Siden slutten av fjoråret begynte vi å spore en ny ondsinnet kampanje for å distribuere en banktrojaner. Angriperne fokuserte på å kompromittere russiske selskaper, det vil si bedriftsbrukere. Den ondsinnede kampanjen var aktiv i minst ett år, og i tillegg til banktrojaneren, brukte angriperne forskjellige andre programvareverktøy. Disse inkluderer en spesiell laster pakket med
Angriperne installerte skadevare bare på de datamaskinene som brukte russisk språk i Windows (lokalisering) som standard. Den viktigste distribusjonsvektoren til trojaneren var et Word-dokument med en utnyttelse.
Ris. 1. Phishing-dokument.
Ris. 2. Nok en modifikasjon av phishing-dokumentet.
Følgende fakta indikerer at angriperne var rettet mot russiske virksomheter:
- distribusjon av skadelig programvare ved bruk av falske dokumenter om det angitte emnet;
- taktikken til angripere og de ondsinnede verktøyene de bruker;
- koblinger til forretningsapplikasjoner i noen kjørbare moduler;
- navn på ondsinnede domener som ble brukt i denne kampanjen.
Spesielle programvareverktøy som angripere installerer på et kompromittert system lar dem få fjernkontroll over systemet og overvåke brukeraktivitet. For å utføre disse funksjonene installerer de en bakdør og prøver også å få tak i Windows-kontopassordet eller opprette en ny konto. Angripere tyr også til tjenestene til en keylogger (keylogger), en Windows-utklippstavle og spesiell programvare for å jobbe med smartkort. Denne gruppen prøvde å kompromittere andre datamaskiner som var på samme lokale nettverk som offerets datamaskin.
Vårt ESET LiveGrid-telemetrisystem, som lar oss raskt spore distribusjonsstatistikk for skadelig programvare, ga oss interessant geografisk statistikk over distribusjonen av skadelig programvare brukt av angripere i den nevnte kampanjen.
Ris. 3. Statistikk over den geografiske distribusjonen av skadelig programvare brukt i denne ondsinnede kampanjen.
Installerer skadelig programvare
Etter at en bruker åpner et ondsinnet dokument med en utnyttelse på et sårbart system, vil en spesiell nedlaster pakket med NSIS lastes ned og kjøres der. I begynnelsen av arbeidet sjekker programmet Windows-miljøet for tilstedeværelse av debuggere der eller for å kjøre i sammenheng med en virtuell maskin. Den sjekker også lokaliseringen av Windows og om brukeren har besøkt URL-ene som er oppført nedenfor i tabellen i nettleseren. APIer brukes til dette Finn første/NextUrlCacheEntry og SoftwareMicrosoftInternet ExplorerTypedURLs registernøkkel.
Oppstartslasteren sjekker tilstedeværelsen av følgende applikasjoner på systemet.
Listen over prosesser er virkelig imponerende, og som du kan se inkluderer den ikke bare bankapplikasjoner. For eksempel refererer en kjørbar fil kalt "scardsvr.exe" til programvare for arbeid med smartkort (Microsoft SmartCard-leser). Selve banktrojaneren inkluderer muligheten til å jobbe med smartkort.
Ris. 4. Generelt diagram over installasjonsprosessen for skadelig programvare.
Hvis alle kontroller er fullført, laster lasteren ned en spesiell fil (arkiv) fra den eksterne serveren, som inneholder alle de ondsinnede kjørbare modulene som brukes av angripere. Det er interessant å merke seg at avhengig av utførelsen av kontrollene ovenfor, kan arkivene som er lastet ned fra den eksterne C&C-serveren variere. Arkivet kan være skadelig eller ikke. Hvis den ikke er skadelig, installerer den Windows Live Toolbar for brukeren. Mest sannsynlig tyr angriperne til lignende triks for å lure automatiske filanalysesystemer og virtuelle maskiner der mistenkelige filer kjøres.
Filen lastet ned av NSIS-nedlasteren er et 7z-arkiv som inneholder ulike skadevaremoduler. Bildet nedenfor viser hele installasjonsprosessen for denne skadelige programvaren og dens ulike moduler.
Ris. 5. Generell oversikt over hvordan skadelig programvare fungerer.
Selv om de innlastede modulene tjener forskjellige formål for angriperne, er de pakket identisk og mange av dem ble signert med gyldige digitale sertifikater. Vi fant fire slike sertifikater som angriperne brukte helt fra starten av kampanjen. Etter vår klage ble disse sertifikatene tilbakekalt. Det er interessant å merke seg at alle sertifikater ble utstedt til selskaper registrert i Moskva.
Ris. 6. Digitalt sertifikat som ble brukt til å signere skadelig programvare.
Tabellen nedenfor identifiserer de digitale sertifikatene som angriperne brukte i denne ondsinnede kampanjen.
