Sa mill-aħħar tas-sena li għaddiet, bdejna nsegwu kampanja malizzjuża ġdida biex tqassam Trojan bankarju. L-attakkanti ffukaw fuq il-kompromess tal-kumpaniji Russi, jiġifieri l-utenti korporattivi. Il-kampanja malizzjuża kienet attiva għal mill-inqas sena u, minbarra t-Trojan bankarju, l-attakkanti rrikorrew biex jużaw diversi għodod oħra tas-softwer. Dawn jinkludu loader speċjali ppakkjat bl-użu , u spyware, li huwa moħbi bħala s-software leġittimu magħruf Yandex Punto. Ladarba l-attakkanti jkunu rnexxielhom jikkompromettu l-kompjuter tal-vittma, huma jinstallaw backdoor u mbagħad Trojan bankarju.
Għall-malware tagħhom, l-attakkanti użaw diversi ċertifikati diġitali validi (dak iż-żmien) u metodi speċjali biex jevitaw prodotti AV. Il-kampanja malizzjuża kellha fil-mira numru kbir ta’ banek Russi u hija ta’ interess partikolari minħabba li l-attakkanti użaw metodi li spiss jintużaw f’attakki mmirati, jiġifieri attakki li mhumiex motivati purament minn frodi finanzjarja. Nistgħu ninnotaw xi xebh bejn din il-kampanja malizzjuża u inċident kbir li rċieva pubbliċità kbira qabel. Qed nitkellmu dwar grupp ċiberkriminali li uża Trojan bankarju /.
L-attakkanti installaw malware biss fuq dawk il-kompjuters li użaw il-lingwa Russa fil-Windows (lokalizzazzjoni) b'mod awtomatiku. Il-vettur ewlieni tad-distribuzzjoni tat-Trojan kien dokument Word bi sfruttament. , li ntbagħtet bħala anness mad-dokument. Il-screenshots hawn taħt juru d-dehra ta 'dokumenti foloz bħal dawn. L-ewwel dokument huwa intitolat “Invoice No. 522375-FLORL-14-115.doc”, u t-tieni “kontrakt87.doc”, huwa kopja tal-kuntratt għall-provvista ta’ servizzi ta’ telekomunikazzjoni mill-operatur mobbli Megafon.
Ross. 1. Dokument tal-phishing.
Ross. 2. Modifika oħra tad-dokument tal-phishing.
Il-fatti li ġejjin jindikaw li l-attakkanti kienu qed jimmiraw lejn negozji Russi:
- distribuzzjoni ta' malware bl-użu ta' dokumenti foloz dwar is-suġġett speċifikat;
- it-tattiċi tal-attakkanti u l-għodod malizzjużi li jużaw;
- links għal applikazzjonijiet tan-negozju f'xi moduli eżekutibbli;
- ismijiet ta' oqsma malizzjużi li ntużaw f'din il-kampanja.
Għodod tas-softwer speċjali li l-attakkanti jinstallaw fuq sistema kompromessa jippermettulhom jiksbu kontroll mill-bogħod tas-sistema u jimmonitorjaw l-attività tal-utent. Biex iwettqu dawn il-funzjonijiet, huma jinstallaw backdoor u wkoll jippruvaw jiksbu l-password tal-kont tal-Windows jew joħolqu kont ġdid. L-attakkanti jirrikorru wkoll għas-servizzi ta 'keylogger (keylogger), stealer tal-klippboard tal-Windows, u softwer speċjali biex jaħdmu ma' smart cards. Dan il-grupp ipprova jikkomprometti kompjuters oħra li kienu fuq l-istess netwerk lokali bħall-kompjuter tal-vittma.
Is-sistema tagħna tat-telemetrija ESET LiveGrid, li tippermettilna nsegwu malajr l-istatistika tad-distribuzzjoni tal-malware, ipprovdietna statistika ġeografika interessanti dwar id-distribuzzjoni tal-malware użat mill-attakkanti fil-kampanja msemmija.
Ross. 3. Statistika dwar id-distribuzzjoni ġeografika tal-malware użat f'din il-kampanja malizzjuża.
Installazzjoni ta' malware
Wara li utent jiftaħ dokument malizzjuż bi sfruttament fuq sistema vulnerabbli, downloader speċjali ppakkjat bl-użu tal-NSIS jiġi mniżżel u eżegwit hemmhekk. Fil-bidu tax-xogħol tiegħu, il-programm jiċċekkja l-ambjent tal-Windows għall-preżenza ta 'debuggers hemmhekk jew għat-tħaddim fil-kuntest ta' magna virtwali. Jiċċekkja wkoll il-lokalizzazzjoni tal-Windows u jekk l-utent żarx l-URLs elenkati hawn taħt fit-tabella fil-browser. L-APIs jintużaw għal dan Sib l-Ewwel/NextUrlCacheEntry u ċ-ċavetta tar-reġistru SoftwareMicrosoftInternet ExplorerTypedURLs.
