De la sfârșitul anului trecut, am început să urmărim o nouă campanie rău intenționată de distribuire a unui troian bancar. Atacatorii s-au concentrat pe compromiterea companiilor rusești, adică a utilizatorilor corporativi. Campania rău intenționată a fost activă de cel puțin un an și, pe lângă troianul bancar, atacatorii au recurs la utilizarea diverselor alte instrumente software. Acestea includ un încărcător special ambalat folosind , și spyware, care este deghizat în bine-cunoscutul software legitim Yandex Punto. Odată ce atacatorii au reușit să compromită computerul victimei, instalează o ușă în spate și apoi un troian bancar.
Pentru malware-ul lor, atacatorii au folosit mai multe certificate digitale valide (la acea vreme) și metode speciale pentru a ocoli produsele AV. Campania rău intenționată a vizat un număr mare de bănci rusești și prezintă un interes deosebit deoarece atacatorii au folosit metode care sunt adesea folosite în atacuri direcționate, adică atacuri care nu sunt motivate doar de fraudă financiară. Putem observa unele asemănări între această campanie rău intenționată și un incident major care a primit o mare publicitate mai devreme. Vorbim despre un grup de infractori cibernetici care a folosit un troian bancar /.
Atacatorii au instalat malware numai pe acele computere care foloseau limba rusă în Windows (localizare) în mod implicit. Principalul vector de distribuție al troianului a fost un document Word cu un exploit. , care a fost trimis ca atasament la document. Capturile de ecran de mai jos arată aspectul unor astfel de documente false. Primul document se intitulează „Factura nr. 522375-FLORL-14-115.doc”, iar al doilea „kontrakt87.doc”, este o copie a contractului de furnizare a serviciilor de telecomunicații de către operatorul de telefonie mobilă Megafon.
Orez. 1. Document de phishing.
Orez. 2. O altă modificare a documentului de phishing.
Următoarele fapte indică faptul că atacatorii vizau afaceri rusești:
- distribuirea de malware folosind documente false pe tema specificată;
- tacticile atacatorilor și instrumentele rău intenționate pe care le folosesc;
- link-uri către aplicații de afaceri în unele module executabile;
- numele domeniilor rău intenționate care au fost folosite în această campanie.
Instrumentele software speciale pe care atacatorii le instalează pe un sistem compromis le permit să obțină controlul de la distanță al sistemului și să monitorizeze activitatea utilizatorului. Pentru a îndeplini aceste funcții, ei instalează o ușă în spate și, de asemenea, încearcă să obțină parola contului Windows sau să creeze un cont nou. Atacatorii recurg, de asemenea, la serviciile unui keylogger (keylogger), un furt de clipboard Windows și un software special pentru lucrul cu smart carduri. Acest grup a încercat să compromită alte computere care se aflau în aceeași rețea locală cu computerul victimei.
Sistemul nostru de telemetrie ESET LiveGrid, care ne permite să urmărim rapid statisticile de distribuție a malware-ului, ne-a oferit statistici geografice interesante privind distribuția malware-ului folosit de atacatori în campania menționată.
Orez. 3. Statistici privind distribuția geografică a programelor malware utilizate în această campanie rău intenționată.
Instalarea programelor malware
După ce un utilizator deschide un document rău intenționat cu o exploatare pe un sistem vulnerabil, un program de descărcare special împachetat folosind NSIS va fi descărcat și executat acolo. La începutul activității sale, programul verifică mediul Windows pentru prezența depanatoarelor acolo sau dacă rulează în contextul unei mașini virtuale. De asemenea, verifică localizarea Windows și dacă utilizatorul a vizitat adresele URL enumerate mai jos în tabelul din browser. Pentru aceasta sunt folosite API-uri FindFirst/NextUrlCacheEntry și cheia de registry SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader-ul verifică prezența următoarelor aplicații pe sistem.
