Od końca ubiegłego roku rozpoczęliśmy śledzenie nowej szkodliwej kampanii mającej na celu dystrybucję trojana bankowego. Napastnicy skupili się na skompromitowaniu rosyjskich firm, czyli użytkowników korporacyjnych. Szkodliwa kampania była aktywna przez co najmniej rok i oprócz trojana bankowego napastnicy wykorzystali różne inne narzędzia programowe. Należą do nich specjalny moduł ładujący pakowany przy użyciu oraz oprogramowanie szpiegowskie udające dobrze znane, legalne oprogramowanie Yandex Punto. Gdy atakującym uda się złamać komputer ofiary, instalują backdoora, a następnie trojana bankowego.
W przypadku swojego złośliwego oprogramowania napastnicy wykorzystali kilka ważnych (wówczas) certyfikatów cyfrowych i specjalne metody w celu ominięcia produktów antywirusowych. Celem tej złośliwej kampanii była duża liczba rosyjskich banków i jest ona szczególnie interesująca, ponieważ napastnicy zastosowali metody często stosowane w atakach ukierunkowanych, tj. atakach, których motywem nie są wyłącznie oszustwa finansowe. Możemy zauważyć pewne podobieństwa między tą złośliwą kampanią a poważnym incydentem, który wcześniej zyskał duży rozgłos. Mówimy o grupie cyberprzestępczej, która wykorzystała trojana bankowego /.
Napastnicy instalowali szkodliwe oprogramowanie tylko na tych komputerach, które domyślnie używały języka rosyjskiego w systemie Windows (lokalizacji). Głównym wektorem dystrybucji trojana był dokument Word zawierający exploit. , który został przesłany jako załącznik do dokumentu. Poniższe zrzuty ekranu pokazują wygląd takich fałszywych dokumentów. Pierwszy dokument zatytułowany jest „Faktura nr 522375-FLORL-14-115.doc”, natomiast drugi „kontrakt87.doc” stanowi kopię umowy o świadczenie usług telekomunikacyjnych przez operatora komórkowego Megafon.
Ryż. 1. Dokument phishingowy.
Ryż. 2. Kolejna modyfikacja dokumentu phishingowego.
Następujące fakty wskazują, że celem atakujących były rosyjskie firmy:
- dystrybucja złośliwego oprogramowania przy użyciu fałszywych dokumentów na określony temat;
- taktyka atakujących i wykorzystywane przez nich szkodliwe narzędzia;
- linki do aplikacji biznesowych w niektórych modułach wykonywalnych;
- nazwy złośliwych domen, które zostały użyte w tej kampanii.
Specjalne narzędzia programowe, które atakujący instalują w zaatakowanym systemie, pozwalają im uzyskać zdalną kontrolę nad systemem i monitorować aktywność użytkownika. Aby wykonać te funkcje, instalują backdoora, a także próbują uzyskać hasło do konta Windows lub utworzyć nowe konto. Atakujący korzystają również z usług keyloggera (keyloggera), złodzieja schowka Windows i specjalnego oprogramowania do pracy z kartami inteligentnymi. Grupa ta próbowała złamać zabezpieczenia innych komputerów znajdujących się w tej samej sieci lokalnej, co komputer ofiary.
Nasz system telemetryczny ESET LiveGrid, który pozwala nam szybko śledzić statystyki dystrybucji złośliwego oprogramowania, dostarczył nam interesujących statystyk geograficznych dotyczących dystrybucji szkodliwego oprogramowania wykorzystywanego przez osoby atakujące we wspomnianej kampanii.
Ryż. 3. Statystyki dotyczące geograficznego rozmieszczenia złośliwego oprogramowania użytego w tej złośliwej kampanii.
Instalowanie złośliwego oprogramowania
Gdy użytkownik otworzy złośliwy dokument zawierający exploit w podatnym systemie, zostanie tam pobrany i uruchomiony specjalny downloader spakowany przy użyciu NSIS. Program na początku swojej pracy sprawdza środowisko Windows pod kątem obecności w nim debugerów lub działania w kontekście maszyny wirtualnej. Sprawdza także lokalizację systemu Windows i czy użytkownik odwiedził w przeglądarce adresy URL wymienione poniżej w tabeli. Wykorzystuje się do tego API Znajdźnajpierw/NastępnyUrlCacheEntry i klucz rejestru SoftwareMicrosoftInternet ExplorerTypedURLs.