Il-bootloader jiċċekkja l-preżenza tal-applikazzjonijiet li ġejjin fis-sistema.
Il-lista tal-proċessi hija tassew impressjonanti u, kif tistgħu taraw, tinkludi mhux biss applikazzjonijiet bankarji. Pereżempju, fajl eżekutibbli bl-isem "scardsvr.exe" jirreferi għal softwer biex taħdem ma 'smart cards (qarrej ta' SmartCard Microsoft). It-Trojan bankarju nnifsu jinkludi l-abbiltà li jaħdem bi smart cards.
Ross. 4. Dijagramma ġenerali tal-proċess ta 'installazzjoni ta' malware.
Jekk il-kontrolli kollha jitlestew b'suċċess, il-loader iniżżel fajl speċjali (arkivju) mis-server remot, li fih il-moduli eżekutibbli malizzjużi kollha użati mill-attakkanti. Huwa interessanti li wieħed jinnota li skont l-eżekuzzjoni tal-kontrolli ta 'hawn fuq, l-arkivji mniżżla mis-server C&C remot jistgħu jvarjaw. L-arkivju jista 'jew ma jistax ikun malizzjuż. Jekk mhux malizzjuż, jinstalla l-Windows Live Toolbar għall-utent. Ħafna probabbli, l-attakkanti rrikorrew għal tricks simili biex iqarrqu sistemi awtomatiċi ta 'analiżi tal-fajls u magni virtwali li fuqhom jiġu esegwiti fajls suspettużi.
Il-fajl imniżżel mill-NSIS downloader huwa arkivju 7z li fih diversi moduli malware. L-immaġni hawn taħt turi l-proċess kollu ta 'installazzjoni ta' dan il-malware u l-moduli varji tiegħu.
Ross. 5. Skema ġenerali ta' kif jaħdem malware.
Għalkemm il-moduli mgħobbija jservu skopijiet differenti għall-attakkanti, huma ppakkjati b'mod identiku u ħafna minnhom ġew iffirmati b'ċertifikati diġitali validi. Sibna erba’ ċertifikati bħal dawn li l-attakkanti użaw mill-bidu nett tal-kampanja. Wara l-ilment tagħna, dawn iċ-ċertifikati ġew revokati. Huwa interessanti li wieħed jinnota li ċ-ċertifikati kollha nħarġu lil kumpaniji rreġistrati f'Moska.
Ross. 6. Ċertifikat diġitali li ntuża biex jiffirma l-malware.
It-tabella li ġejja tidentifika ċ-ċertifikati diġitali li l-attakkanti użaw f'din il-kampanja malizzjuża.
Kważi l-moduli malizzjużi kollha użati mill-attakkanti għandhom proċedura ta 'installazzjoni identika. Huma arkivji 7zip li jiġbed lilhom infushom u li huma protetti bil-password.
Ross. 7. Framment tal-fajl tal-lott install.cmd.
Il-fajl .cmd tal-lott huwa responsabbli għall-installazzjoni ta 'malware fuq is-sistema u t-tnedija ta' diversi għodod tal-attakkant. Jekk l-eżekuzzjoni teħtieġ drittijiet amministrattivi neqsin, il-kodiċi malizzjuż juża diversi metodi biex jiksebhom (jinjora l-UAC). Biex timplimenta l-ewwel metodu, jintużaw żewġ fajls eżekutibbli msejħa l1.exe u cc1.exe, li jispeċjalizzaw fil-bypass tal-UAC bl-użu tal- Kodiċi tas-sors Carberp. Metodu ieħor huwa bbażat fuq l-isfruttament tal-vulnerabbiltà CVE-2013-3660. Kull modulu tal-malware li jeħtieġ eskalazzjoni tal-privileġġ fih kemm verżjoni ta '32-bit kif ukoll 64-bit tal-isfruttament.
Waqt li ntraċċajna din il-kampanja, analiznajna diversi arkivji li ttellgħu minn min tniżżel. Il-kontenut tal-arkivji varja, jiġifieri l-attakkanti setgħu jadattaw moduli malizzjużi għal skopijiet differenti.
Kompromess tal-utent
Kif semmejna hawn fuq, l-attakkanti jużaw għodod speċjali biex jikkompromettu l-kompjuters tal-utenti. Dawn l-għodod jinkludu programmi b'ismijiet ta' fajls eżekutibbli mimi.exe u xtm.exe. Jgħinu lill-attakkanti jieħdu l-kontroll tal-kompjuter tal-vittma u jispeċjalizzaw fit-twettiq tal-kompiti li ġejjin: il-kisba/l-irkupru ta 'passwords għall-kontijiet tal-Windows, li jippermettu s-servizz RDP, il-ħolqien ta' kont ġdid fl-OS.
L-eżekutibbli mimi.exe jinkludi verżjoni modifikata ta 'għodda ta' sors miftuħ magħruf . Din l-għodda tippermettilek tikseb passwords tal-kont tal-utent tal-Windows. L-attakkanti neħħew il-parti minn Mimikatz li hija responsabbli għall-interazzjoni tal-utent. Il-kodiċi eżekutibbli ġie wkoll modifikat sabiex meta jitnieda, Mimikatz jaħdem bil-kmandi privilege::debug u sekurlsa:logonPasswords.