Lista proceselor este cu adevărat impresionantă și, după cum puteți vedea, include nu numai aplicații bancare. De exemplu, un fișier executabil numit „scardsvr.exe” se referă la software pentru lucrul cu smart carduri (Microsoft SmartCard reader). Troianul bancar în sine include capacitatea de a lucra cu carduri inteligente.
Orez. 4. Schema generală a procesului de instalare a programelor malware.
Dacă toate verificările sunt finalizate cu succes, încărcătorul descarcă un fișier special (arhivă) de pe serverul de la distanță, care conține toate modulele executabile rău intenționate utilizate de atacatori. Este interesant de observat că, în funcție de execuția verificărilor de mai sus, arhivele descărcate de pe serverul C&C la distanță pot diferi. Arhiva poate fi sau nu rău intenționată. Dacă nu este rău intenționat, instalează Windows Live Toolbar pentru utilizator. Cel mai probabil, atacatorii au recurs la trucuri similare pentru a înșela sistemele automate de analiză a fișierelor și mașinile virtuale pe care sunt executate fișiere suspecte.
Fișierul descărcat de programul de descărcare NSIS este o arhivă 7z care conține diverse module malware. Imaginea de mai jos arată întregul proces de instalare a acestui malware și diferitele sale module.
Orez. 5. Schema generală a modului în care funcționează malware.
Deși modulele încărcate servesc unor scopuri diferite pentru atacatori, ele sunt ambalate identic și multe dintre ele au fost semnate cu certificate digitale valabile. Am găsit patru astfel de certificate pe care atacatorii le-au folosit încă de la începutul campaniei. În urma plângerii noastre, aceste certificate au fost revocate. Este interesant de remarcat faptul că toate certificatele au fost eliberate companiilor înregistrate la Moscova.
Orez. 6. Certificat digital care a fost folosit pentru a semna malware-ul.
Următorul tabel identifică certificatele digitale pe care atacatorii le-au folosit în această campanie rău intenționată.
Aproape toate modulele rău intenționate utilizate de atacatori au o procedură de instalare identică. Sunt arhive 7zip autoextractibile care sunt protejate prin parolă.
Orez. 7. Fragment din fișierul batch install.cmd.
Fișierul batch .cmd este responsabil pentru instalarea programelor malware pe sistem și lansarea diferitelor instrumente pentru atacatori. Dacă execuția necesită drepturi administrative lipsă, codul rău intenționat folosește mai multe metode pentru a le obține (ocolind UAC). Pentru a implementa prima metodă, sunt utilizate două fișiere executabile numite l1.exe și cc1.exe, care sunt specializate în ocolirea UAC folosind Cod sursă Carberp. O altă metodă se bazează pe exploatarea vulnerabilității CVE-2013-3660. Fiecare modul malware care necesită escaladarea privilegiilor conține atât o versiune pe 32 de biți, cât și una pe 64 de biți a exploit-ului.
În timpul urmăririi acestei campanii, am analizat mai multe arhive încărcate de programul de descărcare. Conținutul arhivelor varia, ceea ce înseamnă că atacatorii puteau adapta module rău intenționate în diferite scopuri.
Compromisul utilizatorului
După cum am menționat mai sus, atacatorii folosesc instrumente speciale pentru a compromite computerele utilizatorilor. Aceste instrumente includ programe cu nume de fișiere executabile mimi.exe și xtm.exe. Aceștia ajută atacatorii să preia controlul asupra computerului victimei și să se specializeze în îndeplinirea următoarelor sarcini: obținerea/recuperarea parolelor pentru conturile Windows, activarea serviciului RDP, crearea unui nou cont în sistemul de operare.
Executabilul mimi.exe include o versiune modificată a unui instrument cu sursă deschisă bine-cunoscut . Acest instrument vă permite să obțineți parole pentru contul de utilizator Windows. Atacatorii au eliminat partea din Mimikatz care este responsabilă pentru interacțiunea utilizatorului. Codul executabil a fost, de asemenea, modificat, astfel încât la lansare, Mimikatz va rula cu comenzile privilege::debug și sekurlsa:logonPasswords.
