Od konca minulého roka sme začali sledovať novú škodlivú kampaň na distribúciu bankového trójskeho koňa. Útočníci sa zamerali na kompromitovanie ruských firiem, teda firemných používateľov. Škodlivá kampaň bola aktívna minimálne rok a okrem bankového trójskeho koňa sa útočníci uchýlili aj k rôznym ďalším softvérovým nástrojom. Patrí medzi ne špeciálny nakladač balený pomocou a spyware, ktorý je maskovaný ako dobre známy legitímny softvér Yandex Punto. Keď sa útočníkom podarí kompromitovať počítač obete, nainštalujú zadné vrátka a potom bankového trójskeho koňa.
Pre svoj malvér útočníci použili niekoľko platných (v tom čase) digitálnych certifikátov a špeciálnych metód na obídenie AV produktov. Škodlivá kampaň sa zamerala na veľké množstvo ruských bánk a je mimoriadne zaujímavá, pretože útočníci použili metódy, ktoré sa často používajú pri cielených útokoch, teda útokoch, ktoré nie sú motivované čisto finančnými podvodmi. Môžeme si všimnúť určité podobnosti medzi touto škodlivou kampaňou a veľkým incidentom, ktorý predtým získal veľkú publicitu. Hovoríme o kyberzločineckej skupine, ktorá použila bankového trójskeho koňa /.
Útočníci nainštalovali malvér iba na tie počítače, ktoré štandardne používali ruský jazyk v systéme Windows (lokalizácia). Hlavným distribučným vektorom trójskeho koňa bol dokument programu Word s exploitom. , ktorý bol zaslaný ako príloha dokumentu. Snímky obrazovky nižšie zobrazujú vzhľad takýchto falošných dokumentov. Prvý dokument má názov „Faktúra č. 522375-FLORL-14-115.doc“ a druhý „kontrakt87.doc“ je kópiou zmluvy o poskytovaní telekomunikačných služieb mobilného operátora Megafon.
Ryža. 1. Phishingový dokument.
Ryža. 2. Ďalšia úprava phishingového dokumentu.
Nasledujúce skutočnosti naznačujú, že útočníci sa zamerali na ruské podniky:
- distribúcia škodlivého softvéru pomocou falošných dokumentov na zadanú tému;
- taktiky útočníkov a škodlivé nástroje, ktoré používajú;
- odkazy na obchodné aplikácie v niektorých spustiteľných moduloch;
- názvy škodlivých domén, ktoré boli použité v tejto kampani.
Špeciálne softvérové nástroje, ktoré útočníci inštalujú na napadnutý systém, im umožňujú získať vzdialenú kontrolu nad systémom a monitorovať aktivitu používateľov. Na vykonanie týchto funkcií si nainštalujú zadné vrátka a tiež sa pokúsia získať heslo účtu Windows alebo vytvoriť nový účet. Útočníci sa uchyľujú aj k službám keyloggeru (keylogger), zlodejovi schránky Windows a špeciálnemu softvéru na prácu s čipovými kartami. Táto skupina sa pokúsila kompromitovať ďalšie počítače, ktoré boli v rovnakej lokálnej sieti ako počítač obete.
Náš telemetrický systém ESET LiveGrid, ktorý nám umožňuje rýchlo sledovať štatistiky šírenia malvéru, nám poskytol zaujímavé geografické štatistiky o distribúcii malvéru, ktorý útočníci použili v spomínanej kampani.
Ryža. 3. Štatistiky o geografickom rozložení škodlivého softvéru použitého v tejto škodlivej kampani.
Inštalácia škodlivého softvéru
Keď používateľ otvorí škodlivý dokument s exploitom na zraniteľnom systéme, stiahne a spustí sa tam špeciálny downloader zabalený pomocou NSIS. Na začiatku svojej práce program skontroluje prostredie Windows na prítomnosť debuggerov alebo na spustenie v kontexte virtuálneho počítača. Kontroluje tiež lokalizáciu systému Windows a či používateľ navštívil adresy URL uvedené nižšie v tabuľke v prehliadači. Na to slúžia API FindFirst/NextUrlCacheEntry a kľúč databázy Registry SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader skontroluje prítomnosť nasledujúcich aplikácií v systéme.
