Өнгөрсөн оны сүүлээс бид банкны трояныг тараах шинэ хорлонтой кампанит ажлыг хянаж эхэлсэн. Халдлага үйлдэгчид Оросын компаниудыг, тухайлбал, корпорацийн хэрэглэгчдэд халдлага үйлдэхэд анхаарлаа төвлөрүүлжээ. Хорлонтой кампанит ажил дор хаяж нэг жилийн турш идэвхтэй байсан бөгөөд халдагчид банкны троянаас гадна өөр өөр програм хангамжийн хэрэгслийг ашиглаж байжээ. Эдгээр нь ашиглан савласан тусгай ачигч орно , мөн сайн мэддэг хууль ёсны Yandex Punto програм хангамжийн дүрд хувирсан тагнуулын програм. Халдагчид хохирогчийн компьютерийг эвдэж чадсаны дараа арын хаалга, дараа нь банкны троян суулгадаг.
Халдагчид хортой програмынхаа хувьд хэд хэдэн хүчинтэй (тэр үед) дижитал гэрчилгээ, AV бүтээгдэхүүнийг тойрч гарах тусгай аргыг ашигласан. Хорлонтой кампанит ажил нь Оросын олон тооны банкуудыг онилсон бөгөөд халдагчид зорилтот халдлагад ихэвчлэн ашигладаг аргуудыг, өөрөөр хэлбэл зөвхөн санхүүгийн луйвраас үүдэлтэй халдлагад ашигладаг байсан тул онцгой анхаарал татаж байна. Энэ хорлонтой кампанит ажил болон өмнө нь олны анхаарлыг татсан томоохон үйл явдлын хооронд зарим ижил төстэй байдлыг бид тэмдэглэж болно. Бид банкны троян ашигласан кибер гэмт хэргийн бүлэглэлийн тухай ярьж байна /.
Халдагчид зөвхөн анхдагчаар Windows (локалчлал) дээр орос хэлийг ашигласан компьютерт хортой програм суулгасан. Трояны гол түгээлтийн вектор нь мөлжлөг бүхий Word баримт бичиг байв. , баримт бичгийн хавсралт болгон илгээсэн. Доорх дэлгэцийн агшинд ийм хуурамч баримт бичиг харагдаж байна. Эхний баримт бичиг нь "Нэхэмжлэх No522375-FLORL-14-115.doc", хоёр дахь "kontrakt87.doc" нэртэй бөгөөд энэ нь Мегафон үүрэн холбооны операторын харилцаа холбооны үйлчилгээ үзүүлэх гэрээний хуулбар юм.
Цагаан будаа. 1. Фишингийн баримт бичиг.
Цагаан будаа. 2. Фишинг баримт бичгийн өөр нэг өөрчлөлт.
Халдагчид Оросын бизнесийг онилсон болохыг дараах баримтууд харуулж байна.
- заасан сэдвээр хуурамч бичиг баримт ашиглан хортой програм түгээх;
- халдагчдын тактик, тэдний ашигладаг хорлонтой хэрэгсэл;
- зарим гүйцэтгэгдэх модулиудын бизнесийн програмуудын холбоосууд;
- энэ кампанит ажилд ашигласан хортой домайнуудын нэрс.
Халдагчид эвдэрсэн системд суулгадаг тусгай програм хангамжийн хэрэгслүүд нь системийг алсаас хянах, хэрэглэгчийн үйл ажиллагааг хянах боломжийг олгодог. Эдгээр функцийг гүйцэтгэхийн тулд тэд арын хаалга суулгаж, Windows дансны нууц үгийг авах эсвэл шинэ бүртгэл үүсгэхийг оролддог. Халдагчид мөн keylogger (keylogger), Windows санах ой хулгайлагч, ухаалаг карттай ажиллах тусгай програм хангамжийн үйлчилгээнд ханддаг. Энэ бүлэг нь хохирогчийн компьютертэй нэг дотоод сүлжээнд байгаа бусад компьютеруудыг эвдэхийг оролдсон.
