Që nga fundi i vitit të kaluar, ne filluam të gjurmojmë një fushatë të re keqdashëse për të shpërndarë një Trojan bankar. Sulmuesit u përqendruan në kompromentimin e kompanive ruse, pra përdoruesve të korporatave. Fushata me qëllim të keq ishte aktive për të paktën një vit dhe, përveç Trojanit bankar, sulmuesit përdorën mjete të tjera të ndryshme softuerike. Këto përfshijnë një ngarkues të veçantë të paketuar duke përdorur , dhe spyware, i cili është i maskuar si softueri i njohur legjitim Yandex Punto. Pasi sulmuesit kanë arritur të komprometojnë kompjuterin e viktimës, ata instalojnë një backdoor dhe më pas një Trojan bankar.
Për malware-in e tyre, sulmuesit përdorën disa certifikata dixhitale të vlefshme (në atë kohë) dhe metoda speciale për të anashkaluar produktet AV. Fushata me qëllim të keq kishte në shënjestër një numër të madh bankash ruse dhe është me interes të veçantë sepse sulmuesit përdorën metoda që përdoren shpesh në sulme të synuara, pra sulme që nuk janë të motivuara thjesht nga mashtrimi financiar. Mund të vëmë re disa ngjashmëri mes kësaj fushate keqdashëse dhe një incidenti madhor që mori një publicitet të madh më herët. Po flasim për një grup kriminal kibernetik që përdorte një trojan bankar /.
Sulmuesit instaluan malware vetëm në ata kompjuterë që përdornin gjuhën ruse në Windows (lokalizimi) si parazgjedhje. Vektori kryesor i shpërndarjes së Trojanit ishte një dokument Word me një shfrytëzim. , e cila u dërgua si bashkëngjitje e dokumentit. Pamjet e mëposhtme tregojnë pamjen e dokumenteve të tilla të rreme. Dokumenti i parë titullohet “Faturë Nr. 522375-FLORL-14-115.doc”, dhe i dyti “kontrakt87.doc”, është kopje e kontratës për ofrimin e shërbimeve të telekomunikacionit nga operatori celular Megafon.
Oriz. 1. Dokument phishing.
Oriz. 2. Një tjetër modifikim i dokumentit të phishing.
Faktet e mëposhtme tregojnë se sulmuesit kishin në shënjestër bizneset ruse:
- shpërndarja e malware duke përdorur dokumente të rreme në temën e specifikuar;
- taktikat e sulmuesve dhe mjetet keqdashëse që ata përdorin;
- lidhjet me aplikacionet e biznesit në disa module të ekzekutueshme;
- emrat e domeneve me qëllim të keq që janë përdorur në këtë fushatë.
Veglat e veçanta softuerike që sulmuesit instalojnë në një sistem të komprometuar i lejojnë ata të fitojnë kontrollin në distancë të sistemit dhe të monitorojnë aktivitetin e përdoruesit. Për të kryer këto funksione, ata instalojnë një derë të pasme dhe gjithashtu përpiqen të marrin fjalëkalimin e llogarisë së Windows ose të krijojnë një llogari të re. Sulmuesit përdorin gjithashtu shërbimet e një keylogger (keylogger), një vjedhës të clipboard-it të Windows dhe një softuer special për të punuar me kartat inteligjente. Ky grup u përpoq të komprometonte kompjuterë të tjerë që ishin në të njëjtin rrjet lokal me kompjuterin e viktimës.
Sistemi ynë telemetrik ESET LiveGrid, i cili na lejon të gjurmojmë shpejt statistikat e shpërndarjes së malware, na ofroi statistika gjeografike interesante mbi shpërndarjen e malware të përdorur nga sulmuesit në fushatën e përmendur.
Oriz. 3. Statistikat mbi shpërndarjen gjeografike të malware të përdorur në këtë fushatë me qëllim të keq.
Instalimi i malware
Pasi një përdorues hap një dokument me qëllim të keq me një shfrytëzim në një sistem të cenueshëm, një shkarkues special i paketuar duke përdorur NSIS do të shkarkohet dhe ekzekutohet atje. Në fillim të punës së tij, programi kontrollon mjedisin e Windows për praninë e korrigjuesve atje ose për funksionimin në kontekstin e një makine virtuale. Ai gjithashtu kontrollon lokalizimin e Windows dhe nëse përdoruesi ka vizituar URL-të e listuara më poshtë në tabelë në shfletues. Për këtë përdoren API FindFirst/NextUrlCacheEntry dhe çelësi i regjistrit SoftwareMicrosoftInternet ExplorerTypedURLs.
Bootloader kontrollon praninë e aplikacioneve të mëposhtme në sistem.
