Sinds eind vorig jaar zijn we begonnen met het volgen van een nieuwe kwaadaardige campagne om een banktrojan te verspreiden. De aanvallers concentreerden zich op het compromitteren van Russische bedrijven, dat wil zeggen zakelijke gebruikers. De kwaadaardige campagne was minstens een jaar actief en naast de banking Trojan gebruikten de aanvallers ook verschillende andere softwaretools. Deze omvatten een speciale lader die is verpakt met behulp van , en spyware, vermomd als de bekende legitieme Yandex Punto-software. Zodra de aanvallers erin zijn geslaagd de computer van het slachtoffer binnen te dringen, installeren ze een backdoor en vervolgens een banking Trojan.
Voor hun malware gebruikten de aanvallers verschillende geldige (destijds) digitale certificaten en speciale methoden om AV-producten te omzeilen. De kwaadaardige campagne richtte zich op een groot aantal Russische banken en is van bijzonder belang omdat de aanvallers methoden gebruikten die vaak gebruikt worden bij gerichte aanvallen, dat wil zeggen aanvallen die niet louter ingegeven zijn door financiële fraude. We kunnen enkele overeenkomsten vaststellen tussen deze kwaadaardige campagne en een groot incident dat eerder veel publiciteit kreeg. We hebben het over een cybercriminele groep die een banktrojan heeft gebruikt /.
De aanvallers installeerden malware alleen op computers die standaard de Russische taal in Windows gebruikten (lokalisatie). De belangrijkste distributievector van de Trojan was een Word-document met een exploit. , dat als bijlage bij het document is verzonden. De onderstaande schermafbeeldingen laten het uiterlijk van dergelijke valse documenten zien. Het eerste document heeft de titel “Factuurnr. 522375-FLORL-14-115.doc”, en het tweede “kontrakt87.doc”, het is een kopie van het contract voor de levering van telecommunicatiediensten door de mobiele operator Megafon.
Rijst. 1. Phishing-document.
Rijst. 2. Nog een wijziging van het phishing-document.
De volgende feiten geven aan dat de aanvallers zich op Russische bedrijven richtten:
- verspreiding van malware met behulp van valse documenten over het opgegeven onderwerp;
- de tactieken van aanvallers en de kwaadaardige tools die ze gebruiken;
- links naar bedrijfsapplicaties in sommige uitvoerbare modules;
- namen van kwaadaardige domeinen die in deze campagne zijn gebruikt.
Met speciale softwaretools die aanvallers op een gecompromitteerd systeem installeren, kunnen ze op afstand controle over het systeem krijgen en de gebruikersactiviteit monitoren. Om deze functies uit te voeren, installeren ze een achterdeur en proberen ze ook het wachtwoord van het Windows-account te achterhalen of een nieuw account aan te maken. Aanvallers maken ook gebruik van de diensten van een keylogger (keylogger), een Windows-klembordsteler en speciale software voor het werken met smartcards. Deze groep probeerde andere computers binnen te dringen die zich op hetzelfde lokale netwerk bevonden als de computer van het slachtoffer.
Ons ESET LiveGrid-telemetriesysteem, waarmee we snel statistieken over de verspreiding van malware kunnen bijhouden, heeft ons interessante geografische statistieken opgeleverd over de verspreiding van malware die door aanvallers in de genoemde campagne wordt gebruikt.
Rijst. 3. Statistieken over de geografische verspreiding van de malware die in deze kwaadaardige campagne wordt gebruikt.
Malware installeren
Nadat een gebruiker een kwaadaardig document met een exploit op een kwetsbaar systeem heeft geopend, wordt daar een speciale downloader, verpakt met NSIS, gedownload en uitgevoerd. Aan het begin van zijn werk controleert het programma de Windows-omgeving op de aanwezigheid van debuggers daar of op uitvoering in de context van een virtuele machine. Het controleert ook de lokalisatie van Windows en of de gebruiker de onderstaande URL's in de tabel in de browser heeft bezocht. Hiervoor worden API’s gebruikt Zoek eerst/VolgendeUrlCacheEntry en de registersleutel SoftwareMicrosoftInternet ExplorerTypedURLs.
De bootloader controleert of de volgende applicaties op het systeem aanwezig zijn.
