājs pārlūkprogrammā ir apmeklējis tālāk tabulā norādītos URL. Šim nolūkam tiek izmantotas API FindFirst/NextUrlCacheEntry un SoftwareMicrosoftInternet ExplorerTypedURLs reģistra atslēgu.
Sāknēšanas ielādētājs pārbauda, vai sistēmā nav tālāk norādīto lietojumprogrammu.
Procesu saraksts ir patiesi iespaidīgs, un, kā redzat, tajā ir iekļautas ne tikai banku lietojumprogrammas. Piemēram, izpildāmais fails ar nosaukumu “scardsvr.exe” attiecas uz programmatūru darbam ar viedkartēm (Microsoft SmartCard lasītājs). Pats banku Trojas zirgs ietver iespēju strādāt ar viedkartēm.
Rīsi. 4. Vispārīga ļaunprogrammatūras instalēšanas procesa diagramma.
Ja visas pārbaudes ir veiksmīgi pabeigtas, ielādētājs no attālā servera lejupielādē īpašu failu (arhīvu), kurā ir visi uzbrucēju izmantotie ļaunprātīgie izpildāmie moduļi. Interesanti atzīmēt, ka atkarībā no iepriekš minēto pārbaužu veikšanas no attālā C&C servera lejupielādētie arhīvi var atšķirties. Arhīvs var būt un var nebūt ļaunprātīgs. Ja tā nav ļaunprātīga, tā lietotājam instalē Windows Live rīkjoslu. Visticamāk, uzbrucēji ķērās pie līdzīgiem trikiem, lai maldinātu automātiskās failu analīzes sistēmas un virtuālās mašīnas, kurās tiek izpildīti aizdomīgi faili.
NSIS lejupielādētāja lejupielādētais fails ir 7z arhīvs, kurā ir dažādi ļaunprātīgas programmatūras moduļi. Tālāk esošajā attēlā ir parādīts viss šīs ļaunprātīgās programmatūras un tās dažādo moduļu instalēšanas process.
Rīsi. 5. Vispārīga shēma, kā darbojas ļaunprātīga programmatūra.
Lai gan ielādētie moduļi uzbrucējiem kalpo dažādiem mērķiem, tie ir iepakoti identiski, un daudzi no tiem tika parakstīti ar derīgiem ciparsertifikātiem. Atradām četrus šādus sertifikātus, ko uzbrucēji izmantoja jau no paša kampaņas sākuma. Pēc mūsu sūdzības šie sertifikāti tika atsaukti. Interesanti atzīmēt, ka visi sertifikāti tika izsniegti Maskavā reģistrētiem uzņēmumiem.
Rīsi. 6. Ciparu sertifikāts, kas tika izmantots ļaunprātīgas programmatūras parakstīšanai.
Šajā tabulā ir norādīti digitālie sertifikāti, kurus uzbrucēji izmantoja šajā ļaunprātīgajā kampaņā.
Gandrīz visiem uzbrucēju izmantotajiem ļaunprātīgajiem moduļiem ir identiska instalēšanas procedūra. Tie ir pašizpletes 7zip arhīvi, kas ir aizsargāti ar paroli.
Rīsi. 7. Install.cmd pakešfaila fragments.
Pakešfails .cmd ir atbildīgs par ļaunprātīgas programmatūras instalēšanu sistēmā un dažādu uzbrucēju rīku palaišanu. Ja izpildei nepieciešamas trūkstošās administratīvās tiesības, ļaunprātīgais kods izmanto vairākas metodes, lai tās iegūtu (apejot UAC). Lai ieviestu pirmo metodi, tiek izmantoti divi izpildāmie faili l1.exe un cc1.exe, kas specializējas UAC apiešanā, izmantojot
Izsekojot šo kampaņu, mēs analizējām vairākus lejupielādētāja augšupielādētos arhīvus. Arhīvu saturs bija atšķirīgs, kas nozīmē, ka uzbrucēji varēja pielāgot ļaunprātīgus moduļus dažādiem mērķiem.
Lietotāju kompromiss
Kā minēts iepriekš, uzbrucēji izmanto īpašus rīkus, lai apdraudētu lietotāju datorus. Šie rīki ietver programmas ar izpildāmo failu nosaukumiem mimi.exe un xtm.exe. Tie palīdz uzbrucējiem pārņemt kontroli pār upura datoru un specializējas šādu uzdevumu veikšanā: Windows kontu paroļu iegūšana/atkopšana, RDP pakalpojuma iespējošana, jauna konta izveide operētājsistēmā.