Манай ESET LiveGrid телеметрийн систем нь хортой програмын тархалтын статистикийг хурдан хянах боломжийг бидэнд олгодог бөгөөд дурдсан кампанит ажилд халдагчдын ашигладаг хортой програмын тархалтын талаархи газарзүйн сонирхолтой статистик мэдээллийг бидэнд өгсөн.
Цагаан будаа. 3. Энэхүү хорлонтой кампанит ажилд ашигласан хортой програмын газарзүйн тархалтын статистик.
Хортой програм суулгаж байна
Хэрэглэгч эмзэг систем дээр мөлжлөг бүхий хортой баримт бичгийг нээсний дараа NSIS ашиглан багцалсан тусгай татагчийг татаж аваад тэнд ажиллуулна. Ажлынхаа эхэнд програм нь Windows-ийн орчинд дибаг хийгч байгаа эсэх эсвэл виртуал машины контекст дээр ажиллаж байгаа эсэхийг шалгадаг. Энэ нь мөн Windows-ийн нутагшуулалт, хэрэглэгч хөтөч дээрх хүснэгтийн доор жагсаасан URL-ууд руу зочилсон эсэхийг шалгадаг. Үүний тулд API ашигладаг Эхлээд хай/NextUrlCacheEntry болон SoftwareMicrosoftInternet ExplorerTypedURLs бүртгэлийн түлхүүр.
Ачаалагч нь систем дээр дараах програмууд байгаа эсэхийг шалгадаг.
Процессуудын жагсаалт нь үнэхээр гайхалтай бөгөөд таны харж байгаагаар энэ нь зөвхөн банкны програмуудыг агуулдаггүй. Жишээлбэл, "scardsvr.exe" нэртэй гүйцэтгэх файл нь ухаалаг карттай (Microsoft SmartCard уншигч) ажиллах програм хангамжийг хэлдэг. Банкны троян нь өөрөө ухаалаг карттай ажиллах чадварыг агуулдаг.
Цагаан будаа. 4. Хортой програм суулгах процессын ерөнхий диаграмм.
Хэрэв бүх шалгалт амжилттай хийгдсэн бол дуудагч нь алсын серверээс тусгай файлыг (архив) татаж авдаг бөгөөд энэ нь халдагчдын ашигладаг бүх хортой ажиллах модулиудыг агуулдаг. Сонирхолтой нь, дээрх шалгалтын гүйцэтгэлээс хамааран алсын C&C серверээс татаж авсан архивууд өөр байж болно. Архив нь хор хөнөөлтэй байж болно, үгүй ч байж болно. Хэрэв хортой биш бол энэ нь хэрэглэгчдэд Windows Live Toolbar суулгадаг. Халдагчид сэжигтэй файлуудыг ажиллуулдаг автомат файлын шинжилгээний систем болон виртуал машинуудыг хууран мэхлэхийн тулд ижил төстэй заль мэх ашигласан байх магадлалтай.
NSIS татагчийн татаж авсан файл нь янз бүрийн хортой програмын модулиудыг агуулсан 7z архив юм. Доорх зураг нь энэ хортой програм болон түүний төрөл бүрийн модулиудыг суулгах процессыг бүхэлд нь харуулж байна.
Цагаан будаа. 5. Хортой програм хэрхэн ажилладаг ерөнхий схем.
Хэдийгээр ачаалагдсан модулиуд нь халдагчдад өөр өөр зорилготой боловч тэдгээр нь адилхан багцлагдсан бөгөөд тэдгээрийн олонх нь хүчинтэй тоон гэрчилгээтэй гарын үсэг зурсан байна. Бид кампанит ажлын эхнээс халдагчид ашиглаж байсан дөрвөн ийм гэрчилгээг олсон. Бидний гомдлын дагуу эдгээр гэрчилгээг хүчингүй болгосон. Бүх гэрчилгээг Москвад бүртгэлтэй компаниудад олгосон нь сонирхолтой юм.
Цагаан будаа. 6. Хортой програмд гарын үсэг зурахад ашигласан дижитал гэрчилгээ.
Дараах хүснэгтэд халдагчид энэхүү хортой кампанит ажилд ашигласан дижитал сертификатуудыг тодорхойлсон.
