Od konca lanskega leta smo začeli slediti novi zlonamerni kampanji za distribucijo bančnega trojanca. Napadalci so se osredotočili na kompromitacijo ruskih podjetij, torej korporativnih uporabnikov. Zlonamerna kampanja je bila aktivna vsaj leto dni, napadalci pa so poleg bančnega trojanca posegli po različnih drugih programskih orodjih. Ti vključujejo poseben nakladalnik, pakiran z uporabo , in vohunsko programsko opremo, ki je prikrita kot znana legitimna programska oprema Yandex Punto. Ko napadalcem uspe kompromitirati računalnik žrtve, namestijo backdoor in nato še bančnega trojanca.
Za svojo zlonamerno programsko opremo so napadalci uporabili več veljavnih (takrat) digitalnih potrdil in posebne metode za obhod AV izdelkov. Zlonamerna kampanja je bila usmerjena proti velikemu številu ruskih bank in je še posebej zanimiva, ker so napadalci uporabili metode, ki se pogosto uporabljajo pri ciljno usmerjenih napadih, tj. napadih, ki niso motivirani izključno s finančnimi goljufijami. Opazimo lahko nekaj podobnosti med to zlonamerno kampanjo in velikim incidentom, ki je bil prej deležen velike javnosti. Govorimo o kiberkriminalni združbi, ki je uporabljala bančnega trojanca /.
Napadalci so namestili zlonamerno programsko opremo samo na tiste računalnike, ki so privzeto uporabljali ruski jezik v sistemu Windows (lokalizacija). Glavni distribucijski vektor trojanca je bil Wordov dokument z exploitom. , ki je bil poslan kot priponka k dokumentu. Spodnji posnetki zaslona prikazujejo videz takih lažnih dokumentov. Prvi dokument ima naslov »Račun št. 522375-FLORL-14-115.doc«, drugi »kontrakt87.doc« pa je kopija pogodbe o opravljanju telekomunikacijskih storitev mobilnega operaterja Megafon.
riž. 1. Lažni dokument.
riž. 2. Druga sprememba lažnega dokumenta.
Naslednja dejstva kažejo, da so napadalci ciljali na ruska podjetja:
- distribucija zlonamerne programske opreme z uporabo lažnih dokumentov na določeno temo;
- taktika napadalcev in zlonamerna orodja, ki jih uporabljajo;
- povezave do poslovnih aplikacij v nekaterih izvršljivih modulih;
- imena zlonamernih domen, ki so bile uporabljene v tej kampanji.
Posebna programska orodja, ki jih napadalci namestijo na ogrožen sistem, jim omogočajo daljinski nadzor nad sistemom in spremljanje aktivnosti uporabnikov. Za izvajanje teh funkcij namestijo stranska vrata in poskušajo pridobiti geslo za račun Windows ali ustvariti nov račun. Napadalci se zatečejo tudi k storitvam zapisovalnika tipk (keylogger), kraji odložišča Windows in posebne programske opreme za delo s pametnimi karticami. Ta skupina je poskušala ogroziti druge računalnike, ki so bili v istem lokalnem omrežju kot računalnik žrtve.
Naš telemetrični sistem ESET LiveGrid, ki nam omogoča hitro sledenje statistike razširjenosti zlonamerne programske opreme, nam je ponudil zanimivo geografsko statistiko razširjenosti zlonamerne programske opreme, ki jo napadalci uporabljajo v omenjeni akciji.
riž. 3. Statistični podatki o geografski porazdelitvi zlonamerne programske opreme, uporabljene v tej zlonamerni kampanji.
Nameščanje zlonamerne programske opreme
Ko uporabnik odpre zlonamerni dokument z izkoriščanjem v ranljivem sistemu, se tam prenese in zažene poseben prenosnik, zapakiran z uporabo NSIS. Na začetku svojega dela program preveri okolje Windows za prisotnost razhroščevalnikov ali za izvajanje v kontekstu virtualnega stroja. Preveri tudi lokalizacijo sistema Windows in ali je uporabnik v brskalniku obiskal URL-je, navedene spodaj v tabeli. Za to se uporabljajo API-ji FindFirst/NextUrlCacheEntry in registrski ključ SoftwareMicrosoftInternet ExplorerTypedURLs.