Nesten alle ondsinnede moduler som brukes av angripere har en identisk installasjonsprosedyre. De er selvutpakkende 7zip-arkiver som er passordbeskyttet.
Ris. 7. Fragment av install.cmd-batchfilen.
Batch .cmd-filen er ansvarlig for å installere skadelig programvare på systemet og starte ulike angriperverktøy. Hvis kjøring krever manglende administrative rettigheter, bruker den skadelige koden flere metoder for å skaffe dem (omgå UAC). For å implementere den første metoden brukes to kjørbare filer kalt l1.exe og cc1.exe, som spesialiserer seg på å omgå UAC ved å bruke
Mens vi sporet denne kampanjen, analyserte vi flere arkiver lastet opp av nedlasteren. Innholdet i arkivene varierte, noe som betyr at angripere kunne tilpasse ondsinnede moduler til forskjellige formål.
Brukerkompromiss
Som vi nevnte ovenfor, bruker angripere spesialverktøy for å kompromittere brukernes datamaskiner. Disse verktøyene inkluderer programmer med kjørbare filnavn mimi.exe og xtm.exe. De hjelper angripere med å ta kontroll over offerets datamaskin og spesialiserer seg på å utføre følgende oppgaver: skaffe/gjenopprette passord for Windows-kontoer, aktivere RDP-tjenesten, opprette en ny konto i OS.
Den kjørbare mimi.exe inkluderer en modifisert versjon av et velkjent åpen kildekodeverktøy
En annen kjørbar fil, xtm.exe, lanserer spesielle skript som aktiverer RDP-tjenesten i systemet, prøver å opprette en ny konto i OS, og også endre systeminnstillinger slik at flere brukere kan koble seg til en kompromittert datamaskin samtidig via RDP. Åpenbart er disse trinnene nødvendige for å få full kontroll over det kompromitterte systemet.
Ris. 8. Kommandoer utført av xtm.exe på systemet.
Angripere bruker en annen kjørbar fil kalt impack.exe, som brukes til å installere spesiell programvare på systemet. Denne programvaren kalles LiteManager og brukes av angripere som en bakdør.
Ris. 9. LiteManager-grensesnitt.
Når det er installert på en brukers system, lar LiteManager angripere koble seg direkte til det systemet og fjernstyre det. Denne programvaren har spesielle kommandolinjeparametere for skjult installasjon, opprettelse av spesielle brannmurregler og lansering av modulen. Alle parametere brukes av angripere.
Den siste modulen i skadevarepakken som brukes av angripere er et bankprogram for skadelig programvare (banker) med det kjørbare filnavnet pn_pack.exe. Hun spesialiserer seg på å spionere på brukeren og er ansvarlig for å samhandle med C&C-serveren. Banken lanseres ved hjelp av legitim Yandex Punto-programvare. Punto brukes av angripere til å starte ondsinnede DLL-biblioteker (DLL Side-Loading-metoden). Skadevaren i seg selv kan utføre følgende funksjoner:
- spore tastaturtastetrykk og utklippstavleinnhold for deres påfølgende overføring til en ekstern server;
- liste opp alle smartkort som finnes i systemet;
- samhandle med en ekstern C&C-server.
Skadevaremodulen, som er ansvarlig for å utføre alle disse oppgavene, er et kryptert DLL-bibliotek. Den dekrypteres og lastes inn i minnet under kjøring av Punto. For å utføre oppgavene ovenfor starter den kjørbare DLL-koden tre tråder.
Det faktum at angripere valgte Punto-programvare for sine formål er ikke en overraskelse: noen russiske fora gir åpent detaljert informasjon om slike emner som bruk av feil i legitim programvare for å kompromittere brukere.
Det ondsinnede biblioteket bruker RC4-algoritmen til å kryptere strengene sine, så vel som under nettverksinteraksjoner med C&C-serveren. Den kontakter serveren hvert annet minutt og overfører der alle dataene som ble samlet inn på det kompromitterte systemet i løpet av denne tidsperioden.
Ris. 10. Fragment av nettverksinteraksjon mellom boten og serveren.
Nedenfor er noen av C&C-serverinstruksjonene som biblioteket kan motta.
Som svar på å motta instruksjoner fra C&C-serveren, svarer skadevare med en statuskode. Det er interessant å merke seg at alle bankmoduler som vi analyserte (den siste med kompileringsdato 18. januar) inneholder strengen "TEST_BOTNET", som sendes i hver melding til C&C-serveren.
Konklusjon
For å kompromittere bedriftsbrukere, kompromitterer angripere i første omgang én ansatt i selskapet ved å sende en phishing-melding med en utnyttelse. Deretter, når skadevaren er installert på systemet, vil de bruke programvareverktøy som vil hjelpe dem å utvide sin autoritet på systemet betydelig og utføre tilleggsoppgaver på det: kompromittere andre datamaskiner på bedriftens nettverk og spionere på brukeren, samt banktransaksjonene han utfører.
Kilde: www.habr.com