Sejak akhir tahun lepas, kami mula menjejaki kempen berniat jahat baharu untuk mengedarkan Trojan perbankan. Penyerang memberi tumpuan kepada menjejaskan syarikat Rusia, iaitu pengguna korporat. Kempen berniat jahat itu aktif selama sekurang-kurangnya setahun dan, sebagai tambahan kepada Trojan perbankan, penyerang terpaksa menggunakan pelbagai alat perisian lain. Ini termasuk pemuat khas yang dibungkus menggunakan , dan perisian pengintip, yang menyamar sebagai perisian Yandex Punto sah yang terkenal. Sebaik sahaja penyerang berjaya menjejaskan komputer mangsa, mereka memasang pintu belakang dan kemudian Trojan perbankan.
Untuk perisian hasad mereka, penyerang menggunakan beberapa sijil digital yang sah (pada masa itu) dan kaedah khas untuk memintas produk AV. Kempen berniat jahat itu menyasarkan sejumlah besar bank Rusia dan menarik minat khusus kerana penyerang menggunakan kaedah yang sering digunakan dalam serangan yang disasarkan, iaitu serangan yang tidak bermotifkan penipuan kewangan semata-mata. Kita boleh perhatikan beberapa persamaan antara kempen berniat jahat ini dan insiden besar yang mendapat publisiti hebat sebelum ini. Kita bercakap tentang kumpulan penjenayah siber yang menggunakan Trojan perbankan /.
Penyerang memasang perisian hasad hanya pada komputer yang menggunakan bahasa Rusia dalam Windows (penyetempatan) secara lalai. Vektor pengedaran utama Trojan ialah dokumen Word dengan eksploitasi. , yang dihantar sebagai lampiran kepada dokumen. Tangkapan skrin di bawah menunjukkan rupa dokumen palsu tersebut. Dokumen pertama bertajuk "No. Invois 522375-FLORL-14-115.doc", dan "kontrakt87.doc" kedua, ia adalah salinan kontrak untuk penyediaan perkhidmatan telekomunikasi oleh operator mudah alih Megafon.
nasi. 1. Dokumen pancingan data.
nasi. 2. Satu lagi pengubahsuaian dokumen pancingan data.
Fakta berikut menunjukkan bahawa penyerang menyasarkan perniagaan Rusia:
- pengedaran perisian hasad menggunakan dokumen palsu pada topik yang ditentukan;
- taktik penyerang dan alat jahat yang mereka gunakan;
- pautan ke aplikasi perniagaan dalam beberapa modul boleh laku;
- nama domain berniat jahat yang digunakan dalam kempen ini.
Alat perisian khas yang dipasang oleh penyerang pada sistem yang terjejas membolehkan mereka mendapatkan kawalan jauh sistem dan memantau aktiviti pengguna. Untuk melaksanakan fungsi ini, mereka memasang pintu belakang dan juga cuba mendapatkan kata laluan akaun Windows atau membuat akaun baharu. Penyerang juga menggunakan perkhidmatan keylogger (keylogger), pencuri papan keratan Windows dan perisian khas untuk bekerja dengan kad pintar. Kumpulan ini cuba menjejaskan komputer lain yang berada pada rangkaian tempatan yang sama dengan komputer mangsa.
Sistem telemetri ESET LiveGrid kami, yang membolehkan kami menjejaki statistik pengedaran perisian hasad dengan cepat, memberikan kami statistik geografi yang menarik tentang pengedaran perisian hasad yang digunakan oleh penyerang dalam kempen yang disebutkan.
nasi. 3. Statistik tentang pengedaran geografi perisian hasad yang digunakan dalam kempen berniat jahat ini.
Memasang perisian hasad
Selepas pengguna membuka dokumen berniat jahat dengan eksploitasi pada sistem yang terdedah, pemuat turun khas yang dibungkus menggunakan NSIS akan dimuat turun dan dilaksanakan di sana. Pada permulaan kerjanya, program menyemak persekitaran Windows untuk kehadiran penyahpepijat di sana atau untuk dijalankan dalam konteks mesin maya. Ia juga menyemak penyetempatan Windows dan sama ada pengguna telah melawati URL yang disenaraikan di bawah dalam jadual dalam penyemak imbas. API digunakan untuk ini FindFirst/NextUrlCacheEntry dan kunci pendaftaran SoftwareMicrosoftInternet ExplorerTypedURLs.