Izpildāmajā failā mimi.exe ir iekļauta labi zināma atvērtā pirmkoda rīka modificēta versija
Cits izpildāmais fails xtm.exe palaiž īpašus skriptus, kas sistēmā iespējo RDP pakalpojumu, mēģina izveidot jaunu kontu operētājsistēmā, kā arī maina sistēmas iestatījumus, lai ļautu vairākiem lietotājiem vienlaikus izveidot savienojumu ar apdraudētu datoru, izmantojot RDP. Acīmredzot šīs darbības ir nepieciešamas, lai iegūtu pilnīgu kontroli pār apdraudēto sistēmu.
Rīsi. 8. Komandas, ko sistēmā izpilda xtm.exe.
Uzbrucēji izmanto citu izpildāmo failu impack.exe, ko izmanto, lai sistēmā instalētu īpašu programmatūru. Šo programmatūru sauc par LiteManager, un uzbrucēji to izmanto kā aizmugures durvis.
Rīsi. 9. LiteManager interfeiss.
Kad LiteManager ir instalēts lietotāja sistēmā, tas ļauj uzbrucējiem tieši izveidot savienojumu ar šo sistēmu un attālināti to vadīt. Šai programmatūrai ir īpaši komandrindas parametri tās slēptai instalēšanai, īpašu ugunsmūra noteikumu izveidei un tās moduļa palaišanai. Uzbrucēji izmanto visus parametrus.
Pēdējais uzbrucēju izmantotās ļaunprogrammatūras pakotnes modulis ir banku ļaunprātīgas programmatūras programma (baņķieris) ar izpildāmā faila nosaukumu pn_pack.exe. Viņa specializējas lietotāja spiegošanā un ir atbildīga par mijiedarbību ar C&C serveri. Baņķieris tiek palaists, izmantojot likumīgu Yandex Punto programmatūru. Uzbrucēji izmanto Punto, lai palaistu ļaunprātīgas DLL bibliotēkas (DLL sānu ielādes metode). Pati ļaunprogrammatūra var veikt šādas funkcijas:
- izsekot tastatūras taustiņsitienus un starpliktuves saturu to turpmākai pārsūtīšanai uz attālo serveri;
- uzskaitīt visas sistēmā esošās viedkartes;
- mijiedarboties ar attālo C&C serveri.
Ļaunprātīgas programmatūras modulis, kas ir atbildīgs par visu šo uzdevumu veikšanu, ir šifrēta DLL bibliotēka. Punto izpildes laikā tas tiek atšifrēts un ielādēts atmiņā. Lai veiktu iepriekš minētos uzdevumus, DLL izpildāmais kods sāk trīs pavedienus.
Tas, ka uzbrucēji saviem mērķiem izvēlējās Punto programmatūru, nav pārsteigums: daži Krievijas forumi atklāti sniedz detalizētu informāciju par tādām tēmām kā likumīgas programmatūras trūkumu izmantošana lietotāju kompromitēšanai.
Ļaunprātīgā bibliotēka izmanto RC4 algoritmu, lai šifrētu savas virknes, kā arī tīkla mijiedarbības laikā ar C&C serveri. Tas sazinās ar serveri ik pēc divām minūtēm un pārsūta uz turieni visus datus, kas tika savākti uzlauztajā sistēmā šajā laika periodā.
Rīsi. 10. Tīkla mijiedarbības fragments starp botu un serveri.
Tālāk ir sniegti daži no C&C servera norādījumiem, ko bibliotēka var saņemt.
Reaģējot uz norādījumu saņemšanu no C&C servera, ļaunprogrammatūra atbild ar statusa kodu. Interesanti atzīmēt, ka visi mūsu analizētie baņķieru moduļi (jaunākais ar apkopošanas datumu 18. janvārī) satur virkni “TEST_BOTNET”, kas katrā ziņojumā tiek nosūtīta C&C serverim.
Secinājums
Lai kompromitētu korporatīvos lietotājus, uzbrucēji pirmajā posmā kompromitē vienu uzņēmuma darbinieku, nosūtot pikšķerēšanas ziņojumu ar ļaunprātīgu izmantošanu. Pēc tam, kad ļaunprogrammatūra būs instalēta sistēmā, viņi izmantos programmatūras rīkus, kas palīdzēs būtiski paplašināt savas tiesības sistēmā un veikt tajā papildu uzdevumus: kompromitēt citus korporatīvā tīkla datorus un izspiegot lietotāju, kā arī viņa veiktos bankas darījumus.
Avots: www.habr.com