Zoznam procesov je skutočne pôsobivý a ako vidíte, zahŕňa nielen bankové aplikácie. Napríklad spustiteľný súbor s názvom „scardsvr.exe“ označuje softvér na prácu s čipovými kartami (čítačka kariet Microsoft SmartCard). Samotný bankový trójsky kôň obsahuje schopnosť pracovať s čipovými kartami.
Ryža. 4. Všeobecná schéma procesu inštalácie škodlivého softvéru.
Ak sú všetky kontroly úspešne dokončené, zavádzač stiahne špeciálny súbor (archív) zo vzdialeného servera, ktorý obsahuje všetky škodlivé spustiteľné moduly používané útočníkmi. Je zaujímavé poznamenať, že v závislosti od vykonania vyššie uvedených kontrol sa archívy stiahnuté zo vzdialeného servera C&C môžu líšiť. Archív môže, ale nemusí byť škodlivý. Ak nie je škodlivý, nainštaluje používateľovi panel s nástrojmi Windows Live. S najväčšou pravdepodobnosťou sa útočníci uchýlili k podobným trikom, aby oklamali systémy automatickej analýzy súborov a virtuálne stroje, na ktorých sa spúšťajú podozrivé súbory.
Súbor stiahnutý sťahovačom NSIS je archív 7z, ktorý obsahuje rôzne moduly škodlivého softvéru. Obrázok nižšie zobrazuje celý proces inštalácie tohto malvéru a jeho rôznych modulov.
Ryža. 5. Všeobecná schéma fungovania malvéru.
Hoci načítané moduly slúžia útočníkom na rôzne účely, sú zabalené identicky a mnohé z nich boli podpísané platnými digitálnymi certifikátmi. Našli sme štyri takéto certifikáty, ktoré útočníci používali od samého začiatku kampane. Po našej sťažnosti boli tieto certifikáty zrušené. Je zaujímavé, že všetky certifikáty boli vydané spoločnostiam registrovaným v Moskve.
Ryža. 6. Digitálny certifikát, ktorý bol použitý na podpísanie malvéru.
Nasledujúca tabuľka identifikuje digitálne certifikáty, ktoré útočníci použili v tejto zákernej kampani.
Takmer všetky škodlivé moduly používané útočníkmi majú rovnaký postup inštalácie. Sú to samorozbaľovacie 7zip archívy, ktoré sú chránené heslom.
Ryža. 7. Fragment dávkového súboru install.cmd.
Dávkový súbor .cmd je zodpovedný za inštaláciu škodlivého softvéru do systému a spustenie rôznych nástrojov pre útočníkov. Ak spustenie vyžaduje chýbajúce práva správcu, škodlivý kód ich získa niekoľkými spôsobmi (obchádza UAC). Na implementáciu prvej metódy sa používajú dva spustiteľné súbory s názvom l1.exe a cc1.exe, ktoré sa špecializujú na obchádzanie UAC pomocou Zdrojové kódy Carberp. Ďalšia metóda je založená na využívaní zraniteľnosti CVE-2013-3660. Každý modul škodlivého softvéru, ktorý vyžaduje eskaláciu privilégií, obsahuje 32-bitovú aj 64-bitovú verziu exploitu.
Pri sledovaní tejto kampane sme analyzovali niekoľko archívov nahraných sťahovačom. Obsah archívov sa líšil, čo znamená, že útočníci mohli prispôsobiť škodlivé moduly na rôzne účely.
Kompromis používateľa
Ako sme uviedli vyššie, útočníci používajú špeciálne nástroje na kompromitáciu počítačov používateľov. Tieto nástroje zahŕňajú programy s názvami spustiteľných súborov mimi.exe a xtm.exe. Pomáhajú útočníkom prevziať kontrolu nad počítačom obete a špecializujú sa na vykonávanie nasledujúcich úloh: získanie/obnovenie hesiel pre účty Windows, povolenie služby RDP, vytvorenie nového účtu v OS.