Pemuat but menyemak kehadiran aplikasi berikut pada sistem.
Senarai proses benar-benar mengagumkan dan, seperti yang anda lihat, ia termasuk bukan sahaja aplikasi perbankan. Contohnya, fail boleh laku bernama "scardsvr.exe" merujuk kepada perisian untuk bekerja dengan kad pintar (pembaca Microsoft SmartCard). Trojan perbankan itu sendiri termasuk keupayaan untuk bekerja dengan kad pintar.
nasi. 4. Gambar rajah umum proses pemasangan perisian hasad.
Jika semua semakan berjaya diselesaikan, pemuat memuat turun fail khas (arkib) daripada pelayan jauh, yang mengandungi semua modul boleh laku berniat jahat yang digunakan oleh penyerang. Adalah menarik untuk diperhatikan bahawa bergantung pada pelaksanaan semakan di atas, arkib yang dimuat turun dari pelayan C&C jauh mungkin berbeza. Arkib itu mungkin berniat jahat atau tidak. Jika tidak berniat jahat, ia memasang Bar Alat Windows Live untuk pengguna. Kemungkinan besar, penyerang menggunakan helah yang sama untuk menipu sistem analisis fail automatik dan mesin maya di mana fail yang mencurigakan dilaksanakan.
Fail yang dimuat turun oleh pemuat turun NSIS ialah arkib 7z yang mengandungi pelbagai modul perisian hasad. Imej di bawah menunjukkan keseluruhan proses pemasangan perisian hasad ini dan pelbagai modulnya.
nasi. 5. Skim umum cara perisian hasad berfungsi.
Walaupun modul yang dimuatkan mempunyai tujuan yang berbeza untuk penyerang, modul tersebut dibungkus secara serupa dan kebanyakannya telah ditandatangani dengan sijil digital yang sah. Kami menemui empat sijil sedemikian yang digunakan oleh penyerang sejak awal kempen. Berikutan aduan kami, sijil ini telah dibatalkan. Adalah menarik untuk diperhatikan bahawa semua sijil telah dikeluarkan kepada syarikat yang berdaftar di Moscow.
nasi. 6. Sijil digital yang digunakan untuk menandatangani perisian hasad.
Jadual berikut mengenal pasti sijil digital yang digunakan oleh penyerang dalam kempen berniat jahat ini.
Hampir semua modul berniat jahat yang digunakan oleh penyerang mempunyai prosedur pemasangan yang sama. Mereka mengekstrak sendiri arkib 7zip yang dilindungi kata laluan.
nasi. 7. Serpihan fail kumpulan install.cmd.
Fail .cmd kumpulan bertanggungjawab untuk memasang perisian hasad pada sistem dan melancarkan pelbagai alat penyerang. Jika pelaksanaan memerlukan hak pentadbiran yang hilang, kod hasad menggunakan beberapa kaedah untuk mendapatkannya (memintas UAC). Untuk melaksanakan kaedah pertama, dua fail boleh laku yang dipanggil l1.exe dan cc1.exe digunakan, yang pakar dalam memintas UAC menggunakan Kod sumber Carberp. Kaedah lain adalah berdasarkan mengeksploitasi kerentanan CVE-2013-3660. Setiap modul perisian hasad yang memerlukan peningkatan keistimewaan mengandungi kedua-dua versi eksploitasi 32-bit dan 64-bit.
Semasa menjejaki kempen ini, kami menganalisis beberapa arkib yang dimuat naik oleh pemuat turun. Kandungan arkib berbeza-beza, bermakna penyerang boleh menyesuaikan modul berniat jahat untuk tujuan yang berbeza.
Kompromi pengguna
Seperti yang kami nyatakan di atas, penyerang menggunakan alat khas untuk menjejaskan komputer pengguna. Alat ini termasuk program dengan nama fail boleh laku mimi.exe dan xtm.exe. Mereka membantu penyerang mengawal komputer mangsa dan pakar dalam melaksanakan tugas berikut: mendapatkan/memulihkan kata laluan untuk akaun Windows, mendayakan perkhidmatan RDP, mencipta akaun baharu dalam OS.
Boleh laku mimi.exe termasuk versi diubah suai alat sumber terbuka yang terkenal . Alat ini membolehkan anda mendapatkan kata laluan akaun pengguna Windows. Penyerang mengalih keluar bahagian daripada Mimikatz yang bertanggungjawab untuk interaksi pengguna. Kod boleh laku juga telah diubah suai supaya apabila dilancarkan, Mimikatz berjalan dengan perintah privilege::debug dan sekurlsa:logonPasswords.