Zagonski nalagalnik preveri prisotnost naslednjih aplikacij v sistemu.
Seznam procesov je res impresiven in, kot lahko vidite, ne vključuje samo bančnih aplikacij. Na primer, izvršljiva datoteka z imenom "scardsvr.exe" se nanaša na programsko opremo za delo s pametnimi karticami (Microsoft SmartCard reader). Sam bančni trojanec vključuje možnost dela s pametnimi karticami.
riž. 4. Splošni diagram postopka namestitve zlonamerne programske opreme.
Če so vsa preverjanja uspešno opravljena, nalagalnik z oddaljenega strežnika prenese posebno datoteko (arhiv), ki vsebuje vse zlonamerne izvedljive module, ki jih uporabljajo napadalci. Zanimivo je, da se arhivi, preneseni z oddaljenega C&C strežnika, lahko razlikujejo glede na izvedbo zgornjih preverjanj. Arhiv je lahko zlonameren ali pa tudi ne. Če ni zlonamerno, uporabniku namesti orodno vrstico Windows Live. Najverjetneje so se napadalci zatekli k podobnim trikom, da bi prevarali avtomatske sisteme za analizo datotek in virtualne stroje, na katerih se izvajajo sumljive datoteke.
Datoteka, ki jo je prenesel prenosnik NSIS, je arhiv 7z, ki vsebuje različne module zlonamerne programske opreme. Spodnja slika prikazuje celoten postopek namestitve te zlonamerne programske opreme in njenih različnih modulov.
riž. 5. Splošna shema delovanja zlonamerne programske opreme.
Čeprav naloženi moduli za napadalce služijo različnim namenom, so zapakirani enako in mnogi med njimi so bili podpisani z veljavnimi digitalnimi potrdili. Našli smo štiri tovrstna potrdila, ki so jih napadalci uporabljali od samega začetka akcije. Po naši pritožbi so bili ti certifikati preklicani. Zanimivo je, da so bili vsi certifikati izdani podjetjem, registriranim v Moskvi.
riž. 6. Digitalno potrdilo, ki je bilo uporabljeno za podpis zlonamerne programske opreme.
V spodnji tabeli so navedena digitalna potrdila, ki so jih napadalci uporabili v tej zlonamerni akciji.
Skoraj vsi zlonamerni moduli, ki jih uporabljajo napadalci, imajo identičen postopek namestitve. So samorazpakirani arhivi 7zip, ki so zaščiteni z geslom.
riž. 7. Fragment paketne datoteke install.cmd.
Paketna datoteka .cmd je odgovorna za namestitev zlonamerne programske opreme v sistem in zagon različnih orodij za napadalce. Če izvajanje zahteva manjkajoče skrbniške pravice, zlonamerna koda uporabi več metod za njihovo pridobitev (mimo UAC). Za izvedbo prve metode se uporabljata dve izvedljivi datoteki, imenovani l1.exe in cc1.exe, ki sta specializirani za obhod UAC z uporabo Izvorna koda Carberp. Druga metoda temelji na izkoriščanju ranljivosti CVE-2013-3660. Vsak modul zlonamerne programske opreme, ki zahteva stopnjevanje privilegijev, vsebuje tako 32-bitno kot 64-bitno različico izkoriščanja.
Med sledenjem tej akciji smo analizirali več arhivov, ki jih je naložil prenosnik. Vsebina arhivov je bila različna, kar je pomenilo, da so lahko napadalci prilagodili zlonamerne module za različne namene.
Uporabniški kompromis
Kot smo že omenili, napadalci uporabljajo posebna orodja za ogrožanje uporabnikovih računalnikov. Ta orodja vključujejo programe z imeni izvršljivih datotek mimi.exe in xtm.exe. Napadalcem pomagajo prevzeti nadzor nad računalnikom žrtve in so specializirani za izvajanje naslednjih nalog: pridobivanje/obnavljanje gesel za račune Windows, omogočanje storitve RDP, ustvarjanje novega računa v OS.