Lista e proceseve është vërtet mbresëlënëse dhe, siç mund ta shihni, përfshin jo vetëm aplikacionet bankare. Për shembull, një skedar i ekzekutueshëm i quajtur "scardsvr.exe" i referohet softuerit për të punuar me kartat inteligjente (lexuesi i Microsoft SmartCard). Vetë Trojani bankar përfshin aftësinë për të punuar me karta inteligjente.
Oriz. 4. Diagrami i përgjithshëm i procesit të instalimit të malware.
Nëse të gjitha kontrollet përfundojnë me sukses, ngarkuesi shkarkon një skedar të veçantë (arkiv) nga serveri i largët, i cili përmban të gjitha modulet e ekzekutueshme me qëllim të keq të përdorur nga sulmuesit. Është interesante të theksohet se në varësi të ekzekutimit të kontrolleve të mësipërme, arkivat e shkarkuar nga serveri i largët C&C mund të ndryshojnë. Arkivi mund të jetë ose jo me qëllim të keq. Nëse nuk është me qëllim të keq, ai instalon Windows Live Toolbar për përdoruesin. Me shumë mundësi, sulmuesit iu drejtuan trukeve të ngjashme për të mashtruar sistemet automatike të analizës së skedarëve dhe makinat virtuale në të cilat ekzekutohen skedarë të dyshimtë.
Skedari i shkarkuar nga shkarkuesi NSIS është një arkiv 7z që përmban module të ndryshme malware. Imazhi më poshtë tregon të gjithë procesin e instalimit të këtij malware dhe moduleve të ndryshme të tij.
Oriz. 5. Skema e përgjithshme se si funksionon malware.
Megjithëse modulet e ngarkuara shërbejnë për qëllime të ndryshme për sulmuesit, ato janë të paketuara në mënyrë identike dhe shumë prej tyre janë nënshkruar me certifikata dixhitale të vlefshme. Ne gjetëm katër certifikata të tilla që sulmuesit përdorën që në fillim të fushatës. Pas ankesës sonë, këto certifikata u hoqën. Është interesante të theksohet se të gjitha certifikatat janë lëshuar për kompanitë e regjistruara në Moskë.
Oriz. 6. Certifikatë dixhitale që është përdorur për të nënshkruar malware.
Tabela e mëposhtme identifikon certifikatat dixhitale që sulmuesit përdorën në këtë fushatë me qëllim të keq.
Pothuajse të gjitha modulet me qëllim të keq të përdorur nga sulmuesit kanë një procedurë identike instalimi. Ata po nxjerrin vetë arkivat 7zip që janë të mbrojtur me fjalëkalim.
Oriz. 7. Fragment i skedarit të grupit install.cmd.
Skedari i grupit .cmd është përgjegjës për instalimin e malware në sistem dhe lëshimin e mjeteve të ndryshme të sulmuesit. Nëse ekzekutimi kërkon të drejta administrative që mungojnë, kodi me qëllim të keq përdor disa metoda për t'i marrë ato (duke anashkaluar UAC). Për të zbatuar metodën e parë, përdoren dy skedarë të ekzekutueshëm të quajtur l1.exe dhe cc1.exe, të cilët specializohen në anashkalimin e UAC duke përdorur Kodi burimor Carberp. Një metodë tjetër bazohet në shfrytëzimin e cenueshmërisë CVE-2013-3660. Çdo modul malware që kërkon përshkallëzimin e privilegjeve përmban një version 32-bit dhe 64-bit të shfrytëzimit.
Gjatë gjurmimit të kësaj fushate, ne analizuam disa arkiva të ngarkuara nga shkarkuesi. Përmbajtja e arkivave ndryshonte, që do të thotë se sulmuesit mund të përshtatnin modulet keqdashëse për qëllime të ndryshme.
Kompromisi i përdoruesit
Siç e përmendëm më lart, sulmuesit përdorin mjete speciale për të komprometuar kompjuterët e përdoruesve. Këto mjete përfshijnë programe me emra skedarësh të ekzekutueshëm mimi.exe dhe xtm.exe. Ato ndihmojnë sulmuesit të marrin kontrollin e kompjuterit të viktimës dhe të specializohen në kryerjen e detyrave të mëposhtme: marrjen/rikuperimin e fjalëkalimeve për llogaritë e Windows, aktivizimin e shërbimit RDP, krijimin e një llogarie të re në OS.