Fajl eżekutibbli ieħor, xtm.exe, iniedi skripts speċjali li jippermettu s-servizz RDP fis-sistema, jipprova joħloq kont ġdid fl-OS, u wkoll ibiddel is-settings tas-sistema biex jippermetti lil diversi utenti jgħaqqdu simultanjament ma 'kompjuter kompromess permezz ta' RDP. Ovvjament, dawn il-passi huma meħtieġa biex jiksbu kontroll sħiħ tas-sistema kompromessa.
Ross. 8. Kmandi esegwiti minn xtm.exe fuq is-sistema.
L-attakkanti jużaw fajl eżekutibbli ieħor imsejjaħ impack.exe, li jintuża biex jinstalla softwer speċjali fuq is-sistema. Dan is-software jissejjaħ LiteManager u jintuża mill-attakkanti bħala backdoor.
Ross. 9. LiteManager interface.
Ladarba jiġi installat fuq is-sistema ta 'utent, LiteManager jippermetti lill-attakkanti jikkonnettjaw direttament ma' dik is-sistema u jikkontrollawha mill-bogħod. Dan is-software għandu parametri speċjali tal-linja tal-kmand għall-installazzjoni moħbija tiegħu, il-ħolqien ta 'regoli speċjali tal-firewall, u t-tnedija tal-modulu tiegħu. Il-parametri kollha huma użati mill-attakkanti.
L-aħħar modulu tal-pakkett malware użat mill-attakkanti huwa programm bankarju malware (banker) bl-isem tal-fajl eżekutibbli pn_pack.exe. Hija tispeċjalizza fi spying fuq l-utent u hija responsabbli għall-interazzjoni mas-server C&C. Il-bankier huwa mniedi bl-użu ta 'softwer leġittimu Yandex Punto. Punto jintuża minn attakkanti biex iniedu libreriji DLL malizzjużi (metodu DLL Side-Loading). Il-malware innifsu jista 'jwettaq il-funzjonijiet li ġejjin:
- track-keystrokes tat-tastiera u kontenut tal-clipboard għat-trasmissjoni sussegwenti tagħhom għal server remot;
- elenka l-ismart cards kollha li huma preżenti fis-sistema;
- jinteraġixxi ma' server C&C remot.
Il-modulu tal-malware, li huwa responsabbli biex iwettaq dawn il-kompiti kollha, huwa librerija DLL encrypted. Huwa decrypted u mgħobbi fil-memorja waqt l-eżekuzzjoni Punto. Biex twettaq il-kompiti ta 'hawn fuq, il-kodiċi eżekutibbli DLL jibda tliet ħjut.
Il-fatt li l-attakkanti għażlu s-softwer Punto għall-iskopijiet tagħhom mhuwiex sorpriża: xi forums Russi jipprovdu b'mod miftuħ informazzjoni dettaljata dwar suġġetti bħall-użu ta' difetti f'softwer leġittimu biex jikkomprometti lill-utenti.
Il-librerija malizzjuża tuża l-algoritmu RC4 biex tikkodifika l-kordi tagħha, kif ukoll waqt l-interazzjonijiet tan-netwerk mas-server C&C. Jikkuntattja lis-server kull żewġ minuti u jittrasmetti hemm id-dejta kollha li nġabret fuq is-sistema kompromessa matul dan il-perjodu ta 'żmien.
Ross. 10. Framment ta 'interazzjoni tan-netwerk bejn il-bot u s-server.
Hawn taħt hemm xi wħud mill-istruzzjonijiet tas-server C&C li l-librerija tista’ tirċievi.
Bi tweġiba biex tirċievi struzzjonijiet mis-server C&C, il-malware jirrispondi b'kodiċi tal-istatus. Huwa interessanti li wieħed jinnota li l-moduli bankiera kollha li analizzajna (l-aktar wieħed reċenti b'data ta 'kumpilazzjoni tat-18 ta' Jannar) fihom is-sekwenza "TEST_BOTNET", li tintbagħat f'kull messaġġ lis-server C&C.
Konklużjoni
Biex jikkompromettu l-utenti korporattivi, l-attakkanti fl-ewwel stadju jikkompromettu impjegat wieħed tal-kumpanija billi jibagħtu messaġġ ta 'phishing bi sfruttament. Sussegwentement, ladarba l-malware jiġi installat fuq is-sistema, huma jużaw għodod tas-softwer li jgħinuhom jespandu b'mod sinifikanti l-awtorità tagħhom fuq is-sistema u jwettqu kompiti addizzjonali fuqha: jikkompromettu kompjuters oħra fuq in-netwerk korporattiv u jispjunaw fuq l-utent, kif ukoll it-tranżazzjonijiet bankarji li jwettaq.
Sors: www.habr.com