Un alt fișier executabil, xtm.exe, lansează scripturi speciale care activează serviciul RDP în sistem, încearcă să creeze un cont nou în sistemul de operare și, de asemenea, modifică setările sistemului pentru a permite mai multor utilizatori să se conecteze simultan la un computer compromis prin RDP. Evident, acești pași sunt necesari pentru a obține controlul deplin asupra sistemului compromis.
Orez. 8. Comenzi executate de xtm.exe pe sistem.
Atacatorii folosesc un alt fișier executabil numit impack.exe, care este folosit pentru a instala software special pe sistem. Acest software se numește LiteManager și este folosit de atacatori ca ușă în spate.
Orez. 9. Interfață LiteManager.
Odată instalat pe sistemul unui utilizator, LiteManager permite atacatorilor să se conecteze direct la acel sistem și să-l controleze de la distanță. Acest software are parametri speciali de linie de comandă pentru instalarea sa ascunsă, crearea unor reguli speciale de firewall și lansarea modulului său. Toți parametrii sunt utilizați de atacatori.
Ultimul modul al pachetului malware folosit de atacatori este un program malware bancar (banker) cu numele de fișier executabil pn_pack.exe. Ea este specializată în spionarea utilizatorului și este responsabilă pentru interacțiunea cu serverul C&C. Bancherul este lansat folosind software-ul legitim Yandex Punto. Punto este folosit de atacatori pentru a lansa biblioteci DLL rău intenționate (metoda DLL Side-Loading). Programul malware în sine poate îndeplini următoarele funcții:
- urmăriți tastele de la tastatură și conținutul clipboard-ului pentru transmiterea lor ulterioară către un server la distanță;
- enumerați toate cardurile inteligente care sunt prezente în sistem;
- interacționează cu un server C&C la distanță.
Modulul malware, care este responsabil pentru realizarea tuturor acestor sarcini, este o bibliotecă DLL criptată. Este decriptat și încărcat în memorie în timpul execuției Punto. Pentru a efectua sarcinile de mai sus, codul executabil DLL începe trei fire.
Faptul că atacatorii au ales software-ul Punto pentru scopurile lor nu este o surpriză: unele forumuri rusești oferă în mod deschis informații detaliate despre subiecte precum folosirea defectelor software-ului legitim pentru a compromite utilizatorii.
Biblioteca rău intenționată folosește algoritmul RC4 pentru a-și cripta șirurile, precum și în timpul interacțiunilor de rețea cu serverul C&C. Acesta contactează serverul la fiecare două minute și transmite acolo toate datele care au fost colectate pe sistemul compromis în această perioadă de timp.
Orez. 10. Fragment de interacțiune în rețea între bot și server.
Mai jos sunt câteva dintre instrucțiunile serverului C&C pe care le poate primi biblioteca.
Ca răspuns la primirea de instrucțiuni de la serverul C&C, malware-ul răspunde cu un cod de stare. Este interesant de observat că toate modulele bancare pe care le-am analizat (cel mai recent cu data de compilare de 18 ianuarie) conțin șirul „TEST_BOTNET”, care este trimis în fiecare mesaj către serverul C&C.
Concluzie
Pentru a compromite utilizatorii corporativi, atacatorii din prima etapă compromit un angajat al companiei trimițând un mesaj de phishing cu un exploit. Apoi, odată ce malware-ul este instalat pe sistem, aceștia vor folosi instrumente software care îi vor ajuta să-și extindă semnificativ autoritatea asupra sistemului și să efectueze sarcini suplimentare asupra acestuia: compromite alte computere din rețeaua corporativă și spionează utilizatorul, precum și tranzactiile bancare pe care le efectueaza.
Sursa: www.habr.com