De lijst met processen is werkelijk indrukwekkend en omvat, zoals u kunt zien, niet alleen bankapplicaties. Een uitvoerbaar bestand met de naam “scardsvr.exe” verwijst bijvoorbeeld naar software voor het werken met smartcards (Microsoft SmartCard-lezer). De banking Trojan zelf biedt de mogelijkheid om met smartcards te werken.
Rijst. 4. Algemeen diagram van het malware-installatieproces.
Als alle controles succesvol zijn afgerond, downloadt de lader een speciaal bestand (archief) van de externe server, dat alle kwaadaardige uitvoerbare modules bevat die door aanvallers worden gebruikt. Het is interessant om op te merken dat, afhankelijk van de uitvoering van de bovenstaande controles, de archieven die worden gedownload van de externe C&C-server kunnen verschillen. Het archief kan al dan niet kwaadaardig zijn. Als het niet schadelijk is, installeert het de Windows Live Toolbar voor de gebruiker. Hoogstwaarschijnlijk hebben de aanvallers soortgelijke trucs gebruikt om automatische bestandsanalysesystemen en virtuele machines waarop verdachte bestanden worden uitgevoerd te misleiden.
Het bestand dat door de NSIS-downloader wordt gedownload, is een 7z-archief dat verschillende malwaremodules bevat. De onderstaande afbeelding toont het volledige installatieproces van deze malware en de verschillende modules ervan.
Rijst. 5. Algemeen schema van hoe malware werkt.
Hoewel de geladen modules voor de aanvallers verschillende doeleinden dienen, zijn ze identiek verpakt en zijn veel ervan ondertekend met geldige digitale certificaten. We hebben vier van dergelijke certificaten gevonden die de aanvallers vanaf het allereerste begin van de campagne gebruikten. Naar aanleiding van onze klacht zijn deze certificaten ingetrokken. Het is interessant op te merken dat alle certificaten zijn afgegeven aan in Moskou geregistreerde bedrijven.
Rijst. 6. Digitaal certificaat dat werd gebruikt om de malware te ondertekenen.
In de volgende tabel worden de digitale certificaten geïdentificeerd die de aanvallers in deze kwaadaardige campagne hebben gebruikt.
Bijna alle kwaadaardige modules die door aanvallers worden gebruikt, hebben een identieke installatieprocedure. Het zijn zelfuitpakkende 7zip-archieven die met een wachtwoord zijn beveiligd.
Rijst. 7. Fragment van het batchbestand install.cmd.
Het batch-.cmd-bestand is verantwoordelijk voor het installeren van malware op het systeem en het starten van verschillende aanvallerstools. Als bij de uitvoering ontbrekende beheerdersrechten nodig zijn, gebruikt de kwaadaardige code verschillende methoden om deze te verkrijgen (waarbij UAC wordt omzeild). Om de eerste methode te implementeren, worden twee uitvoerbare bestanden gebruikt, genaamd l1.exe en cc1.exe, die gespecialiseerd zijn in het omzeilen van UAC met behulp van de Carberp-broncode. Een andere methode is gebaseerd op het misbruiken van de CVE-2013-3660-kwetsbaarheid. Elke malwaremodule waarvoor escalatie van bevoegdheden vereist is, bevat zowel een 32-bits als een 64-bits versie van de exploit.
Tijdens het volgen van deze campagne hebben we verschillende archieven geanalyseerd die door de downloader zijn geüpload. De inhoud van de archieven varieerde, wat betekent dat aanvallers kwaadaardige modules voor verschillende doeleinden konden aanpassen.
Compromis van de gebruiker
Zoals we hierboven vermeldden, gebruiken aanvallers speciale tools om de computers van gebruikers binnen te dringen. Deze hulpprogramma's omvatten programma's met uitvoerbare bestandsnamen mimi.exe en xtm.exe. Ze helpen aanvallers de controle over de computer van het slachtoffer over te nemen en zijn gespecialiseerd in het uitvoeren van de volgende taken: het verkrijgen/herstellen van wachtwoorden voor Windows-accounts, het inschakelen van de RDP-service, het aanmaken van een nieuw account in het besturingssysteem.