Халдагчдын ашигладаг бараг бүх хортой модулиуд ижил төстэй суулгах процедуртай байдаг. Эдгээр нь нууц үгээр хамгаалагдсан 7zip архивыг өөрөө гаргаж авдаг.
Цагаан будаа. 7. install.cmd багц файлын фрагмент.
Багц .cmd файл нь системд хортой програм суулгах, халдагчийн янз бүрийн хэрэгслийг эхлүүлэх үүрэгтэй. Хэрэв гүйцэтгэхэд захиргааны эрх байхгүй байхыг шаарддаг бол хортой код нь тэдгээрийг олж авахын тулд хэд хэдэн аргыг ашигладаг (UAC-ыг алгасах). Эхний аргыг хэрэгжүүлэхийн тулд l1.exe болон cc1.exe гэж нэрлэгддэг хоёр гүйцэтгэгдэх файлыг ашигладаг бөгөөд тэдгээр нь UAC-г тойрч гарахад мэргэшсэн. Carberp эх код. Өөр нэг арга нь CVE-2013-3660 эмзэг байдлыг ашиглахад суурилдаг. Зөвшөөрөл нэмэгдүүлэх шаардлагатай хортой програмын модуль бүр нь ашиглалтын 32 болон 64 битийн хувилбаруудыг агуулна.
Энэ кампанит ажлыг хянах явцад бид татаж авагчийн байршуулсан хэд хэдэн архивт дүн шинжилгээ хийсэн. Архивын агуулга өөр өөр байсан тул халдагчид хортой модулиудыг өөр өөр зорилгоор тохируулж болно гэсэн үг.
Хэрэглэгчийн буулт
Дээр дурдсанчлан халдагчид хэрэглэгчдийн компьютерийг эвдэхийн тулд тусгай хэрэгсэл ашигладаг. Эдгээр хэрэгслүүдэд mimi.exe болон xtm.exe гэсэн гүйцэтгэгдэх боломжтой файлын нэртэй программууд орно. Эдгээр нь халдагчдад хохирогчийн компьютерийг хянахад тусалдаг бөгөөд Windows дансны нууц үг олж авах/сэргээх, RDP үйлчилгээг идэвхжүүлэх, үйлдлийн системд шинэ бүртгэл үүсгэх зэрэг ажлуудыг гүйцэтгэхэд мэргэшсэн.
mimi.exe программ нь алдартай нээлттэй эхийн хэрэгслийн өөрчлөгдсөн хувилбарыг агуулдаг . Энэ хэрэгсэл нь Windows хэрэглэгчийн дансны нууц үгийг авах боломжийг танд олгоно. Халдагчид Mimikatz-аас хэрэглэгчийн харилцан үйлчлэлийг хариуцдаг хэсгийг устгасан. Гүйцэтгэх кодыг мөн өөрчилсөн бөгөөд ингэснээр Mimikatz-ийг эхлүүлэх үед давуу эрх:: дибаг болон sekurlsa: logonPasswords тушаалуудыг ажиллуулдаг.
Өөр нэг гүйцэтгэх файл болох xtm.exe нь системд RDP үйлчилгээг идэвхжүүлдэг тусгай скриптүүдийг ажиллуулж, үйлдлийн системд шинэ данс үүсгэхийг оролдохоос гадна хэд хэдэн хэрэглэгчдэд RDP-ээр эвдэрсэн компьютерт нэгэн зэрэг холбогдох боломжийг олгохын тулд системийн тохиргоог өөрчилдөг. Эвдэрсэн системийг бүрэн хянахын тулд эдгээр алхмууд зайлшгүй шаардлагатай нь ойлгомжтой.
Цагаан будаа. 8. Систем дээрх xtm.exe-ийн гүйцэтгэсэн командууд.
Халдагчид системд тусгай программ суулгахад ашигладаг impack.exe нэртэй өөр нэг гүйцэтгэгдэх файлыг ашигладаг. Энэ программ хангамжийг LiteManager гэж нэрлэдэг бөгөөд халдагчид арын хаалга болгон ашигладаг.