Program ładujący sprawdza obecność w systemie następujących aplikacji.
Lista procesów jest naprawdę imponująca i, jak widać, obejmuje nie tylko aplikacje bankowe. Na przykład plik wykonywalny o nazwie „scardsvr.exe” odnosi się do oprogramowania do pracy z kartami inteligentnymi (czytnik Microsoft SmartCard). Sam trojan bankowy obejmuje możliwość pracy z kartami inteligentnymi.
Ryż. 4. Ogólny schemat procesu instalacji szkodliwego oprogramowania.
Jeśli wszystkie kontrole przejdą pomyślnie, moduł ładujący pobierze ze zdalnego serwera specjalny plik (archiwum), który zawiera wszystkie szkodliwe moduły wykonywalne wykorzystywane przez osoby atakujące. Warto zauważyć, że w zależności od wykonania powyższych kontroli archiwa pobrane ze zdalnego serwera C&C mogą się różnić. Archiwum może, ale nie musi, być złośliwe. Jeśli nie jest złośliwy, instaluje dla użytkownika pasek narzędzi Windows Live. Najprawdopodobniej napastnicy uciekali się do podobnych sztuczek, aby oszukać systemy automatycznej analizy plików i maszyny wirtualne, na których uruchamiane są podejrzane pliki.
Plik pobrany przez narzędzie do pobierania NSIS to archiwum 7z zawierające różne moduły złośliwego oprogramowania. Poniższy obraz przedstawia cały proces instalacji tego szkodliwego oprogramowania i jego różnych modułów.
Ryż. 5. Ogólny schemat działania złośliwego oprogramowania.
Chociaż załadowane moduły służą atakującym różnym celom, są one spakowane identycznie, a wiele z nich zostało podpisanych ważnymi certyfikatami cyfrowymi. Znaleźliśmy cztery takie certyfikaty, z których napastnicy korzystali od samego początku kampanii. W wyniku naszej skargi certyfikaty te zostały unieważnione. Co ciekawe, wszystkie certyfikaty zostały wydane firmom zarejestrowanym w Moskwie.
Ryż. 6. Certyfikat cyfrowy, który został użyty do podpisania szkodliwego oprogramowania.
W poniższej tabeli wymieniono certyfikaty cyfrowe użyte przez osoby atakujące w tej złośliwej kampanii.
Prawie wszystkie szkodliwe moduły wykorzystywane przez osoby atakujące mają identyczną procedurę instalacji. Są to samorozpakowujące się archiwa 7zip, które są chronione hasłem.
Ryż. 7. Fragment pliku wsadowego install.cmd.
Plik wsadowy .cmd jest odpowiedzialny za instalowanie złośliwego oprogramowania w systemie i uruchamianie różnych narzędzi atakujących. Jeżeli wykonanie wymaga braku uprawnień administracyjnych, złośliwy kod wykorzystuje kilka metod ich uzyskania (z pominięciem kontroli konta użytkownika). Do wdrożenia pierwszej metody wykorzystywane są dwa pliki wykonywalne o nazwach l1.exe i cc1.exe, które specjalizują się w omijaniu UAC przy użyciu Kod źródłowy Carberpa. Inna metoda opiera się na wykorzystaniu luki CVE-2013-3660. Każdy moduł złośliwego oprogramowania wymagający eskalacji uprawnień zawiera zarówno 32-bitową, jak i 64-bitową wersję exploita.
Śledząc tę kampanię, przeanalizowaliśmy kilka archiwów przesłanych przez downloader. Zawartość archiwów była różna, co oznacza, że osoby atakujące mogą dostosowywać szkodliwe moduły do różnych celów.
Kompromis użytkownika
Jak wspomnieliśmy powyżej, osoby atakujące wykorzystują specjalne narzędzia w celu naruszenia bezpieczeństwa komputerów użytkowników. Narzędzia te obejmują programy z plikami wykonywalnymi o nazwach mimi.exe i xtm.exe. Pomagają atakującym przejąć kontrolę nad komputerem ofiary i specjalizują się w wykonywaniu następujących zadań: uzyskanie/odzyskiwanie haseł do kont Windows, włączenie usługi RDP, utworzenie nowego konta w systemie operacyjnym.
Plik wykonywalny mimi.exe zawiera zmodyfikowaną wersję dobrze znanego narzędzia open source . To narzędzie umożliwia uzyskanie haseł do kont użytkowników systemu Windows. Atakujący usunęli z Mimikatza część odpowiedzialną za interakcję z użytkownikiem. Kod wykonywalny również został zmodyfikowany tak, że po uruchomieniu Mimikatz działa z poleceniami przywilej::debug i sekurlsa:logonPasswords.