Izvršljiva datoteka mimi.exe vključuje spremenjeno različico dobro znanega odprtokodnega orodja . To orodje vam omogoča pridobitev gesel uporabniškega računa Windows. Napadalci so iz Mimikatza odstranili del, ki je odgovoren za interakcijo uporabnika. Izvršljiva koda je bila prav tako spremenjena, tako da se Mimikatz ob zagonu izvaja z ukazoma privilege::debug in sekurlsa:logonPasswords.
Druga izvršljiva datoteka, xtm.exe, zažene posebne skripte, ki omogočijo storitev RDP v sistemu, poskušajo ustvariti nov račun v OS in spremenijo sistemske nastavitve, da več uporabnikom omogočijo hkratno povezavo z ogroženim računalnikom prek RDP. Očitno so ti koraki potrebni za pridobitev popolnega nadzora nad ogroženim sistemom.
riž. 8. Ukazi, ki jih izvaja xtm.exe v sistemu.
Napadalci uporabljajo drugo izvršljivo datoteko impack.exe, ki se uporablja za namestitev posebne programske opreme v sistem. Ta programska oprema se imenuje LiteManager in jo napadalci uporabljajo kot stranska vrata.
riž. 9. Vmesnik LiteManager.
Ko je LiteManager nameščen v uporabnikov sistem, omogoča napadalcem, da se neposredno povežejo s tem sistemom in ga daljinsko nadzorujejo. Ta programska oprema ima posebne parametre ukazne vrstice za svojo skrito namestitev, ustvarjanje posebnih pravil požarnega zidu in zagon svojega modula. Vse parametre uporabljajo napadalci.
Zadnji modul zlonamernega paketa, ki ga uporabljajo napadalci, je bančni zlonamerni program (banker) z imenom izvršljive datoteke pn_pack.exe. Specializirana je za vohunjenje za uporabnikom in je odgovorna za interakcijo s C&C strežnikom. Bankir se zažene z zakonito programsko opremo Yandex Punto. Punto napadalci uporabljajo za zagon zlonamernih knjižnic DLL (metoda DLL Side-Loading). Sama zlonamerna programska oprema lahko izvaja naslednje funkcije:
- sledenje pritiskom tipk na tipkovnici in vsebini odložišča za njihov kasnejši prenos na oddaljeni strežnik;
- seznam vseh pametnih kartic, ki so prisotne v sistemu;
- interakcijo z oddaljenim C&C strežnikom.
Modul zlonamerne programske opreme, ki je odgovoren za izvajanje vseh teh nalog, je šifrirana knjižnica DLL. Med izvajanjem Punta se dešifrira in naloži v pomnilnik. Za izvedbo zgornjih nalog izvršljiva koda DLL zažene tri niti.
Dejstvo, da so napadalci za svoje namene izbrali programsko opremo Punto, ni presenetljivo: nekateri ruski forumi odkrito ponujajo podrobne informacije o temah, kot je uporaba napak v zakoniti programski opremi za ogrožanje uporabnikov.
Zlonamerna knjižnica uporablja algoritem RC4 za šifriranje svojih nizov, pa tudi med omrežnimi interakcijami s strežnikom C&C. Vsaki dve minuti vzpostavi stik s strežnikom in tja posreduje vse podatke, ki so bili v tem času zbrani na ogroženem sistemu.
riž. 10. Fragment omrežne interakcije med botom in strežnikom.
Spodaj je nekaj navodil za C&C strežnik, ki jih knjižnica lahko prejme.
V odgovor na prejemanje navodil s strežnika C&C se zlonamerna programska oprema odzove s statusno kodo. Zanimivo je omeniti, da vsi bančni moduli, ki smo jih analizirali (najnovejši z datumom kompilacije 18. januarja), vsebujejo niz »TEST_BOTNET«, ki je v vsakem sporočilu poslan strežniku C&C.
Zaključek
Da bi ogrozili korporativne uporabnike, napadalci na prvi stopnji ogrozijo enega zaposlenega v podjetju tako, da pošljejo phishing sporočilo z exploitom. Nato bodo, ko bo zlonamerna programska oprema nameščena v sistem, uporabili programska orodja, ki jim bodo pomagala znatno razširiti svojo oblast nad sistemom in na njem izvajati dodatna opravila: ogroziti druge računalnike v omrežju podjetja in vohuniti za uporabnikom ter bančnih poslov, ki jih opravlja.
Vir: www.habr.com