Satu lagi fail boleh laku, xtm.exe, melancarkan skrip khas yang membolehkan perkhidmatan RDP dalam sistem, cuba mencipta akaun baharu dalam OS, dan juga menukar tetapan sistem untuk membolehkan beberapa pengguna menyambung secara serentak ke komputer yang terjejas melalui RDP. Jelas sekali, langkah-langkah ini perlu untuk mendapatkan kawalan penuh ke atas sistem yang terjejas.
nasi. 8. Perintah yang dilaksanakan oleh xtm.exe pada sistem.
Penyerang menggunakan fail boleh laku lain yang dipanggil impack.exe, yang digunakan untuk memasang perisian khas pada sistem. Perisian ini dipanggil LiteManager dan digunakan oleh penyerang sebagai pintu belakang.
nasi. 9. Antara muka LiteManager.
Setelah dipasang pada sistem pengguna, LiteManager membenarkan penyerang menyambung terus ke sistem itu dan mengawalnya dari jauh. Perisian ini mempunyai parameter baris arahan khas untuk pemasangan tersembunyinya, penciptaan peraturan tembok api khas dan melancarkan modulnya. Semua parameter digunakan oleh penyerang.
Modul terakhir pakej perisian hasad yang digunakan oleh penyerang ialah program perisian hasad perbankan (jurubank) dengan nama fail boleh laku pn_pack.exe. Dia pakar dalam mengintip pengguna dan bertanggungjawab untuk berinteraksi dengan pelayan C&C. Jurubank itu dilancarkan menggunakan perisian Yandex Punto yang sah. Punto digunakan oleh penyerang untuk melancarkan perpustakaan DLL yang berniat jahat (kaedah Pemuatan Sisi DLL). Malware itu sendiri boleh melaksanakan fungsi berikut:
- jejak ketukan kekunci papan kekunci dan kandungan papan keratan untuk penghantaran seterusnya ke pelayan jauh;
- senaraikan semua kad pintar yang terdapat dalam sistem;
- berinteraksi dengan pelayan C&C jauh.
Modul perisian hasad, yang bertanggungjawab untuk melaksanakan semua tugas ini, ialah perpustakaan DLL yang disulitkan. Ia dinyahsulit dan dimuatkan ke dalam memori semasa pelaksanaan Punto. Untuk melaksanakan tugas di atas, kod boleh laku DLL memulakan tiga utas.
Hakikat bahawa penyerang memilih perisian Punto untuk tujuan mereka bukanlah sesuatu yang mengejutkan: sesetengah forum Rusia secara terbuka memberikan maklumat terperinci mengenai topik seperti menggunakan kelemahan dalam perisian yang sah untuk menjejaskan pengguna.
Pustaka berniat jahat menggunakan algoritma RC4 untuk menyulitkan rentetannya, serta semasa interaksi rangkaian dengan pelayan C&C. Ia menghubungi pelayan setiap dua minit dan menghantar ke sana semua data yang dikumpul pada sistem yang terjejas dalam tempoh masa ini.
nasi. 10. Serpihan interaksi rangkaian antara bot dan pelayan.
Di bawah ialah beberapa arahan pelayan C&C yang boleh diterima oleh perpustakaan.
Sebagai tindak balas kepada menerima arahan daripada pelayan C&C, perisian hasad bertindak balas dengan kod status. Adalah menarik untuk ambil perhatian bahawa semua modul jurubank yang kami analisis (yang paling terkini dengan tarikh kompilasi 18 Januari) mengandungi rentetan "TEST_BOTNET", yang dihantar dalam setiap mesej ke pelayan C&C.
Kesimpulan
Untuk menjejaskan pengguna korporat, penyerang pada peringkat pertama menjejaskan seorang pekerja syarikat dengan menghantar mesej pancingan data dengan eksploitasi. Seterusnya, sebaik sahaja perisian hasad dipasang pada sistem, mereka akan menggunakan alatan perisian yang akan membantu mereka meluaskan kuasa mereka pada sistem dengan ketara dan melaksanakan tugas tambahan padanya: menjejaskan komputer lain pada rangkaian korporat dan mengintip pengguna, serta transaksi perbankan yang dia lakukan.
Sumber: www.habr.com