Inny plik wykonywalny, xtm.exe, uruchamia specjalne skrypty, które włączają usługę RDP w systemie, próbują utworzyć nowe konto w systemie operacyjnym, a także zmieniają ustawienia systemu, aby umożliwić kilku użytkownikom jednoczesne łączenie się z zaatakowanym komputerem za pośrednictwem protokołu RDP. Oczywiście te kroki są niezbędne, aby uzyskać pełną kontrolę nad zaatakowanym systemem.
Ryż. 8. Polecenia wykonywane przez xtm.exe w systemie.
Atakujący wykorzystują inny plik wykonywalny o nazwie impack.exe, który służy do instalowania specjalnego oprogramowania w systemie. Oprogramowanie to nazywa się LiteManager i jest wykorzystywane przez atakujących jako backdoor.
Ryż. 9. Interfejs LiteManagera.
Po zainstalowaniu w systemie użytkownika LiteManager umożliwia atakującym bezpośrednie połączenie się z tym systemem i zdalne kontrolowanie go. To oprogramowanie ma specjalne parametry wiersza poleceń do ukrytej instalacji, tworzenia specjalnych reguł zapory sieciowej i uruchamiania modułu. Wszystkie parametry są wykorzystywane przez atakujących.
Ostatnim modułem pakietu szkodliwego oprogramowania wykorzystywanym przez atakujących jest szkodliwy program bankowy (banker) o nazwie pliku wykonywalnego pn_pack.exe. Specjalizuje się w szpiegowaniu użytkownika i odpowiada za interakcję z serwerem C&C. Bankier uruchamia się przy użyciu legalnego oprogramowania Yandex Punto. Punto jest wykorzystywane przez atakujących do uruchamiania złośliwych bibliotek DLL (metoda DLL Side-Loading). Samo złośliwe oprogramowanie może wykonywać następujące funkcje:
- śledzić naciśnięcia klawiszy klawiatury i zawartość schowka w celu ich późniejszej transmisji do zdalnego serwera;
- lista wszystkich kart inteligentnych obecnych w systemie;
- współdziałać ze zdalnym serwerem C&C.
Moduł szkodliwego oprogramowania, który odpowiada za wykonanie wszystkich tych zadań, to zaszyfrowana biblioteka DLL. Jest on odszyfrowywany i ładowany do pamięci podczas wykonywania Punto. Aby wykonać powyższe zadania, kod wykonywalny DLL uruchamia trzy wątki.
Fakt, że napastnicy wybrali do swoich celów oprogramowanie Punto, nie jest zaskoczeniem: niektóre rosyjskie fora otwarcie udostępniają szczegółowe informacje na takie tematy, jak wykorzystywanie luk w legalnym oprogramowaniu do narażania użytkowników na szwank.
Szkodliwa biblioteka wykorzystuje algorytm RC4 do szyfrowania swoich ciągów znaków, a także podczas interakcji sieciowych z serwerem C&C. Co dwie minuty kontaktuje się z serwerem i przesyła tam wszystkie dane, które w tym czasie zebrały w zaatakowanym systemie.
Ryż. 10. Fragment interakcji sieciowej pomiędzy botem a serwerem.
Poniżej znajdują się niektóre instrukcje serwera C&C, które może otrzymać biblioteka.
W odpowiedzi na otrzymanie instrukcji z serwera kontroli, szkodliwe oprogramowanie odpowiada kodem stanu. Co ciekawe, wszystkie analizowane przez nas moduły bankowe (najnowszy z datą kompilacji 18 stycznia) zawierają ciąg „TEST_BOTNET”, który jest wysyłany w każdej wiadomości do serwera C&C.
wniosek
Aby narazić użytkowników korporacyjnych, napastnicy na pierwszym etapie atakują jednego pracownika firmy, wysyłając wiadomość phishingową zawierającą exploit. Następnie, po zainstalowaniu szkodliwego oprogramowania w systemie, skorzystają z narzędzi programowych, które pomogą im znacznie rozszerzyć władzę w systemie i wykonać na nim dodatkowe zadania: złamać inne komputery w sieci firmowej i szpiegować użytkownika, a także przeprowadzanych przez niego transakcji bankowych.
Źródło: www.habr.com