Ekzekutuesi mimi.exe përfshin një version të modifikuar të një vegle të mirënjohur me burim të hapur . Ky mjet ju lejon të merrni fjalëkalimet e llogarisë së përdoruesit të Windows. Sulmuesit hoqën nga Mimikatz pjesën që është përgjegjëse për ndërveprimin e përdoruesit. Kodi i ekzekutueshëm është modifikuar gjithashtu në mënyrë që kur të lansohet, Mimikatz do të ekzekutohet me komandat e privilegjit::debug dhe sekurlsa:logonPasswords.
Një skedar tjetër i ekzekutueshëm, xtm.exe, lëshon skriptet speciale që mundësojnë shërbimin RDP në sistem, përpiqen të krijojnë një llogari të re në OS dhe gjithashtu ndryshojnë cilësimet e sistemit për të lejuar disa përdorues të lidhen njëkohësisht me një kompjuter të komprometuar përmes RDP. Natyrisht, këto hapa janë të nevojshëm për të fituar kontrollin e plotë të sistemit të komprometuar.
Oriz. 8. Komandat e ekzekutuara nga xtm.exe në sistem.
Sulmuesit përdorin një skedar tjetër të ekzekutueshëm të quajtur impack.exe, i cili përdoret për të instaluar softuer special në sistem. Ky softuer quhet LiteManager dhe përdoret nga sulmuesit si një derë e pasme.
Oriz. 9. Ndërfaqja LiteManager.
Pasi të instalohet në sistemin e një përdoruesi, LiteManager lejon sulmuesit të lidhen drejtpërdrejt me atë sistem dhe ta kontrollojnë atë nga distanca. Ky softuer ka parametra të veçantë të linjës së komandës për instalimin e tij të fshehur, krijimin e rregullave të veçanta të murit të zjarrit dhe lëshimin e modulit të tij. Të gjithë parametrat përdoren nga sulmuesit.
Moduli i fundit i paketës së malware të përdorur nga sulmuesit është një program malware bankar (banker) me emrin e skedarit të ekzekutueshëm pn_pack.exe. Ajo është e specializuar në spiunimin e përdoruesit dhe është përgjegjëse për ndërveprimin me serverin C&C. Bankieri është nisur duke përdorur softuerin legjitim Yandex Punto. Punto përdoret nga sulmuesit për të nisur bibliotekat me qëllim të keq DLL (metoda DLL Side-Loading). Vetë malware mund të kryejë funksionet e mëposhtme:
- gjurmoni shtypjet e tastierës dhe përmbajtjen e kujtesës për transmetimin e tyre të mëvonshëm në një server të largët;
- listoni të gjitha kartat inteligjente që janë të pranishme në sistem;
- ndërveproni me një server C&C në distancë.
Moduli i malware, i cili është përgjegjës për kryerjen e të gjitha këtyre detyrave, është një bibliotekë e koduar DLL. Deshifrohet dhe ngarkohet në memorie gjatë ekzekutimit të Punto. Për të kryer detyrat e mësipërme, kodi i ekzekutueshëm DLL fillon tre fije.
Fakti që sulmuesit zgjodhën softuerin Punto për qëllimet e tyre nuk është një surprizë: disa forume ruse ofrojnë hapur informacion të detajuar mbi tema të tilla si përdorimi i të metave në softuerin legjitim për të kompromentuar përdoruesit.
Biblioteka me qëllim të keq përdor algoritmin RC4 për të enkriptuar vargjet e saj, si dhe gjatë ndërveprimeve të rrjetit me serverin C&C. Ai kontakton serverin çdo dy minuta dhe transmeton atje të gjitha të dhënat që janë mbledhur në sistemin e komprometuar gjatë kësaj periudhe kohore.
Oriz. 10. Fragment i ndërveprimit të rrjetit ndërmjet botit dhe serverit.
Më poshtë janë disa nga udhëzimet e serverit C&C që mund të marrë biblioteka.
Në përgjigje të marrjes së udhëzimeve nga serveri C&C, malware përgjigjet me një kod statusi. Është interesante të theksohet se të gjitha modulet e bankierëve që kemi analizuar (ajo më e fundit me datë përpilimi më 18 janar) përmbajnë vargun "TEST_BOTNET", i cili dërgohet në çdo mesazh te serveri C&C.
Përfundim
Për të komprometuar përdoruesit e korporatave, sulmuesit në fazën e parë komprometojnë një punonjës të kompanisë duke dërguar një mesazh phishing me një shfrytëzim. Më pas, pasi malware të instalohet në sistem, ata do të përdorin mjete softuerike që do t'i ndihmojnë ata të zgjerojnë ndjeshëm autoritetin e tyre në sistem dhe të kryejnë detyra shtesë mbi të: komprometojnë kompjuterë të tjerë në rrjetin e korporatës dhe spiunojnë përdoruesin, si dhe transaksionet bankare që ai kryen.
Burimi: www.habr.com