Spustiteľný súbor mimi.exe obsahuje upravenú verziu známeho open source nástroja . Tento nástroj vám umožňuje získať heslá používateľských účtov systému Windows. Útočníci odstránili z Mimikatzu časť, ktorá je zodpovedná za interakciu používateľa. Spustiteľný kód bol tiež upravený tak, že pri spustení sa Mimikatz spúšťa s príkazmi privilégium::debug a sekurlsa:logonPasswords.
Ďalší spustiteľný súbor, xtm.exe, spúšťa špeciálne skripty, ktoré povoľujú službu RDP v systéme, pokúšajú sa vytvoriť nový účet v operačnom systéme a tiež menia systémové nastavenia tak, aby sa viacerým používateľom súčasne umožnilo pripojiť sa k napadnutému počítaču cez RDP. Je zrejmé, že tieto kroky sú potrebné na získanie plnej kontroly nad napadnutým systémom.
Ryža. 8. Príkazy vykonávané xtm.exe v systéme.
Útočníci používajú ďalší spustiteľný súbor s názvom impack.exe, ktorý sa používa na inštaláciu špeciálneho softvéru do systému. Tento softvér sa nazýva LiteManager a útočníci ho používajú ako zadné vrátka.
Ryža. 9. Rozhranie LiteManager.
Po nainštalovaní do systému používateľa LiteManager umožňuje útočníkom priamo sa pripojiť k tomuto systému a vzdialene ho ovládať. Tento softvér má špeciálne parametre príkazového riadka pre jeho skrytú inštaláciu, vytváranie špeciálnych pravidiel brány firewall a spúšťanie jeho modulu. Všetky parametre využívajú útočníci.
Posledným modulom malvérového balíka využívaného útočníkmi je bankový malvérový program (bankár) s názvom spustiteľného súboru pn_pack.exe. Špecializuje sa na špehovanie používateľov a je zodpovedná za interakciu so serverom C&C. Bankár sa spúšťa pomocou legitímneho softvéru Yandex Punto. Punto používajú útočníci na spúšťanie škodlivých knižníc DLL (metóda DLL Side-Loading). Samotný malvér môže vykonávať nasledujúce funkcie:
- sledovať stlačenia klávesov a obsah schránky na ich následný prenos na vzdialený server;
- zoznam všetkých čipových kariet, ktoré sú prítomné v systéme;
- komunikovať so vzdialeným serverom C&C.
Modul škodlivého softvéru, ktorý je zodpovedný za vykonávanie všetkých týchto úloh, je šifrovaná knižnica DLL. Počas vykonávania Punto sa dešifruje a načíta do pamäte. Na vykonanie vyššie uvedených úloh spustí spustiteľný kód DLL tri vlákna.
Skutočnosť, že útočníci si na svoje účely vybrali softvér Punto, nie je prekvapením: niektoré ruské fóra otvorene poskytujú podrobné informácie o takých témach, ako je používanie nedostatkov legitímneho softvéru na kompromitovanie používateľov.
Škodlivá knižnica používa algoritmus RC4 na šifrovanie svojich reťazcov, ako aj počas sieťových interakcií so serverom C&C. Každé dve minúty kontaktuje server a odošle tam všetky údaje, ktoré boli počas tohto časového obdobia zhromaždené na napadnutom systéme.
Ryža. 10. Fragment sieťovej interakcie medzi robotom a serverom.
Nižšie sú uvedené niektoré pokyny pre server C&C, ktoré môže knižnica dostať.
V reakcii na prijatie pokynov zo servera C&C malvér odpovie stavovým kódom. Je zaujímavé, že všetky bankové moduly, ktoré sme analyzovali (najnovší s dátumom zostavenia 18. januára), obsahujú reťazec „TEST_BOTNET“, ktorý sa v každej správe posiela na server C&C.
Záver
Na kompromitáciu podnikových používateľov útočníci v prvej fáze kompromitujú jedného zamestnanca spoločnosti odoslaním phishingovej správy s exploitom. Potom, keď sa malvér nainštaluje do systému, použijú softvérové nástroje, ktoré im pomôžu výrazne rozšíriť ich právomoci v systéme a vykonávať na ňom ďalšie úlohy: kompromitovať ostatné počítače v podnikovej sieti a špehovať používateľa, ako aj bankové transakcie, ktoré vykonáva.
Zdroj: hab.com