Цагаан будаа. 9. LiteManager интерфейс.
Хэрэглэгчийн системд суулгасны дараа LiteManager нь халдагчдад тухайн системтэй шууд холбогдож, алсаас удирдах боломжийг олгодог. Энэхүү программ хангамж нь далд суурилуулалт, галт ханын тусгай дүрмийг бий болгох, модулийг ажиллуулах тусгай тушаалын мөрийн параметрүүдтэй. Бүх параметрүүдийг халдагчид ашигладаг.
Халдагчдын ашигладаг хортой програмын багцын сүүлчийн модуль нь pn_pack.exe гүйцэтгэх боломжтой файлын нэртэй банкны хортой программ (банкчин) юм. Тэрээр хэрэглэгчийг тагнаж чагнах чиглэлээр мэргэшсэн бөгөөд C&C сервертэй харилцах үүрэгтэй. Банкирыг хууль ёсны Yandex Punto программ хангамжийг ашиглан эхлүүлсэн. Punto-г халдагчид хортой DLL сангуудыг ажиллуулахад ашигладаг (DLL Side-Loading method). Хортой програм нь өөрөө дараах функцуудыг гүйцэтгэж чадна.
- дараа нь алсын сервер рүү дамжуулахын тулд гарын товчлуур болон санах ойн агуулгыг хянах;
- системд байгаа бүх ухаалаг картуудыг жагсаах;
- алсын C&C сервертэй харилцах.
Эдгээр бүх ажлыг гүйцэтгэх үүрэгтэй хортой програмын модуль нь шифрлэгдсэн DLL номын сан юм. Энэ нь Punto-г гүйцэтгэх явцад шифрлэгдэж, санах ойд ачаалагддаг. Дээрх ажлуудыг гүйцэтгэхийн тулд DLL гүйцэтгэх код нь гурван хэлхээг эхлүүлнэ.
Халдагчид Punto программ хангамжийг өөрсдийн зорилгын үүднээс сонгосон нь гайхмаар зүйл биш юм: Оросын зарим форумууд хууль ёсны програм хангамжийн алдаа дутагдлыг ашиглан хэрэглэгчдийг хохироох гэх мэт сэдвүүдийн талаар дэлгэрэнгүй мэдээллийг нээлттэй өгдөг.
Хортой номын сан нь RC4 алгоритмыг ашиглан өөрийн мөрүүдийг шифрлэхээс гадна C&C сервертэй сүлжээний харилцан үйлчлэлийн үед ашигладаг. Энэ нь хоёр минут тутамд сервертэй холбогдож, энэ хугацаанд эвдэрсэн систем дээр цуглуулсан бүх өгөгдлийг дамжуулдаг.
Цагаан будаа. 10. Бот болон сервер хоорондын сүлжээний харилцан үйлчлэлийн фрагмент.
Номын сангийн хүлээн авах боломжтой C&C серверийн зааварчилгааг доор харуулав.
C&C серверээс зааварчилгааг хүлээн авсны хариуд хортой програм нь статусын кодоор хариу өгдөг. Бидний дүн шинжилгээ хийсэн бүх банкны модулиуд (хамгийн сүүлийнх нь 18-р сарын XNUMX-ны өдөр эмхэтгэсэн) C&C сервер рүү мессеж бүрт илгээгддэг "TEST_BOTNET" мөрийг агуулж байгаа нь сонирхолтой юм.
дүгнэлт
Байгууллагын хэрэглэгчдэд халдахын тулд халдагчид эхний шатанд компаний нэг ажилтныг мөлжлөг бүхий фишинг мессеж илгээх замаар халддаг. Дараа нь, хортой програмыг системд суулгасны дараа тэд систем дээрх эрх мэдлээ ихээхэн өргөжүүлж, үүн дээр нэмэлт даалгавруудыг гүйцэтгэхэд туслах програм хангамжийн хэрэгслийг ашиглах болно: корпорацийн сүлжээн дэх бусад компьютеруудыг эвдэж, хэрэглэгчийг тагнаж, мөн түүнчлэн түүний хийж буй банкны гүйлгээ.
Эх сурвалж: www.habr.com