Het uitvoerbare bestand mimi.exe bevat een aangepaste versie van een bekende open source-tool . Met dit hulpprogramma kunt u wachtwoorden voor Windows-gebruikersaccounts verkrijgen. De aanvallers verwijderden het onderdeel uit Mimikatz dat verantwoordelijk is voor de gebruikersinteractie. De uitvoerbare code is ook aangepast, zodat Mimikatz bij het opstarten draait met de opdrachten privilege::debug en sekurlsa:logonPasswords.
Een ander uitvoerbaar bestand, xtm.exe, lanceert speciale scripts die de RDP-service in het systeem inschakelen, proberen een nieuw account in het besturingssysteem aan te maken en ook de systeeminstellingen wijzigen zodat meerdere gebruikers tegelijkertijd via RDP verbinding kunnen maken met een gecompromitteerde computer. Het is duidelijk dat deze stappen nodig zijn om volledige controle over het gecompromitteerde systeem te krijgen.
Rijst. 8. Commando's uitgevoerd door xtm.exe op het systeem.
Aanvallers gebruiken een ander uitvoerbaar bestand genaamd impack.exe, dat wordt gebruikt om speciale software op het systeem te installeren. Deze software heet LiteManager en wordt door aanvallers gebruikt als achterdeur.
Rijst. 9. LiteManager-interface.
Eenmaal geïnstalleerd op het systeem van een gebruiker, stelt LiteManager aanvallers in staat rechtstreeks verbinding te maken met dat systeem en het op afstand te besturen. Deze software heeft speciale opdrachtregelparameters voor de verborgen installatie, het maken van speciale firewallregels en het starten van de module. Alle parameters worden door aanvallers gebruikt.
De laatste module van het malwarepakket dat door aanvallers wordt gebruikt, is een bankmalwareprogramma (banker) met de uitvoerbare bestandsnaam pn_pack.exe. Ze is gespecialiseerd in het bespioneren van de gebruiker en is verantwoordelijk voor de interactie met de C&C-server. De bankier wordt gelanceerd met behulp van legitieme Yandex Punto-software. Punto wordt door aanvallers gebruikt om kwaadaardige DLL-bibliotheken te starten (DLL Side-Loading-methode). De malware zelf kan de volgende functies uitvoeren:
- houd toetsenbordaanslagen en klembordinhoud bij voor hun daaropvolgende verzending naar een externe server;
- een lijst maken van alle smartcards die in het systeem aanwezig zijn;
- communiceren met een externe C&C-server.
De malwaremodule, die verantwoordelijk is voor het uitvoeren van al deze taken, is een gecodeerde DLL-bibliotheek. Het wordt gedecodeerd en in het geheugen geladen tijdens de uitvoering van Punto. Om de bovenstaande taken uit te voeren, start de uitvoerbare DLL-code drie threads.
Het feit dat aanvallers Punto-software voor hun doeleinden kozen, is geen verrassing: sommige Russische forums bieden openlijk gedetailleerde informatie over onderwerpen als het gebruik van fouten in legitieme software om gebruikers in gevaar te brengen.
De kwaadaardige bibliotheek gebruikt het RC4-algoritme om de strings te versleutelen, evenals tijdens netwerkinteracties met de C&C-server. Het neemt elke twee minuten contact op met de server en verzendt daar alle gegevens die gedurende deze periode op het gecompromitteerde systeem zijn verzameld.
Rijst. 10. Fragment van netwerkinteractie tussen de bot en de server.
Hieronder vindt u enkele C&C-serverinstructies die de bibliotheek kan ontvangen.
Als reactie op het ontvangen van instructies van de C&C-server reageert de malware met een statuscode. Het is interessant om op te merken dat alle bankiermodules die we hebben geanalyseerd (de meest recente met een compilatiedatum van 18 januari) de string “TEST_BOTNET” bevatten, die in elk bericht naar de C&C-server wordt verzonden.
Conclusie
Om zakelijke gebruikers in gevaar te brengen, compromitteren aanvallers in de eerste fase één medewerker van het bedrijf door een phishing-bericht met een exploit te verzenden. Vervolgens zullen ze, zodra de malware op het systeem is geïnstalleerd, softwaretools gebruiken die hen zullen helpen hun autoriteit op het systeem aanzienlijk uit te breiden en er extra taken op uit te voeren: andere computers op het bedrijfsnetwerk in gevaar brengen en de gebruiker bespioneren, evenals de banktransacties die hij uitvoert.
Bron: www.habr.com